製品情報
導入事例
 
- 事例検索
- IntruShield製品事例
- 自治体・公共団体
サービス
サポート
ダウンロード
セキュリティ情報
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
導入事例

京都大学
■業種:教育■導入製品:Messaging and Web Security

何も印象に残らない ──
管理に苦労がないのはすごいことです。

教職員や学生が5万人以上在籍し、3,000台近くのサーバ群が分散して運用されている京都大学のネットワークとセキュリティ管理は、学術情報メディアセンターの教員が支援しています。しかし、規模はもちろんのこと、研究機関という特殊環境でセキュリティを維持することは難しく、特に近年増加するスパムは悩みの種でした。その中で、マカフィーのMessaging and Web Security製品を選択した理由や利点は何だったのでしょうか。同センターのネットワーク研究部門の准教授、高倉弘喜氏にお話を伺いました。




 学生や教職員だけでなく、共同研究を行う他大学の教授や海外からの客員教授など、あらゆる立場の人間が常時自由に出入りし、キャンパス内には各学部の教室や研究室以外にも、総務や経理などの事務機関が混在します。教育と研究の場である大学は、企業とは幾分異なる文化や環境が存在します。その環境を維持しながらネットワークのセキュリティ対策を施すことは、非常に難しい課題です。
 京都府内に3つのキャンパスを有する京都大学は、5万人以上の学生や教職員が籍を置き、国内外の研究機関と共にさまざまな分野で研究を進める日本有数の学術研究機関です。キャンパス内には学内ネットワークが張り巡らされており、研究機関の1つである学術情報メディアセンターの教員がネットワークとセキュリティの管理を支援しています。同センターのネットワーク研究部門に所属する高倉弘喜准教授も、支援者の一人です。
 高倉氏によると、京都大学のネットワーク環境は教育研究機関ならではの複雑さがあると言います。その1つが、大学内のメールアドレスをすべて把握できないことです。「教育の自由を謳う国立大学の特色でもあるのですが、まったく異なる学部や学科の学生が別の学科の授業や研究室で講義を受けることはよくあることです。例えば、法学部の学生がコンピュータ学科の研究室で学会へ参加し、研究発表を行っていても不思議ではありません」(高倉氏)。このような大らかさは、学術研究の促進においては必要かもしれません。しかし、そういった生徒や外部の研究者が研究活動をしやすいようにと、学部や研究室単位でメールアドレスを作成してしまうことは、運用管理する側としては問題となります。しかも、研究室などの小単位でメールサーバやWebサーバを立てるため、「見たことのないサブドメインが大量にある」(高倉氏)という状況に陥ってしまいます。
 これは、特にスパム対策にとって致命的です。誰にどのメールアドレスが割り当てられているのかも分からず、サブドメインも正規のものが判断できない状態では、ゲートウェイ側で不審なメールアドレス宛てのスパムメールを弾こうにも弾くことができないからです。「LDAPや認証サーバを立てて、実在しないメールアドレスへのメールを捨てようと思いましたが、それすらできません」(高倉氏)。


 そこで、平成14年に管理システムを入れるにあたり、同センターはグローバルIPアドレスを割り当てるメールサーバやWebサーバの登録申請を実施しました。その結果、3万台近くあったサーバは3,000台にまで激減しました。さらには研究用と業務用にプライベートネットワークを分け、学部や研究室単位でVLANを切り、VLAN間の通信を禁止することでウイルス拡散の防止やセキュリティ対策の強化を図りました。「以前は個人のPCにグローバルIPアドレスが割り当てられてしまい、それがネットワークに接続した途端、クラッキングされるという被害もありました。そうした問題を減らせたことは快挙です」と、高倉氏は当時の苦労を振り返ります。
 それでも、近年のスパム増加は悩みの種でした。教員3名、技術スタッフ4名、外注業者の少人数体制では対応しきれない、そう感じた高倉氏はスパム対策製品の導入を決断したのです。
 早速、セキュリティ各社から評価機を取り寄せ、1ヶ月間の性能評価を実施しました。「導入の申請をした当初は、スパム判定をする為に、メール本文を解析するスパム製品に対して個人メールを含めて内容を読まれることに抵抗を示す人が多かったのですが、それ以上にスパムのせいで読むべきメールが読めない状況に苦しむ人がいて、それが導入への決め手となりました」(高倉氏)。
 評価はあらゆる角度から実施されました。中でも、一番重視したポイントは誤判定率でした。例えば、企業であればロシア語のメールが来たら弾くといった言語によるフィルタリングも可能です。しかし、研究機関では多種多様な言語が使用されており、そういった設定を無効にしなければなりません。「スパムを見逃すことは仕方ないことです。ただ、正規のメールをスパムと判断する誤判定だけは絶対に回避したいというのが必須事項でした」と高倉氏は説明します。
 こうして、数々の検証を行った結果、設定マニュアルを読まずに設定でき、しかもデフォルト設定でも誤判定がないMessaging and Web Securityを採用することになりました。高倉氏は、1日に2,000通近くのメールを受け取り、そのうち読むべき正規のメールは100通程度と言います。今は、「スパムがないことに慣れてしまい、スパムの脅威はなくなったと誤解されることや、Messaging and Web Securityが効果を発揮しているからこそスパムが届かないことを意識してもらえない」ことが心配であり、不満と言います。


 では、Messaging and Web Securityの良い点は何でしょうか。その質問をしたところ、しばらく考えた後に高倉氏は「何も印象に残らないところ」と答えました。「というのも、Webでクリックしていけば設定は終了するし、管理面でも苦労した覚えがないのです」。ですが、こうした当たり前のことが当たり前にできるということは、研究者として実はとても大変であることを知っていると高倉氏は付け加え、「拍子抜けするほど簡単」であることはすごいことと評価しました。
 このほか、メールアドレス数が250以上だとライセンス料が上がらないコスト体系や、交換部品が1日以内に取り寄せられる点、ミドルレンジ以上の上位機種でRAID構成を組めることなど、いくつかのメリットを挙げました。「交換部品の取り寄せやRAIDの構成は、障害対策として重要です。特にメールはディスクへの書き込みが多いので、ディスクはどうしても壊れやすくなります。RAIDを組んで、障害時にはディスクを素早く交換して復旧できることは、運用コスト面でも嬉しいです」(高倉氏)。
 もっとも、京都大学にはSendmailの神様と言われている中村素典氏が在籍するなど、ソフトウェアやメールの専門家がいる中でアプライアンスを導入することに、以前は抵抗があったと言います。また、中身がブラックボックスであるため、問題が発生したときに何が起きたか確認できないというジレンマもあります。しかし、その専門家がパーフェクトな設定を行っていても、必ずしもその人が未来永劫キャンパスにいるとは限りません。詳細な設定の引き継ぎがないままサーバが放置されることは、さらに問題です。「以前は実験的要素があったので許容されていましたが、誰もが使う情報インフラとしてネットワークを利用する現在、それは許されません。学部内の手続きシステムも電子化されており、誰もが簡単に管理できることは重要だと思います」(高倉氏)。


 スパム対策が徹底された今、今度は全学部の検疫認証システムの構築計画を立てていると高倉氏は言います。大学の正式なIDを持っている人に対して検疫を実施するようなシステムで、「Messaging and Web Securityにも、メールアドレスを入力すると、未登録の場合はユーザー認証とパスワードを設定するという機能があり、魅力的に感じています」と評価しました。(高倉氏)また、検疫のバリエーションもさまざまで、簡単にシステムを組める点も優れているとメリットを挙げました。
 検疫認証システムを導入するには、まだ解決すべき多くの課題があり、時間はかかると高倉氏は言います。巨大かつ成長を続けるネットワークの運用管理に終わりはありません。
●京都大学について
1897年に創立された京都大学は、「自由の学風」を理念に基礎研究から社会連携、生涯教育など、幅広い教育活動を通じて知の創造や継承を実践する日本有数の国立大学です。京都府内に3つのキャンパスを有し、国内や海外の研究機関と共同研究を行う同大学は、日本最多のノーベル賞受賞者の輩出校でもあります。
取材日:2008年3月