国立大学法人 筑波大学
キャンパス情報ネットワークのリニューアルに合わせてBIG-IPを導入し、外部アクセス経路の境界ファイアウォールを一元化しました。DDoS攻撃やDNS攻撃からの強力な防御にご期待ください
国立大学法人筑波大学は、インターネットの黎明期から30年間、キャンパスネットワークを運用してきました。 2015年8月にキャンパス情報ネットワークを刷新し、外部からのアクセス経路にBIG-IP7200vを導入しました。 かつて複数台のデバイスで負荷を分散していた境界ファイアウォールを一台に統合し、管理のしやすさと処理能力を高めました。 近年急増しているDDoS攻撃への高度な対策や、DNSを狙った攻撃に対する対応力も強化できると期待しています。
従来の課題
筑波大学は幅広い学問分野を有する総合大学です。 同大学の情報ネットワークはインターネット黎明期から運用しています。 2004年の国立大学法人化に伴い、設備をリース方式に切り替え、その後概ね6年ごとに更新を実施しています。 直近の更新は2015年8月に行い、同年9月には新しいネットワークサービスを開始しました。
「リプレースの際に私たちが直面した大きな課題の一つは、運用管理を集中化しセキュリティを強化することでした」と筑波大学情報環境機構学術情報メディアセンターネットワーク研究開発部門の准教授、佐藤聡氏は語ります。
ネットワークの初期導入以来、大学の管理体制は各学部や組織単位が独自のネットワーク管理者を任命する部門自治に依存してきました。 しかし運用から約30年が経ち、ネットワーク管理職の退職により知識継承が必須となるケースが増え、大学は今、転換期を迎えています。 佐藤博士はこの状況に潜むリスクを次のように指摘します。
「これらの役割を引き継ぐ人がネットワークへの十分な知識を持っていなければ、予期せぬ障害が起こり得ます。 セキュリティ面でも潜在的な脆弱性を招く可能性があります。」
さらに、佐藤博士はDoS攻撃とDDoS攻撃が増加の一途をたどっていることに警鐘を鳴らしています。
大学内のネットワークが複数のドメインに分断され、DNSサーバーがエコシステム全体に散在していることがもう一つの問題です。 佐藤博士は、この構造がもたらすセキュリティのリスクに注意を促しています。
「近頃、DNSサーバーを狙った攻撃が増加しています。 ネットワーク内に古くて適切に管理されていないDNSサーバーがあれば、攻撃の標的になりやすくなります」と彼は説明しています。
ソリューション
これらの課題に対応するため、2015年8月の機器更新では最初にネットワークセグメントの再編を行いました。 以前は各学部・学科で別々に管理していた断片化されたセグメントを、サーバーやクライアントなどの機能別に再構築しています。 その結果、学術情報メディアセンターの限られたスタッフでもエンドポイントまで含めたネットワーク管理を効率的に行える環境が生まれています。 これらの機能はすべて1台のBIG-IP機器に集約されています。
さらに、外部からの攻撃を防ぐために、インターネット(SINET5)からのアクセス経路に高性能でDDoS対策が組み込まれたBIG-IPを導入しています。 これにより、外部からの攻撃に対して積極的に対策を講じることができます。
SINET5への移行は2016年4月に予定しています。
- ファイアウォール2台とロードバランサー1台で成り立っていた運用をBIG-IP 1台にまとめたことで、管理が一層簡単になりました。
- BIG-IP ASM(Advanced Security Module)で、DDoS攻撃に対するアプリケーションレベルの防御を実現できます。
- DNSプロキシ機能で外部リゾルバを分離して、DNSのセキュリティ管理をより簡単にしています。
- ファイアウォールの管理をより効率的にします。
- 急増するDDoS攻撃に効果的に対応するため、より先進的な対策を導入します。
- キャンパスネットワーク内の分散したDNSサーバーを狙う攻撃に対応します。