スマートデバイスの利用が急増し新たに学内無線LAN環境を再構築

1886年に関西初の法律学校として設立した関西大学は、大阪府内の4つのキャンパスに、13学部、12大学院研究科、3専門職大学院、1別科を擁し、大学生、大学院生、留学生合わせて約3万名が学ぶ西日本最大規模の私立大として成長。「関大」（かんだい）の呼び名で親しまれている。

自由な学習機会や研究活動を優先する同大学では、学生や教職員がITを自由に利用できる環境を提供しながら、高いセキュリティレベルを実現し学内のネットワーク環境を安全に維持・管理することをポリシーとしている。

そのため、学内ネットワークのレイヤ7に統合型ファイアウォールを設置するとともに、学舎ごとにエリア別のファイアウォールも設置し、2重の管理でセキュアなネットワーク環境を維持している。

また、従来は学内ネットワークのプロキシ配下で無線LANを運用してきたが、スマートフォンやタブレット端末などのスマートデバイスの利用が急速に増加する中で、その運用形態を見直し、新たに学内無線LAN環境を構築して既存の有線LANから切り離すこととした。

しかし、無線LANを全キャンパスに拡大しその利用を促すことで、学内システムへの接続端末が増加し、セキュリティリスクが高まることが大きな問題となった。ウイルス対策が未対応の端末や定義ファイルが更新されていない端末、Androidなど脆弱性の高いOSなどからの接続が増加すれば、無線LANネットワークから有線LANへのマルウェアの拡散が懸念されるほか、P2Pなどセキュリティポリシーに反するアプリケーション利用の増加も心配された。

学生や教職員の自主性を尊重しながらセキュリティも守られる仕組みを作る

「大学はオープンで自由なネットワーク環境を提供することが命題となっている半面、企業のようにセキュリティの強化を画一に強制することはできません。学生や教職員の利便性を維持したまま、意識しないレベルでセキュリティのガバナンスを強化することが大きな課題となっていました。。

そう語るのは、関西大学 学術情報事務局 システム管理課の西脇氏だ。大学のシステムは、内外でのサーバ共同利用や、事務系・研究系など異なるシステムが混在、研究データなどのデータサイズ増加にともなうネットワークの広帯域化などさまざまな課題を背負っている。その一方で、自由で制約の少ない自主独立の雰囲気が求められるため、企業並みの厳格なセキュリティポリシーの実施は難しく、また制約もかけづらいのが実態だ。

そこで、関西大学ではIPS（不正侵入防御システム）に注目。学生や教職員の自主性を尊重しながら、その裏でしっかりとセキュリティが守られる仕組みを作るには、端末側の設定変更を必要としないゲートウェイ型のIPSが最適であると判断した。さらに、西脇氏はアプライアンスであることにこだわったという。
「大学のネットワークは少人数のシステム管理課の職員で管理するため、学生と教職員を含めた3万5000名規模のユーザを考えると、設置から日々の運用に手間のかからないアプライアンスを選択した方が賢明だと考えたのです。」（西脇氏。

最新の脅威に遅滞なく対応できるかがIPSの優劣を左右する

2011年末に新無線LANシステムの構築プロジェクトがスタート。それと並行して、各ベンダーのIPSの提案内容を比較・検討した結果、トータルバランスでマクニカが提供するIPS「McAfeeNetwork Security Platform」を選択した。

McAfee Network Security Platformの決定について、関西大学 学術情報事務局 システム管理課 課長補佐の柿本氏は次のように分析する。「IPSを選定するにあたり、ロジックや動作、レスポンスなどを比較しようとしても、最近の技術では大きな差がないように見えます。しかし、脅威が日々形を変え急速に進化している中で、最新の脅威にいかに遅滞なく対応できるかがIPSの優劣を左右するはずです。マカフィーは世界中の脅威情報を収集する最新のレピュテーションデータベースや世界最大規模の研究機関を持っており、振る舞いやヒューリスティックによるボット検知技術も進んでいるため、最も信頼できると判断しました。」（柿本氏。

また、McAfee Network Security Platformはユーザーライセンスではなく、ネットワーク通信量でサイジングするので、ユーザが増えても追加費用が発生しない価格体系も、多くの学生を抱える大学としては重要なポイントだったという。

一方、西脇氏は、McAfee Network SecurityPlatformを選択したことで導入期間の短縮や、運用管理の負担軽減などに有効だったと強調する。「一般にIPSは、カスタマイズしないと使いづらい製品が多いのですが、細かくカスタマイズするにはスキルを持った専門のチームが必要になります。しかし、McAfee Network Security Platformは推奨設定のまま、煩雑な設定変更なしにほぼセキュリティポリシー通りの運用が可能になり助かっています。こうした推奨設定が用意されているのは、国内で豊富な導入実績があり、多くの情報が集まる大手ベンダーであるマカフィーならではのメリットでしょう。」（西脇氏。

端末からの不正通信などを的確に察知し漏らすことなく検知

2012年夏に無線LANの構築を開始し、同時にMcAfee Network Security Platformを導入。2012年9月から順次運用が開始された。ネットワーク回線の構成に合わせ、アクティブ機とスタンバイ機の2台で冗長化しており、1台がクラッシュしても通信を遮断することなく迅速かつ安全にフェイルオーバーし、不正通信を漏らすことなく検知可能だ。

McAfee Network Security Platformを活用することで、不正通信のみ停止させ、セキュリティポリシーに沿った正常な通信は継続するという柔軟な運用が可能になったと柿本氏は語る。またIPS専用設計のハードウェアであるため、ユーザの増加により通信量が増え始めてもスループットが落ちないなど、性能面でも満足できると評価している。

利便性を阻害せずに注意喚起を促し問題の深刻さを認識してもらう機会に

ユーザのリテラシー向上の面でもMcAfee NetworkSecurity Platformが役立つと西脇氏は期待している。現在のファイアウォールではレイヤ7で通信を止めることしかできないが、ユーザは切断を疑問に思うだけで根本的な解決には結びつかない。そこで、McAfee Network Security Platform の「HostQuarantine（ホスト クアランティン）」という機能が有効だと注目している。

Host Quarantineは、不正通信を検知した時点から一定時間は不正通信元のホストからの通信を全て遮断するとともに、マルウェアなどに感染している端末にはポップアップを表示してユーザへの注意喚起を促し、必要ならば隔離救済サイト（修正ポータル）へ誘導することで、最新パッチの適用などを半自動で実現する機能だ。
「マルウェアに感染していた場合だけではなく、セキュリティポリシーに反するアプリケーションの利用にも有効です。中にはP2Pの利用に疑問を持たない学生もいるため、本人に気付かせる仕掛けが必要でした。Host Quarantineを利用すれば、強制しない形ながらもれなく注意喚起を促すことが可能であり、問題の深刻さを認識してもらい、リテラシー向上に繋がるいい機会になると考えています。」（西脇氏。

また、柿本氏はこれからについて次のように語る。「まだ具体的にインシデントは発生していませんが、持ち込み端末からの不正通信などを的確に察知し、解決に導くための手段としてMcAfee NetworkSecurity Platformがどのように関わってくるのかが重要になるため、これからが本番です。」（柿本氏。

今後、関西大学では、無線LANのアクセスポイント設置範囲を拡大するとともに、連絡事項を学生全員に周知するためスマートデバイスに特化したコミュニケーションサービスの提供を計画中だ。将来的には授業などにもスマートデバイスが広く活用されていくと考えられる。このように、学内インフラを整備することで教育現場の充実にも繋げていければという思いもあるようだ。

スマートデバイスを使用するユーザの急増に対し、無線LANが教育にどのようなメリットをもたらすのかを考えることが重要になるという西脇氏は、「McAfee Network Security Platformに依存する割合がより大きくなるため、信頼しているマクニカには引き続き全面的な支援を期待しています。」と語る。

User Profile

※取材当時の情報となります。