丹南ケーブルテレビ株式会社
1997年10月に設立され、1998年10月に開局した、第三セクターのケーブルテレビ局。福井県越前市、鯖江市、丹生郡越前町の2市1町をサービス提供エリアとし、2000年にはインターネットサービスも開始している。2016年4月にはFTTH化にも着手し、2Gbpsの帯域が利用できる「nextr 2G」の提供を開始。上位回線のピアリングにも積極的に取り組み、上位回線コストを抑制するのと同時に、顧客の体感品質を高め続けている。
PRODUCTS
メリット
BINDから卒業することで、頻繁なパッチ適用から解放された。
DNS に加えファイアウォールもBIG-IPへと移行したことで、機器集約が可能になり、ラックスペースにも余裕ができた。
ファイアウォールのルール設定やルール違反の回数を可視化できるようになり、これまで以上にセキュアな運用が可能になった。
課題
DNSサーバとしてBINDを利用していたが、セキュリティ上の脆弱性が多く、頻繁にパッチを適用する必要があった。
パッチ適用には準備も含め2~3週間必要であり、各サーバへの適用作業も半日近くかかっており、その多くが夜間作業だった。
頻繁なパッチ適用が必要なBINDから卒業するためBIG-IPを導入、ファイアウォール機能も集約しよりセキュアな運用が可能に
福井県越前市、鯖江市、丹生郡越前町の2市1町をサービス提供エリアとし、ケーブルテレビ放送やケーブルプラス電話サービス、インターネットサービスを提供している丹南ケーブルテレビ株式会社(以下、丹南ケーブルテレビ)。ここではインターネットサービスの基盤となるDNSサーバが、BINDからBIG-IP DNSへと移行されている。これによってBIND運用で必要となる、頻繁なパッチ適用から解放されたのだ。またファイアウォールもBIG-IP AFMへと移行。データセンタに設置する機器の数を大幅に削減すると共に、これまで以上にセキュアな運用も実現している。
BIND にはセキュリティ上の脆弱性が多く、頻繁にパッチを当てる必要があります。この問題を解決するには『BIND からの卒業』が必要だと感じていました
背景
丹南ケーブルテレビは、福井県越前市に本社を置き、越前市、鯖江市、丹生郡越前町の2市1町をサービス提供エリアとする、第三セクターのケーブルテレビ局である。開局は1998年10月。まず武生市(2005年に今立郡今立町と合併し越前市に)でケーブルテレビサービスを開始し、2000年に鯖江市と今立町、2005年に越前町とサービスエリアを拡大してきた。
その一方でインターネットサービスも、2000年9月に提供をスタート。2016年4月にはFTTH化に着手している。同社のインターネットサービスの最大の特長は、コストパフォーマンスが高いことである。ケーブルテレビとインターネットをセットで契約することで、2Gbpsの帯域を月額3,200円から利用できる。同社のホームパス世帯数(既加入世帯と未加入者が申込めば直ちに加入できる世帯数の合計)は約60,000世帯だが、そのうち16,000世帯がインターネットの契約を行っている。
ビジネス上の課題
ここで大きな課題となっていたのが、2010年頃からDNSサーバとして利用してきた、BINDの運用負荷である。
「BINDにはセキュリティ上の脆弱性が多く、頻繁にパッチを当てる必要がありました」と語るのは、丹南ケーブルテレビ 技術部 HE管理チームマネージャーの市橋 正樹氏。多い時には年間9回もパッチを当てており、パッチ適用が終わった2日後に新たな脆弱性が見つかったこともあるという。
その手順も決して手軽なものではない。丹南ケーブルテレビ 技術部 HE管理チーム 主任の玉村 直也氏は「対象となる脆弱性やパッチ内容の調査といった準備も含め、1つのパッチを当てるのに2~3週間はかかっていました」と振り返る。また実際のパッチ適用作業も、DNSサーバ全体で半日近くかかり、緊急時には日中に行うこともあったが、多くは深夜作業になっていたという。
「このような問題を解決するには『BINDからの卒業』が必要だと感じていました」と市橋氏。他のOSSやアプライアンス製品の導入も検討されたが、最終的に選ばれたのが、BIG-IP DNSだった。
ソリューション
「OSSは保証してくれるところがないため、脆弱性が見つかればBINDと同様の問題が発生すると考えました」と市橋氏。そこで複数のアプライアンス製品を比較検討した結果、BIG-IP の採用を決めたという。「決め手となったのはDNSだけではなくファイアウォールも1 台のアプライアンスに収容できる点です。また他のアプライアンス製品では十分なパフォーマンスを確保するために複数台数導入する必要がありましたが、BIG-IPは冗長構成にしても2 台で済んでしまうため、機器集約効果が高いことも評価ポイントとなりました」。
2018 年3 月にはBIG-IP の導入を完了。この上でDNSとAFMを動かしている。これによって、それまで設置されていた2 台のファイアウォールと3台のDNSサーバを、2 台のBIG-IPに集約しているのだ。なお同社では権威DNS サーバとキャッシュDNSサーバを運用しているが、その両方がBIG-IPに収容されている。
F5は製品自体の信頼性に加え、サポートもきちんとしています。インターネットサービスの基盤であるDNS を安心して運用できるようになったことは、極めて大きなメリットだといえます
メリット
■ パッチ適用が不要になり運用負荷が軽減
DNS サーバをBIG-IP上に移したことで、BIND で必要だった頻繁なパッチ適用が不要になった。またそれまで5 台だった機器が2 台のBIG-IP に集約されたことで、ラックスペースに余裕ができ、物理的な管理対象も削減された。
ファイアウォールのルール設定を管理コンソールで可視化でき、不要な設定や重複した設定を発見しやすくなったことも、高く評価されている。現在は既存ファイアウォールの設定を踏襲し、SSH や不正なDNS アクセスなどの通信をブロックしているが、今後は必要に応じてBIG-IP AFM ならではのルール設定を追加していく予定だという。
■ サービス事業者としての安心感が向上
OSSや他社製品ではなくF5 の製品を採用したことで、サービス事業者としての安心感も向上した。「F5 は製品自体の信頼性が高いだけではなく、サポートもきちんとしています」と玉村氏。「DNS はインターネットサービスの基盤。まずはこれを安心して運用できるようになったことは、極めて大きなメリットだといえます」。
またAFM は設定したルール毎に、どれだけの回数の違反が発生したのかも確認しやすい。各ルールの効果が定量的に把握できることも、運用上の安心感につながっていると指摘する。
■ 今後はDDoS対策やSSLのオフロードも
DDoS 対策に関しては、現在は他のソリューションによって検知を行っているが、今後はこれもBIG-IP へと移行し、検知だけではなくブロッキングも実現していく計画だ。「これまでDDoS攻撃を受けたことはありませんが、他局の話を聞くと他人事ではないと感じています」と市橋氏。設定内容の検討もすでに始まっているという。
また2018 年3 月からホームページのSSL 化が進められており、現在はサーバ側で暗号化などの処理を行っているが、将来はこれもBIG-IP にオフロードしていきたいと語る。
「当初はDNS の移行を目的にBIG-IP を導入しましたが、AFM でファイアウォール機能も巻き取ることで、これまで以上にセキュアな環境を、シンプルな形で実現できました。今後もBIG-IP の機能を積極的に活用しながら、インターネットのサービス品質を高めていきたいと考えています」。
