導入事例

• TiFRONT(セキュリティスイッチ)
• PAS-K(ADC製品)

国立大学法人　信州大学

1000人以上の教員、10000人を超える学部学生・大学院生
外部PCの持ち込みを完全に制御することができない「大学」という特殊な環境においても、現実に即した対応が可能

学内のネットワークから不穏な通信が検知されるも、どの端末によるものか特定することはできなかった。
セキュリティ上、これを見過ごすわけにはいかない同大が導入したのが「TiFRONT-G2424」だった。
問題はすぐに解決したが、それ以上に、技術専門職員の永井一弥氏は、このセキュリティスイッチが持つ機能に対し「面白い」と感じたという。

国立大学法人　信州大学 総合情報センター

総合情報センターは、平成21年に改組して以来、大学の情報基盤の整備だけでなく、大学の情報戦略の策定を実施する等、信州大学の情報化に大きな役割を担う組織です。
この間、学内の学生を含む研究者への高度な数値計算及び在学生の情報処理教育の利用機会を提供し、大きな成果を上げてきました。
さらに、平成22年より、信州大学の情報戦略に法り、システムはこれまでのような教育支援だけではなく、大学全体の高度なICT化を促進する情報基盤を整備・構築しています。

教員・学生合わせて１万人規模の大学で起きたマルチキャストストーム

信州大学は昭和２４年、学制改革に伴い、旧制の高等学校、専門学校、大学など７校を包括・併合して設置された国立大学。設立の経緯から長野県各地に校舎を持つ広域型キャンパスとなっており、学部ごとの伝統を持つ。教員数は教授から助手まで合わせて1000人以上、学生総数は10000人を超える、歴史と伝統のある大学だ。
この大学ネットワークを管理・運営しているのが、松本キャンパスの一角にある信州大学総合情報センターである。 　

2015年の冬、技術専門職員である永井氏は、教員用PCをつなぐネットワークから、不審な通信が流れていることに気が付いた。ひとつのポートが、マルチキャストストーム（マルチキャスト・パケットがネットワーク上で繰返し転送される現象）によって止まってしまうのだ。
「アラート上は、IPv6のマルチキャストだが、大学のネットワークにv6は使っていない。
個人的に先生が使っているのでなければ、v6のマルチキャストを出す原因は、一体何だ」永井氏を悩ませるこの現象は、学内のキャンパスのあちこちで同じように起こっていた。

同大の通信環境のセキュリティは、ファイアウォール（UTM製品）のみで対応となっており、エンドPCにはウィルスソフトが入っていた。
永井氏が不審なパケットがどこから流れているのかをしらみつぶしに調べてみたところ、そのうちの一つが、ある学部の校舎の５階からであることが判明。
しかし、30ほどある部屋の中の、どのパソコンが原因であるかを特定することはできなかった。

各PCの通信環境を可視化できる「TiFRONT」を試験導入

信州大学がこの件について相談したのが、複合機や課金プリンタなどの関係から、10年来の付き合いがあるディストリビューターだった。
信州大学が相談するディストリビューターでは、社内で顧客を対象にした新しい製品のセミナーを定期的に開催しており、2016年2月のセミナーで紹介した機器が、この現象の解決に適しているのではと提案した。それが、パイオリンクのセキュリティスイッチ「TiFRONT（ティーフロント）」である。

教員用PCはネットワークにつながる際、必ずL2スイッチにLAN配線されている。このL2スイッチにセキュリティ機能を持たせたのが「TiFRONT」だ。管理画面から各PCの通信環境を可視化できる機能を持ち、さらに不穏な通信を検知・遮断する機能を持つ。
永井氏は事務室長の伊藤氏とも相談し、早速、試験的に導入して調べることにした。既存L2スイッチからの簡単な入れ替えで済むため、短時間で容易に設置できることも、導入の敷居を下げることとなった。

その結果、古いルーター機能を持ったアクセスポイントや、多少のインテリジェンス機能を持ったL2スイッチなど、古い機器の誤作動だったことが判明した。学生、あるいは教員による意図的なものではなく、機器の老朽化による故障が原因だったのだ。
「今回はウイルスが原因ではなかったが、今後は、学生らが意図せずウイルスを持ち込むこともある」
永井氏は伊藤氏とともに、「TiFRONT」の購入を決めた。

「TiFRONT」が持つ様々な機能に 担当者が感じた「面白さ」とは

信州大学総合情報センターが新しいネットワーク機器を導入する際には、2つのパターンがあるという。ひとつは、目的が先にありそれに即した機能を持った機器を選定し、予算を設けるパターン。もうひとつは、技術専門職員である永井氏自身が興味を持ち、機器が持つ機能そのものに惹かれて導入を決めるパターンである。「今回は完全に後者でした」と永井氏。「TiFRONT」を知ったとき『これは面白い』と感じたという。

「ファイアウォールでもない、L3スイッチでもない。でもウイルスやマルウェアを検知するという点が、今までにない製品だと感じました。また、大規模なリプレースでなく小さなエリアから絞って置ける点や、感染しないように防御するのではなく、感染してしまったものを拡散させないっていう考え方も面白いですね」

学生や教員が、外部からPCやUSBなどを持ち込む大学のネットワークは、企業のそれと違い、特殊な環境といえる。完全な制御はできないという点でウイルス感染の危険性は高く、「TiFRONT」の機能は現実に即していた。
「導入前の環境でもある程度、標準的なことはできましたが、問題があるとポートそのものが閉塞してしまう。するとその下にぶら下がっているユーザー全員に影響が出てしまう。しかし「TiFRONT」は問題がある端末だけを自動的に遮断してくれた上に、自動的に復旧してくれるのも大きなメリットでした」　

最先端のセキュリティ機器は学生に向けた授業にも活用される運びに

「教職員、学生を対象に、標的型メールに対処する訓練もしていますが、だんだん巧みになってきているので、そういう教育をしても感染してしまうことはあり得ます」外からのウイルス攻撃は従来のUTM製品で防御するが、防ぎきれないものに対しては、バックドアが他に広がらないよう、ユーザー寄りの場所にセキュリティ機器を設置。「TiFRONT」によって、信州大学は多層防御態勢の構築を始めた。

「TiFRONT」導入により通信環境を可視化したことで「専門職ではない上司などにレポートを提出する際にも伝わりやすくなった」と永井氏。それだけではなく、同大では「見える化できるセキュリティ機器」というユニークさから、工学部の授業でも生きた教材として「TiFRONT」を使いたいという話も、先生の側からあがっているという。
「インシデントに対して、人の手に代わって現実的な対応をしてくれる、こうした製品は今後、必然的に多くなっていくと思います」