Infoblox

インフォブロックス

福岡大学様

大学の情報ネットワークにInfobloxが2期連続で採用 DNS/DHCP管理作業の負担を大幅に軽減し DNSSEC対応に向けた署名鍵の更新自動化も実現

POINT
  • DNSレコード変更やIPアドレス管理の負担が軽減し設定ミスも減少
  • GUIでの操作容易性により職員教育や担当引き継ぎの問題が改善
  • DNSSEC対応でセキュリティを強化し安心・安全なネットワークを提供
福岡大学
総合情報処理センター研究開発室
准教授
藤村 丞 氏

DNSサーバの安定運用が困難になりリロード時にDNSサービス停止も発生

1934年に創立し80年余りの歴史と伝統を持つ福岡大学は、福岡市南西部の七隈地区に広がる約60万平方メートルのキャンパスに、9学部31学科と大学院10研究科34専攻に2万名を超える学生が在籍し、また2つの大学病院も併設する、西日本屈指の総合私立大学である。

福岡大学総合情報処理センター(以下、センター)は、教育・研究・医療活動の更なる発展と業務効率化を目的に、情報化に関わる企画・構築・運用管理に日々取り組んでいる。その歴史は古く、1967年の電子計算機事務室からスタートし、1994年にはそれまでの電子計算センターから「FUTURE」(Fukuoka University Telecommunication Utilities for Research and Education)と呼ばれる高度情報ネットワークと教育研究システムへと進化。以後5年ごとに更新を繰り返しながら、学生や研究者のために未来志向の高度な通信網と情報システム環境を整備し続けてきた。

中でも、2010年9月に実施された「FUTURE 3」(2005年更新)から「FUTURE 4」への更新では、DNS/DHCPサーバの構成が革新的な変化を遂げた。FUTURE 3まではLinuxサーバ上に定番のBIND(フリーのDNSサーバソフトウェア)をインストールして運用していたが、それが大きな課題になっていたという。

歴代のFUTUREの導入責任者である、福岡大学 総合情報処理センター研究開発室 准教授の藤村丞氏は、当時の状況を次のように説明する。「BINDのレコードを変更する際はセンターの職員がtelnetで接続してviコマンドでメンテナンスを行っていましたが、コマンドライン入力による管理が職員の心理的な負担になっていました。定期的に人事異動もあるためスキルの継承も難しく、マニュアルなので人的ミスも発生するなど、DNSサーバを安定して運用することが困難だったのです。また、BINDにセキュリティホールが次々と見つかり、その補修作業にも多くの時間と労力が必要でした」

IPアドレス管理もDNSサーバ上で行っていたため、大量のゾーンファイルを見てIPアドレスの空き状況を確認し、払い出しや回収をするなど、目視による作業に多くの時間がかかっていた。また、ゾーンファイルのリロード時に数分間のダウンタイムが生じ、DNSサーバの停止による影響も懸念されていたという。

BINDを廃止してInfobloxを活用管理負担が大幅に減り人的ミスも改善

そうした問題の解決に向けてセンターで対応策の検討を重ねた結果、FUTURE 4からはBINDサーバを廃止して専用のアプライアンスを活用するよう方針を転換。いくつかの製品を調査した結果、DNSサーバとDHCPサーバの機能を持ち、ネットワーク管理の自動化と運用コスト削減を実現する「Infoblox-1552-A」(当時)を採用した。

合計4台のInfobloxは、サーバ室1とサーバ室2に設置され、2台がDHCPと内向けDNS兼用、他2台が外向けDNS用で、Infoblox 独自の高可用性機能とロードバランサーによる冗長化構成とした。文系センターに設置された1台がグリッドマスター(管理サーバ)となり、他の3台をWeb GUI経由で集中管理可能な構成にしているため、レコード変更作業やIPアドレス管理作業の負担が大幅に減るとともに人的ミスによる設定ミスなども減少し、パッチ作業もグリッドマスターに適用するだけで他のInfobloxにも自動的に反映されるようになった。

大学の教育・研究システムにおいて、DNS/DHCPサーバにアプライアンスを採用したのは国内でも珍しかったという藤村氏は、管理・運用面での効率化は格段に向上したと振り返る。「Infobloxの導入後はGUI で全ての操作が可能になったので、職員にとってハードルの高かったUNIX技術や運用スキルなどを教育する必要がなくなり、人事異動による担当引き継ぎの手間と負担も軽減できたことは大きなメリットでした」

FUTURE 5のDNSSEC実現に向けキャッシュ側とコンテンツ側を分離

その5年後の2015年9月には「FUTURE 5」への更新が行われたが、FUTURE 5の検討においてもFUTURE 4におけるInfobloxの運用のしやすさや安定性・信頼性が評価され、再びDNS/DHCPサーバにInfobloxファミリーが採用された。今回は「Infoblox Trinzic DDI TE-1410」が1台と、「Infoblox Trinzic DDI TE-1420」が2台導入されている。

FUTURE 5更新における最大の目標は、DNS応答の正当性を保証する「DNSSEC」(DNS Security Extensions)への対応だった。DNSSECは公開鍵暗号と電子署名で権威DNSからキャッシュDNSサーバへの応答が正当か、応答内容が偽造や改ざんがされていないかを検証する。そのため、TE-1410を学内外兼用のDNSコンテンツサーバ(DNSSEC権威)に活用し、TE-1420をDNSキャッシュサーバ兼DHCPサーバ(DNSSECキャッシュ)にして、コンテンツサーバ側と分離することでDNSSECを実現した。またFUTURE 5では、パブリッククラウドにもDNSコンテンツサーバ(Linux)を設定し、万一学内のネットワークに問題が発生した場合でも運用を継続できるようBCP面を強化している。

DNSSECではセキュリティ強度を維持するために、権威DNSサーバにおいて各ゾーンの署名に用いられる署名鍵(鍵署名鍵KSKとゾーン署名鍵ZSK)の生成と再署名など更新作業を定期的に実施する必要があり、従来のDNSサーバ運用に加えてさらにいくつかの慎重さが求められる運用業務が発生する。それがDNSSEC導入の大きな障害になっていた。

Infobloxは、DNSSECで用いられる署名鍵の更新がほぼ自動化されており、その運用のしやすさは他の製品にはない特徴で、迷うことなくInfobloxを選定したと藤村氏は話す。

「当センターとしては、最先端のDNSSECを導入し、それを緻密に運用していくことで、学生や研究者に安心・安全なネットワークを提供することが長年の念願でしたが、それをFUTURE 5で実現できたことにとても満足しています」

InfobloxのDNSホストレコードでIPv6の正引き・逆引き登録を自動化

現在のFUTURE 5では、高度な学内ネットワークを基盤に20箇所のPC教室と11箇所のオープン端末室に約1500台のネットブート型シンクライアント端末が利用できるほか、約4000箇所のDHCP情報コンセントや無線LANネットワークなどでBYODも可能にし、キャンパスのどこからでもインターネットや個人用ファイルにもアクセス可能な環境を用意している。

今後は、それらを支えるInfobloxの安定運用に注力するとともに、IPv6への対応も鋭意進めていく考えだ。Infobloxは、DNSレコードを登録すれば自動的に正引き、逆引きが生成されるので、IPv6 対応においても、その機能を有効に活用していくという。

藤村氏は、「Infobloxはこれまでシステム障害もなく安定したDNS/DHCP環境を実現し、運用も視覚的に分かりやすく、ファームのアップデートも容易にしてくれました。それを裏で支えてくれるマクニカの高い技術力とサポート力をこれからも頼りたいと思います」と語る。

マクニカも、福岡大学の先進的な教育研究環境の実現に向けて、より多角的なソリューション提案でFUTUREの未来を支援したいと考えている。

User Profile

福岡大学
所在地 〒814-0180 福岡市城南区七隈八丁目19-1
導入時期 2015年9月
URL http://www.fukuoka-u.ac.jp/
沿革・概要 福岡市の南西部に集中するキャンパスに9学部31学科と大学院10研究科34専攻で2万名を超える学生が在籍する西日本屈指の総合私立大学。思想堅実・穏健中正・質実剛健・積極進取という4つの建学の精神に基づく全人教育と、教育研究の理念に掲げる3つの共存を図ることで、真理と自由を追求し、自発的で創造性豊かな人間を育成し、社会の発展に寄与する数多くの有為な人材を輩出している。
導入製品名 Infoblox Trinzic DDI

お問い合わせ・資料請求

株式会社マクニカ Infoblox 製品担当

月~金 8:45~17:30