【導入事例】ネットワークの可視化で実現する快適で安全な学内システム

①高いセキュリティリスク

企業システムと比較して、学内システムは何が異なるのでしょうか。その一つは高いセキュリティリスクです。
「ネットワークなどの構成は、一般企業と大きくは変わらないと思います。一般企業との一番の大きな違いは、その性格上大学は広く開放されていて、学生、教職員以外の人も、自由に出入りできることです。企業の場合、ビルやオフィスの入口にゲートなどを設けることで、厳密に入退室管理を行っているところが多く、また従業員同士も知り合いが多いため、部外者が社内に入り込むことは困難です。一方、大学のキャンパスはというと、出入りは比較的自由で、一般の皆様に開放されることもあります。学生の数も多いので、知らない顔の人間がいても気にしない人の方が多いでしょう。こうしたこともあって、部外者が自分のPCをネットワークに接続することも可能です。もちろん正規の登録がなされていなければ利用できませんが、セキュリティリスクが一般企業に比べて高いのは事実でしょう。」（城所氏）。
「これに加えて、学生は社会人と比べるとITリテラシーやネットワークリスクへの意識は低い傾向にあると思います。例えばIDやパスワードを他人に教えてしまうなど、セキュリティに対する意識に欠ける面は否定できません。」（磯上氏）

②リアルタイム性が求められるアプリケーションの大人数での利用

学内システムのもう一つの特徴は、コロナ禍を背景としたリモート授業の導入により、Web会議などのリアルタイム性の高いアプリケーションを大人数で利用することがあります。利用シーン、利用者の数を考えると、アプリケーションの安定利用の重要性は一般企業と比較して、より高いと言えるかもしれません。実際、コロナ禍以降は利用者からの問合せが増加するという事態が発生しました。
「コロナ禍以降、本学においてもWeb会議システムなどのアプリケーションを利用してのリモート授業が主流となりました。その結果、Web会議のレスポンス、接続などの不具合に関する問い合わせが以前より多く寄せられるようになりました。学生と教員双方にとってWeb会議システムは最重要のアプリケーションですので致し方ないのですが、その多くは学内システムが原因とは思われない事象であり、原因が学内システム側なのか、外部のサービス側なのか、判別、証明できればと思っておりました。」（村上氏）
「リアルタイムで発生している問題であれば、ログを参照するなどして、学内システムの問題でないことなどをある程度判別できるのですが、どうしても事後の問合せが多く、その場合はログなどを遡って確認したりするのは非常に困難で、原因追及の手段はありませんでした。」（磯上氏）

①パケットを長期間保存できるフォレンジック機能の強化

企業システムの場合、利便性を多少損ねても、接続要件、利用要件を厳しくすることでセキュリティを高めることは比較的容易です。しかし学生の他に教職員、研究者などの様々な立場の人々があらゆるロケーションで利用する学内システムにおいては、利便性を犠牲にしてセキュリティを高めることは非常に困難です。このような事情も考慮し、学習院大学では利便性を損なうことなく、いざ重大インシデントが発生した場合には詳細な調査が行えるよう、ネットワークフォレンジック機器でインターネットとの通信のパケットを取得し、これを一定期間保存しています。

今回のシステム更改にあたっては、パケットの保存期間が最重要項目となりました。「本学でのフォレンジック機器の利用には歴史があり、2004年頃に初めて導入し、何度か更改し現在に至っております。ただ、ネットワークの大容量化に伴い、すべてのパケットを長期保存するという点では、ディスク容量の制限で、満足できるものがありませんでした。前回の導入から4年ほど経過するので、外部ディスクに対応しているなど、保存期間を強化できるものを紹介いただけないか、複数のベンダーさんに依頼しました。」（城所氏）

②ネットワーク可視化機能の強化

これまでの学内システムでも当然ながらネットワークの可視化機能は持っていたものの、アプリケーションのレスポンスに関係するトラブルシューティングを行う上では機能的に不十分でした。リモート授業等におけるアプリケーションのレスポンス以外にも、休日や夜間のトラフィック増が不定期に観測されるなど、ネットワーク的には正常通信と判定されてしまう怪しいトラフィックも、気がかりとなっていました。
「アプリケーションレベルの高度なネットワーク可視化製品が存在することは知っていましたが、以前調査した際はあまりに高額で、現実的に導入できるレベルのものではありませんでした。一般企業に比べて大学はITにかけられる予算も人員も少ないですから。そのような中、とあるベンダーさんよりフォレンジック製品、かつアプリケーションレベルのネットワークの可視化機能が強いという機器をご紹介いただき、それが検討のきっかけとなりました。」（城所氏）

複数製品を検討した結果、学習院大学は「NetScout nGenius」を採用しました。NetScout nGeniusは、ネットワーク上を流れるデータをキャプチャして、アプリケーションレベルでの通信をリアルタイムに解析することが可能です。この高度な可視化機能によって、アプリケーションレベルでのネットワーク障害を早期に発見でき、原因追及までの時間を大きく短縮できます。過去の通信状況を後から確認し、解析することも可能です。さらに、長期間にわたりパケットを大容量ストレージに丸ごと記録し、インシデントが発生した際に証跡を保全・解析するフォレンジック機能も備えています。

構成概略図

アプリケーションレベルでのネットワーク可視化機能はネットワークのさらなる安定稼働のために予想以上の効果をもたらしました。

「具体的には、NetScout nGeniusのダッシュボード機能を用いることで、学部や建物などのロケーション別やアプリケーション別のトラフィック、一定期間におけるピークトラフィックの推移が一目でわかることを始め、Web会議やMicrosoft 365などのアプリケーション別にトランザクションやレスポンスの推移を確認することができました。これにより、不明なアプリケーションが使用されていないか、過大使用している利用者がいないか、外部サービスの不具合で遅延が発生していないか、といったこれまで不可能だったレベルの解析が行えるようになりました。」（村上氏）

さらに、障害個所がサーバー側（アプリケーションレイヤー）か、ネットワーク側（TCPレイヤー）かを即時に切り分けて調査対象を絞り込んだり、保存されているパケットや統計値データから過去の障害を分析したりすることも可能です。このため過去の事象に対する問い合わせについても、原因を短時間で効率的に特定できるようになりました。「気になっていた休日や夜間帯などに時々発生する不明なトラフィックについては、研究室間の大容量のデータ送信などの他、海外ホスティングサーバからの通信などがありました。後者については攻撃前の巧妙な偵察行為などがあることが判明し、攻撃を受ける前に対処することができました。」（磯上氏）

ロケーション別使用率 Top10

このように学習院大学では、アプリケーションレベルのネットワークの可視化を行う、NetScout nGeniusを活用することで大きな成果を上げています。ICTの高度化に伴い、今後さらにクラウドサービスなども含む多様なアプリケーションの利用は増えていくものと予想されます。そのような環境において、NetScout nGeniusに対する期待は大きいです。「非常に高性能で多機能な機器で、導入には満足しております。今後さらに使いこなして、学内システムの安定性を高めていきたいですね。」（城所氏）

学習院大学では、ゼロトラストの観点から従来のファイアウォールやIPS *1 などの境界防御、EDR *2 では検知できないリスクにも対応可能なNDR *3 にも着目し導入している。今後、さらにSCSKが扱っているパケットキャプチャ型NDR製品「NetScout Omnis Cyber Intelligence（OCI）」の導入も検討候補の一つとしています。

SCSKは、米国NetScout Systems, Incの日本国内におけるマスターリセラーとして、NetScout製品を長年にわたり販売してきた実績・ノウハウがあります。快適で安全なキャンパスLANの構築・運用に向けて、今後も大学をはじめとする教育研究機関のご支援を続けてまいります。

*1 IPS：Intrusion Prevention System
*2 EDR：Endpoint Detection and Response
*3 NDR：Network Detection and Response