事例:学校法人酪農学園 酪農学園大学 様
無線LANの拡大に際し「サイバー攻撃自動防御ソリューション」を採用
次世代ファイアウォールとの連携により脅威からネットワークを守る
北海道の広大なキャンパスで約3,500名の学生・大学院生が学ぶ酪農学園大学では、無線LANエリアの拡大を検討していたが、個人端末の利用にあたってセキュリティ面の不安があった。そこで同大学はネットワークの更新に合わせ、トラフィックを監視するツールの導入を決断。アラクサラネットワークス(以下、アラクサラ)のスイッチと「サイバー攻撃自動防御ソリューション」を採用した。次世代ファイアウォールと連携することでトラフィックを常時監視し、攻撃があった際は即座に対象端末を切り離して自動的に防御するしくみを実現。端末の接続箇所を特定するトレーサビリティも確保した。
もくじ
無線LANの拡大に伴い、不正通信を即座に発見するしくみが必要に
酪農学園大学の特色を教えてください。
中村
当大学は、1933年に北海道酪農義塾として開校しました。以来、キリスト教に基づく「神を愛し、人を愛し、土を愛する」三愛精神を建学の精神とし、創設者の黒澤酉蔵が唱えた「健土健民」の理念のもと、一人ひとりの個性を磨き、身に付けた知識や技術を社会で活かす力を育む「実学教育」を行っています。
学群は、農食環境学群と獣医学群の2つに分かれています。農食環境学群は、循環農学類、食と健康学類、環境共生学類の3つの学類があり、農・食・環境・生命について実習を交えた教育・研究を行っています。獣医学群は生産動物に強みを持つ獣医学類と、動物の看護を学ぶ獣医保健看護学類の2つの学類があり、NOSAIオホーツクにおける臨床実習など、北海道という立地を活かした教育環境が整っています。
導入の背景をお聞かせください。
竹下
きっかけは、2012年9月に導入した既存ネットワークの更新です。これまでもアラクサラのスイッチをベースに学内ネットワークを構成していたのですが、近年はスマートフォンなどの利用増と共に、無線LANへのニーズが急激に高まっていました。そこで更新に合わせてキャンパス全体に無線LANを拡大して、教育・研究のための環境を整備すると共に、セキュリティの強化も図ることにしたのです。
大学ならではのセキュリティ上の課題としてはどのようなものがあるのでしょうか。
竹下
学生や教職員が私用デバイスを使って学内ネットワークに接続するという点ですね。学内外でシームレスな利用ができる反面、マルウェアが簡単に持ち込まれる恐れもあり、セキュリティホールとなりかねません。
また、本学にはキャンパス内に附属高校の生徒も含め600人以上が生活している学生寮があり、ここにも学内ネットワークが敷設されています。学生寮では、私用のPCやスマートフォン、タブレットの他、ゲーム機などもオンラインで利用されており、セキュリティレベルの低い状態で不正なサイトを含むさまざまなサイトにアクセスする可能性が高いと考えられます。端末がウイルスに感染し乗っ取られてしまうと、踏み台にされて学内ネットワークに侵入されたり、情報を盗まれたりするリスクが高まります。そこで今回の更新においては、ネットワークを監視し、不正な通信があれば即座に検知するしくみを導入することで、学生・生徒および学内ネットワーク全体を守りたいと考えました。
安定性と国内製というメリットを評価し、アラクサラを採用
製品の選定から導入までのスケジュールを教えてください。
竹下
2018年3月から仕様の検討を開始し、9月に正式な仕様書を公開しました。3社の入札を経て9月末にアラクサラのスイッチと「サイバー攻撃自動防御ソリューション」の採用を決定。そこから導入プロジェクトがスタートし、2019年2月に新しいネットワークへの切り替えが完了。3月から本稼働を開始しました。
どの点を評価しアラクサラを選んだのでしょうか。
三井
安定性が高く、壊れないことです。既存ネットワークもアラクサラのスイッチを使っていましたが、故障によるトラブルは一切ありませんでした。国内メーカーであるゆえに何かあった場合のレスポンスが早く、各種機能や仕様についても日本での運用に適したキメの細かさを感じたことも理由の一つです。マニュアルも日本語ですので安心感がありますね。
竹下
機能面ではループ検知ですね。今回導入予定であった全てのスイッチにおいて、(BPDUではない独自の)監視フレームを送信し島ハブ配下までループを検知する仕組みを持っているのは、アラクサラだけでした。その他、細かいところですが、コマンド体系が統一されていたり、コアスイッチが堅牢性の高いシャーシ型だったりと、アラクサラ製品は私たちが求める要素をすべて網羅していました。
導入・切り替え時に苦労はありましたか。
竹下
ネットワーク全体を止めることなく移行するのが大変でしたね。エッジスイッチは平日に順次切り替えを進めましたが、設置場所が広範囲に点在しており、さらに真冬だったこともあって、設置作業だけでも大変でした。またDHCPサーバやDNSサーバを含めて、新旧環境を混在させながら切り替えを進める必要があったため、双方の通信に支障が出ないよう注意して進める必要もありました。この際、アラクサラにはかなり助けていただきました。
三井
無線LANの拡大により、PoEスイッチの数も増えています。アクセスポイント(AP)を設置するためのサーベイ(電波状況調査)にも苦労しました。特に先生方との調整や調査日程の組み立てがしんどかったです。
次世代ファイアウォールと連携しトラフィックを常時監視
新しいネットワークの構成についてお聞かせください。
中村
コアスイッチはシャーシ型の「AX8300S」、配下のフロアスイッチには建物の規模や人数に応じて「AX2530S」と「AX2130SS」を採用しています。無線LAN用には、PoE対応の「AX2130SS」と「AXprimo」を導入しました。AX2130SSは24ポート、AXprimoは8ポートと、どちらもコンパクトで小回りが効くところを評価しています。さらにAX2130SSとAXprimoは8年間の無償保証に対応しているので、コスト面のメリットもあります。また、無線APは、1台に最大40台の端末が接続する前提で、ネットワークを利用するすべての建物+屋外に約630台を設置しています。
サイバー攻撃自動防御ソリューションはどのように活用されていますか。
竹下
パロアルトネットワークスの次世代ファイアウォール(※1)でトラフィックを常時監視し、異常な振る舞いを検知するとアラクサラの制御ソフト「AX-Security-Controller(以下、AX-SC)」へ通知されるようになっています。今のところ、学生寮のネットワークに限定して情報を収集しモニタリングしており、アクセス制御は行っておりません。今後、不正な通信が増えるようなら、AX-SCでポリシーを設定し、該当端末をネットワークから遮断・隔離するなどの対策を取る予定です。また、過去のログを参照することが可能になっていますので、監視対象を全学に拡大し、端末がどの建物で使われどこに移動したというトレーサビリティを確保していくことも考えています。
スイッチの統合で一元管理が実現し、運用効率も向上
今回の導入で得られたメリットについてお聞かせください。
竹下
スイッチがすべてアラクサラ製に統一されたことで一元管理が実現し、運用効率も向上しました。また、無線LANが全学に拡大されると共に、PC教室などは10Gへと高速化されました。さらに、プロキシサーバを廃止し次世代ファイアウォールへ置き換えたことで、通信のボトルネックがなくなると共に、スマホアプリの通信にも柔軟に対応できるようになりました。これらの施策により、利用者の満足度は大幅に向上したと思います。
今後の展望とアラクサラに対する期待をお聞かせください。
中村
将来的にはコアスイッチのVRF機能(※2)を利用し、附属動物医療センター(動物病院)における電子カルテ用ネットワークなどを学内ネットワークに統合し、一元管理していくことを考えています。また、「インテリジェント牛舎」における飼養管理や「ガラスハウス」における温湿度管理などでもIoT技術の活用が進められており独自のネットワークが導入されています。これらと連携しながらネットワークの効率的な運用を模索していきます。
竹下
アラクサラさんには以前から「顔の見える」サポートをいただき、高く評価しています。今回の更新においても、提案段階から柔軟かつスピーディに動いてもらい感謝しております。引き続き、フットワークの軽い対応を期待しています。
- ※1 次世代ファイアウォール:従来のファイアウォールの機能を拡張し、アプリケーションを制御したり、脅威をブロックしたりする機能を搭載したファイアウォール。
- ※2 VRF機能:1台のスイッチの中に複数のルーティングテーブルを持たせることで仮想的に複数のスイッチとして動作させる機能。
ありがとうございました。
About 学校法人酪農学園 酪農学園大学
1933年、「日本酪農の父」と呼ばれた黒澤酉蔵が前身である北海道酪農義塾を開校。「農・食・環境・生命」を基軸に、自然との調和の取れた循環農業の維持・発展を図り、人と動物の生命の存続と福祉に貢献し、かつ世界的活動に参加する人材の育成を使命としている。学士課程は農・食・環境・生命をテーマにした「農食環境学群」と、獣医学や獣医保健看護学を学ぶ「獣医学群」の2学群からなる。キャンパス面積は135ヘクタールで、私大トップクラス。敷地内には「酪農学園大学附属とわの森三愛高等学校」が併設されており、学生数は大学と高校合わせて約4,300名、教職員は約600名。