Cisco Insight

第 13 号 - 特集記事 - 1

デジタル化とグローバル化の潮流の中、研究教育機関が直面する課題を共有し解決策を探る
シスコ アカデミックフォーラム 2019

デジタル化とグローバル化の潮流の中、研究教育機関が直面する課題を共有し解決策を探る-シスコ アカデミックフォーラム 2019

世界の研究教育機関は、ITネットワークが可能にするコラボレーションを通じて、多くの成果を社会に生みだしてきました。世界規模のデジタル化やグローバル化が進み、教育や研究を取り巻く環境が激変する現在、こうした機関においても、変化へ柔軟に対応し、ユーザーにとって安全で使いやすく、多くの価値を生みだすネットワーク環境づくりが求められています。

研究教育機関でネットワークの導入や運用に携わる担当者が直面している課題や、その解決策についての情報交換を目的に、シスコシステムズ(以下、シスコ)では毎年「シスコ アカデミックフォーラム」を開催しています。22回目となる今年は、6月25日に大阪、28日に東京で開催され、多くのみなさまにご来場いただきました。この記事では、6月28日にシスコシステムズ東京本社で開催されたフォーラムの内容をダイジェストでお届けします。

重要なネットワークとシステムを守る「セキュリティ」へ注力するシスコ

事例紹介に先がけて、シスコ シニアセキュリティセールススペシャリストの原達夫が、シスコのセキュリティに向けた取り組みについて紹介しました。

シスコと言えば、真っ先に「ネットワーク機器」を思い浮かべる方も多いと思います。しかし、コンピュータネットワークにとって、セキュリティが不可欠なものとなっている現在、シスコは「セキュリティ」への取り組みを強化しています。過去3年間に、セキュリティに対して50億ドルの投資をし、セキュリティ関連企業の買収と統合を繰り返しながら、ポートフォリオを拡充してきました。

また、シスコでは、セキュリティに関する調査研究を行う機関「TALOS」をグローバルで展開しています。TALOSの活動で得られたセキュリティに関する知見は、シスコ製品に統合されると同時に、対外的にも広く共有しています。海外だけでなく、日本においても内閣サイバーセキュリティセンター(NISC)との連携協力を行っているほか、「TALOSブログ」(https://gblogs.cisco.com/jp/author/talosjapan/)を通じた日本語での情報発信も行っています。

年々、規模と巧妙さを増す脅威に対抗するにあたり、ネットワークを所有する組織においては「多層防御」の重要性が増しています。シスコでは、インターネットとの境界から組織内のネットワーク、ユーザー各自のPCやモバイルデバイスのようなエンドポイントまでを包括的に保護するセキュリティソリューションを提供しています。

シスコシステムズ合同会社
シニアセキュリティセールススペシャリスト
原 達夫

「Cisco Firepower」でセキュリティとユーザーの利便性を両立-同志社大学

最初の事例セッションを行ったのは、同志社大学 総務部 情報企画課 情報ネットワーク係長 ITサポートオフィスの山北 英司氏です。山北氏は、同学で2018年より導入されている「Cisco Firepower」の導入経緯と、現在の運用状況について紹介しました。

同志社大学は、学生と教職員を合わせて、約3万5000人のネットワークユーザーを抱えています。山北氏が現在所属する総務部の情報企画課では、約4年に1度の周期で全学の情報システムをリプレースし、最新のシステム環境をユーザーに提供していく方針をとっています。

前回のリプレースは2018年に行われましたが、その際には、解決したいと考えていた課題がありました。近年、アプリケーションのクラウド化が進んでおり、同学でも導入を進めています。クラウドの導入範囲が広がれば、学内と学外とのネットワーク接続の重要性も増します。課題のひとつは、パフォーマンスやユーザーの利便性を犠牲にせず、セキュリティレベルの高いインターネット接続環境を実現することでした。これまで、同学では、セキュリティ確保を目的に、ユーザーのWebアクセスをプロキシ経由で行わせていましたが、多段階での認証が煩雑であったことや、「LINE」のような認証プロキシ非対応のアプリを学内でも利用したいというニーズが高まっていたことを受け、プロキシ非経由のWebアクセスを認めたいと考えていました。

これらの課題の解決にあたって導入されたのが、「Cisco Firepower」でした。新たなネットワークでは、一部にプロキシによる認証を残したものの、外部ネットワークとの接続に関連したセキュリティ機能(IPS、URLフィルタ、アンチマルウェア)を、Firepowerに集約。認証機能はIEEE 802.1Xに統合し、ユーザーの利便性を高めながら、十分なセキュリティを確保できる環境を整えました。

新たなネットワークの構築後、ユーザーは、以前と同等、あるいは以前よりも簡単に、学内からインターネットへアクセスできるようになりました。一方、管理者の視点では、Firepowerの持つ各種のレポーティング機能が、管理上の「安心感」を高める上で、非常に有効に機能しているといいます。

Firepowerでは、ネットワークやエンドポイントの環境に応じた設定のチューニングが自動的に行われます。山北氏は「手作業での設定変更は行わず、Firepowerに運用を任せている」と、運用管理の容易さを高く評価しています。Firepowerによってブロックされた通信については、メールでの通知や週次でのレポートが行われるので、その内容を確認し、必要に応じた対応が可能になりました。

同志社大学
総務部 情報企画課 情報ネットワーク係長 ITサポートオフィス
山北 英司氏

シスコソリューションで学内ネットワークの可視化と多層防御を実現-東洋大学

東洋大学 情報システム部 情報システム課 課長補佐の田所 正史氏は「多層防御とキャンパスLANの可視化によるセキュリティインシデント対策」と題し、同学でのセキュリティ強化の取り組みと、その実現に向けて導入したシスコのソリューション群を紹介しました。

近年、サイバー攻撃の高度化、巧妙化が進んでいることや、情報セキュリティに対する社会的な要請が高まっていることなどを背景に、東洋大学でも「セキュリティ強化」を情報システム運用における重点テーマのひとつとしています。セキュリティポリシーの制定、情報関連規定の改正に加え、学内でCSIRT(情報セキュリティインシデント対応の専門チーム)を組織し、セキュリティレベルの向上とリスクコントロールに努めています。

セキュリティ強化に向けた取り組みの一端として、同学では、2018年の夏に「認証システム」のリプレースを実施しました。同大学の学内ネットワークは、グローバルIPエリアとプライベートIPエリアを分けた構成になっていますが、システムのリプレース以前、プライベートIPエリアからアクセスするユーザーには「Cisco NAC(Cisco Network Admission Control)」による認証を行っていました。合わせて、学内からインターネットへのアクセスは、必ずプロキシサーバを経由させることでアクセスログを取得。学内とインターネットとの接続ポイントにUTM(統合脅威管理)製品を導入し、ネットワークやユーザーの保護を行っていました。

今回のリプレースは、長く運用してきたCisco NACやNATルータの老朽化を機に計画されました。リプレースにあたっては、セキュリティを強化すると同時に、BYOD(ユーザー持ち込みのデバイスによるネットワーク接続)に対応した、より使いやすい環境への移行が期待されていました。

東洋大学
情報システム部 情報システム課 課長補佐
田所 正史氏

しかし、その実現にあたっては、いくつかの課題があったと言います。まず、従来の構成でアクセスログの取得を行っていた「プロキシサーバ」に非対応のアプリケーションが増えており、ユーザーの利便性が損なわれていること。プライベートIPアドレスで運用しているエリアについて、ログからIPアドレスの特定ができず、何らかの問題が発生した場合の追跡が難しいこと。さらに、ユーザーが持ち込んだデバイス間での通信によるマルウェア感染を防ぐ施策も検討する必要があり、同時にセキュリティ対策を単一ベンダーのUTMのみに頼らず、多層化すべきではないかとも感じていました。

これらの課題を解決するために東洋大学が選択したのが「Cisco ISE(Cisco Identity Services Engine)」「Cisco Stealthwatch」「Cisco Umbrella」といったソリューション群でした。「Cisco ISE」は、同学がこれまで運用していた「Cisco NAC」の後継となる認証ソリューションです。同学では、RADIUS認証サーバとして「Cisco ISE」を利用するのと合わせて、同製品に搭載されている「Cisco TrustSec」のポリシー設定機能を活用し、端末間での通信に制限を設ける運用を行っています。

ユーザーの利便性を下げていた、ログ取得のためのプロキシサーバは、「Cisco Stealthwatch」の導入によって不要になりました。「Cisco Stealthwatch」は、シスコ製のルータやスイッチをセンサーとして利用し、詳細な通信ログを取得、分析できる機能です。また、ネットワークフローを取得する場所によっては、これまで難しかったプライベートIPアドレスに関する情報も特定が可能です。

「Cisco Umbrella」はセキュリティ機能を内包したDNSサーバ製品です。通常、学内から学外へのアクセスにおいては、ほとんどの通信がDNSを利用します。また、近年増加している水飲み場攻撃や標的型攻撃においても、マルウェアをダウンロードさせるサイトへのアクセスにDNSを参照する場合が多く見受けられます。同学では、Cisco UmbrellaによるDNSレベルでの防御と、UTMのURLフィルタによる防御とを併用することで、より多くのパターンの攻撃や不正な通信に対応できる多層防御の仕組みを構築することができました。