学習院大学 様
フォレンジックとDDoS対策を核にセキュリティを刷新
オンプレミスとサービスを併用しサイバー攻撃を遮断
Topics
導入前の課題
選定の決め手
コストと機能のバランスを考えDDoS対策はサービスを導入
コンピュータシステムの構成にはポリシーをお持ちですか。
村上氏
オンプレミスの指向が強いです。極力クラウドにはモノを置かずに、オンプレで構成したいという考えです。何か起きたときのことを考えると、システムは手元にあったほうが安心なのです。
ネットワークフォレンジックの体制について教えてください。
城所氏
2000年代から部分的に導入してきました。2015年以降は一定期間のトラフィックのフルパケットを蓄積するネットワークフォレンジックツールを導入して運用しています。
村上氏
実際、フォレンジックしていないと過去の状況を把握することすらできません。学習院では対外用として10Gbpsの回線を採用しています。リプレース後も、このトラフィックのパケットを一定期間すべて保存できるネットワークフォレンジックツールを要求し、提案してもらいました。
IIJからの提案はどのようなものでしたか。
城所氏
今回IIJには「ネットワークフォレンジック」と、DDoS対策など「インターネット接続の安定性対策」を提案してもらいました。
村上氏
ネットワークフォレンジックに関して、NetScout製品の提案がありました。パケットの保存、分析をする「InfiniStreamNG」と、統計値を分析、可視化する「nGeniusONE」を組み合わせた提案でした。内部ストレージの容量は抑えながら、外部ストレージにデータを逃がすことで長期間のパケットを蓄積できる構成で、コストも抑制できます。他のベンダーからもフォレンジック製品として同程度のコストの提案がありましたが、最終的には可視化の機能も備えているNetScoutが良いという判断をしました。
インターネット接続の安定性対策を求めた背景や選択の経緯を教えてください。
城所氏
これまで、DDoSが原因と思われる状況で、ユーザからクレームが入ることは少なくありませんでした。月に数回ほどはDDoSが原因と思われるクレームに対応していました。
村上氏
IIJからは「IIJ DDoSプロテクションサービス」の提案がありました。DDoSの攻撃をIIJのバックボーンネットワークに分散配置した対策システムで防ぎます。これまでは、学習院大学の対外線がDDoSと思われる攻撃にさらされ帯域が狭まってしまい、ネットワーク機器のリセットをするなどが必要でした。IIJのサービスを使うことで、我々の対外線の帯域はフルに使いながら、IIJのバックボーンにDDoS対策を任せられます。
磯上氏
学習院大学の対外線はIIJの回線を使っています。コストと要求する機能のバランスを考えたときに、オンプレミスでDDoS対策の機器を導入するよりもIIJのサービスを利用したほうがリーズナブルだと判断しました。IIJとは長い付き合いでもあり、信頼していることもありました。
フォレンジックツールやDDoS対策サービス以外にも、IIJに導入を依頼したシステムはありますか。
村上氏
プロキシサーバ、ロードバランサーなどがありました。プロキシサーバに関しては、クラウド型の外部サービスを利用する選択肢もありましたが、オンプレミスで機器を手元に置くことでオンラインジャーナルなどのアクセス元を細かく制御できるメリットなどを優先し、アプライアンスを導入することにしました。プロキシサーバやロードバランサーなども、要件にもとづいて導入製品を提案してもらい、一括して導入の対応をしてくれるIIJに依頼することにしました。
導入後の効果
ネットワークに対するクレームが減少、ボトルネックの原因も可視化で判明
コンピュータシステムのリプレースのタイムスケジュールを教えてください。
城所氏
2021年7月に情報収集のためのRFI(情報提供依頼書)を出しました。その際、精度の高い見積もりもお願いしました。精査した後に、RFP(提案依頼書)を同年9月下旬に提出し、10月半ばに提案を締め切り、11月に決定しました。その後、2022年4月に新システムがカットオーバーしました。
リプレース後のセキュリティ機能の導入効果をどのように評価していますか。
村上氏
DDoSプロテクションサービスについては、学内のネットワークでアラートが上がる回数が格段に減っているので、確実にバックボーン側で止められているのだと考えています。
磯上氏
サービス側で攻撃をしっかりと止めてくれていることは、プロテクションがかかると対象のホストと通信できなくなることで体感しています。DDoSプロテクションサービスがきちんと稼働している証拠です。
城所氏
これまで、DDoS攻撃と思われる原因でネットワークが重くなりクレームが上がっていましたが、体感的にはクレームが減っていると思います。
村上氏
クレームが来たときもNetScoutで可視化できるようになり、ボトルネックや障害がある程度切り分けられるようになりました。従来は原因が明確になりませんでしたが、NetScout導入後は「計算機センターのネットワークの問題ではなく、外部のネットワークやサービスの問題」と切り分けられるようになりました。
磯上氏
必要な期間のパケットを蓄積できるフォレンジックツールがないと、事後にネットワークが遅かったなどと言われても対応できません。フォレンジックツールとしても、NetScoutが有効に機能していると考えています。
どのような事案で効果を実感していますか。
磯上氏
日曜日に異常なトラフィックを検知し、NetScoutの可視化機能を使って調べたところ、特定の学内ホストに対して、数百台のランダムなIPアドレスからボットを使って総当たりの通信が発生していることが分かりました。攻撃の前の偵察であることをNetScoutで分析できました。
今回のリプレースを経て、今後についてのお考えがあれば教えてください。
村上氏
オンプレが良いというポリシーはありますが、内部に機器やデータがなくて済むシステムで外部のサービスが活用できるならば、いわゆるクラウド利用も検討してもいいかと考えています。インターネットの通信上で処理する機能であれば、サービスを利用する可能性もあり、IIJには様々な提案をしてもらいたいと思います。
導入したサービス・ソリューション
お客様プロフィール
学習院大学
大学キャンパス:東京都豊島区目白1-5-1
創立日:1877年10月17日
学生人数:9,249人(2022年4月時点)
教員数:1,077人(2022年4月時点)
※ 本記事は2023年3月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。
- お問い合わせ・見積依頼はお気軽にお客様に最適なサービスをご提案します
-
メールフォームでのお問い合わせお問い合わせ
電話でのお問い合わせ IIJインフォメーションセンター 03-5205-4466
(土日祝日除く 9:30~12:00、13:00~17:30)ログインアカウントをお持ちのお客様はIIJサービスオンラインからお問い合わせください
導入事例
資料請求・見積依頼もお気軽に
導入したサービス・ソリューション
- IIJ DDoSプロテクションサービス
- NetScout InfiniStreamNG
- NetScout nGeniusONE
リース満了に伴うリプレースを機にネットワークのセキュリティを強化
学習院大学の計算機センターの位置づけを教えてください。
学習院大学 村上登志男氏
計算機センターは部署としては学習院大学の附置研究施設の1つですが、学校法人学習院のICTシステムを実質的にすべて管理しています。幼稚園から大学までのシステムの構築と運用管理を3人で行っています。
村上 登志男 氏
ICTの管理の歴史やIIJとのお付き合いについて、教えてください。
学習院大学 城所弘泰氏
計算機センターにメインフレームがあった時代から、先進的な取り組みをしてきました。例えば、MS-DOSの時代からパソコンをネットブートで使う方式を自前で導入して、現在でいうシンクライアント(ネットブート型)環境に近いシステムを構築していました。
城所 弘泰 氏
学習院大学 磯上貞雄氏:
インターネットの利用も学校法人としては先行していましたから、IIJの設立当初からネットワーク回線の顧客としてサービスを利用しています。
磯上 貞雄 氏
情報システムのインフラの更新は、どのような考え方で行っていますか。
村上氏
基本的には、情報システムの一部を除き大半を数年に一度リプレースしています。インフラからパソコンまでリースで利用しているので、リース期限の切れ目でリプレースすることになります。前回は2018年にリプレースし、現状は4年に1回のリプレースを実施しています。
2022年のリプレースでは、どのような要件を出されましたか。
村上氏
基本的には、従来と同じサービスを学内に継続して提供することが要件です。使命と言ったほうがいいかもしれません。その上で、最近のトレンドに対応していくことを考えます。今回はセキュリティやシステムの安定性に重きを置きたいと考えました。