Comments
Description
Transcript
関西大学がマカフィーの次世代IPSを選択。
01 Case Study Mc A fe e N e t wo r k S e cu r i t y P la t fo r m 関西大学がマカフィーの次世代IPSを選択。 スマートデバイスの急増に向け利便性を維持したまま 水面下でセキュリティガバナンスの強化を実現。 Point User Prof ile 学内システムの利便性向上とセキュリティ強化を両立 レピュテーション連携等、最先端のセキュリティ技術により最新の脅威に対応 マルウェアに感染している端末を隔離し、当該ユーザへの注意喚起を実施するこ とでリテラシー向上を図る スマートデバイスの利用が急増し 新たに学内無線LAN環境を再構築 LANネットワークから有線LANへのマルウェアの拡 散が懸念されるほか、P2Pなどセキュリティポリシー に反するアプリケーション利用の増加も心配された。 1886年に関西初の法律学校として設立した関 西大学は、大阪府内の4つのキャンパスに、13学 部、12大学院研究科、3専門職大学院、1別科を 擁し、大学生、大学院生、留学生合わせて約3万 名が学ぶ西日本最大規模の私立大として成長。 「関大」 (かんだい) の呼び名で親しまれている。 所 学生や教職員の自主性を尊重しながら セキュリティも守られる仕組みを作る 「大学はオープンで自由なネットワーク環境を提供 することが命題となっている半面、企業のようにセ キュリティの強化を画一に強制することはできませ では、学生や教職員がITを自由に利用できる環境 ん。学生や教職員の利便性を維持したまま、意識 を提供しながら、高いセキュリティレベルを実現し学 しないレベルでセキュリティのガバナンスを強化す 内のネットワーク環境を安全に維持・管理すること ることが大きな課題となっていました。」 をポリシーとしている。 そう語るのは、関西大学 学術情報事務局 シス そのため、学内ネットワークのレイヤ7に統合型 テム管理課の西脇氏だ。大学のシステムは、内外 ファイアウォールを設置するとともに、学舎ごとにエ でのサーバ共同利用や、事務系・研究系など異な リア別のファイアウォールも設置し、2重の管理で るシステムが混在、研究データなどのデータサイズ セキュアなネットワーク環境を維持している。 増加にともなうネットワークの広帯域化などさまざま また、従来は学内ネットワークのプロキシ配下で な課題を背負っている。その一方で、自由で制約の 無線LANを運用してきたが、スマートフォンやタブ 少ない自主独立の雰囲気が求められるため、企業 レット端末などのスマートデバイスの利用が急速に 並みの厳格なセキュリティポリシーの実施は難しく、 増加する中で、その運用形態を見直し、新たに学 また制約もかけづらいのが実態だ。 内無線LAN環境を構築して既存の有線LANから そこで、関西大学ではIPS(不正侵入防御シス 切り離すこととした。 テム) に注目。学生や教職員の自主性を尊重しな しかし、無線LANを全キャンパスに拡大しその利 がら、その裏でしっかりとセキュリティが守られる仕 用を促すことで、学内システムへの接続端末が増 組みを作るには、端末側の設定変更を必要としな 加し、セキュリティリスクが高まることが大きな問題 いゲートウェイ型のIPSが最適であると判断した。 さ となった。ウイルス対策が未対応の端末や定義 らに、西脇氏はアプライアンスであることにこだわっ ファイルが更新されていない端末、Androidなど脆 たという。 「大学のネットワークは少人数のシステム管理課の www.macnica.net/mcafee/ 在 地 : 〒564-8680 大 阪 府 吹 田 市 山 手 町3丁目3番35号 (千里山キャンパス) 導 入 時 期 : 2012年10月 U 自由な学習機会や研究活動を優先する同大学 弱性の高いOSなどからの接続が増加すれば、無線 関西大学 R L : http://www.kansai-u.ac.jp/ 1886年に現職の裁判官や検察官などが指導者 となり、関西初の法律学校として大阪市西区の 願宗寺に設立した関西法律学校を前身とする関 西大学は、学理と実際との調和を説いた 「学の実 化 (じつげ) 」 を学是に掲げ、現在は13学部、12大 学院研究科、3専門職大学院、1別科に約3万人 の学生が学ぶ西日本最大規模の私立大学として 発展。学術研究と人間教育を統合するプログラ ムや、先端的研究と社会貢献を結びつける複眼 的な施策による独自のカリキュラムポリシーを通 じて理想とする人材を育成している。 関西大学 学術情報事務局 システム管理課 西脇 氏 関西大学 学術情報事務局 システム管理課 課長補佐 柿本 氏 01 Case Study Mc A fe e N e t wo r k S e cu r i t y P la t fo r m 職員で管理するため、学生と教職員を含めた3万 5000名規模のユーザを考えると、設置から日々の 運用に手間のかからないアプライアンスを選択した 関西大学 Host Quarantine(隔離サイトとの連携) ①不正端末からの通信遮断 方が賢明だと考えたのです。」 (西脇氏) インターネット 最新の脅威に遅滞なく対応できるかが IPSの優劣を左右する 2011年末に新無線LANシステムの構築プロジェ クトがスタート。それと並行して、各ベンダーのIPSの ②ユーザーへの喚起 ご 利用中のPCはネット ワーク接続を許可されて いません 以下の 修正ポータルへ ログインいただき、最新 セキュリティポリシーへ 準拠させてください ポスト・アドミッション インターネット ③隔離救済サイト (修正ポータル) での最新パッチ適用 https:abcd¥dfshjih McAfee Network Security PlatformのHost Quarantine機能。主な流れは以下の通り。 修正ポータル ①不正端末からの通信を検知すると、速やかに遮断。 ②不正端末の画面に注意喚起のメッセージを表示し、隔離救済サイト (修正ポータル) に誘導。 ③隔離救済サイト (修正ポータル) で最新パッチを適用し、端末が安全と確認された後に再接続を許可することが可能。 提案内容を比較・検討した結果、 トータルバランスで る端末にはポップアップを表示してユーザへの注意 マクニカネットワークスが提供するIPS「McAfee Network Security Platform」 を選択した。 McAfee Network Security Platformの決定に 喚起を促し、必要ならば隔離救済サイト (修正ポー 端末からの不正通信などを 的確に察知し漏らすことなく検知 タル) へ誘導することで、最新パッチの適用などを半 自動で実現する機能だ。 ついて、関西大学 学術情報事務局 システム管理 2012年夏に無線LANの構築を開始し、同時に 「マルウェアに感染していた場合だけではなく、セ 「IPSを選定するにあたり、ロジックや動作、 レスポン McAfee Network Security Platformを導入。 キュリティポリシーに反するアプリケーションの利用 スなどを比較しようとしても、最近の技術では大きな 2012年9月から順次運用が開始された。ネットワー にも有効です。中にはP2Pの利用に疑問を持たな 差がないように見えます。 しかし、脅威が日々形を変 ク回線の構成に合わせ、アクティブ機とスタンバイ い学生もいるため、本人に気付かせる仕掛けが必 え急速に進化している中で、最新の脅威にいかに 機の2台で冗長化しており、1台がクラッシュしても 要でした。Host Quarantineを利用すれば、強制しな 課 課長補佐の柿本氏は次のように分析する。 遅滞なく対応できるかがIPSの優劣を左右するはず 通信を遮断することなく迅速かつ安全にフェイルオー い形ながらもれなく注意喚起を促すことが可能であ です。マカフィーは世界中の脅威情報を収集する最 バーし、不正通信を漏らすことなく検知可能だ。 り、問題の深刻さを認識してもらい、 リテラシー向上に 新のレピュテーションデータベースや世界最大規模 McAfee Network Security Platformを活用す 繋がるいい機会になると考えています。」 (西脇氏) の研究機関を持っており、振る舞いやヒューリス ることで、不正通信のみ停止させ、セキュリティポリ また、柿本氏はこれからについて次のように語る。 ティックによるボット検知技術も進んでいるため、最 シーに沿った正常な通信は継続するという柔軟な運 「まだ具体的にインシデントは発生していませんが、 も信頼できると判断しました。」 (柿本氏) 用が可能になったと柿本氏は語る。またIPS専用設 持ち込み端末からの不正通信などを的確に察知し、 また、McAfee Network Security Platformは 計のハードウェアであるため、ユーザの増加により通 解 決に導くための 手 段としてMcAfee Network ユーザーライセンスではなく、ネットワーク通信量でサ 信量が増え始めてもスループットが落ちないなど、性 Security Platformがどのように関わってくるのかが イジングするので、ユーザが増えても追加費用が発 能面でも満足できると評価している。 重要になるため、これからが本番です。」 (柿本氏) 今後、関西大学では、無線LANのアクセスポイント 生しない価格体系も、多くの学生を抱える大学とし ては重要なポイントだったという。 一方、西脇氏は、McAfee Network Security 設置範囲を拡大するとともに、連絡事項を学生全員 利便性を阻害せずに注意喚起を促し 問題の深刻さを認識してもらう機会に に周知するためスマートデバイスに特化したコミュニ ケーションサービスの提供を計画中だ。将来的には Platformを選択したことで導入期間の短縮や、運 用管理の負担軽減などに有効だったと強調する。 授業などにもスマートデバイスが広く活用されていくと ユーザのリテラシー向上の面でもMcAfee Network 「一般にIPSは、カスタマイズしないと使いづらい製 Security Platformが役立つと西脇氏は期待して 考えられる。 このように、学内インフラを整備すること 品が多いのですが、細かくカスタマイズするにはスキ いる。現在のファイアウォールではレイヤ7で通信を で教育現場の充実にも繋げていければという思いも ルを持った専門のチームが必要になります。 しかし、 止めることしかできないが、ユーザは切断を疑問に あるようだ。 McAfee Network Security Platformは推奨設定 思うだけで根本的な解決には結びつかない。 そこで、 スマートデバイスを使用するユーザの急増に対 のまま、煩雑な設定変更なしにほぼセキュリティポ McAfee Network Security Platform の「Host し、無線LANが教育にどのようなメリットをもたらすの リシー通りの運用が可能になり助かっています。こ Quarantine(ホスト クアランティン)」 という機能が かを考えることが 重 要 になるという西 脇 氏は、 うした推奨設定が用意されているのは、国内で豊富 有効だと注目している。 な導入実績があり、多くの情報が集まる大手ベン Host Quarantineは、不正通信を検知した時点 る割合がより大きくなるため、信頼しているマクニカ ダーであるマカフィーならではのメリットでしょう。」 (西 から一定時間は不正通信元のホストからの通信を ネットワークスには引き続き全面的な支援を期待して 脇氏) 全て遮断するとともに、マルウェアなどに感染してい います。」 と語る。 「McAfee Network Security Platformに依存す ht t p : / / w w w.macni ca.net /mcafee/ 本社 大阪営業所 〒222−8562 横浜市港北区新横浜 1−5−5 TEL.045−476−2010 FAX.045−476−2060 〒532−0003 大阪市淀川区宮原 3−4−30 ニッセイ新大阪ビル17階 TEL.06−6397−1055 FAX.06−6397−1056 2013年4月 © Macnica Networks Corp. ● ● 本カタログに掲載の製品仕様は、予告なく変更する場合があります。予めご了承ください。 本カタログに掲載されております社名および製品名は、各社の商標及び登録商標です。