ケース スタディ
国立大学法人群馬大学は、2022年4月に運用を開始した学内ネットワーク「群馬大学学術情報ネットワーク(GUNet2022)」を保護するセキュリティ製品として、パロアルトネットワークスの次世代ファイアウォール「PA-5220」を導入した。学内ネットワークのトラフィック増大に対応したセキュリティ強化が課題だった群馬大学は、従来のセキュリティ製品がリース満了を迎えるのを機に入れ替えを検討。製品の性能や安定性、学術・教育機関での豊富な採用実績を総合的に評価してPA-5220を選定。安定したセキュリティ運用を実現し、群馬大学の学内ネットワークを守り続けている。
国立大学法人群馬大学
国立大学法人群馬大学
群馬県前橋市荒牧町4-2
教育機関
共同教育学部・情報学部・医学部・理工学部研究科:教育学研究科・社会情報学研究科・医学系研究科・保健学研究科・理工学府
学生数:6,279
教職員数:2,353
群馬大学は、1873年に創立した群馬師範学校をはじめとする群馬県内の旧制高等教育機関を前身に、1949年に設置された国立大学。以来、北関東を代表する総合大学として、地域産業の活性化や文化の発展に広く貢献してきた。2021年4月には石崎泰樹新学長の就任に合わせ「知の拠点として地域の人材育成や地域社会を支える基盤となると同時に、グローバルな視点で活躍できる大学を目指す」という学長ビジョンを表明し、積極的な大学改革を推進している。現在は大学本部のある前橋市の荒牧(共同教育学部・情報学部)と昭和(医学部)、桐生(理工学部)、太田(産学連携拠点)の4キャンパスに約6,500人の学生、約2,500人の教職員が在籍している。
そんな群馬大学の教育を支える重要な役割を果たすのが、「群馬大学学術情報ネットワーク(GUNet)」と呼ばれる学内ネットワークだ。GUNetは、群馬県内に分散する4キャンパスと幼稚園、小中学校、特別支援学校、病院などの大学附属施設をデータセンターを介して結び、日本全国の大学・研究機関をつなぐ学術情報基盤として国立情報学研究所(NII)が運用する学術情報ネットワーク「SINET」経由でインターネットと接続されている。GUNetはおおむね6年ごとに更改されており、直近ではSINETが「SINET6」へとバージョンアップされたのとほぼ同時期の2022年4月に、最新の「GUNet2022」の運用を開始した。
「GUNet2022では、従来のGUNet2016で整備したクラウド利用への対応、 データセンター設備の冗長化、動的VLANによる認証システムといった構成を踏 襲しながら、データセンター接続回線の冗長化、学内バックボーンの二重化、IPv6 アドレスの導入など、さまざまなアップデートを実施しました。また特徴的な取り組 みとして、ネットワークのマイクロセグメンテーション化を図り、サブネットを部局よ り小さな研究室・部署等の単位で細分化しました。これは、高度な標的型攻撃による ラテラルムーブメント(ネットワーク内部の水平展開)を局所化する狙いがあります」 (群馬大学 総合情報メディアセンター 准教授 浜元信州氏) このようなGUNet2022への更改に合わせて実施されたのが、セキュリティ製品の 見直しだった。
「従来のセキュリティ製品はリース満了時期が迫っていたこともあり、新しい製品を調 達する必要がありました。そこでネットワークをマイクロセグメンテーション化しても、学 内間・学内外の通信に遅延が発生することのない性能を備えたセキュリティ製品の導入に 向け、選定作業に着手しました」(群馬大学 総合情報メディアセンター 講師 小川康一氏)
群馬大学はGUNet2022の構築を進めるなかで、新しいセキュリティ製品の選定作業にも取り組んだ。複数の導入候補を挙げてさまざまな角度から比較検討を行った結果、群馬大学が採用を決めたのが、パロアルトネットワークスの次世代ファイアウォール「PA-5220」だった。
「マイクロセグメンテーションの環境でも安定した速度でネットワークを保護できる性能面の優位性をとくに重視し、PA-5220の導入を決めました。パロアルトネットワークスの次世代ファイアウォール製品は、SINETを運営するNIIをはじめとする国内の大学・研究機関で豊富な採用実績があり、GUNet2022の構築を応札したベンダーから推奨されたことも導入の決め手になっています。」(小川氏)群馬大学がPA-5220の導入を決めたのは、2020年度末のこと。そこからGUNet2022の運用を開始する2022年4月の本番稼働に向けて設定・構築作業が進められたが、その際には群馬大学ならではの工夫が盛り込まれている。
「マイクロセグメンテーションの導入に伴い、PA-5220を利用して学内間の通信に対する通信制限を行うことにしました。各研究室などに合計約500のサブネットを割り当て、この通信を全てPA-5220で監視・制御する構成としています。今回、PA-5220にVPN機能を統合しており、学外から研究室のアクセスにはVPN経由で接続します。従来のVPN接続では多要素認証を導入できずにいましたが、PA-5220にはVPNのSAML連携機能が用意されているので、その機能を利用して学内で運用しているシングルサインオン(SSO)の機能と組み合わせ、VPN接続の二要素認証を実現しています。VPNの認証時にはユーザが所属している研究室・部署の情報とUser-ID機能を連携させることで、ファイアウォールポリシーを変更することなくユーザーのアクセス制御ができるようになっています。また、学内では各研究室のサブネット間をアクセス禁止にしたため、サブネット間で通信したい場合もPA-5220にVPN接続することで許可されたユーザーのみが通信できるようにしています。」(浜元氏)
こうして群馬大学のPA-5220は、GUNet2022の運用開始とともに本番稼働を迎えた。ネットワークが冗長化されたGUNet2022に合わせ、PA-5220も2台が冗 長構成で導入されている。
本番稼働から間もないものの、群馬大学はすでにさまざまな導入効果を実感している。 「本学にとって最も大きな導入効果は、ネットワークセキュリティを安定して運用でき ているところにあります。PA-5220のアプリケーション識別機能(App-ID)によりリ スクの高いアプリケーションの通信を検知・特定したり、DNSセキュリティ機能により DNSを悪用した攻撃をリアルタイムにブロックしたりできるので、これまでのところネッ トワークに影響を及ぼすようなセキュリティインシデントは発生していません。P2Pソフ トウェアが使われるなど通信量が閾値を超えた場合にはユーザーを特定して連絡する ことはありますが、それもせいぜい週に数件程度です。アラート監視などのネットワーク 管理の負荷も軽減できています」(群馬大学 総合情報メディアセンター 技術専門職員 齋藤貴英氏) すべてのセグメント間通信を監視・制御し、VPN機能も統合したPA-5220は、性能 面でも、安定的かつ高速な通信環境を提供できているという。
今回、群馬大学が導入したPA-5220は、GUNet2022が次の更改時期を迎える2026年3月まで利用する予定だ。すでに学内ネットワーク全体を守るセキュリティ機能の役割を担っているため、現時点ではとくに拡張予定はないそうだ。
「PA-5220の導入にあたっては、この先6年間の継続利用を想定し、ネットワークセキュリティをしっかりと作り込んでいます。今後は作り込んだなりの成果を期待しつつ、安定運用を続けていきたいと考えています」(浜元氏)拡張予定はないものの、PAシリーズに搭載されている次世代ファイアウォール専用OS「PAN-OS」のバージョンアップに伴った新機能の利用は検討しているという。
「例えば、最新のPAN-OS 11ではDNSセキュリティ機能にDNS Over HTTPS(DoH) サポートが追加されていますが、将来的にはこうした新機能の適用も考えていかなければな りません。今後に向けてPAN-OSのバージョンアップをどのタイミングで実施すればよ いか検討していきたいと思います。」(浜元氏)
常に時代の先を行く先進的な学術情報ネットワークを継続して構築・運用する群馬大学。パロアルトネットワークスの次世代ファイアウォールはこれからも、そんな群馬大学のネットワークを守り続けていくことだろう。
左から
国立大学法人 群馬大学 総合情報メディアセンター 講師 小川 康一 氏
国立大学法人 群馬大学 総合情報メディアセンター 准教授 浜元 信州 氏
国立大学法人 群馬大学 総合情報メディアセンター 技術専門職員 齋藤 貴英 氏