FORTINET REAL TIME NETWORK PROTECTION

FortiGate導入事例

昭和大学

FortiGate導入事例

キャンパスネットワークの基幹を支えるさまざまなネットワーク要件に対応できたFortiGate

医系総合大学の昭和大学はキャンパスネットワークのセキュリティの基幹に据えるべく「FortiGate-3810A」を導入した。学生や教職員、事務職員など属性が異なるネットワーク利用者を抱え、研究室ごとにネットワーク要件が異なる環境で導入された同製品は複数のDMZ構成それぞれに対応したポリシー設定や検疫VLANと協調した運用に対応するなど、FortiGate-3810Aの特長が活かされている。

国際的にも高い評価を得ている私立医系総合大学

世界大学ランキングで日本の私立大学では4位と評価

1928年に創立された昭和大学は医学部・歯学部・薬学部・保健医療学部の4学部と大学院・看護専門学校、昭和大学病院をはじめとした9つの附属医療機関を持つわが国唯一の私立医系総合大学だ。世界の大学を研究力・就職力・国際性・教育力で評価する「THES-QS世界大学ランキング」において、同大学は2008年には359位にランクされ教育内容は国際的に高い評価を得ている。ちなみに日本の大学では上位400以内に23校がランクインしており、その中で16位(私立大学では4位)と評価されている。
「誠を尽くし、真心を尽くして医療に取り組む」という意味の『至誠一貫』を建学の理念とする同大学の特徴の1つには、そうした医療人としての人間性を育むことを目的にした1年次の全寮制教育がある。山梨県の富士吉田キャンパスでの1年間の寮生活を通して、医療人として欠かせない協調性や他人を思いやる心を育む重要な教育施設となっている。
また、グローバル化、国際化が進む医療の分野だが、同大学では英語教育の強化や海外研修等の実施など世界に通用する医療人の育成に重点を置いたカリキュラムを導入している。その一方で、学術交流や留学などのサポートする国際交流センターを中心に学生の海外派遣だけでなく、発展途上国の若手医師約20名を毎年、外国人研修生として受け入れるなど、途上国における医療のリーダー的人材の育成にも力を入れている。

信頼性向上、セキュリティ強化を目的に基幹系装置をリプレース

キャンパスネットワークを再整備

昭和大学は、教育の中心であり本部機能がある旗の台(東京・品川区)、1年次の富士吉田(山梨県)、歯学部(5~6年)の洗足(東京・大田区)、保健医療学部がある横浜(神奈川県)に4つのキャンパスを持ち、これらのキャンパスにおける研究・教育用ネットワークを統括しているのが総合情報管理センターである。2000年に大学の一組織として設立され、学部や施設ごとに構築・運用されていたネットワークを一元的・総合的に管理するミッションを負っている。
総合情報管理センター開設と同時に5カ年計画の下でキャンパスネットワークを整備してきたが、2008年度から新たに3カ年計画でネットワークの再整備に乗り出している。
「富士吉田キャンパスではレポートの提出や教育教材の利用に24時間安全に利用可能な情報ネットワークが欠かせないため、2005~2006年にネットワークの整備を行いました。医歯薬各学部2年次からの教育の中心でもある旗の台キャンパスでは、これまで主に教職員の教育・研究や法人管理業務を目的とした学内ネットワークを構築・運用してきましたが、富士吉田キャンパス同様に授業での活用や学生の自学自習で利用可能なネットワーク環境整備の必要に迫られていました」総合情報管理センター長 久光医学部教授は、旗の台キャンパスのネットワーク再整備の背景をこう述べる。

セキュリティの基幹製品としてFortiGate-3810A導入

2000年に構築されたネットワークは教育・研究、事務業務が目的であったこともあり、整備開始当初から7年の経過に伴って信頼性、ネットワーク機器の処理能力、セキュリティなどで課題を抱えていた。
「問題の1つが基幹系単一構成による信頼性の低さでした。また、近年、教育分野においては医学英語などのマルチメディア教材の導入、研究分野では国内外の機関との情報連携などでネットワーク利用に対する要求が高まってきており、従来のファイアウォールでは信頼性やスループットの上で、もはや現状以上の対応が困難でした。さらにこれが最大の課題でしたが教員や学生の持ち込みPC対策をはじめ、5カ年計画の当初では問題となっていなかったネットワークの脅威への対策が急務でした」(総合情報管理センター 山崎係長)とし、ファイアウォールを含めたネットワーク基幹系装置全体のリプレースに踏み切った。そのセキュリティ機能の中心的な役割を担う装置として導入されたのが、「FortiGate-3810A」である。

教育・研究系 ネットワーク物理構成図

冗長化されたFortiGate-3810Aがインターネットとの境界セキュリティと、VPNおよびLAN間接続された各系ネットワークのセキュリティハブとして機能する。

ワイヤースピードの高速性とインタフェースの有効活用

ワイヤースピードのパフォーマンスが要件

ネットワーク再整備におけるセキュリティ要件としては、ファイアウォールのリプレースとともに、アンチウイルス、IDS/IDP機能の追加、さらに、認証スイッチを利用したユーザー認証と検疫の仕組みを構築することだった。「これまで使用していたファイアウォールは処理能力が不足しており、また、ファイアウォールがDMZ毎に数台に分かれていたことなどから運用面での煩雑さにも問題があった為、かなりの部分をアウトソースしていました。結果的にですが、FortiGateはセキュリティ対策機能をも統合的に管理・運用可能であり全体として操作性が優れているので、ある程度我々で管理を行える事になりました。また、富士吉田キャンパスでも導入しているユーザー認証・事後型の検疫システムと同様に、学生や教員の持ち込みPCによる脅威を防ぐために検疫VLAN+認証という前提でベンダーの選定の検討を行いました」(山崎氏)。
2007年夏に検討を開始し、7社のソリューション提案から5社に絞って選定委員会に諮り、採用に至ったのが7社中半数以上から提案があったFortiGateを含むソリューションだったが、まず選定条件のベースにあったのが広帯域で安定して稼働する機器であることだった。
「本学ではネットワークの基幹系装置は導入から最低でも5年から6年は使用することが前提になりますので、さまざまな学術プロジェクトなどが展開されることが予想され外部とのトラフィック量が増加してく中で、将来を見据えた信頼性とパフォーマンスが要求されます。特にFortiGate-3810Aという上位モデルを採用した大きな理由は、アンチウイルス機能をはじめとしたセキュリティ対策の統合と管理を行った上で、更にスループットに余裕があることから装置寿命の長さが、より期待できると考えたからです」(山崎氏)と選定の動機を述べ、FortiGateシリーズのASICによるハードウェアベースでの処理性能の高さを評価している。

検疫VLAN、複数のDMZ構成への対応

決定要因のもう1つは、認証スイッチとの組み合わせで検疫LANを構築する際に、その仕組みに対応できるという点だ。導入提案された検疫ネットワークは、認証対応スイッチでユーザー認証を行い、ユーザーを決められたVLANにアサインする仕組みで、事後検疫の機能を持っている。不正なPCの隔離動作を行うきっかけとなるSyslogメッセージをFortiGateのSyslogから取得できるとともに、FortiGateのIDS/IDP機能が不正な通信を検出して該当PCを隔離する。FortiGateは、こうした検疫LANとの連携で実績が多いことも大きな採用理由だった。
さらに、昭和大学では学内各部署や研究室などでのグローバルIPの使用を原則認めておらず、複数のDMZを構築して外部との接続を確保している。そうした多数のDMZを1台のゲートウェイ装置で収束でき、かつセキュリティレベルが異なるDMZのポリシーを柔軟に設定できることもシステム要件だった。現在、公開用サーバ、教育用サーバなどカテゴリ別に7つのDMZを構築しているが、インタフェースが多く、拡張も可能なFortiGate-3810Aを最大限に活かして、複数DMZの運用を実現している。
FortiGateを採用した動機はこの他に、富士吉田キャンパスや横浜キャンパスなどでFortiGate-300A/同200Aをすでに運用しており、ユーザーインタフェースのわかりやすさ、操作の容易さなどを理解していたこともある。

教育・研究系 ネットワーク論理構成図

FortiGate-3810Aの多数のポート、拡張インタフェースによって、複数のDMZ構築と個別ポリシー設定を可能にしている。

大学間連携ネットワークなど異なるポリシーへの柔軟な対応

セキュリティレベルが格段に向上

ファイアウォールのリプレースの際には、ポリシーをいかに効率よく、また確実に移行するかが導入作業で悩みの種となることが多い。昭和大学でも、長年運用してきた中で複雑化したポリシーを移行することは簡単とはいえなかったようだが、これまでのファイアウォール製品からのリプレースとしては非常にスムーズに移行できたという。
FortiGate-3810Aを導入して6カ月以上が経過したが、導入による最大の効果はセキュリティレベルの向上と安定したパフォーマンスだと山崎氏は指摘する。
「検疫ネットワークとの相乗効果が大きいですが、特にWinnyなどリスクの高いP2Pアプリケーションの通信制御が可能になったことや、アンチウイルスなどのメール関係のセキュリティ対策、不正侵入検知などへの対策をネットワークのパフォーマンスを落とさずに行えるようになりました。またそれが管理の煩雑さにつながらない事が重要でもあります」(山崎氏)。
大学などでは研究のツールとして、さまざまなP2Pアプリケーションを活用することもあるため、一元的にその利用を制限できないという事情がある。とはいえ、管理側としては最低限の対策は必要であり、FortiGateによって危険性の高いアプリケーションの制御ができるようになったことは、大きな効果だと述べている。

FortiGateの豊富なポート数を利用し複数DMZを実現

また、他大学との共同の研究活動においてテレビ会議などが頻繁に使われるようになり、パフォーマンスへの要求も高くなる。今回も、全国の歯学系大学8校とハイビジョンのテレビ会議を行う大学間連携システムの導入が急遽決まったものの、パフォーマンス的にはなんら問題もなく、そのための個別のポリシー設定にも柔軟かつ迅速に対応できたという。
「FortiGate-3810Aは光モジュールを拡張できるため、それを追加して大学間連携のテレビ会議専用のDMZを容易に構築できました。今後も、患者さんの治験データを海外の大学と共有データベース化するプロジェクトなども計画されていますが、デリケートなデータを扱うだけに専用のDMZを立ち上げ、よりセキュアな環境での通信を確保しなければなりません。FortiGate-3810Aの拡張性がもっと活かされるでしょう」(山崎氏)と語る。
管理面においては、ファイアウォール、アンチウイルスなど物理的に多数の管理対象があった以前と比較して、物理管理対象が1つになったことによって管理の手間は低下したという。特に総合情報管理センターでは5名のスタッフでキャンパスに隣接している2つの附属病院の医療系システムの運用管理も行っているため、体制的にネットワーク管理に割ける人員が限られているという。富士吉田キャンパスのように詳しい教員が管理を兼務するケースもあるが、管理業務の削減は大きな課題といえる。総合情報管理センターでは、FortiGate-3810Aと同時に「FortiAnalyzer」も導入。富士吉田キャンパスや横浜キャンパスのFortiGateのログも含めて統合的に管理できる体制にした。

セキュリティ対策にゴールなし

大学は、その組織の性格上、学部や研究室ごとの違い、教員・事務職員・学生という異なる利用者属性を抱えることから、一般企業のように一律的なセキュリティ対策を行うことが非常に難しい組織形態である。
総合情報管理センター 井上課長は、そうした大学ならではのジレンマを抱えながら、今回FortiGate-3810Aをネットワークセキュリティの基幹として据えたことにより、「不正アクセス、ウイルス、P2P対策、さらに一部ネットワークの検疫VLAN化により、統合的なセキュリティ基盤を構築することができました。計画の2年目になる平成21年度からは更にネットワーク認証や検疫エリアの拡充を進める予定ですが、教育・研究利用が主であるネットワークにおいて、どのようにセキュリティを確保していくかがカギです。そのため今回のリプレースはゴールではなく始まりであり、またセキュリティ対策自体には目標はあってもゴールは無いものと考えています」とし、FortiGateの今後の進化にも期待している。

導入・構築のポイント
  1. 1.ファイアウォール、ウイルス対策や侵入検知、P2P通信の制御など統合化されたセキュリティ基盤の確立。
  2. 2.認証VLANスイッチによる検疫LANにおいて、不正PCの隔離動作のための仕組みにFortiGateが連携。
  3. 3.FortiGate-3810Aの多数のポートによって、ポリシーの異なる複数のDMZ構成を1台で収束。

所在地:東京都品川区旗の台1-5-8
創立:1928年(昭和医学専門学校として設立)
学部:医学部、歯学部、薬学部、保健医療学部
附属医療機関:昭和大学病院、昭和大学病院附属東病院、昭和大学藤が丘病院、昭和大学藤が丘リハビリテーション病院、昭和大学横浜市北部病院、昭和大学附属豊洲病院、昭和大学附属烏山病院、昭和大学豊洲クリニック、昭和大学歯科病院
特徴:医学部、歯学部、薬学部、保健医療学部と大学院を擁し、医療に関連するあらゆる学問を総合的に創造している私立医系総合大学。旗の台キャンパスを中核に、富士吉田キャンパス、洗足キャンパス、横浜キャンパスの4拠点を展開。富士吉田キャンパスでは1年次の1年間は全寮制教育を実施し、医療人として欠かせない協調性や他人を思いやる心を育む重要な教育施設となっている。