 |
||
|
|
ユーザ事例
安全なキャンパスを実現するためのシスコとの取り組み
セントラル フロリダ大学(UCF)は、フロリダ州オーランドに位置し、約 42,000 人の学生が、メイン キャンパスおよび周辺の 21 のキャンパスで学んでいます。 UCF は大都市圏の研究大学であり、教育、研究、サービスの包括的なプログラムを提供することを目的としています。 コンピュータ サイエンス、工学、光学、およびシミュレーションの優秀さで知られる UCF では、人種、民族、社会的経済力を問わず、さまざまな年齢の学生が、学士、修士、博士課程で質の高い教育を受けています。 また、この大学には、発展中の新興ビジネスを支援するためのビジネス インキュベータ プログラムもあります。 UCF は、インキュベータ プログラムを含むさまざまな方法で公共団体および民間企業と創造的なパートナーシップを築き、フロリダ州の経済的発展に貢献しています。
ネットワーク セキュリティの強化に対する UCF のニーズ
UCF のキャンパス データ ネットワーク は、ほぼすべての高等教育機関と同様に、教育、研究、管理サービス、およびキャンパスでの通信をサポートする重要なリソースとなっています。 したがって、ネットワークの信頼性を最大限に向上させることが必須の条件になってます。 インターネットに接続されたすべての組織が直面しているウィルス、サービス拒絶(DoS)攻撃などの脅威は着実に増加しており、ネットワークのセキュリティと監視を強化する必要があることは明白でした。
2000 年初頭、Chris Vakhordjian 氏は、ポリシー、テクノロジー、管理を含む、包括的なセキュリティ プランの開発と実装を行うためのネットワーク セキュリティ管理者として UCF に招かれました。 Vakhordjian 氏の最初の仕事は、ネットワークのデバイス、プロトコル、セキュリティ ゾーンの総合的なマップを作成して、ネットワークの利用状況と脆弱性を徹底的に調査することでした。
第一の保護層:Cisco PIX セキュリティ アプライアンス
Vakhordjian 氏は、UCF Network Operations Center Director である Robert Scott 氏と Cisco® Systems のエンジニアである Tim Ryan の協力を得て、エッジ用ファイウォールを導入することから UCF のネットワーク セキュリティ強化に着手することを決定しました。Vakhordjian 氏と彼のチームは、コンピュータ セキュリティ市場を調査して、製品評価を詳細に比較し、最終的に Cisco PIX® セキュリティ アプライアンスを選択しました。Vakhordjian 氏はこの決定について、「私たちがシスコを選んだ理由は、充実したサポートと、Cisco PIX セキュリティ アプライアンスの性能と、高度な機能です」と述べています。 また、Vakhordjian 氏はこう付け加えています。「Cisco PIX セキュリティ アプライアンスのトラフィック処理量とインターフェイス数の豊富さには強い印象を受けました。特に、フェールオーバー機能が魅力的でした。 他社の製品では UCF が必要としているすべての機能が満たされておらず、UCF のレベルのネットワーク トラフィックを処理できる製品はほとんどありませんでした。」
Vakhordjian 氏と彼のチームは、UCF のネットワーク エッジに 2 台の Cisco PIX 535 セキュリティ アプライアンスを実装しました。 Cisco PIX 535 セキュリティ アプライアンスは、ギガビット イーサネットのスループットを備え、ステートフル ファイアウォール機能と IP Security(IPsec)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)機能を統合した専用アプライアンスです。 UCF が実装した PIX 535 セキュリティ アプライアンスのうちの 1 台は、冗長化ホットスタンバイ ユニットとして機能しています。 このフェールオーバー構成では、自動ステートフル同期機能によって同時接続が維持され、システム障害が発生した場合でもセッションが保持されるため、スタンバイ ファイアウォールへの切り替えはネットワーク ユーザに対して完全に透過的です。
また、UCF では、イントラネットおよびインターネットの機密性の高い用途、およびユーザ数を保護するために、Cisco PIX セキュリティ アプライアンスをさらに導入しました。 たとえば、Graduate Studies 事務局や Business Incubator 事務局などに Cisco PIX 501 セキュリティ アプライアンスが追加されました。 Cisco PIX 501 セキュリティ アプライアンスは、比較的小規模な環境用に設計されており、Cisco PIX 535 と同様の堅牢なセキュリティ機能を備えています。また、College of Health and Public Affairs では、Cisco Catalyst® 6500 シリーズ スイッチに Cisco Firewall Services Module(FWSM)が組み込まれました。 FWSM は、Cisco PIX セキュリティ アプライアンス テクノロジーをベースとした、Cisco Catalyst 6500 シリーズ スイッチ用の高速な統合型ファイアウォール モジュールであり、5 Gbps のスループットと、1,000,000 の同時接続をサポートします。 FWSM は、優れたセキュリティ、信頼性、パフォーマンスを企業に提供します。 Vakhordjian 氏は Cisco PIX セキュリティ アプライアンスを導入したことについて「UCF での経験から、PIX アプライアンスが正しい選択であったことが立証されました」と述べています。
第二の保護層:Cisco Intrusion Protection
Chris Vakhordjian 氏は、Cisco PIX セキュリティ アプライアンスの導入には満足しましたが、アプライアンスだけでは常に変化するさまざまなセキュリティ上の脅威に対して、最高水準の保護を実現できないということを認識していました。 Code Red ワームによる世界的な被害を熟知していた Vakhordjian 氏は、Code Red のような悪質な攻撃を防ぐために、侵入保護ソリューションを導入してファイアウォール機能を補完する必要があると考えていました。 彼は再びシスコのセキュリティ専門技術に注目しました。
Cisco Intrusion Detection System(IDS)は、ワーム、DoS 攻撃、およびアプリケーション攻撃など、既知および未知の攻撃を正確に特定して分類するように設計されています。 そのため、Cisco IDS では、ステートフル パターン認識、プロトコル分析、トラフィック アノマリー(異常)検知、プロトコル アノマリー(異常)検知などの複数の検出方式が採用されています。 Cisco IDS は攻撃を正確に特定して分類した後、被害が発生する前に攻撃を阻止することができます。 IDS では、パケットの破棄、セッションの終了、ルータおよびスイッチの Access Control List(ACL; アクセス コントロール リスト)の再設定、ファイアウォール ポリシーの動的変更といった方法で、侵入者を「排除」することができます。
UCF では、2 台の Cisco IDS 4210 センサーをネットワーク エッジに実装しました。 Cisco IDS 4210 センサー アプライアンスは、UCF ネットワークを通過するトラフィックのコピーを受信し、キャプチャしたパケットを分析し、それらを一般的な侵入行動(シグニチャ)と比較します。 キャプチャしたパケットがルール セットで定義されている侵入パターンと一致した場合、センサーは管理コンソールにアラームを送信し、管理者の定義に従って自動的に対処します。 エッジに展開した Cisco PIX セキュリティ アプライアンスと連携させるために、Vakhordjian 氏は、Cisco IDS の排除機能を利用するように Cisco 4210 センサーを設定しました。 エッジに導入された 2 台の IDS アプライアンスは、Secure Shell(SSH)接続によって PIX アプライアンスとリンクされ、Vakhordjian 氏が指定した信号に基づいて攻撃を排除します。 その後、Vakhordjian 氏が排除レポートを調査して、ブロックされたトラフィックを確認します。 Vakhordjian 氏はこの排除機能について、「これは、Cisco PIX セキュリティ アプライアンスと Cisco Intrusion Detection System のすばらしい機能の 1 つです」と述べています。 彼はまた次のようにも述べています。「私は、これらのアプライアンスを高く評価しています。 どちらの製品もスループットに優れているので、将来的なトラフィックの増大にも十分に対処できるでしょう。」
また、UCF のセキュリティ チームは、コアの Cisco Catalyst 6500 シリーズ スイッチに Catalyst 6500 IDS Services モジュールを統合しました。これにより、スイッチのバックプレーンからトラフィックを直接分析できるようになりました。 Catalyst 6500 IDS Services モジュールは、スタンドアロン型の IDS センサーと同様に、ネットワークを通過する不正なアクティビティを検出し、検出したイベントの詳細とともにアラームを管理コンソールに送信します。 このモジュールは、各 Cisco Catalyst 6500 シリーズ スイッチのスロットを 1 つしか占領せず、スイッチのパフォーマンスには影響を与えません。 UCF での帯域幅需要が増加し、監視が必要なトラフィックが増大したときは、スイッチ シャーシにモジュールを追加するだけでそれらに対処することができます。
「Cisco IDS の初期設定作業は比較的簡単でした。私にとっては "ごく単純な" 作業でした」と Vakhordjian 氏は述べています。 侵入検知システムの管理と日常のメンテナンスも彼にとっては簡単な作業です。Vakhordjian 氏は、CiscoWorks VPN/Security Management Solution(VMS)を使用して、アラートを参照し管理しています。 CiscoWorks VMS では、IDS モジュールから送信される情報が相互に関連付けられるため、管理者は事前に対策を講じることができます。Vakhordjian 氏は、IDS によって生成されたアラームを調査するための体系的なプロセスを確立しました。 彼は、アラームをさまざまな攻撃タイプのカテゴリに分類し、「優先度の高い」アラームとして分類されるものに重点を置いています。 また、それらのアラートについてのレポートを毎日作成しています。
Vakhordjian 氏は、将来的に Cisco Threat Response テクノロジーを導入して、IDS の日常管理業務をさらに簡素化しようと考えています。これにより、誤ったアラームがほぼ一掃され、迅速な注意が必要な脅威を自動的に特定することが可能になります。 Vakhordjian 氏は、侵入保護システムの導入について次のように述べています。「IDS は非常に重要で、 ネットワーク上の監視カメラのようなものです。 IDS がなければ、厳しい状況になるでしょう。 私は IDS を高く評価していて、可能な限り多くの IDS をインストールしたいと考えています。」
安全なアクセス:VPN とワイヤレス
効率のよい研究環境の実現に取り組んだ結果、UCF の学生は、キャンパス内のほぼすべての場所からオンラインで作業ができるようになりました。 UCF の IT チームは、ワイヤレス インフラストラクチャを構築し、100 台以上の Cisco Aironet® 1200 シリーズおよび 350 シリーズ アクセス ポイントを設置して、図書館、教室、屋外の中庭など、ほぼすべての場所からインターネットにアクセスして、研究、学習、電子メールの送受信などを行える環境を実現しました。
UCF では、ワイヤレス接続のセキュリティを確保するために、VPN によるネットワーク接続の暗号化を学生に対して奨励しています。 また、同大学では、教職員に対しても、自宅や乗り物の中から作業を行える VPN テクノロジーを提供しています。 UCF は、VPN 接続でのリモート アクセスを可能にするために、インターネットなどの TCP/IP ネットワークを介して安全な接続を確立する Cisco VPN 3030 Concentrator を導入しました。 Cisco VPN 3030 Concentrator は、クライアント ソフトウェア付属のリモート アクセス VPN プラットフォームで、アベイラビリティ、パフォーマンス、スケーラビリティに優れ、最新の暗号化技術と認証技術をサポートしています。 この製品は、現場交換およびお客様ご自身でのアップグレードが可能なコンポーネントで構成されるスケーラブルなプラットフォームなので、UCF では、学生や教員によるリモート アクセスおよびワイヤレス アクセスの需要が高まるにしたがって、サポート可能なユーザ数を簡単に増やすことができます。
UCF における新しいセキュリティ感覚
Chris Vakhordjian 氏は、セキュリティ ポリシーを作成し、保守、監視、および学生や教員への普及活動を継続的に行うことで、これらのテクノロジーを補完しています。 UCF のセキュリティ ポリシーは、Vakhordjian 氏が実装したすべてのソリューションを統合し、継続的に適用される安全対策は、UCF の教員、スタッフ、寄宿生によって固く守られています。
広範囲に渡るネットワークのセキュリティ強化を実施し、3 年以上が経過した現在、UCF の経営陣は、大学のデータと信用性が内部および外部のリスクから十分に保護されているという安心感を得ています。 Chris Vakhordjian 氏は、日常のセキュリティ管理業務に従事すると同時に、最も効率のよい最新のシスコ セキュリティ ソリューションを UCF で展開できるようにシスコとの協力関係を継続しています。彼は、シスコによる継続的なサポートを高く評価して、次のように述べています。「私は、シスコから多大なサポートを受けていて、彼らとの協力関係にはたいへん満足しています。 彼らはクライアントをほんとうによくサポートしてくれます。」
