製品情報
導入事例
 
- 事例検索
- 自治体・公共団体
サービス
サポート
ダウンロード
セキュリティ情報
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
導入事例

独立行政法人 産業技術総合研究所
■業種:公共団体■導入製品:McAfee IntruShield 4000■導入台数:2台



独立行政法人 産業技術総合研究所(以下:産総研)では、マカフィーのリアルタイム・ネットワーク侵入検知・防御製品「McAfee IntruShield 4000」を2台導入し、4月より実稼動を開始しました。産総研内での全所的なネットワーク構築・管理・維持、情報セキュリティ保持、基幹業務システムや情報システム構築・管理・支援を担う部署であり、今回のIntruShield 4000の導入を主導した産総研 先端情報計算センターの次長、佐藤義幸博士に先端情報計算センターの役割とセキュリティに対する取り組み、そしてシニアリサーチャーの正木篤博士に、IntruShield 4000の導入の経緯とその効果について、お話をお伺いしました。


--まず、産総研 先端情報計算センターについて教えてください。

佐藤氏 先端情報計算センター(TACC)は、産総研の各研究ユニットに対して、スーパーコンピュータなどの超高速計算機利用の技術的支援、高速ネットワークによる産総研および国内外の情報交流の促進、研究用データベースの整備・運用を行っています。具体的には、産総研内の全所的なネットワーク構築・管理・維持、情報セキュリティ保持、基幹業務システムや高性能コンピューティングを含む情報システム構築・管理・支援といった業務を主として担う部署です。

例えば、超高速計算機では、クラスタ計算機「AISTスーパークラスタ」を平成16年3月末に導入し、グリッド研究センターが調整しています。LinuxをOSに、全体で14.6TFLOPSの総演算性能と世界的にもベスト10に入る性能を持ち、世界最高速の計算機である地球シミュレータの約1/3のピーク性能を低コストで実現しています。

高速ネットワークの整備ですが、TACCが管理する産総研ネットワークは、基幹部が1Gbps以上で冗長化され、東京本部および各地域センターとWAN回線を介して接続しています。インターネットへのアクセスはつくばWAN経由で行っています。つくばWANは、筑波研究学園都市内の研究機関を超高速(10Gbps/総容量570Gbps)のアクセスリングで結ぶネットワークで、産学官の共同研究、交流が効果的に行えるよう、筑波研究学園都市内に点在するスーパーコンピュータ、大規模データベース、高度なシミュレーションソフトウェアといったリソースを活用できる環境を提供しています。TACCは、つくばWANに参加する各研究機関を結ぶ中継点として、大きな役割を果たしています。


--産総研内におけるネットワーク利用者は、どのくらいの規模になるのですか?

佐藤氏
産総研には約1万台のコンピュータがあり、現在の登録ユーザー数は9000人を超えています。内訳は、研究者が2400名、研究の支援、管理などに関わる所員が800名、そして共同研究者や学生、外国の研究者など外部からの研究者が5000-6000名です。筑波には全体の8割ほどの7000-7500名くらいがいます。

--産総研の基幹的なインフラの整備・運用を行う一方で、セキュリティの保持も担っているわけですね

佐藤氏
はい。産総研という最先端研究の拠点において、情報セキュリティ保持は大きなテーマとなっており、TACCは、産総研の情報セキュリティポリシーの運用において中心的な役割を果たしています。

産総研ではISO/IEC17799標準をフレームワークとした情報セキュリティポリシーを策定し、平成15年7月1日から施行しました。


--膨大なユーザーを抱える中で、高いセキュリティレベルを維持していくのは、大変難しいことと思いますが?

佐藤氏
ええ。情報セキュリティポリシーを施行してから、産総研のユーザー全員がセキュリティ研修を行うと共に、毎月のように、随時、講習会を開催しています。また、定期的に情報セキュリティ委員会を開催し、情報セキュリティ上のさまざまな規定を決定し、実施しています。

しかし、全体で約9000名という多くのユーザーを抱え、セキュリティに対する知識や意識もまちまちな中で、セキュリティを維持していくのは容易ではありません。特に、問題となるのはセキュリティレベルの最も低いところで、そこからウイルスなどに感染してしまうのです。実際、ワームなどは最高で1日に6万通以上も送られてきたこともあり、Blaster、Netskyではそれぞれ100台以上の感染を経験しました。ウイルスに感染したノートパソコンを所内に持ち込んだり、感染に気付かずに使い続けていることもあります。特に、最近のネットワーク感染型ウイルスの場合、中に持ち込んでしまったら、1時間に何百、何千というウイルスをばら撒くことにもなりかねません。

だからといって、一律にセキュリティを規定し実施を徹底すればよいのかといえば、決してそうは行かないのが研究所の特性なのです。活発な研究ができるように、研究者にはできるだけオープンな環境を提供してあげたいというのが理想です。しかし、それがセキュリティ面では大きな問題となります。

実際、外部に公開しているサーバーなどの脆弱点を狙って、意図的に侵入を試みるケースも数多く発生します。また、特に学生の中には禁止事項に違反する行為も見受けられます。それには単に運用規定を徹底するだけでなく、モラルに対する自覚も必要です。このように研究所では、一律にセキュリティを規定し実施を徹底することが難しく、また、現実的ではないという側面もあるのです。その中で折り合いを付けながらセキュリティを維持していかなければならないという難しい問題を抱えているのです。


--そうした難しい状況の中で、不正侵入検知・防御のために「McAfee IntruShield 4000」をご導入いただいた理由について教えてください?

正木氏
まず、不正侵入検知の製品導入の前提ですが、ネットワーク環境が従来の100MBから1GBへと10倍に高速化したことから、4-5年前に比べてユーザーの利用形態も変化しています。われわれも土日や夜間に呼び出しを受けることもありますが、24時間、人による常時監視を行っているわけではありません。このようにネットワークやシステムの運用・管理に携わる人員が限られている中で、高いセキュリティを維持していくには優れた機器に頼らざるを得ないわけです。

ネットワークが10倍に高速化する中、以前から導入していた不正侵入検知製品では、パフォーマンスが対応できなくなってきたという点がありました。一方で、ウイルスをはじめとする外部からのアタックも高度化、巧妙化しており、次々に新しいパターンの攻撃も発生しています。そうした攻撃に対処するには、未知の脅威に対応できる高度な機能と高いパフォーマンスを両立できる不正侵入検知製品が不可欠になろうとしていました。こうした点を仕様書にまとめ、その条件をクリアする製品として仕様書を満足し、入札の結果、最終的に導入したのが、McAfee IntruShield 4000だったのです。

IntruShield 4000は未知の脅威に対応するアノマリ解析の機能を持ち、また、産総研特有のシグネチャにも対応するなど、侵入検知から防御まで実現した製品でした。パフォーマンスでもGBネットワークに対応しています。さらに、今後の対策に役立てていくためにも、アタックなどの状況分析が容易に行える製品であることも大きなメリットと考えました。


--2004年4月に稼動を開始したわけですが、実際に利用されての感想はいかがですか?

正木氏
不正侵入の検知という目的については、導入前に期待した効果を確実に発揮してくれています。また、IntruShield 4000はスペック値で最大で2GBのパフォーマンスをうたっていますが、実際に非常に高いパフォーマンスを発揮してくれています。当初、IntruShield 4000はこれまで利用してきた不正侵入検知製品がカバーしていなかった新しいLANでの利用を目的に導入したのですが、パフォーマンスの高さから産総研のインターネット接続を担う基幹ネットワーク部でも活用をはじめ、現在は従来の製品と併用して利用しています。今後は、IntruShield 4000にこの基幹部分の不正侵入検知を完全に任せてしまう予定です。

--そのほかの評価点はいかがですか?

正木氏
バーチャルIDSの機能も高く評価しています。高度化、巧妙化するさまざまな脅威に対して、きめ細かい監視を実現していくには、1つのセンサーで多数のポイントを監視できるバーチャルIDSの機能は大きなメリットです。

また、状況分析の容易さという点では、前から利用している不正侵入検知製品は、DOSやウイルスメールが集中した際に、そのすべてを何万、何10万と表示するので、その間に別の脅威を検知しても膨大なアラートの中にまぎれてしまって見落としてしまうこともありました。しかし、IntruShield 4000はそうした同じ種類の大量攻撃を集約して表示してくれるため、管理が容易になり、肝心なアラートを見落とすこともありません。このように管理が簡素化されたことによって、迅速な対応も可能になったと思っています。

加えて、IntruShieldのポリシーは、デフォルト設定のまま、ほとんど手を加えなくとも実際の運用環境で十分に使用できるため、管理者としては導入面で助かりました。このほかにも、Webブラウザで管理画面を表示できる点が便利であると共に、動作が軽快であるというメリットもあります。


--今後のIntruShield 4000の活用や期待する点はありますか?

正木氏
今後の活用ですが、現在は、IntruShield 4000を不正侵入検知(IDS)としてのみ使用しているのですが、IntruShieldの大きなメリットの1つに不正侵入防御(IPS)機能を備えているという点なので、その活用は課題となっていくでしょう。IPSとしての活用で考えているのは、特定ポートの防御などに使用していくことです。例えば、脆弱性を狙った攻撃などでは、特定のポートをインラインモードで通すことで防御を実現できると考えています。

管理者として製品に希望する点は、管理画面により的確でわかり易いアラートを表示してもらえることですね。また、セキュリティ製品なので、手の内を明かさないためにどうしてもブラックボックス化しなければならないというのも解りますが、実際に使用する立場から言えば、できるだけの情報公開をしてもらえるとうれしいですね。同時に、カストマイズできる範囲を拡大して欲しいと思います。

また、セキュリティ全般について言えば、外部からの不正侵入対策以上に、産総研の内部から外部に向かって不正なものを発信したり、重要な情報を間違って出してしまうことがないように徹底することですね。これは産総研自身の信用に直結する問題でもありますから。研究所という特性から、特許情報や個人の非常にプライベートな情報など、研究所内でも取り扱いに注意を要する重要な情報が数多く存在しています。しかも、外部と共同研究を行っている中で、その特許情報を間違って流出させてしまったら、われわれだけの責任や損失では済まなくなりますから。その意味からも、内部からの情報流出および個人情報の取り扱いは今後の大きなテーマだと考えています。

--分かりました。今日は貴重なお話を有り難うございました。