導入事例

学校法人 東北学院

ネットワークにまつわるさまざまな運用課題を専用アプライアンスで
解消し、大学に求められる安全性の向上も両立

学校法人 東北学院
  • DNS・DHCPに特化したアプライアンス製品を導入することで、運用・メンテナンスの負荷を大幅に削減
  • DNSアプライアンスのオプション機能を活用することで、フィルタリングの使いやすさと有効性が改善
  • 信頼性の高いRADIUS認証アプライアンスで、認証周りの不具合を解消し、運用性も大きく向上

学校法人 東北学院 様 イメージ図

 教育業界、特に大学組織における昨今のセキュリティ環境と意識の変化について、東北学院大学 情報システム部 部長の早坂友行氏は次のように話す。

「コロナ禍を経てこれまでの学内、学外という境界が崩れ、本学でも2021年度から全学生対象に本格的にBYODの導入を開始しています。事務系の端末も、2023年4月から全員ノートPCとなりました。一方、サイバー攻撃は年々巧妙化し、セキュリティ脅威が増大しています。本学ではこれまで以上にしっかりとセキュリティ対策に経営資源を投下する、 導入に際してはしっかりと議論を重ねるなど、危機意識が一層高まっています」

 学校法人東北学院には、法人事務局、大学、中学校・高等学校、榴ケ岡高等学校、幼稚園を含めた、東北学院の教育・研究・学習及び事務処理等の推進に寄与するために設置された総合ネットワークシステムと、PC教室などIT学修環境を提供する情報処理センターシステムが存在し、利用者数は学生および教職員の合計で約15,000人に上る。情報システム課 課長の鈴木慶明氏はその運営方針について「本学はベンダー任せにせず、システムの機器選定から運営まで学内にしっかり対応できる人員を確保して対応しています。サービスや機器の選定も、性能および運用性を踏まえて自分たちが使いたい、使えるものを選ぶようにしています」と語る。

 このような理念を持つ同学が、システム更新に際して採用を決めたソリトンシステムズの「NetAttest D3」 「Soliton DNS Guard」および「NetAttest EPS」。情報システム課 原田淳氏、大平直志氏、斎藤聖氏の3名に、製品ごとにその導入の経緯と、課題解決の成果をお話しいただく。

OSS(オープンソース・ソフトウェア)の運用課題をNetAttest D3で解消

「情報処理センターシステムは、DNS機能をLinux上にOSS(オープンソース・ソフトウェア)のBINDをインストールし運用して来ましたが、BINDの頻繁に発生する脆弱性対応に追われ運用上の負担になっていました。また、DHCP機能においてはCLIで設定する仕様であったため、業務の属人化が課題となっていました。そこで2019年更新時、運用負担軽減を目的にDNS・DHCPを兼ね備えた専用アプライアンスである「NetAttest D3」を導入しました。「NetAttest D3」は、課題を解消するだけでなくコストパフォーマンスも高いため、冗長構成を組んでも非常にリーズナブルに導入できる点も魅力です。2023年4月の五橋キャンパス開学に合わせシステムを刷新しましたが、引き続き活用しています」(斎藤氏)

Soliton DNS GuardによるDNSフィルタリングで高度・複雑化する サイバー攻撃を防御

 総合ネットワークシステムでは、2023年10月のシステム更新に際しDNSシステム構成を見直し、フル サービスリゾルバ用に「NetAttest D3」を採用し、併せてDNSフィルタリングオプション機能「Soliton DNS Guard」の利用を開始した。

「DNSフィルタリングは、2018年からC&C(コマンド&コントロール)サーバー対策として他社アプライアンス製品で稼働させていましたが、設定やチューニングが非常に難しく、うまく使いこなせませんでした。NetAttest D3は、コストパフォーマンスが高いのもさることながら、既存製品と比べて処理性能が桁違いに高いです。そのため、全体的なコスト削減を図りつつ非常に満足したシステムを作ることができました。また事前の情報収集時において、いくつかの海外製DNSフィルタリングサービスも検討しましたが、いずれもログの保存期間が2週間程度と短く、かつクラウドに保存されたログを取得するためのAPI開発が必要でした。万一のインシデント発生時を想定すると、原因の特定や影響範囲の解析には長期間のログが欲しい。その点、Soliton DNS Guardならシステムログがsyslog経由でログサーバへ転送することにより長期保存が可能なため、安心です」(原田氏)

NetAttest EPSでeduroam接続環境をシンプルに実現

 総合ネットワークシステムでは、2014年から国際学術無線LANローミング基盤であるeduroam*接続サービスを大学内に展開している。eduroam接続環境を実現するためには、RADIUS IdP(IDプロバイダ)と所属機関を判断するための識別子であるレルムを階層的に管理する必要があり、所属機関トップのRADIUSサーバーはRADIUS proxyで構成していく必要がある。

「2018年のシステムでは、このRADIUS proxyをFreeRADIUSで構築していましたが、ここでもやはり、汎用OSに対する維持管理の難しさがネックとなりました。また、アカウンティングログなど運用上必要になる設定も課題になっていたため、今回の更新時にRADIUS proxyのアプライアンス化を狙っていました。そしてこの更新に向け情報収集していた際、ソリトン社からのeduroam接続構成紹介や、シンプルな設定で機能を実現できそうであるといった情報が、早い段階で明らかになっていったこともNetAttest EPSを選定する決め手の一つとなりました」(大平氏)

  • eduroam: 初等・中等・高等教育機関や研究機関の間でキャンパス無線LANの相互利用を実現する、国際的なネットワークローミング利用の仕組み。

欲しい機能が過不足なく提供されており、導入・運用しやすいのがソリトン製品

実際に活用した上でのソリトン製品のメリットについて、大平氏は次のように評価する。

「オールインワンで多くの機能を網羅するセキュリティ製品が多いのですが、すべてを使い切るといったケースは多くありません。その点ソリトン製品は、運用に必要な機能を押さえつつ製品価格をリーズナブルに実現していると感じます。さらに、シンプルな操作性で運用しやすく、処理性能が高いこともポイントが高いです」

最後に原田氏は、今後のセキュリティ対策とソリトンへの期待について、次のように結んだ。

「近年、常時SSL化対応が進んだことで、プロキシやIPSでも脅威を検知しづらくなってきています。また、DoT(DNS over TLS)やDoH (DNS over HTTPS)など、プライバシー保護を目的としたDNS通信の暗号化にも注視しており、これからのセキ ュリティ対策は 管理とプライバシーとの兼ね合い、バランスが重要になると感じています。ソリトンには引き続き、強みである認証技術を活かして組織のネットワークを最適化する、運用しやすいソリューションを提供してくれることに期待しています」

お忙しい中、有り難うございました。

※本ページの内容は、2024年1月作成時の情報に基づいています。

  1. TOP
  2. 導入事例
  3. 学校法人 東北学院