このページの本文へ

最新ユーザー事例探求 第7回

学内学術情報系ネットワークでFortiGateをフル活用

ウイルス対策から検疫までUTMで実現した昭和大学

2009年11月04日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

シンプルな管理とセキュリティが考えられたUTM

 こうした課題を解決すべく、総合情報管理センターでは、①教育・研究活動への柔軟な対応、②安全性の高いネットワーク、③停まらないネットワークという3つの要件をベースにした3カ年のネットワーク整備計画を2007年に立案。総合情報管理センターの上位にある運営委員会で承認を得たあと、予算と基本要件を基に8社に計画の依頼を行なった。

 その結果、2008年の5月にフォーティネットのUTM「FortiGate-3810A」を採用したネットワーク構築の提案を行なったNTT東日本への発注が決定した。

昭和大学で導入された「FortiGate-3810A」

 8社の提案のなかには、ファイアウォールやアンチウイルスのアプライアンスを分散的に配置するという案もあった。だが、医療系大学に相応しいセキュリティを適切なコストで実現するとなると、やはりUTMという選択になったという。UTMはファイアウォール、VPN、アンチウイルス、IPS、アンチスパム、Webフィルタリングなどの機能を単一のハードウェアに統合しており、機能面も十分。また、複数のアプライアンスを導入するより管理はシンプルになり、保守の面でも大きなコスト削減になる。

 基幹ネットワークへのUTM の導入に際して山崎氏は、「いままで機種の異なるファイアウォールが数台導入されており、運用に手間がかかっていました。また、アンチウイルスに関しても、ソフトウェア型のゲートウェイ製品に対して、複雑なポリシーを作って運用していました。これらの管理をシンプルにし、セキュリティレベルを確保しようと思ったら、意識せずともUTMの導入になりました」と語っている。

パフォーマンスと検疫対応でフォーティネットUTMを採用

 数あるUTM のなかで、フォーティネット社のFortiGateを選定した理由は、やはりスループットの高さだ。今回のネットワーク再構築では、同時接続に耐えられる高いパフォーマンスが必須要件となっており、ファイアウォールやアンチウイルス、IPSなどの処理の一部をASIC(ApplicationSpecific IC)によって高速に実行できるFortiGateはまさに打ってつけの製品であった。

 もう1つの理由は、検疫ネットワークとの連携である。前述のとおり、大学内の教育や研究活動で持ち込みPC が増え、今回のネットワーク再構築においては講義室内に無線LANも整備されることとなった。そのため、接続される端末の認証や検疫は必須で、各SIerの提案にも盛り込まれた。特に持ち込みPCが多いことを考慮し、クライアントにサプリカントなどのソフトウェアをインストールせず利用できるという条件が提示された。そして、ここでも認証スイッチとの連携で多くの実績を持つFortiGateの強みが認められた。

 そのほか、複数のSIerがフォーティネット製品を提案に盛り込んできたこと、先んじて再構築された富士吉田キャンパスにおいて、すでにFortiGate-300Aを導入していたことなども、FortiGate が選定された大きな理由である。

 採用が決まったFortiGate-3810Aは、同時セッション数200万を誇るエンタープライズ向けのモデル。8つの銅線のギガビットポート、2つの光ファイバー用インターフェイス(SFP:Small Form factor Pluggable)を搭載。また、2つのAMC(Advanced Mezzanine Card)拡張スロットに、拡張モジュールを挿すことでハードディスクの追加やパフォーマンス向上が実現する。ファイアウォールスループットは標準では7Gbit/sだが、AMC 拡張モジュール装着時は最大で37Gbit/sまで実現できる。

実質3カ月でのネットワーク構築

 2008年5月の理事会で承認を得たあと、さっそく設計と構築の作業がスタートし、実際のリプレース作業は教職員や学生の利用の少ない8月中旬に行なわれることになった。今回のネットワークのリプレースは、UTMはもとより、コアスイッチや回線冗長化装置、無線LANコントローラー、プロキシサーバー、RADIUSサーバーなどの導入まで含めた大掛かりなものであった。製品のベンダーもそれぞれ異なっていたこともあったため、まずはNTT 東日本側で機器を集めて、事前設定と機能試験を実施した。

 具体的な作業については、「NTT 東日本は富士吉田キャンパスのネットワーク構築で実績があったので、スピーディな構築に大きく貢献してくれました。とはいえ、ドキュメントが整理されていなかった状態で、他社設置の既存機器コンフィグの収集・整理をお願いしたので、そこは苦労されたかもしれません」(山崎氏)と語っている。設計や構築に関して慎重にならざるを得ない基幹業務系や医療系システムではなく、あくまで学内ネットワークの基幹系だったという背景もあったが、リプレース作業は1日のネットワーク停止だけで完了した。

 こうした作業の結果、現在の昭和大学の教育・研究ネットワークの構成は下図のようになっている。

昭和大学の教育・研究系ネットワークの構成図

 まずインターネット接続は、東急電鉄ファイバー回線(SINET へ接続)とBフレッツ(ISP へ接続)で二重化されており、2台の回線冗長装置を使って束ねられている。ほかのキャンパスや附属病院との接続は、低価格なフレッツ・グループアクセスが採用されており、各キャンパスは直接インターネットに接続する構成である。

 回線冗長化装置の配下に2台のFortiGate-3810A が冗長構成で導入されており、ファイアウォール、アンチウイルス、IPS、P2Pフィルタリングなどの各フィルタが動作している。また、物理ポートごとに薬学部のCBTや臨床試験支援、研究室など複数のDMZを構成。昭和大学では各教室や研究室でグローバルIPアドレスを使わないポリシーとなっているため、外部との接続にはこうしたDMZ が必要になるわけだ。加えて、FortiGate-3810Aと同時にログ管理アプライアンス「FortiAnalyzer」を導入し、管理作業の効率化を図った。

各種サーバーや機器が収められた総合情報管理センターのサーバールームのラック

 UTMの配下にはアルカテル・ルーセント製のコアスイッチが鎮座しており、各種サーバーや無線LAN、各教室・研究室のサブネットを束ねている。そして、クライアントPC が接続される学内LANの一部には認証スイッチを設置し、ユーザー認証を行ない、あらかじめ決められたVLANにリダイレクトさせる。また、認証後のクライアントPCで不審な通信があった場合は、FortiGate-3810AのIPS がこれを検出し、該当PCをリストアップするという検疫を行なっている。

(次ページ、「UTMの導入効果と課題」)


 

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード