・Point 1	国内外で共同研究を推進する施設として、ユーザーのトラフィックの可視化は必須条件。研究機関ならではの多様な端末とプロトコルに柔軟に対応する必要があった。
・Point 2	LANShield導入の決め手は、既存認証システムやブラウザ認証と連携したユーザー認証と、ユーザー/グループごとのアクセス制御が柔軟に行えることにあった。
・Point 3	今後の展開として、LANShieldのログをファイアウォールなど他のセキュリティ製品のログと結びつけ、ログマネジメントの1つの要素として活用していく予定である。

大学共同利用機関法人 自然科学研究機構 岡崎情報ネットワーク 管理室 大野人侍氏
大学共同利用機関法人 自然科学研究機構 岡崎情報ネットワーク 管理室 内藤茂樹氏

　自然科学研究機構は、2004年の国立大学の法人化にともなって発足した大学共同利用機関法人である。愛知県岡崎地区にある旧岡崎国立共同研究機構（基礎生物学研究所、生理学研究所、分子科学研究所）と核融合科学研究所、国立天文台の5つの研究機関が連携し、世界最高水準の学術研究や先端的融合領域の開拓を行っている。

　この中で、旧岡崎国立共同研究機構の3研究機関と事務組織の共通ネットワーク部分、および対外ネットワークの運用管理を担当しているのが「岡崎情報ネットワーク管理室」である。このネットワークは、次世代学術情報ネットワーク「SINET3」のノードにもなっており、対外接続でも10Gbpsの帯域を確保。大学の共同利用機関という特殊性もあって、多くの研究者がネットワークを利用しており、流れるプロトコルも多種多様におよぶ。とはいえ、研究機関ゆえに国内外からも頻繁に研究者が来訪するなど、多数の利用者がいるため、利便性とセキュリティの両立を実現しなければならないという。

　岡崎地区のネットワークは、セキュリティ対策としてゲートウェイ部に共通ファイアウォールが設けられている。そして、その下にある「ORION」と呼ばれるギガビットの基幹ネットワークを介し、3つの研究機関につながっている。ORIONに接続されている端末が正規登録されているかどうかはMACアドレスベースで認証し、未登録の場合は接続を許可しない構成だ。しかし、いったん接続が許可されれば、各端末で具体的にどのような通信が行われているのか、その詳細なトラフィックの内容まで管理側では把握しきれないのが実情だ。そのような状況で万が一ウイルスやワームなどが混入すれば、所内に与える被害も甚大になってしまう。通信を監視しながら不要なものは止め、必要なものだけを通していきたい。そのためには通信の可視化が必要になる。「とはいえ、端末もWindows、Mac、LinuxなどのOSが混在しており、適用できる製品がなかなか見つかりませんでした。エージェント型のソリューションでは手間もかかるため、やはり現実的な解でなかったのです。」と打ち明けるのは、自然科学研究機構（岡崎情報ネットワーク管理室）の大野人侍氏だ。


　このような課題を解決するために導入されたのが、ノックス（株）が提供する「Consentry Networks LANShieldシリーズ（以下、LANShield）」であった（写真1）。LANShieldは、LANに求められるセキュリティを、シングルプラットフォームで実現する高速LANセキュリティアプライアンスだ。ネットワークへアクセスする際に「いつ」「どのユーザーが」「どのような処理を行ったか」というアクセスログのみならず、その処理が業務プロセスやセキュリティポリシーに則したものであるか、あるいは不正なものであるかを把握することができる。



　LANShieldの導入はとても簡単だ。ネットワークにブリッジ構成で機器を置くだけでよい。さらに同機関において、このLANShieldが導入の決め手となったのは、RADIUS、LDAP、Active Directoryなどの既存認証システムや、ブラウザ認証と連携した形でユーザー認証、ユーザー/グループごとのアクセスコントロールなどが柔軟に行える点にあったという。

　「LANShieldならば、MACアドレス認証に加えて、RADIUSサーバによるユーザー認証も適用できます。　RADIUSのアトリビュート（属性）を使うと各種フィルタも選択できるので、利用者によってアクセス制御レベルを変え、きめ細やかな多段コントロールが可能になる点が魅力。」と同 内藤茂樹氏は語る。

　現時点では、ORIONのネットワークへの接続はMACアドレス認証方式のみをベースにしているが、将来的にはユーザー認証を組み合わせた2要素認証を導入していきたい方向だという。それに先駆けて実際すでにLANShieldシリーズの「CS1000」（最大スループット4Gbps）が導入されているのは、「ロッジネットワーク」と呼ばれる共同利用研究者向けの宿泊施設においてだ。宿泊予約時にゲスト用アカウントを発行し、宿泊期間に限ってゲスト用のポリシーに基づいたネットワーク利用が可能になる（図1）。



　最近ではさまざまな認証スイッチも登場しているが、これらの装置では複数の認証方式を組み合わせながら利用できない場合も多い。内藤氏は「LANShieldならば、他製品では不可能な認証方式の組み合わせを実現することができます。それに加えて、柔軟なアクセス制御も可能です。またトラフィックにも影響を与えず、パフォーマンスも最大限に発揮できます。」と、同製品の特徴を高く評価する。


　このような機能のほかにも、LANShieldは運用面でのメリットが大きいという。たとえば、LANShieldには複数製品の集中管理とレポートを提供する「ConSentry InSight Manager」と呼ばれる専用管理ツールが用意されている。同製品から集められた莫大なログ情報を見やすいグラフィカルレポートとして提供し、CSV形式で出力することも可能だ。また、SyslogやSNMP経由で、ネットワークやセキュリティインシデント管理システムと連携することもできる。

　「きめ細かい制御での可視化がしっかりとしており、どのユーザーが何をしているのか良くわかる点がとても気に入っています。バージョンが上がるにつれて、使える機能もかなり多くなってきました。」と大野氏は説明する。さらに今後の展開として「LANShieldは物理スタックで通信をコントロールでき、しかも通信のログを吐き出せる製品ですから、これらのログをファイアウォールなど他のセキュリティ製品のログと結びつけ、ログマネジメントの1つの要素として活用していきたい。」と期待を膨らませる。

　同機構では「内部統制」という観点からも、ネットワーク運用がターニングポイントになっているという。大野氏は「いままで我々のネットワークは性善説に基づいて構築されていました。今後は何が起こってもおかしくないという前提のもとでネットワークを作る必要があります。少なくとも世間一般で要求されている事柄に対処できるように、内部で具体的に何が行われているのか、その情報取得が可能な仕組みが求められているでしょう。」と語る。LANShieldは、単にセキュリティという視点だけにとどまらず、将来的な内部統制の強化にも寄与するソリューションとして展開できる製品といえるだろう。