マイクロセグメンテーションで キャンパスネットワークを再整備 VLAN 間の通信制御を次世代 ファイアウォールで実現

「わが国、特に東北地方の産業界で指導的役割を担う高度の技術者を養成する」 ことを建学の精神とし、堅実で社会に有用な教育・研究を実践する東北工業大学。 工学部・建築学部・ライフデザイン学部の3学部を擁し、近年はDX(デジタルトラン スフォーメーション)やGX(グリーントランスフォーメーション)といった産業・社会 構造の転換を推進できる人材育成に対応すべく、AIやデータサイエンス、グリーン テクノロジーを必修化している。また、新たなスローガン「未来のエスキースを描 く。」を制定し、2024年度には創立60周年を迎えた。2025年度からは北海道・東 北地方の工科系大学で初めて工学部を「学科制」から「課程制」へ移行する。

東北工業大学は仙台市内に2つのキャンパス(八木山キャンパス、長町キャン パス)を有し、両キャンパスの情報システムや学内ネットワークを構築・運用してい るのが情報サービスセンターだ。両キャンパスの情報処理演習室等に設置され た約860台の端末やサーバー群、ネットワークの管理・運用を行っている。また、 授業資料の提示や課題の提出、テスト等をインターネット経由で時間・場所を問わ ず行うことができる学修支援システム「WebClass」を運用するとともに、ほぼ すべての対面授業を録画配信する「授業録画配信システム」を整備し、学外から でも後から復習活用できる環境を提供している。

「演習用端末に加え、2020年からBYOD(Bring Your Own Device)を推 奨し、現在ではほぼ全学生が自身の端末を持ち歩いています。それに対応するた め無線APを約300台に拡大し、キャンパス内すべてで使用できる環境にしまし た」(情報サービスセンター センター長の半澤勝之氏)。2024年4月に更新・稼 動した新たな学内ネットワークの主たる目的は、こうした無線LAN環境の拡大と それに伴うネットワーク構成の再構築だった。「BYOD端末で全キャンパスからア クセスされるようになったとき考慮すべきは、VLAN構成の見直しでした。固定 端末からのアクセスに対応した各棟・各フロア単位のVLAN構成から、場所にひ も付かない無線アクセスに対応するため部門単位などのマイクロセグメンテー ションへ移行することとしました」(情報サービスセンター事務室 情報処理系技 術職員の平宏幸氏)と説明する。

また、外部の攻撃者やマルウェアが内部ネットワークの侵入後に横移動し侵害 範囲を拡大していくラテラルムーブメントを防ぐためにもVLANを細かく区切 り、VLAN間の通信制御を確実に行う必要性があったと平氏は指摘する。

VLANの再構成は順次進めており、2024年9月までにすべて完了を予定し ているが、従来のVLAN数が100強であったものが、400~500に増えるとい う。部門ごとのVLAN構成にすることにより、VLAN間の通信制御が必要になっ てくる。「従来のVLAN間通信はコアスイッチ(L3スイッチ)のACL(Access Control List)で制御していました。また、上位にはファイアウォールがあるの で、ファイアウォールとコアスイッチによる二重で管理する必要がありました。 ACLの設定作業は煩雑である上、VLAN数が500近くになると負荷は増大する ため、通信制御にかかわる運用のしづらさ解消が課題でした」(平氏)。

高機能なRADIUSサーバーによる動的アクセス制御も考えたが、費用対効果 を考えると従来のように静的なアクセス制御を行う必要があり、その情報収集を しつつ検討を進めていたという。そうした中、他の国立大学でコアスイッチをパロ アルトネットワークスの次世代ファイアウォール「PAシリーズ」で実現する事例を 発見したと平氏。ファイアウォールをコアスイッチとして運用している例を他のベ ンダーにも問い合わせたが、実績がなく動作保証できないという回答。一方、「パ ロアルトネットワークスでは他の国立大学でも実績があるという情報に加え、シ ステムインテグレーターからも実績ベースの評判が聞こえてきました」(平氏)と 回答し、「ファイアウォールをコアスイッチとして運用できる唯一の製品がPAシ リーズであると認識」(同氏)して採用が決定した。

PAシリーズ(PA-3260)は2015年のネットワーク更新の際に基幹部のファ イアウォールとして導入しており、基本性能やアプリケーション識別・可視化、IDS 性能などを高く評価していたことも採用の後押しになったという。

新たな学内ネットワークは、2023年5月に設計・構築を開始し、2024年3月 下旬に機器の入替作業を完了。翌4月に全キャンパスの出入口となる基幹部に 設置したPA-5410をL3コアスイッチとしても運用するネットワークが稼動を開 始した。構築過程では、従来のL3コアスイッチで問題なくできていたマルチキャ スト通信ができない問題が生じたが、パロアルトネットワークスのナレッジベース を参照しつつ検証を繰り返し、設置から約1カ月で解決できたという。

「演習用PCに授業で使用する資源配布を行う際にマルチキャスト通信を使っ ており、解決するまでは不安はありました。セメスター(学期)のタイミングでア プリケーションのイメージ更新をすることが多く、問題解決できて安心しました」 (情報サービスセンター事務室 事務長補佐の今野裕幸氏)。

次世代ファイアウォールをL3コアスイッチとして運用できるようになり、課 題だったVLAN間通信制御の設定業務負荷を解消できたという。「ACLのCLI (Command Line Interface)ベースでなく、次世代ファイアウォールの WebUIベースで設定・確認できるようになったことは非常に大きな成果です。 また、Config投入・反映する際に次世代ファイアウォールではCommitment するので、設定を再確認できる点も安全な運用ができようになりました」(情報 サービスセンター事務室 情報処理系技術職員の早川修司氏)と通信制御の煩 雑さ解消のメリットを評価している。

また、従来のVLAN構成ではVLAN間制御を積極的に実施していなかったと し、マイクロセグメンテーション化したVLAN環境で様々な研究室の個別要件 に沿った通信制御できるようになったことも利点だとした。さらに、「PAシリーズ の最大の特徴であるThreat Prevention機能をVLAN間通信に適用できる ようになったことは大きな成果。VLAN単位でしっかり守られている安心感があ ります」(平氏)と導入成果を強調した。

東北工業大学ではPAシリーズのオプション機能であるDNSセキュリティの 運用も始めた。従来はふるまい検知を基にしたセキュリティツールを導入してい たが、悪意あるドメインへの名前解決を検知するケースがほとんどだったため、 DNSセキュリティに特化したオプション機能を利用することにした。エンドポイン ト監視にエージェントを利用する製品と異なり、学生のBYOD端末にエージェン トをインストールする必要がない現実性を重視。学内での利用に限られるもの の、出入口で確実に防御した方が最善の効果があるのではと平氏は指摘。「検証 時では怪しいドメインへの通信が多く見られましたが、それらを検知できたので コスト削減しつつ効果が期待できます」(平氏)とした。