ワールドニュース

米国ニュース


UCSF の最高情報責任者が語る、大学キャンパスのためのネットワーク セキュリティ

従来のオープンで分散したネットワークが、学術機関の課題に

2004 年 4 月 28 日
ネットワーク セキュリティの改善について語るのと、実際にセキュリティを改善するのはまったく違います。カリフォルニア大学サンフランシスコ校(UCSF)キャンパスの最高情報責任者(CIO)であるケン オージル氏は、両者の違いをあまりにも良く知る人物であると言えるでしょう。現在、ほとんどのネットワーク管理者は、どうすればセキュリティとアクセスのしやすさを両立できるのかについて、頭を抱えています。結局、データ ネットワークの最大の利点は地理的に離れた位置にいる人々を繋げることにあります。しかし現在では、セキュリティに関する問題が原因で、各大学のイノセントであった日々が終わりを告げようとしています。数年前までは、大学のネットワーク管理者がセキュリティについて悩むことはほとんどありませんでしたが、最近の新種のウィルスやワームは大学だからといって見逃してはくれません。キャンパスでも、企業でも、遠慮なく攻撃を仕掛けてくるのです。

先日、オージル氏が News@Cisco のインタビューに応じてくださり、大きな大学のキャンパスでセキュリティを飛躍的に向上させようとした場合に付きまとう問題について語ってくださいました。また、オージル氏は、シスコがカリフォルニア州立大学とカリフォルニア大学と共催する年次イベント、「第 2 回 Information Technology Security Conference」(4 月 27 日から 30 日まで、サンフランシスコの ハイアット リージェンシーにて)でゲスト スピーカーを務める予定です。

大学のネットワークは保護が難しいと言われていますが、なぜなのでしょう?

ケン オージル:歴史的に、大学のネットワークはきわめてオープンなものとなっています。ネットワークは大規模で役に立つもの、つまり通信を行う必要がある者ならだれでも自由に利用できる公共資産のようなものだと考えられることがよくあります。研究者は、研究データに高いレベルのアクセスができ、さらに世界中の研究仲間と自由にコラボレートできることを求めています。研究者は、そのようなコラボレーションを結果的に隔てるようになる障壁ができるのを望んでいません。ですから、コンピュータの管理は、大学の各学部に委ねられたままとなっているのです。現在、憂慮されている問題は、各学部のネットワークがキャンパスのバックボーンに接続されており、それぞれが感染しあう怖れがあるということです。基本的には、門戸は今でもさほど厳重にはなっておらず、誰かが意を決して門戸を閉鎖するのも難しい状況です。オープンなネットワークという伝統は、高いレベルの研究者だけでなく、大学の文化そのものに深く浸透しているのです。そういうわけで、「ネットワーク セキュリティ」という概念が出てきたため大学が苦慮しているというのは、少しばかり正確さに欠けているのです。大学のコミュニティには、今でもセキュリティはさほど重要ではないと考える人がいるのです。もっとも、そう考える人の割合は、アタックやウィルス感染の被害が出るごとに激減する傾向があるようですが。

ネットワークをオープンに保つことはデータ ネットワーキングの有効利用には不可欠ですが、大学コミュニティのセキュリティ実装について、あなたの大学ではどのように対処したのでしょう?

ケン オージル:セキュリティの目的というのは、人々のアクセスを阻害することではなく、ネットワークの利用を維持することなのです。過去には、不正プログラムはまん延していませんでした。のんびりした時代で、コンピューティング コミュニティはずっと小さく、もっと大事にされていました。確かに、ハッキングはいくつかありましたが、新世代のウィルスは存在していませんでした。現在では、1 人のユーザーが感染したために、ネットワーク全体がダウンしてしまう場合もあります。また、保護を受けていない研究ファイルが破壊されたり、重要なサービスが著しい被害を受けたりすることもあります。このような出来事が、ひどい状況を作りだすのです。UCSFでは、キャンパスのネットワークが医療センターのネットワークにも繋がっています。医療センターのネットワークがより高いレベルで保護されていても、大学のネットワークに入ったウィルスが「裏口」を開けて医療センターのネットワークに侵入し、アドミッション システムや電子記録へアクセスしたり、他の重要なアプリケーションやデータを管轄するホスト全体に影響を及ぼしたりするかもしれません。これが哲学的なディベートで解決できるような単純な問題でないのは明らかです。医療センターのサービスは、保護されなければならないのです。

セキュリティを実装するというのはとても重要な問題であると思います。では、セキュリティを向上させるためには、どのようなアプローチをとっていらっしゃるのでしょうか?

ケン オージル:そうですね、第一に、長い時間をかけないかぎり、変革を成し遂げられないということですね。本学のコンピュータ ユーザーの文化やネットワークの設計を考えれば、多くの企業がやっているような「ビッグバン」アプローチによってセキュリティをアップグレードするのは不可能でしょう。私が今のポストに就いてまだあまり日が経っていませんが、セキュリティ自体は私が本学に来て以来ずっと最優先事項となっていましたので、我々の仕事はまったく 0 からのスタートとなっています。私が本学に着任した当初は、ネットワークのセキュリティについて、ほとんど話題にのぼりませんでした。しかし、これは本当のことなのですが、大学では大きなセキュリティ上の問題はまったく起っていなかったのです。しかし、私が着任してすぐ、Slammer ウィルスに襲われました。ネットワークは壊滅的な被害を受け、50人のスタッフが週末に必死に作業をして、ネットワーク接続を復旧させなければなりませんでした。その後、誰もがセキュリティに注力し、最新の技術でネットワークを保護する必要があると認識するようになりました。また、この目的を達成するにはスタッフが少なすぎることもわかりました。我々は、強固な情報セキュリティ組織の構築に着手しました。実際、先週からは、Levi Strauss Inc. の前の情報セキュリティ担当役員であったカール ティアネンが、本学にとって新しいポストである、UCSF ISO(情報セキュリティ担当役員)に着任しています。

戦術に関して言えば、我々のアプローチはほとんどの企業と同じで、セキュリティ防御のレイヤをいくつも築くというものです。メインのデータセンターではすでにファイヤウォールを実装できるようになっていますので、次のステップは、キャンパスにファイヤウォールを実装し、基本的な周辺防御とある程度の制御ができるようにすることです。それから、さまざまな方法で、他のセキュリティ レイヤを構築します。各学部には、「我々が協力するから、重要なサーバをファイヤウォールで保護するようにして欲しい」と伝えています。1 年以内くらいには、あらゆるデスクトップに個人的なファイヤウォールを設置するように求めている活動と、すでにほとんどの者が導入しているアンチウィルス ソフトウエアとが相乗効果を生みだすものと期待しています。このような活動をする際、大学という環境で重要なことは、説明責任(アカウンタビリティ)です。ポリシーを策定しようとすれば、説明責任も負わなければなりません。エンド ユーザー関連のポリシーとは独立した別の保護レイヤとして、我々は侵入検知および侵入防止のシステムにも取り組んでいます。

現在取り組んでいる機能以外で、今後ネットワークに配備したいと考えている機能には、どのようなものがありますか?

ケン オージル:そうですね。繰り返しますが、最大の問題は、現時点ではネットワーク設計が高度に分散しており、管理インフラストラクチャの中央集中化もきわめて困難であるということです。このような傾向は、どこのマシンが感染しているかを正確に把握するためのきめ細かさに欠けるという結果を招いています。そのため、サブネット全体をやむなく遮断し、多くのユーザーに迷惑をかけることもあります。理想を言えば、感染したマシンを自動的に検疫するツールがあればいいのですが。ウィルスがまん延している中、手動でマシンを停止させるのは、きわめて資源集中的な作業なのです。

トンネルの彼方に見えているのは、現在配備を進めている、新しい、最新のネットワークです。このネットワークは来年には運営が開始され、最新のセキュリティ機能も実装できるようになるでしょう。それと同時に、新しいネットワークのユーザーは、セキュリティに関する一連のポリシーおよび施策に同意し、自身の行動および不作為に対して説明責任を負わなければなりません。新しいネットワークと新しいユーザー ポリシーは役に立つでしょうが、まだ前途には長い道のりが立ちはだかっています。

▲Return to Top

お問い合わせ