国立大学法人 東京大学
PRODUCTS
メリット
ネットワークごとに導入可能な仮想アプライアンスでセキュリティを実現
仮想アプライアンスでBIG-IPの機能すべてをユーザが自由に活用可能
利用規模に応じたライセンスで=必要な場所に必要なハフォーマンスを低コストで提供
課題
用途により要件の異なるネットワークでのセキュリティ確保
必要に応じてユーザ自身で自由に設定できるネットワークの提供
自由度とパフォーマンス、コストの最適なバランス
ネットワークからアプリケーションを防御する 高機能なファイアウォールとして BIG-IP を採用 仮想アプライアンスにより、多様な要件に 迅速に対応
国内最高学府である東京大学では、学外への接続帯域は40Gbpsにも上り、オンライン上の脅威に日々さらされている。用途とともにセキュリティ要件も多様で、一律のポリシーで縛り、運用することは不可能だ。そこで、ネットワーク運用を担う情報基盤センターが採用したのが、仮想アプライアンス版 BIG-IP AFMとBIG-IP ASMといっ たセキュリティ製品だ。必要な場所に迅速に展開可能な仮想アプライアンスでセキュリティ機能を提 供することにより、用途や要件に応じたネットワーク運用を目指す。
大学のネットワークは自由度が高い事が基本。 その基本と高まるセキュリティ要件に柔軟に応えてくれたのは BIG-IP でした
サービス上の課題
東京大学情報基盤センターでは、学内に向けて 様々なITサービスを提供している。基幹ネット ワークは、その中でもベースとなる重要な部分だ。 東京大学情報基盤センターの関谷勇司氏は、そ の業務範囲について次のように説明してくれた。
「授業や研究に必要なシステムを結ぶために必要な ネットワーク接続と付 随する機能群を安価、 手軽、柔軟なサービス として 提 供 して い ま す 。 最近、基幹ネットワーク に対する新たな要望と して挙げられているの が、ファイアウォールや WAFなどのセキュリ ティ機能です」
大学のネットワーク は、インジェクション 攻撃やパスワード総当たり攻撃に日々さらされている。利用者が個別に 対策を取るのではなく、基本インフラの一部とし てネットワークセキュリティ機能を提供してもら いたいという声が高まっているのだという。しか し一方で、研究機関にふさわしいネットワークの 自由度を確保するために、一律のポリシーで縛っ たり、セキュリティ機能の一方的な押し付けはし ない方針で運営されている。セキュリティをイン フラの基本機能としてより安価で手軽に利用でき る仕組みへの必要性が日々高まっていると、関谷 氏は言う。
「基幹ネットワークとして 、必要なときに守れる体制を作れるようにしていかなければなりません。 ライセンスの追加だけで、必要なネットワークに向けて容易にセキュリティ機能を提供できるという点から、仮想アプライアンスが最適と考えて具 体的な検討へと進みました」
ソリューション
東京大学のネットワークで求められたのは、 ファイアウォールやWAF など、多くのシステムで 必要とされる基本的なセキュリティ機能群。Web サーバへのアクセス制御をする視点だけなら通常 のファイアウォール製品でも十分だが、Web アプ リケーションの利用も増えているため、より高度 なセキュリティ機能が必要だと判断された。クロ スサイトスクリプティングやSQLインジェクション攻撃は実際に日々行われており、従来型のファ イアウォール製品ではユーザからの要求に応えら れなくなっている。ネットワークのファイアウォー ルに加え、アプリケーションのセキュリティ強化 を仮想アプライアンスで提供できる製品を探した が、機能面で満足できる製品は少なかったと関谷氏は言う。
「物理アプライアンスには備わっている機能が仮 想アプライアンスでは使えないということが多々 ありました。物理アプライアンス、仮想アプライ アンスともに各ベンダでラインナップしているの ですが、同等の機能を実際に提供している製品は ほとんどなかったのです」
その検討の中で最有力候補に上がったのが、 F5ネットワークスのWAF機能を実現するBIG-IP ASM(ApplicationSecurityManager)とネッ トワークファイアウォール機能を強化する BIG-IP AFM(Advanced Firewall Manager)の仮想アプライアンス製品の組み合わせだった。関谷氏は選定 理由に関して 、次のように語った。
「必要な機能を備え、パフォーマンスも確保でき、 なおかつ仮想アプライアンスでコスト面でも十分 なメリットを最も強く感じられる製品でした」
表面的な運用負荷とコストを抑えながら、WAFを導入してセキュリティを強化するなど、機能面ではプラスになっていますから、実際の効果はもっと大きいでしょう
メリット
BIG-IPはまず、情報基盤センターが管理する基幹システムの仮想サーバ群に対して導入された。学内での活用方法や今後の展開の仕方について、実際に使いながら検討を深めるためだ。従来はWebサーバ側の設定で対応していたアクセス制御もBIG-IPで簡単に設定できるようになるなど、使いやすさはすでに感じ始めているようだ。
■ 柔軟な設定に対応可能な機能性
実際に機器を操作した印象について、関谷氏は「研究のために自由にできるネットワークを必要次のように語る。
「まず実感したのは、機能の多さですね。トラフィックの処理をかなり細かく設定できるので、これまでのファイアウォールとは違った深さで制御できそうだと期待しています」
基本となるファイアウォールの機能がしっかり していること。その上で、ネットワークやセキュリティへの様々な要望に応えうる充実したトラ フィック制御機能が求められる。トラフィックコ ントロールに重点を置いて進化してきたBIG-IP なら、十分に応えてくれるはずだと関谷氏は期待 している。
「必要なところではしっかりとトラフィックを守り、セキュリティより自由度が優先されるところ ではオープンに。そんな細かい要望にも柔軟に対 応できる豊富な機能が魅力ですね」
■ 展開しやすい仮想アプライアンス
大学では多様な研究が行われており、それぞれネットワークに求められる要件も異なる。ネットワークやITそのものが研究対象となるような学科や研究室の要望にも応えていかなければならないため、一律のポリシーでネットワーク機能を制限することは難しい 。
「仮想アプライアンスにこだわっている理由のひとつが、こうした個別の要望に応えやすいという 点でした。また、仮想アプライアンスなので柔軟 な構成をとることができ、管理権限を分散できる ことも魅力です」
管理する立場から考えても、用途の特殊なネッ トワークをマルチテナントのひとつとして収容す るより、仮想アプライアンスをまるごと提供して自 分たちで管理してもらう方が効率が良いと関谷氏。 管理対象となる台数は増えるが、統合管理製品で あるBIG-IQ を活用することで管理負荷は抑えられると考えているようだ 。複数のファイアウォールを集中管理すれば、オペレーションミスによるセ キュリティレベルの低下リスクも避けられる。
■ 必要な場所に必要なセキュリティを迅速に
「研究のために自由にできるネットワークを必要 とする分野もあるでしょうし、ネットワークははじめから安全な状態で提供され、その管理に余計 な手間をかけたくないという分野もあるはずです。そのどちらの要望にも応えなければならないのが、大学のネットワークです」
企業ネットワークのように、一律のネットワー クポリシーを押し付ける訳にはいかないと関谷氏 は言う。教育と研究に必要なリソースを提供するために 、「セキュリティ = 不便」というネットワークではなく、「セキュリティ = 便利」というネットワークをスタート地点にしたい。その思いと、必要な場所に必要なセキュリティを提供できるようにしておくという情報基盤センターのミッション の両方を満たすのが、BIG-IP の仮想アプライアンスだ。
セキュリティ管理ポイントとして BIG-IP を必要 に応じて配置していくことにより、今後はネット ワークセキュリティを高めていきたい考えだ。さ らに将来は、DNS の保護など広い範囲に展開し ていくこともあり得ると関谷氏は語る。
「企業とは異なる、大学の多彩なネットワーク要 件に応えてくれる製品は、そう多くありません。 BIG-IP の仮想アプライアンスは機能性の高さ、 展開の容易さの双方で情報基盤センターへの期待に応えられる、今最も可能性を秘めた選択肢だ と考えています」