学校法人 同志社女子大学
PRODUCTS
メリット
複数のネットワーク機器をBIG-IPに集約することで、設置スペースを削減できた。
幅広いシステムをカバーしたSSO基盤が整備できた。
セキュリティを強化する各種機能も利用可能になった。
課題
ネットワーク機器をプライベートクラウドに移行するために、利用できるラックスペースが限られていた。
メールシステムをOffice 365へと移行するにあたり、認証連携が求められた。
学内認証やSSL VPNのシステムリプレースも迫っており、認証基盤システムの見直しも必要だった。
複数のネットワーク機器をBIG-IPに集約/BIG-IP APMの活用でSSO基盤も実現。今後も幅広い機能を「使い倒す」
学内の主要システムをプライベートクラウドへと移行し、2016年9月にはOffice 365も導入している同志社女子大学。ここではロードバランサ等の複数のネットワーク機器がBIG-IPへと集約され、プライベートクラウドに設置されている。また多様なシステムをカバーできるSSO基盤もBIG-IP APMによって実現。BIG-IP DNSやASMの活用も計画されており、「BIG-IPの機能を徹底的に使い倒す」ことが目指されている。
BIG-IPなら機器集約が可能な上、多様なシステムをカバーしたSSOも実現でき、WAF等のセキュリティ機能も実装可能。これらを徹底的に使い倒すことが、このプロジェクトの要だと考えています
ビジネス上の課題
大学などの教育機関でも進みつつあるクラウド活用。少子化によって学校経営の厳しさが増す中、コスト削減やITの効率的活用の手段として、クラウドが果たす役割は大きいと言えるだろう。ここで大きな課題になるのが、複雑化するシステムのユーザ認証をどうするかである。セキュリティと利便性の両立を図るのであれば、シングル・サインオン(SSO)の実現が望ましい。その布石を打つためBIG-IPを導入したのが、同志社女子大学である。
「BIG-IPの導入検討のきっかけになったのは、サーバをハウジングしプライベートクラウドとして運用していた教務システム等の学内システムを、仮想化してサーバ集約しようという話が持ち上がったことでした。これに伴い、サーバルームに置いていたネットワーク機器も合わせて、プライベートクラウドへと移行することが検討されたのです」。
このように語るのは、ネットワークインフラ課長の長南 敏彦氏。しかし利用可能なラックスペースは限られており、それまで使用していたファイアウォールやロードバランサ、スイッチ等をそのまま移すことは不可能だったと振り返る。「ネットワーク機器をプライベートクラウドに収容するには、機器集約が不可欠でした。このニーズにうまく合致したのがBIG-IPだったのです」。
これと並行して、学内メールをOffice 365へと移行するプロジェクトも進んでいた。当然ながらそのユーザ認証も、学内システムと連携することが必須となる。さらに学内のユーザ認証システムや、SSL VPNを提供する機器のリプレースも迫っていた。認証システム全体を見直すには、絶好のタイミングだったのである。
「BIG-IPなら機器集約が可能な上、多様なシステムをカバーしたSSOも実現でき、SSL VPNの機能も実装可能。またWAFのようなセキュリティ機能も同一筐体に追加できるので、将来性を考えても最適な選択肢だと考えました」(長南氏)
Office 365の認証はADFSを使用していますが、将来はAPMとSAML連携させることも検討しています
ソリューション
BIG-IPを導入し、システム構築を始めたのが2016年7月。それまで使用していたファイアウォールやロードバランサ、SSL VPNの機能が、全てBIG-IPへと集約された。これに加え、BIG-IP APMを活用した新たな学内ポータルも構築。ユーザ認証をこのポータルで行い、学内の各システムへのログインをBIG-IP APMから自動的に行うSSOを実現している。この仕組みのユニークな点は、各システムへのログインを行うために、BIG-IPが代理で認証情報を各システムに送信していることだ。
ユーザがこのポータルにアクセスすると、まずユーザIDの入力画面が表示され、ユーザIDを入力するとパスワード入力画面が表示される。ここでパスワードを入力すると、学内LDAPの登録情報と照合され、認証が行われる。認証が完了すると、利用可能なシステムの一覧が表示される。これらのうちいずれかをクリックすると、APMからそのシステムに認証情報がPOSTメソッドで送信され、この情報に基づいて各システムはユーザ認証を行う。
POSTメソッドによる認証情報のやり取りは、APMの標準機能を利用する方法の他、JavaScriptによる作り込みも行われている。システムがどのようなログイン処理を行うのかによって、これらを使い分けているのだ。さらにAPMのカスタマイズによって、大学公式ホームページからポータル画面へのRSSフィード表示や、大学キャラクター「VIVI」の画像表示も行われている。
Office 365の認証は、AD(Active Directory)とADFS(AD Federation Services)によって連携。またADとRadiusを連携させることで、学内Wi-FiのIEEE 802.1x認証も実現している。
これらの仕組み全てをわずか2か月で構築。2016年9月に各種ネットワークサービスをリリースしているのだ。
機器集約によってネットワーク管理時のログイン回数が減りました。ベンダーへの問い合わせもシンプルになっています
メリット
■ 機器集約でスペースを節約、運用も容易に
まずBIG-IPへと機器集約したことで、設置スペースが大幅に削減された。これに加え、ネットワークインフラ課の奥田 充昭氏は「ネットワーク管理を行う際のログイン回数も減りました」と指摘。さらに、ベンダーが統一されたことで、疑問が生じた時の問い合わせもシンプルになったと言う。
■ 幅広いシステムのSSOの基盤を確立
SSOの基盤も整備できた。すでに教務システムや図書館システム、WebDAV環境、WebメールへのSSOが実現されており、他のシステムのSSO化も段階的に進めていく計画だ。またOffice 365の導入・展開を担当するネットワークインフラ係長の明石 健治氏は「Office 365の認証はADFSを使用していますが、将来はAPMとSAML連携させることも検討しています」と言う。
■ 今後の目標はBIG-IPの多様な機能を使い倒すこと
AFMによってDoS/DDoS攻撃への対策も可能になった。今後は他の機能も積極的に活用する予定だ。まず2017年3月までにBIG-IP DNSを動かし、BindをBIG-IPに移行することを計画。これでBindの脆弱性から解放されると期待されている。またIPインテリジェンスやWAF等の活用も視野に入っていると言う。「BIG-IPには大きな可能性があります」と長南氏。「その機能を徹底的に使い倒すことが、このプロジェクトの要だと考えています。」
