 |
||
|
|
シスコのセキュリティ ソリューションでリソースを保護
アリゾナ大学
| 概要 | |
||
|---|---|---|---|
| 顧客 | |||
| アリゾナ大学 | |||
| 業種 | |||
| 教育 | |||
| ビジネス上の課題 | |||
| • | 大規模なキャンパス ネットワークで自由な情報フローを維持しながら、内部および外部からの攻撃を防止する。 | ||
| ネットワーク ソリューション | |||
| • | シスコのスイッチおよびルータの統合型Intrusion Detection System(IDS;侵入検知システム)およびファイアウォール ソリューション | ||
| • | シスコのVirtual Private Network(VPN;仮想私設網) | ||
| ビジネス上の効果 | |||
| • | セキュリティ アラームの件数が大幅に減少し、不正なアクティビティを簡単に検知できるようになった。不要なトラフィックを排除することにより、サービスプロバイダーのコストが低減した。 | ||
|
|||
|
|||
アリゾナ大学では、シスコのスイッチおよびルータに組み込まれた侵入検知およびファイアウォール ソリューションを利用して、不要なネットワーク トラフィックを排除するとともに、ネットワーク セキュリティ上の脅威にすばやく対処しています。
| 「IDSM-2を搭載したときから、1日あたり100,000件以上のアラームが減少しました。そのおかげで、キャリアから購入する必要のある帯域幅の量が減ったのです。」 ― アリゾナ大学ネットワーク システム アナリスト、Geoff Poer氏 |
ビジネス上の課題
アリゾナ大学は1891年、2人の賭博者と酒場経営者が寄付した40エーカーの土地に設立されました。当時は2つの学部に32名の学生が在籍していました。今日では米国でもトップクラスの教育研究機関の1つとなっており、15の学部で34,000名以上の学生が在籍しており、300の学位プログラムが設けられています。ツーソンにある357エーカーという広大なメインキャンパスのほかに、シエラビスタ、フォートホアチュカ、フェニックスに分校があります。
同大学では共同研究体制による学習を奨励しており、3箇所のキャンパスをまたがって40,000以上のノードで構成されるキャンパス ネットワークは、学生と研究者のコミュニケーションを支援しています。このような大規模ネットワークでセキュリティを管理し、アカデミックな環境に付随する大量のインターネット トラフィックに対処するためには、多くの課題が存在します。
アリゾナ大学の場合、エンド システムのセキュリティの責任を各ユーザおよび学部に課しているという実態と、研究分野、所属先、経済母体、およびコミュニティの境界を越えた自由な情報交換を奨励する文化が育っていることで、この問題はさらに複雑化しています。このような環境では、必然的にセキュリティ事故が起こりがちです。しかし、ネットワークは1年に20%ずつ成長し、インターネット トラフィックはその2倍の速度で増加しています。これらの現状を踏まえて、同大学では自由な情報フローへの欲求と、セキュリティに関するニーズの両方に対処する必要に迫られました。
このようなネットワーク セキュリティに関する課題に対処するため、同大学では2000年にネットワーク管理部門の補佐役としてセキュリティ事故対策チームを発足させました。このチームの目的は、キャンパス ネットワークを電子的な侵犯から守ることと、ネットワークで必然的に発生するセキュリティ事故に対処することです。
アリゾナ大学のセキュリティ事故対策チームは、大企業にあるようなチームと同じように、ウィルス、ワーム、その他の未許可アクセスといったさまざまな脅威に対処することになりました。しかし、企業環境で運営されるチームとは違って、キャンパス チームには、各ユーザのデスクトップ上でセキュリティ ソフトウェア(ウィルス検出、オペレーティング システム パッチ、およびセキュリティ アップデート)を管理する権限がありません。
「エンドポイントを制御できないことが、私たちにとって常にボトルネックなのです。」アリゾナ大学ネットワーク サービス部の副部長、Ted Frohling氏はこのように語ります。「サービス プロバイダーから着信して壁面ジャックから出て行くまでの範囲なら、ネットワークを管理できます。私たちがコントールできるのは、そこまでです。」
ネットワークへの潜在的な脅威について理解を深め、セキュリティを改善する方法を学ぶ目的で、同大学はシスコシステムズに連絡し、Cisco Secure Consulting Services(CSCS)にSecurity Posture Assessment(SPA)の実施を依頼しました。SPAは専門のセキュリティ コンサルタントのチームによって実施され、ネットワーク内外のセキュリティの脆弱性を明らかにするとともに、組織が攻撃を検出して対処する能力を分析し、防御対策を提案します。同大学でのSPAによってネットワークの脆弱性が多数発見され、ネットワーク セキュリティに資金を投入する必要性が改めて浮き彫りになりました。
ネットワーク ソリューション
2003年、アリゾナ大学はいくつかのセキュリティ ソリューションについて調査しました。その中にはCisco Catalyst® 6500シリーズIntrusion Detection System Services Module(IDSM-2)とFirewall Services Module(FWSM)が含まれていました。これらの製品は、侵入検知機能とファイアウォール機能をスイッチやルータに統合し、Quality of Service(QoS;サービス品質)などのネットワーク機能とセキュリティ機能のシームレスなコラボレーションを実現します。これらの新しいモジュールによって、同大学の急増するトラフィック負荷に対応するとともに、自由なインターネット アクセスを維持しながら不要なトラフィックをブロックすることができます。これらの製品とシスコのサポート サービスを認識したアリゾナ大学では、セキュリティ ソリューションのアップグレードにシスコを選択しました。
Cisco IDSM-2は、完全な侵入検知機能をCisco Catalyst 6500シリーズ経由でネットワーク インフラストラクチャに直結させ、ワームやDoS攻撃などのネットワーク侵犯からスイッチド環境を保護します。攻撃の着信をブロックしてアラートを生成するアクティブ レスポンス機能は、同大学のニーズに特に適したものです。このアクティブ レスポンスによって、ネットワークは未許可アクセスやネットワークの性能を低下させようとする試みを検知し、一連のルールに基づいて対応します。また、収集したデータに基づく情報を利用して、それ以降の攻撃を防ぎます。
さらにCisco IDSM-2は、攻撃、攻撃者、および被害者の詳細な関連付けも行い、攻撃者トップ10、キャンパス ネットワークにおける被害者トップ10といったデータを含むデイリー レポートが管理者に提供されます。一般に競合他社のIDSでは、攻撃元のIPアドレスとその標的しか識別されません。
Cisco FWSMは、業界最速モデルの1つであり、アリゾナ大学の高レベルのインターネット トラフィックに対応できます。外部からの未許可のネットワーク アクセスを防止するだけでなく、キャンパス ネットワーク内の特定のサブネット、ワークグループ、またはLANに対する未認証ユーザのアクセスも防止します。
機種の選択では、価格も決め手の1つになりました。「いくつかの競合製品の価格を調べたところ、シスコのファイアウォール サービス モジュールの価格は同等の製品の半分程度でした。」アリゾナ大学ネットワーク システム アナリスト兼シニアであるBill Phillips氏は、このように語っています。
Cisco IDSM-2およびFWSMは、大学ネットワークの2台のCisco Catalyst 6506スイッチに搭載されています。インターネットおよびインターネット2のトラフィックはキャンパス エッジにある4台のCisco 7606ルータを通じてネットワークに着信し、2台のCisco Catalyst 6509スイッチにルーティングされます。Cisco Catalyst 6509スイッチは、FWSMおよびIDSM-2を搭載した2台のCisco Catalyst 6506スイッチにトラフィックを転送します。これらのセキュア スイッチを通過したトラフィックは、2台のCisco Catalyst 6509コア スイッチに送信され、その他のCisco Catalyst 6509スイッチのディストリビューション レイヤに送信されます。
同大学ではさらに、安全な接続性のためにシスコのアーキテクチャを採用し、ネットワーク境界にはフェールオーバー機能を備えたCisco VPN 3000シリーズ コンセントレータを、リモート デスクトップにはシスコのVPNソフトウェア クライアントを配備しました。
ビジネス上の効果
シスコの新しいセキュリティ ソリューションによって、同大学ではネットワーク攻撃に対して迅速かつ効果的に対処できるようになっています。たとえば、Mydoomウィルスがインターネットに広がったとき、事故対策チームは感染した約100台のコンピュータをただちに発見し、ウィルスを除去してネットワークを守る方法をユーザに指示しました。
また、Cisco IDSM-2により、キャンパス ネットワーク上で外部ユーザに侵害されている大量のクライアント コンピュータのほか、他の3つの大学ネットワーク上の侵害されているコンピュータも発見することができました。これらの侵害されたコンピュータを通じて、未認証ユーザがキャンパス ネットワークに不要トラフィックを発生させる可能性があるばかりか、正当なサービス プロバイダー アカウントなしでインターネットにアクセスする可能性があります。「IDSM-2がなければ、こういった攻撃や侵害されたコンピュータを発見することはなかったでしょう」とPhillips氏は語っています。
新しいファイアウォール ソリューションは、ネットワークに着信するトラフィック量を減らしてデータ解析を簡素化することによって、Cisco IDSM-2の利点をさらに高めています。また、ファイアウォール サービス モジュールによって不要トラフィックが大幅に減少した結果、帯域の所要量が削減され、DoS攻撃が緩和されました。
「IDSM-2を搭載したときから、1日あたり100,000件以上のアラームが減少しました。」アリゾナ大学ネットワーク システム アナリストGeoff Poer氏は、このように語っています。「そのおかげで、キャリアから購入する必要のある帯域幅の量が減ったのです。」
次のステップ
アリゾナ大学では2004年後半、数台のCisco Catalyst 6509ディストリビューション レイヤ スイッチにCisco FWSMを追加し、キャンパス ネットワークのセキュリティを強化する予定です。さらに、既存のディストリビューション ルータでの輻輳とセキュリティ上の問題に対処するために、学生寄宿舎をネットワークの残りの部分から切り離す計画もあります。寄宿舎には、Cisco FWSMを搭載した冗長構成のCisco Catalyst 6509スイッチを設置する予定です。
また、同大学では侵入検知およびファイアウォール機能を備えたCisco 7200シリーズ ルータの導入も検討しています。さらに別の改善項目として、ハンドヘルド デバイス用のワイヤレス インターネットのサポートも検討されており、これが実現すると、メール サーバなど、機密事項を扱うWebサイトをアクセスするWebブラウザとしてハンドヘルドを使用できるようになります。
同大学では当分の間、ネットワーク境界で不要トラフィックをシャットアウトすることに重点を置きながら、インストール済みのシスコのネットワーキングおよびセキュリティ製品をフルに活用する予定です。シスコのサポート チームとの良好な関係に基づいて、同大学ではシスコの新しいセキュリティ機能および製品のベータ テストも継続する予定です。「シスコのサポートには大きな信頼感があります。何か新しいことを試したいときや、すぐに支援が必要になったとき、サポート チームがただちに対処してくれます」とPoer氏は語っています。
この強力なサポート関係と効果的なシスコのセキュリティ ソリューションに支えられて、アリゾナ大学は将来にわたってセキュリティ問題に取り組む体制を整えています。
この顧客事例は、アリゾナ大学が提供した情報に基づき、特定の組織が、シスコ製品の導入によってどのような利益を得たかを説明したものです。説明した成果と利益はさまざまな要因によってもたらされました。他の場所での類似の結果を保証するものではありません。
シスコシステムズはこの資料を「現状のまま」として提供し、商品性または特定の目的への適合性に関する暗黙の保証も含めて、明示または黙示された一切の保証の責任を負わないものとします。司法管轄によって明示または暗黙の保証の免責が認められない場合があるので、上記の免責事項が該当しない場合があります。