国立大学法人東京大学
BIG-IPは高性能ファイアウォールとしてアプリケーションをネットワークから守ります。仮想アプライアンスにより多様なニーズに迅速に対応可能です
日本の最高学府である東京大学は、学外接続に40Gbpsの帯域を持ち、日々オンライン上の脅威にさらされています。 セキュリティ要件はアプリケーションごとに多様であり、統一したポリシーでシステムを運用することは不可能です。 ネットワーク運用を担当する情報基盤センターは、BIG-IP AFMやBIG-IP ASMを仮想アプライアンスとして採用しています。 必要な場所へ迅速に展開できる仮想アプライアンスでセキュリティ機能を提供し、アプリケーションや要件に応じたネットワーク運用を実現しています。
従来の課題
東京大学情報基盤センターは大学向けに多様なITサービスを提供しています。 バックボーンネットワークは基盤の要として重要な役割を担っています。 東京大学情報基盤センターの関谷雄二氏は、自らの担当範囲を次のように説明しています。
授業や研究に必要なシステムをつなぐためのネットワーク接続と関連機能を、安価で使いやすく柔軟に提供します。 最近では、ファイアウォールやWAFなどのセキュリティ機能が、ミッションクリティカルネットワークに不可欠な要素となっています。
大学のネットワークは毎日のようにインジェクション攻撃やパスワードに対するブルートフォース攻撃にさらされています。 ネットワークセキュリティ機能をユーザー個別の対策ではなく基盤インフラの一部として提供する要望が高まっています。 一方で、研究機関にふさわしいネットワークの自由度を維持するために、画一的なポリシーやセキュリティ機能は一方的に押し付けず運用しています。 関谷氏は、セキュリティを基本インフラの機能として手軽かつ低コストで利用できるシステムの必要性が日増しに強まっていると語ります。
バックボーンネットワークとして、必要な時に確実に保護できるシステムを構築しなければなりません。 関谷は、「ライセンスを追加するだけで必要なネットワークにセキュリティ機能を簡単に提供できる仮想アプライアンスが最適な解決策だと判断しました」と語っています。
ソリューション
東京大学のネットワークは、ファイアウォールやWAFなど、多くのシステムで必要とされる基本的なセキュリティ機能を必要としていました。 しかし、Webアプリケーションの利用が増えているため、さらに高度なセキュリティ機能が求められると判断しました。 クロスサイトスクリプティングやSQLインジェクション攻撃は日常的に発生しており、従来のファイアウォール製品ではもはやユーザーの要求に応えきれません。 関谷氏は、「ネットワークファイアウォールに加え、アプリケーション セキュリティを強化できる仮想アプライアンスを探しましたが、機能面で私たちのニーズに合う製品はほとんどありませんでした」と話します。
物理アプライアンスで使えた機能の多くが、仮想アプライアンスには備わっていませんでした」と彼は話します。 各ベンダーが物理アプライアンスと仮想アプライアンスの両方を揃えていましたが、同等の機能を提供する製品はほとんどありませんでした。
最も有望な候補は、F5 NetworksのBIG-IP ASM(Application Security Manager)が提供するWAF機能と、ネットワークのファイアウォール機能を強化する仮想アプライアンスであるBIG-IP AFM(Advanced Firewall Manager)でした。 BIG-IP ASM(Application Security Manager)とBIG-IP AFM(Advanced Firewall Manager)の仮想アプライアンス製品を組み合わせて、ネットワークのファイアウォール機能を強化しています。 関谷氏は選定理由を以下のように語りました。 「必要な機能と性能を備えていました。
必要な機能と性能を備え、かつ仮想アプライアンスとして費用対効果に優れた製品を、私たちは最も評価しました。
結果
BIG-IP は情報基盤センターが監督する基幹システムを管理する仮想サーバー群に最初に導入しました。 実際の環境で運用しながら、その活用方法と将来の利用可能性を評価しています。 たとえば、これまでウェブサーバーで管理していたアクセス制御の設定をBIG-IPで簡単に行えるようになり、導入当初から使いやすさを実感いただけます。
■ 柔軟なシステム構成を実現する機能
システムを初めて操作した印象について、関谷氏は「研究のためには自由に操作できるネットワークが必要だと考えています」と話しました。 さらにこう続けました。
「最初に気づいたのは、圧倒的な機能の豊富さです。 BIG-IPは非常に詳細なトラフィック制御が可能で、従来のファイアウォールをはるかに超える制御力を提供しています。 より細かな制御が実現できることに期待しています。」
ファイアウォールの基本機能はすでに確立されています。 それを踏まえ、ネットワークとセキュリティの多様なニーズに対応する包括的なトラフィック制御機能が求められています。 BIG-IPは高度なトラフィック制御を軸に進化してきたため、関谷氏はその期待に必ず応えると確信しています。
必要な部分ではトラフィックを確実に保護し、セキュリティの優先度が下がる環境では自由を優先できる豊富な機能を備えています。 こうした細かく複雑な要件に対応できる柔軟性が、BIG-IPを特に魅力的にしています。
■ 簡単に導入できる仮想アプライアンス
大学では多様な研究が行われており、それぞれの分野でネットワークの要件が異なります。 中にはネットワークやITシステム自体を研究対象にしている部署や研究室もあるため、ネットワークの機能を一律に制限するポリシーを適用することは難しいでしょう。
「私たちが仮想アプライアンスに注目する理由の一つは、お客様の個別の要件に迅速に対応できる点にあります」と関谷氏は述べました。 「また、仮想アプライアンスは柔軟な構成と分散管理を可能にし、これも大きな魅力となっています。」
管理の観点からは、マルチテナント構造内に特殊なネットワークを組み込むよりも、ユーザーが独立して管理できる個別の仮想アプライアンスを提供したほうが効率的です。 この方法では管理するデバイス数は増えますが、関谷氏はBIG-IQのような統合管理ツールを使えば管理の負担を軽減できると考えています。 複数のファイアウォールを集中管理すれば、運用ミスによるセキュリティレベルの低下も防げます。
■ 必要な場所にセキュリティを迅速に展開
「研究には自由に操作できるネットワークが不可欠な分野があります」と関谷さんは話します。 「一方で、ユーザーは初めから管理の手間をかけずに安全なネットワークを求める分野もあります。 大学のネットワークはその双方の要望に応える必要があるのです。」
関谷氏は、企業ネットワークとは違い、一律のネットワークポリシーを押し付けるのは適切ではないと述べました。 教育と研究に必要なリソースを提供するために、「セキュリティ=不便」ではなく「セキュリティ=便利」であるネットワークを作ろうとしています。 彼はBIG-IP仮想アプライアンスがこの考えに合致し、必要な場所で適切なセキュリティを確保しながら、使いやすさも追求できると確信しています。
情報基盤センターは必要な場所にBIG-IPをセキュリティ管理の拠点として展開し、ネットワークセキュリティをさらに強化します。 今後はDNS保護などの分野にも展開を拡大していくでしょう。
「大学の多様なネットワークニーズは企業とは大きく異なり、対応できる製品はほとんどありません」と関谷氏は言います。 「高度な機能と迅速な導入が可能なBIG-IP仮想アプライアンスは、情報ベースセンターの期待に最も応えられる解決策です。」
- ネットワーク単位で展開できる仮想アプライアンスでセキュリティを確保しましょう。
- ユーザーは仮想アプライアンスを通じて、BIG-IPのすべての機能を自在に活用できます。
- 使用量に応じてライセンスを拡張し、必要な場所で必要な性能を低コストで実現します。
- 私たちは、利用目的に応じた多様な要件を持つネットワーク全体のセキュリティを確実に守ります。
- 必要に応じて自由に構成できるネットワークをあなたに提供します。
- 柔軟性、パフォーマンス、コストのバランスを最適に保ちます。