株式会社リクルート キーマンズネットに2009年1月7日に掲載された記事より転載
掲載されておりますサービス内容、料金などは、掲載日または更新日時点のものです。
掲載日:2009年1月7日
SUMMARY
不特定多数のユーザがPCを持ち込むキャンパスネットワークのセキュリティ確保には、端末やOSに依存しないネットワーク認証が効果的です。トリプル認証方式(IEEE802.1X認証、Web認証、MACアドレス認証)に対応しているアラクサラネットワークスのAXシリーズなら、Webブラウザを使った Web認証によって、端末やOSに左右されないネットワーク認証が可能となります。また、島ハブ経由でも端末ごとの認証が可能なので、セキュリティレベルを落とさずにトータルコストを削減できます。
キャンパス内の情報セキュリティが心配!
高度情報化が進むキャンパスにおいて、ネットワークに求められる役割は大きく変化しています。私立大学はもとより、国立大学も法人化されたことで、大学においても民間企業レベルのコンプライアンスが求められるようになりました。大学側としても重要な研究情報や学生の個人情報を大量に扱っていることから、情報システムのセキュリティを高めて大切な情報をガードしなければなりません。とはいえ、法人である以上、運用管理コストはできる限り抑えたいのが本音です。
セキュリティを高める手段として、学内で利用するパソコンを確実に認証してネットワークの不正利用を防止する対策が挙げられます。しかし、学生や研究者など不特定の人がパソコンを持ち込むキャンパス独自の事情もあり、特定の端末だけに利用を限定することはできません。キャンパスでは、OSや端末を問わずユーザを確実に認証する手段が求められます。これらの課題を解決するのが、アラクサラネットワークスのネットワーク認証ソリューションです。
アラクサラネットワークスのネットワーク認証ソリューション
アラクサラネットワークスのネットワーク認証ソリューションは、不正ユーザのネットワークアクセスをシャットアウトし、許可されたユーザのみが利用できるようにするシステムです。
ネットワークスイッチであるAXシリーズ(AX1200S、AX2400S、AX3600S、AX6300S、AX6600S、AX6700S)が対応するトリプル認証方式(IEEE802.1X認証、Web認証、MACアドレス認証)により、ネットワークへのアクセスを個別に判定。事前に許可されたユーザ以外がネットワークの空きポートに端末を接続しても学内のネットワークに侵入することはできません。
このネットワーク認証を導入することにより、学内サーバやクライアントPCの情報は確実にガードすることができます。また、なんらかのトラブル発生時も認証の履歴を検証することで不正アクセスを追跡し、原因を突き止めることが可能です。
キャンパスのネットワークセキュリティを守る方法とは?
島ハブ経由の認証でコスト削減
アラクサラネットワークスのAXシリーズは、複数の端末を集線するためのハブ(島ハブ)経由でも認証ができるため、トータルコストを大幅に削減できます。端末をスイッチに直接接続する場合、ユーザ収容数はスイッチの物理ポート数が上限となり、センタに接続するケーブルも全端末分を用意して敷設しなければなりません。接続端末数が多ければ多いほどスイッチの台数が必要でコストもかさみます。しかし、島ハブ経由ならユーザ収容数は装置の最大収容数までOKとなり、ケーブルの敷設も島ハブまでで済みます。また、端末が増加した場合にも島ハブを追加することで柔軟に拡張することが可能です。
例えば、キャンパスのある建物で利用する場合、コアスイッチを建物内部に1台置き、各階にはフロアスイッチを設置します。研究室や教室にはフロアスイッチのポートとつながる情報コンセントを1口敷設するだけでOKです。研究室や教室では情報コンセントに島ハブを接続することで複数の端末を個別に認証することができます。
Web認証なら、OS・端末を問わず利用できる
アラクサラネットワークスのAXシリーズは、Webブラウザを使ってIDとパスワードを入力することでネットワークへのアクセスを許可するWeb認証によって、外部から持ち込んだPCに対しても確実にユーザを特定することができます。Webブラウザを使った認証方式なので、WindowsからMac OS、Linuxに至るまで、OSの種類やバージョンに依存することもありません。
更に、IDやパスワードが設定できないプリンタやIP電話は、ハードウェア固有のMACアドレスで認証します。使う端末が決まっている場合なら、IEEE802.1X認証を使ってより高いセキュリティレベルで認証することができます。
【新機能登場】Web認証とMACアドレス認証を組み合わせたマルチステップ認証
ユーザと機器の両方を確実に認証するために、AXシリーズのニューモデルAX1240Sでは、新たにMACアドレス認証とWeb認証を同時に実行する「マルチステップ認証」に対応する予定です(2009年5月サポート予定)。
マルチステップ認証とは、ユーザを特定するWeb認証と、ハードウェアを特定するMACアドレス認証を組み合わせることで、セキュリティをワンランク高める“いいとこ取り”の機能で、手間やコストを最小限に抑えながら高いレベルでのセキュリティを実現することができます。
接続後にポータルサイトを自動表示し、大切な情報を共有!
アラクサラネットワークスのAXシリーズでは、URLリダイレクト機能により最初のWebアクセスで必ずログイン画面を表示します。ログイン前に「www.alaxala.com」など特定のURLを打ち込んだとしても、強制的にログイン画面が表示される仕組みです。そのため、学生にURLを知らせる必要がありません。また、外部の利用者でも迷うことなくログイン画面を呼び出すことが可能です。
ログイン成功後は、あらかじめ設定したサイトにアクセスさせることもできます。例えば、ログイン後に必ず大学のポータルサイトに誘導する使い方も考えられるでしょう。ログイン画面、ログアウト画面、ログイン成功画面、ログイン失敗画面などのカスタマイズも可能で、例えばログイン成功画面に、全学生へのお知らせを表示させる使い方もあります。
自動的にログアウトし別ユーザのアクセスをシャットアウト!
アラクサラネットワークスのAXシリーズは、ARPポーリングによるログアウトに対応しています。そのため、ユーザがわざわざWeb画面からログアウトの作業を行う必要がありません。ARPポーリングによるログアウトでは、端末をポートから抜いたり、PCの電源を切ったりすると自動的にログアウトします。
一般的に、ログアウトの方式には色々ありますが、一定時間内にネットワークへの接続がないと自動的に切断するタイマー型は、その時間内に別のユーザが端末をつなぐと接続が完了してしまいます。また、通信状態を常に監視して無通信になると接続が切れるタイプは、通信を伴わない作業を長時間行うだけで接続が切れてしまい不便です。その点、ARPポーリングによるログアウトならスイッチがARPを送信し、応答がなくなった時点でログアウトするため、上記のデメリットが解消できます。
授業開始時の同時アクセスにも耐えられる認証性能
キャンパス独自の環境として、学生が授業開始時に一斉に学内ネットワークにアクセスすることが考えられます。しかし、性能が低いスイッチの場合、全ユーザの認証処理に時間がかかり、授業が一向にスタートできない状況が生じかねません。
アラクサラネットワークスのAXシリーズは、複数ユーザの同時認証に耐える高い認証性能を確保しているので、マンモス教室でも素早いスタートが可能です。特に、セキュリティを高めるためのSSLではより高い性能が求められますが、下表のようにSSL利用時でも十分なパフォーマンスを発揮していることがわかります。
Web認証の性能※1 | 同時に認証を 実施したユーザ数 |
全ユーザが認証完了する時間 | 認証処理性能 | |
---|---|---|---|---|
AX1200S※2 | 通常 | 40人 | 8秒 | 5.9人/秒 |
SSL※4 | 25人 | 10秒 | 2.2人/秒 | |
AX2400S | 通常 | 150人 | 15秒 | 10人/秒 |
AX3600S※3 | SSL※4 | 150人 | 32秒 | 4.7人/秒 |
※1 端末シミュレータおよび測定器による測定値
※2 OSバージョン V1.2.A
※3 OSバージョン V10.6
※4 鍵長が1024ビットの場合
【導入事例】2万人規模のWeb認証を実現した広島大学
西日本最大級のキャンパスを有する広島大学では、学生・教職員を合わせて約2万人が利用するネットワークとしてGigabitEthernetを基幹とする「HINET2007」を構築しました。「HINET2007」では、httpsプロトコルを使用したWeb認証によってセキュアなネットワーク環境を確保しています。同大学では古いOSを使っている部署もあるため、ブラウザのみで認証できるWeb認証をチョイス。更にプリンタなどはMACアドレス認証を行っています。また、研究室などの情報コンセントに島ハブを接続することでコストの削減を図っています。
同大学では「1台のスイッチに100台のパソコンが同時にアクセスしたとき、30秒以内に認証が終わること」を条件としていましたが、その要求に応えられたのはアラクサラネットワークスだけでした。AX2400S/AX3600SのSSL認証の場合、認証処理速度は1秒あたり4.7人で、150人が同時に認証を始めても32秒で終了する性能を確保しています。
その他にもリダイレクト機能を使ったログイン画面の自動表示、Web認証画面のカスタマイズ機能を使ったログイン画面でのお知らせ表示、ARPポーリング機能を使ったログアウトなど、AXシリーズの機能をフルに活用してユーザの利便性向上に努めています。
セキュリティをより強固にするために
不特定多数のユーザが端末を持ち込むキャンパスは、トリプル認証のうちWeb認証がメインになります。しかし、企業や自治体のように、固有の端末が決まっている場合は、よりセキュリティレベルが高いIEEE802.1X認証が有効です。認証を受けるパソコンに「サプリカント」と呼ぶ認証クライアントソフトを導入・設定する手間やコストはかかりますが、一度設定してしまえばWeb認証のようにWeb画面からログインする必要がなくなるので使い勝手は格段に向上します。また、MAC認証にはない電子証明書による認証機能も備えているため、セキュリティレベルも格段にアップするでしょう。802.1X認証にも対応するアラクサラネットワークスのAXシリーズは、より強固なセキュアなセキュリティを求める企業や自治体にもオススメです。
検疫ネットワークのススメ
セキュリティレベルを更に高めたいなら、「ネットワーク認証」と「検疫ネットワーク」を合わせて利用するとよいでしょう。「検疫ネットワーク」とは、端末を業務ネットワークにつなぐ前に、別に用意した検疫ネットワークを使って安全性をチェックし、セキュリティポリシーに適合した端末のみ業務ネットワークへのアクセスを許可するシステムです。セキュリティに問題がある端末は、隔離された検疫ネットワークでセキュリティポリシーに合うように治療を行った後に、再度認証と検疫を実行します。
この検疫ネットワークを利用することで、ウイルスに感染したPCや、最新の定義ファイルを導入していないPCを排除してウイルスなどの感染拡大を防ぐことができます。また、WinnyなどのP2PソフトをインストールしたPCを排除することで情報漏洩を未然に防止します。
AXシリーズは、様々な検疫システムとの連携に対応しています。マイクロソフトのNAP(Network Access Protection)、NTTデータ先端技術のNOSiDE、PFUのiNetSec、日立電線ネットワークスのQuOLA、NECの InfoCage、日立製作所のJP1に対応し、より柔軟な検疫システムを構築することができます。