事例:広島大学様文教

これまで部局ごとのサブネット単位で管理していたキャンパスネットワークから一元的にセキュリティ管理を行う認証ネットワーク「HINET2007」に移行を進めている広島大学。今回のリプレースでは、「認証」に軸足が置かれており、セキュリティへの強い意識がうかがえる。HINET2007について、情報メディア教育研究センターの相原玲二教授と西村浩二准教授に話を伺った。

情報メディア教育研究センター 相原玲二教授 西村浩二准教授

セキュリティ・認証に軸足を置いたHINET2007

今回HINET2007 の構築では、セキュリティ・認証という面を特に配慮されたということですが。

相原

広島大学は、約2万人の学生・教職員と、約4000人の付属学校の児童・生徒を抱えています。ID/パスワードを与えているのは学生・教職員ですが、HINETは、附属学校の児童・生徒も利用します。つまり、HINETは約24,000人のユーザを支えるネットワークインフラなのです。
広島大学では、1993年にFDDIを採用したHINET93を構築し運用してきました。その後、2001年にはGigabitEthernetを基幹とするHINET2001を構築しました。私も西村准教授も、HINET93構築のときからHINETに関わっています。
HINET2001までは、部局でのサブネット管理体制でした。つまり部局がある程度自由にネットワークを活用できていたのです。しかし、それぞれがどのように運用・管理されているのかセンターでは把握できないという状態でした。また、部局ごとでの管理者の代替わりも多く、維持が困難になり始めていました。だからこそ、運用・管理を容易にさせたいという思いは非常に強かったですね。さらに、ウイルスやシステムのクラックなどの課題も表面化しつつありました。セキュリティも高める必要があったのです。

運用・管理性と利便性、そしてセキュリティといった課題を解決する手段としてどのような工夫をしましたか?

相原

HINET2007では「認証」※1を重視しています。古いOSを使っている部署もあり、OSもバラバラな状態です。これでは、IEEE802.1x認証は使えません。「Web認証」であれば、ブラウザがあれば認証できます。余計なソフトウェアのインストールなどもなく、ユーザーにも負担がかからないと考えました。
今回は、よりセキュリティを考慮しhttpsプロトコルを使用した「Web認証」にしたいと考え、これを実現できるスイッチを探していたんです。また、プリンタなどはMACアドレス認証を行うことで、セキュアなキャンパスネットワークを構築しようと考えました。

  • *1 認証形式にはIEEE802.1x、Web認証、MAC認証などがあるが、「トリプル認証対応」を謳うアラクサラネットワークス製品は、これらすべての認証方式に対応している。

西村

Web認証画面

HINET2007は「これまでとは違う」というイメージをユーザーに持ってもらうため、ポスターやWebを通じて情報提供をしています。部局にはHINET2007に移行してもらっている最中です。日々HINET2007へのユーザーマイグレーションを加速しておりますが、これだけの大規模な移行なので少し時間が掛かると予想しております。HINET2007には、最先端なだけにあらゆる想定、注意を払っております。
セキュリティに関していえば、1998年頃からネットワーク利用時の利用者認証に関する研究を行ってきました。私も関わっていたのですが、その研究の中でPortguardシステムを開発し、運用・評価してきた実績があります。そのノウハウがHINET2007には生かせていると思っています。

アラクサラネットワークス製品は、広島大学様の要求に応えた製品ということでしょうか。

相原

今回はhttpsプロトコルを使ったWeb認証というのも絶対条件でした。あと「1台のスイッチに100台が同時に認証したとき、30秒以内に認証が終わること」という条件も出しました。これに応えられたのはアラクサラ製品※2だけです。しかも、認証の成功率は100%でした。それは、機能的にも品質的にも我々の要求を十分満たすものとなっていたのです。

  • *2 アラクサラネットワークス製品は、複数ユーザーの同時認証にも耐えられるような設計となっており、AX2400S/AX3600SのSSL認証の場合、認証処理速度は1秒あたり4.7人を実現している。認証が集中した場合でも、十分対応できるだけの能力を有している。

西村

始業時などは、多くのユーザーを認証する必要があります。このパフォーマンスが低ければ、認証に時間がかかり、結果としてネットワークを効率よく利用できなくなります。また、認証の成功率が低ければネットワークに接続できないユーザーが出てくることを意味しています。そういうケースが増えてしまえば、サポートなど情報メディア教育研究センターの負荷も増えます。

相原

効率や生産性といった観点はもちろん、ユーザーの利便性にも可能な限り配慮しましたね。例えばログイン時に認証用URLを入力させるだけでもユーザーの負担は増大します。ログアウトに関しても同様です。講義終了後など、ユーザーがいちいち操作しなくても自動的にログアウトさせたいと考えていました。それでいながら、長時間端末から離れているような場合でもタイムアウトによるログアウトの心配がないという端末認証方式を実現したかったのです。これらにはさまざまなアルゴリズムがあるようですが、広島大学の要求を満たすものは非常に少なかったですね。さらに、Web認証時のリダイレクト機能も重要な要素だと考えました。
アラクサラのARPポーリング※3とリダイレクト※4機能はHINET2007の導入時点で我々の要求を満足させる唯一のソリューションでした。

  • *3 ARP(Address Resolution Protocol)を使い、一定間隔置きにリクエストを行うことで、パーソナルファイアウォールなどに影響されず機器の生存確認ができる。この機能を使い、機器からの応答がなければ即座にログアウトさせている。
  • *4 ブラウザでネットワークに接続する際に認証画面を強制的に表示させる機能。画面をカスタマイズができるため、お知らせや組織内ポータル表示なども可能である。

「中間証明書」対応で、安全・確実なWeb認証

今回、Web認証のためすべての認証スイッチにサーバ証明書を導入したと聞いていますが。

相原

国立情報学研究所「UPKIイニシアティブ」※5のUPKIサーバ証明書プロジェクトに参加して、サーバ証明書を入手することができました。認証スイッチを約440台導入していますので、商用サーバ証明書を購入すると莫大なコストがかかってしまいますからね。
UPKIサーバ証明書は中間証明書※6を伴う形式で提供されています。もし、今回導入した認証スイッチが中間証明書に対応してなかったら、自己署名の証明書(いわゆる、オレオレ証明書)を使うか、商用のサーバ証明書を購入するかの難しい選択を迫られるところでした。

  • *5 UPKIイニシアティブは、最先端学術情報基盤を実現すべく、大学間連携のための全国大学共同電子認証基盤構築事業の仕様や利用方法など広く情報を公開する目的で設立されている。なお、サーバ証明書は大学向けに無償提供されている。
  • *6 中間証明書とは、httpsによる通信を行う際に使用されるサーバの正当性証明のための証明書の一種。Webブラウザは、アクセス先のサーバ(今回の場合は、認証スイッチ上のWebサーバ)の正当性を判断するため、サーバ証明書とサーバ証明書を発行する認証局の正当性を示す証明書(ルート証明書や中間証明書)をチェックする。

西村

オレオレ証明書だとPCのブラウザの設定によっては、認証画面がうまく表示されないケースも確認されています。中間証明書が利用できず、サーバ証明書を購入すると年間3000万円程度の負担が必要になる可能性もありました。アラクサラの認証スイッチが中間証明書に対応し、UPKIサーバ証明書が利用できたことの効果を、いろいろな面で実感しています。

HINETの今後についてお聞かせください。

相原

HINET2007についての情報は、学会や研究会などでどんどん出していく予定※7です。これまでhttpの認証しかできないと思われていた分野に対して「風穴」をあけたと思っています。止められないキャンパスネットワークに、セキュアで可用性の高さを付加したHINET2007は、今後、ユーザーの声などを反映させ、さらに発展していくことでしょう。
HINET2007は、Web認証で間違いなく日本最大規模となっています。ユーザーの利便性はもちろんですが、管理・運用工数を低減させることも重要な課題です。それに対して応えることができるネットワーク基盤が構築できたと思います。
国立大学も法人化を機に、ICT投資も大企業と同等に経営視点を重視しなければならない時代です。「生産性向上」「可用性」「グリーン」「セキュリティ」。
HINET2007では、これらに加えて「柔軟性」を重視しています。
学生が柔軟な発想でいつでもどこでも安全に学べる様に、時代と共に進化する「サスティナブル・ネットワーク」の先駆けです。

  • *7 相原他:"利用者認証機能を持つ大規模キャンパスネットワークの構築"、
    2008年電子情報通信学会総合大会, BS-8-7、pp.S-116〜S-117、2008年3月。
    7月24日情報処理学会のIOT研究会で発表。

HINET2007ネットワーク構成図

サーバールーム サーバールーム
HINET2007はセキュアなキャンパスネットワークを支えている。

 

 

情報メディア教育研究センター 情報メディア教育研究センター
デジタルキャンパス構築、e-Leaning等に向けての基盤作りに取り組んでいる

広島大学

広島大学

西日本最大級のキャンパスを有する広島大学。11学部、12研究科、1研究所に加え、多数の学内共同研究施設がある。東広島、霞、東千田の主要キャンパスのほか、付属学校などを抱え、学生・教職員をあわせると約2万人という総合大学だ。中国・四国地域における学術系ネットワークの中心的な役割を担っている。