全学のネットワークに対応した新たなセキュリティ基盤の構築
東京大学社会科学研究所は、その基本的な活動方針として、以下の4つを掲げている。(1)法学・政治学・経済学・社会学という社会科学の4つの領域を横断した「プロジェクト型研究所」としての役割、(2)社会科学研究に不可欠な研究情報の収集・保存・公開を行う「インフラ型研究所」としての役割、(3)日本における社会科学研究の国際的拠点としての役割、(4)全学における教育の質的向上への貢献という役割である。
東京大学 社会科学研究所
日本社会研究情報センター
助手
古谷 眞介氏
|
なかでも、「インフラ型研究所」としての機能強化の一環として、1996年5月に設立された日本社会研究情報センターのSSJデータアーカイブ(Social Science Japan Data Archive)は、民間の統計調査、社会調査の個票データを収集・蓄積し、学術研究の二次分析のために提供するなど、研究ネットワーク形成のための基盤作りにも積極的に取り組んでいる。また、世界最大規模のデータアーカイブであるICPSR(Inter-university Consortium for Political and Social Research)の日本における幹事機関となるなど、国際的な研究拠点としても、ますますその位置づけが高まっている。
このように、社会科学研究所の役割が多様な拡がりを見せる中、さまざまな研究活動を支援していくための新たな課題も生じている。国内外との研究ネットワークを支える堅牢なセキュリティ基盤の構築である。同研究所内に1995年に設置されたシステム管理室のリーダーであり、日本社会研究情報センターの助手を努める古谷眞介氏は、この点について次のように説明する。
「当初考えていたのは、私の赴任以前にG bit(ギガビット)になっていたUTnet(東京大学キャンパスネットワークシステム)に対応したファイアウォールのリプレースでした。しかし、さまざまな観点で検討を重ねるうちに、新たなセキュリティ基盤の導入については、特にウィルス被害など外部からの脅威に対するトータルな視点が欠かせないことがわかりました」
そして、最終的に同研究所が採用を決めたのがソニックウォールのUTMアプライアンス製品だった。「導入に際しては、インターネットなどを通じて各社のUTM製品の情報を収集し、さまざまな観点で比較・検討しました。その結果、海外での評価が高く、優れたコストパフォーマンスを備えていたのがソニックウォールの製品でした。また、機能面での拡張性も高かったので、将来的な展望も踏まえて、導入を決めました」(古谷氏)
コストパフォーマンスに優れたソニックウォールのUTMアプライアンス
ソニックウォール製品の導入プロジェクトは、システム管理室の講師1名、古谷氏、研究員1名の他、大学院生のアシスタント2名によって構成された。
東京大学では、大学全体の基盤ネットワークであるUTnet(東京大学キャンパスネットワークシステム)は情報基盤センターが管理・運営を行い、UTnetに接続する各学部・研究所などのネットワークは、それぞれの組織が割り当てられた予算の中から、自主的に構築・運用する仕組みになっている。とはいえ、各学部・研究所のネットワークも、基盤ネットワークの進化に対応した定期的なメンテナンスが欠かせない。基盤ネットワークが高速化しても、その配下にあるネットワークが手付かずのままでは、全体のボトルネックになりかねないからだ。
社会科学研究所のプロジェクトがまず着手したのは、G bit対応のUTMアプライアンスの導入によるファイアウォールの強化・拡充である。
「社会科学研究所では、システム管理室の設置以降、Windows NTベースのサーバ型ファイアウォールを使ってアクセス制御を行ってきました。限られた予算と労力の中にあって、かなりきめ細かいルールを定めて運用していましたが、年々深刻化するネットワーク上の脅威に対して限界があったことも事実です。既存のファイアウォールで、すでに基盤ネットワークとのG bitを実現していました。その恩恵を存分に享受する仕組みとして、UTMアプライアンスに着目したのです」(古谷氏)
導入する製品は、ソニックウォールの「SonicWALL PRO 5060f」を採用。G bitイーサネットワークに対応した1000BaseSXのインターフェースを有し、ステートフル・インスペクション技術に対応したファイアウォール、ゲートウェイ強制型アンチウィルス、コンテンツフィルタリング、IPSec VPNなどの機能をワンストップで提供するUTMアプライアンス製品だ。
「SonicWALL PRO 5060fは、1000BaseSX対応のUTMアプライアンスの中で最も低価格だったにもかかわらず、機能面での拡張性が高く、コストパフォーマンスという点からも、我々の求めていた要件を十分に満たしていました」(古谷氏)
その後、既存ファイアウォールにおけるルールの把握・分析を実施。また、これを踏まえたSonicWALL PRO 5060fの実証実験も行われ、2005年5月には新たなファイアウォールが無事稼動に至った。具体的な製品の選定からわずか1ヶ月後というスピード導入である。
コストパフォーマンスに優れたソニックウォールのUTMアプライアンス
サーバーラックにコンパクトに配置されている、SonicWALL PRO 5060f、SonicWALL PRO 4060、SonicWALL SSL-VPN 2000
|
当初は、ファイアウォールのG bit化を目的にスタートしたプロジェクトだったが、この第1フェーズの成功を皮切りに、社会科学研究所は次々と新しい試みを実践していくことになる。
第2フェーズで取り組んだのは、客員研究員向けネットワークの独立だった。日本における社会科学研究の国際的拠点である同研究所では、海外からも多くの客員研究員を受け入れている。世界各国から集まる研究員が利用するPCのアプリケーション環境は千差万別。また、インターネットを通じて海外のデータベースにアクセスする頻度も高く、それだけ日本の研究員とは異なる経路でウィルスやスパイウェアの脅威にさらされることになる。そこで、「SonicWALL PRO 4060」を新たに導入して、ファイアウォールを分離独立させると同時に、ディレクトリデータベースにアクセスするためのプロトコルである LDAP(Lightweight Directory Access Protocol)を使って、セキュアなユーザー認証を実現した。
さらに第3フェーズでは、SonicWALL PRO 5060fとSonicWALL PRO 4060のオプション機能を利用して、HTTPならびにFTPにおいて、ゲートウェイ型のアンチウィルスとアンチスパイウェアを実施した。ソニックウォール製品は、すべてにファイアウォール、VPNが標準装備され、必要に応じてゲートウェイアンチウィルス、侵入検知・防御(IPS)、コンテンツフィルタリング、レポーティングといったオプション機能を容易に追加することが可能である。
「ネットワークのスループットを維持することと、セキュリティの強化を図ることは二律背反の関係にあります。とはいっても、ウィルスやワーム、スパイウェアなどへの対策は、組織の責任として避けて通れません。当研究所でも、従来からメールのウィルス・チェック、およびクライアント・ベースのアンチウィルス対策を実施してきましたが、最近では、Web経由でのウィルス感染が多くなっています。そこで、ゲートウェイ型を導入することで、そのリスクを軽減しようと考えたわけです。」(古谷氏)
ルールの変更やメンテナンスも容易なソニックウォール製品のGUI
この一連のプロジェクトを予算化するに当たって、古谷氏は研究所内において2つの目的を提示した。1つは、学内ネットワークのG bit化に研究所として対応していくことの必要性・必然性である。これについては、1000BaseSX対応のSonicWALL PRO 5060fを導入することで、容易に解決を図ることができた。もう1つは、運用・管理コストの軽減である。
「システム管理室のスタッフは、研究員と大学院生を中心に構成されています。それだけに、ネットワークの管理負担によって自らの研究が制約を受けないためには、まずトラブルが少ないことが重要です。次に、トラブルがあった際の迅速な復旧や、ルールの追加・変更へのスムーズな対応が可能であること。その意味においても、ソニックウォール製品は使いやすいGUIで容易にメンテナンスを行うことが可能です」(古谷氏)
古谷氏によると、SonicWALL PRO 5060fを導入後、一度だけ研究所のネットワークがトラブルに見舞われたことがあったという。調査の結果、L3スイッチのGBIC(Gigabit Interface Converter)に原因があることが判明した。原因の究明に相当な時間を費やしただけに、L3スイッチの切り替えはシステム管理室にとって大きな負担に思われたが、SonicWALL PRO 5060fの管理画面を使ったファイアウォールの再設定は、わずか1時間足らずで完了し、ネットワークは無事に復旧することができたという。このことは、ソニックウォール製品のメンテナンス性を象徴する1つのエピソードといえる。
ネットワークの管理について、現在はシステム管理室のスタッフが自宅などからファイアウォールのリモートメンテナンスを行える環境が整っている。このことは、モバイルワーカーによる外部からのリモートアクセスをサポートする「SonicWALL SSL-VPN2000」の導入によって実現されているものだ。今後は、研究員が自宅などから研究所内のファイルサーバやデータベース、図書館システムなどにアクセス可能な環境を構築して、研究支援のためのサービスという本来の目的に用途を拡大する予定だという。
システム構成図 [拡大図] |
 |
| 東京大学社会科学研究所では、海外のデータベースへ頻繁にアクセスする客員研究員のネットワークを、国内研究員のネットワークと分離して運用している。また、リモートアクセス対応の「SonicWALL SSL-VPN2000」を管理用途に活用し、外部からでもファイアウォールのメンテナンスが可能な環境を提供している |
幅広い研究活動を支援するセキュリティマネジメントの実践
社会科学研究所では、今後もさらにネットワークを有効活用するために、明確なビジョンを掲げようとしている。その1つとして挙げられるのが、現在、試験的に運用している「SonicWALL ViewPoint」によるセキュリティマネジメントである。SonicWALL ViewPointは、トラフィックのログデータを分析して、ファイアウォールへの攻撃状況やネットワーク利用状況などのグラフィカルなレポーティング機能を提供するソフトウェア製品だ。
「ウィルス攻撃レポート、侵入防御レポート、Web使用レポートなど、さまざまなレポートが可能で、これらを分析することにより、現状のリスク管理はもとより、将来的なネットワークの拡張計画をデータに基づいて立案することができます。いずれにしても、ソニックウォール製品の優れている点は、さまざまな局面で必要なソリューションが幅広く網羅されていること。もちろん、予算の限りはありますが、次の方向性に向けた的確なアクションを起こしやすいという点で魅力を感じています」(古谷氏)
実際、古谷氏の頭の中には、具体的ないくつかのステップも描かれている。まず、セキュリティ強化の観点からは、PC側におけるアンチウィルス定義ファイルが最新バージョンに更新されているかをチェックし、されていない場合には強制的に遂行するネットワークアンチウィルスの導入を検討している。
また、研究支援の観点からは、すでに導入済みのSonicWALL SSL-VPN2000を利用して、研究員向けのリモートサービスを実現するとともに、Web調査などにおけるSSL環境に役立てていくことも計画している。
さらに近い将来には、SonicWALL PRO 4060を使って客員研究員向けのネットワークを独立させたように、業務別・目的別にファイアウォールを構築し、小規模で効率的な運用・管理が可能なネットワーク環境を整えていきたいという。
拡張性に優れたセキュリティ機能を備え、これまでの学問領域を横断した国際的な研究活動を支援するネットワーク環境。ソニックウォール製品をベースに東京大学社会科学研究所が築き上げつつあるネットワークは、まさに日本の社会科学研究をリードする最先端の機関にふさわしい、着実な進化を遂げつつある。
|
国内外の研究ネットワークを支える
