全学ネットワークの全面刷新
ハイブリッド環境におけるゼロトラストネットワークで
自由を支えるための安全を実現（同志社大学様）

京都にキャンパスを構える同志社大学。高度な研究および学習環境を実現するためにICT環境の整備にも積極的に取り組んでいる。その大きなテーマの1つが「自由」。誰もが、いつでも、どこでも自由に使えることを重視している。その自由を支えているのが、数々のセキュリティ対策だ。新型コロナウイルスの感染拡大を受けて、リモートでの授業や業務が広がる中、同学はネットワンシステムズと共に新しいセキュリティ対策に取り組み、その自由を維持し続けている。

誰もが自由に使えるからこそICT環境のセキュリティを重視

「自由」と「良心」に立つ人間を養成するキリスト教主義教育を日本でも──。そう考えた新島 襄が創立した同志社英学校をルーツに持つ同志社大学。

新島の想いは、現在も同学が実践する教育のいたるところに浸透している。教育や研究の基盤となるICT環境もその1つ。「教育や研究の高度化に貢献すること。最新技術の導入に挑戦し、日本の私立大学を牽引してくことに加えて、『自由』に使えることもICT環境の大きな方針です。誰もが、いつでも、どこでも自由に使って教育にも研究にも役立てることができる。それが同志社大学が目指すICT環境です」と同学の山北英司氏は言う。

自由を目指すからこそ、同学が強く意識しているのがセキュリティである。

「特に現在は新型コロナウイルスの感染拡大を受けて教職員がテレワークを行うようになったり、授業の配信などを目的にクラウドサービスを広く利用するようになったりしています。そうした『ニューノーマル』『アフターコロナ』と呼ばれる状況にあっても変わらず自由を追求するには、これまでとは違う新しいセキュリティが必要になります」と同学の井部 力也氏は話す。

4年に1度の全学ネットワークの刷新
ベンダーに縛られない最適な提案を評価

4年に1度のスパンで行っている全学ネットワークの刷新においても、同学は自由と安全の両立を大きな方針に据えた。

「次期全学ネットワークでは、自由度を高めるために高速Wi-Fiを全学に行き渡らせる一方、学内・学外を問わず様々な場所で教育研究活動や業務を行うようになった学生・教職員に対する認証の強化が重要であると認識していました」と同学の山本 寿哉氏は言う。

構築パートナーを務めたのはネットワンシステムズである。

「ネットワークやセキュリティに関する豊富な知見と技術力を持っていることはもちろん、ベンダーフリーの立場で、偏りのないフラットかつ最適な提案を行ってくれる点を高く評価しました」と山北氏は話す。

多要素認証、クラウド型DNSセキュリティ
高度なサーバ保護の仕組みを実装

新たに構築した同志社大学の新全学ネットワークは、800ものアクセスポイントを駆使してキャンパス全域にWi-Fiを配備。通信速度も以前のネットワークから2倍以上向上しており、動画での授業やWeb会議など、増加するコンテンツやトラフィックにも対応した環境を実現している。また、教職員は学外にいても自由に学内のシステムにアクセスして、必要な業務を行えるようにしている。

この環境を支えているセキュリティ対策について、いくつか代表的なものを紹介しよう。

【1】Cisco DUOなどを活用して多要素認証の適用

「認証強化と利便性向上のため、様々なシステムへの入り口となっているポータルにログインする際に、ID／パスワードや絵柄を用いてワンタイムパスワードを生成する『イメージングマトリクス認証』、指紋や顔を使った『生体認証』、CiscoDUOを利用したスマートフォンアプリへのPUSH通知による認証の、いずれかを選択できる多要素認証を採用しました」と同学の松隈 三侑氏は言う。

特にCisco DUOは、利用者への多要素認証によるセキュリティ強化だけではなく、サーバ運用者に対するPUSH通知を利用したSSH接続の多要素認証も実現。さらに学外から全学ネットワークにリモートアクセスする際にも、Cisco DUOによるPUSH通知もしくは、TOTPが必要な多要素認証を行っている。

【2】Cisco Umbrella によるDNSセキュリティの導入

これまで同学は主にゲートウェイに設置したファイアウォールを通じて、IPアドレスによる通信制御を実施し、不正なインターネットアクセスを防いできた。しかし、これからはその仕組みだけでは不十分と判断した。

理由は大きく2つ。IPアドレスによるレピュテーションだけでは、現在の攻撃者やサイバー攻撃に対応するのが難しいこと。そして、すでに述べたようにリモートワークの導入によって、学外でも業務用デバイスが利用されるようになり、ファイアウォールを設置しても、そのゲートウェイを通過しないインターネットアクセスが増えていることだ。

そこで、導入したのがクラウド型DNS（Domain Name System）セキュリティのCisco Umbrellaである。

「Cisco Umbrellaは、DNSの名前解決の仕組みを利用して、不正な通信先へのアクセスを制御し、インターネット上の脅威からユーザーを保護する仕組みですが、クラウド型のサービスを利用することで、学内、学外を問わずあらゆるインターネットアクセスを保護します。まさにニューノーマル、アフターコロナに合致したセキュリティ対策と評価して導入しました」と井部氏は語る。

【3】Cisco SecureWorkloadで異常を検知したら自動で通信を遮断

全学ネットワークの刷新にあたり、同学は調達体制も見直した。これまでは、各部門がサーバなどを調達することもあったが、それを一元化。全学で共通のサーバ基盤を利用する体制にシフトしたのである。

この共通サーバ基盤に対して、同学はCisco SecureWorkloadというマイクロセグメンテーションと通信の動的な制御を駆使した、最新のセキュリティ対策を実施している。

具体的には、マイクロセグメンテーションによって、各仮想マシンを個別のセキュリティセグメントに論理分割。その上で、平常時のサーバ間通 信を学習し、それとは異なる挙動が発生したら、異常と認識し、そのセキュリティセグメントを他のネットワークから自動的に隔離するのである。また、攻撃手法がオープンになった脆弱性などに対して警告を受信することが可能であり、これら脆弱性を持ったシステムを改めて調査する必要がなく、その脆弱性があるシステムと通信させないように制御することも可能である。

「今後、共通サーバ基盤の利用が広がると、様々なシステムが相乗するようになります。そうした環境において、サイバー攻撃の被害が発生した場合、まず考えなければならないのが被害を最小化することです。この仕組みなら、それが可能と判断して実装しました」と山本氏は説明する。

このように、同学は様々なセキュリティ対策によって、ネットワークを保護し、目指す自由を支えている。「場合によっては、国益にかかわる重要な研究している研究室もあります。自由な環境を実現するのはもちろん、セキュリティレベルを強化できたことも私たちにとって大きな成果です」と山北氏は言う。

またネットワンシステムズについて、山北氏は「全学ネットワークの構築には、ネットワンシステムズ以外にも、NTT西日本をはじめとした多くの企業が関与していますが、他の企業とも密接に意見交換しながら、柔軟に対応してくれました。そうした対応も含めて非常に信頼しています」と続ける。

新島は「大学の完成には200年かかる」と考えていたという。2025年に150周年を迎える同志社大学は、最新のICT環境を駆使しながら、完成された大学を目指し、次の50年を歩んでいく。

学校法人同志社 同志社大学 様について

京都にキャンパスを構える日本有数の私立大学。新島 襄の志を受け継ぎ「良心」と「自由」に満たされた学園と社会の実現を目指しています。

詳細は https://www.doshisha.ac.jp をご覧ください。

お問い合わせ

Webからのお問い合わせはこちらから

お問い合わせ窓口へ

ナレッジセンターを検索する