製品情報
導入事例
 
- 事例検索
- 自治体・公共団体
サービス
サポート
ダウンロード
セキュリティ情報
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
導入事例

名古屋大学 医学部保健学科
■業種:教育■導入製品:McAfee IntruShield■導入台数:1台
今回は、名古屋大学 医学部保健学科の先進事例を紹介します。名古屋大学では全学としてのセキュリティ対策は基本的な最低限のものに限られ、それ以上の対策は各キャンパスに任されていることから、医学部保健学科では、津坂昌利 助教授がポリシー策定やネットワーク利用のルールなどを決め、システム構築、運用、管理を一括して行っています。高度化・複雑化するさまざまな脅威に対抗するため、津坂助教授が採用を決めたのが、2005年7月に稼動を開始したIntruShield 2600です。IntruShield 2600の導入の経緯、効果と共に、医学部保健学科における今後のセキュリティ対策についてお聞きしました。



---まず、名古屋大学のネットワークの概要について、教えていただけますか?

津坂氏 そのお話をするために、まず、全国の大学、研究機関を結んでいる学術系ネットワーク「SINET」についてお話しましょう。SINETとは、国立情報学研究所(NII)が運営しているインターネット・バックボーンで、1990年代の初めに運用が開始されました。現在、そのバックボーンは、スーパーSINETとして10Gbpsという世界最高速クラスの研究用ネットワーク・インフラとなっています。スーパーSINETは、大きく東京、名古屋、大阪の3極で構成しており、3極における地域の核となる大学にネットワーク接続拠点(ノード)を設置しています。そして、各地域の大学はこのノードに1.5Mbps〜2.4GbpsまでのSINETによって接続するという構成になっています。名古屋大学は、このスーパーSINETの名古屋・東海地域のノードとなっているのです。
 一方、名古屋大学の学内ネットワークは「NICE(Nagoya university Integrated Communication Environment)」と呼ばれています。名古屋大学の施設は、主に多くの学部が集中しており、中心的な存在といえる東山キャンパス、医学部の医学系研究科や附属病院がある鶴舞キャンパス、そして医学部保健学科がある大幸キャンパスの3カ所にほぼ3角形に分散しており、各キャンパス間は10Gbpsの専用線で接続されています。各キャンパス講内は1Gbpsのネットワークになっており,最終的に各部屋では100M〜1Gbpsの帯域を使用できます。現在でもまずまずの高速ネットワーク環境が実現しています。
 また、名古屋大学では、情報基盤の整備の一環として「全学ID」という制度を取り入れています。これは、名古屋大学情報連携基盤センターが、すべての学生、教員、職員に対して発行している統一した体系のIDで、これを基に、全学単位や部局単位での情報サービスを行っています。

---学内ネットワークのセキュリティ対策など、運用・管理は情報連携基盤センターで統括しているのですか?

津坂氏 ネットワークのインフラそのものやIDの発行・管理などは情報連携基盤センター管轄ですが、名古屋大学としてのセキュリティ対策は非常に基本的な最低限のものに限られています。ただし、SINET自体は、東京にある学術情報センターが一括して管理しているため、DoSのような攻撃は大学にくる前に防御されるようになってはいますが、各キャンパス内におけるセキュリティ対策を初めとして、ポリシー策定やネットワーク利用のルールなどは、全て各キャンパスに任されています。ですから、例えば医学部保健学科のネットワーク管理やホームページの運用も私が担当して、運用・管理を行っているほどです。私もはじめからUNIXやネットワークの知識を十分に持っていたわけではなく、90年代の初めの頃に自分でメールを利用したいためにリモートでメールサーバーを立てたことがきっかけで、UNIXもLinuxも、ルーターなどのネットワーク機器の勉強も独学で試行錯誤しながら行ってきました。
 このような運用を行っている理由としては、それぞれの教育・研究現場におけるインターネット利用の状況がかなり異なるという点と、インターネットの運用はボランティアベースで始まり、自前で運用するという流れがあったからだと思います。それぞれの環境に合う、できるだけ自由で快適な環境をつくりたいという利用者側としての要望も関係していますが、同時に、大学本部が運用・管理の全てを統括し、きめ細かい対応を行っていくには、人員、コストに大きな制約があるという現実的な問題が大きく関係していると思います。多くの大学では、専用の要員が確保できず、教員や大学院生が運用管理を行っているのが現状です。



---なるほど。多くの学生を抱え、それぞれの利用状況も異なるという大学特有の運用の難しさがあるわけですね。そうした中で、医学部保健学科におけるセキュリティ対策は、どのように取り組まれてきたわけですか?

津坂氏 ここ医学部保健学科だけでも約1000名の学生と100名の教職員がいて、前述のように全員がメールアドレスを割り当てられていますが、そのコンピュータに対する知識もスキルもまちまちです。セキュリティの啓蒙として、毎年、学生と教職員を対象として4月にセキュリティ・セミナーを開催していますが、それでも中にはパソコンにトラブルがあるとあわてて電源コードを抜いてしまうといった方もみえるのです。一方、大学は高速なネットワークで、管理の甘いサーバがあることから攻撃の標的とされることが多く、さまざまな不正侵入の試みや悪意ある攻撃が集中します。そのため基本的には「ユーザーを信用しない」というスタンスで対策に臨んでいます。また、外部に対する対策と共に、内部の管理をしっかりと把握できることが重要であり、例えば、学生などが持ち込んだPCに紛れ込んでいたウイルスや悪意あるプログラムなどを学部外に流出させないようにすることも考えなければなりません。また、最近ではファイル交換ソフトに感染したウイルスによって情報漏洩も起きていますが、IntruShieldを導入することによってこれもシャットアウトすることができました。
 IntruShieldの導入は、実際にさまざまな脅威にさらされる機会も多くなって、こうした脅威からキャンパスのネットワークを保護することの必要性がようやく認知されたことから、2004年度に予算化が認められて導入が決まりました。以前は、ファイアウォールとSnifferを使って不正侵入対策を行っていたのですが、学内でウイルスなどが発生した時に、その感染源がどこで、それは誰が使っている端末なのか素早く特定するのが非常に困難だったのです。医学部保健学科ではクライアントの情報をデータベース化しているのですが、それでもできるだけ早く原因を特定するには限界がありました。
 IntruShieldを知ったのは、マカフィーさんのセミナーにたびたび参加していたことからです。実は、当初は不正侵入対策に、以前から試しに使っていたソフトウェアベースの製品の導入も検討していたのですが、その製品は不正侵入の検知(IDS)までで、防御機能(IPS)は持っていませんでした。その点がIntruShieldとの大きな違いでしたね。



---実際に導入され、IntruShieldの評価はいかがですか?

津坂氏 まず、ネットワークのどこで何が起こっているのか、的確な情報をリアルタイムに得られることですね。センサーという意味ではファイアウォールも同様ですが、必要な情報を即座に得られるという点は大きなメリットです。そして、ウイルス対策においても、一次フィルタとしての役割を果たしてくれる点です。最近の主な脅威の1つであるOSやアプリケーションの脆弱性を利用してネットワーク経由で感染するネットワーク型ウイルスはそこで全て止まってしまうので、おかげでUNIXサーバにインストールしたゲートウエイ型のウイルス対策ソフトのアラートがずいぶん静かになりました。同様に、ファイアウォールからもほとんど異常なログが出なくなりました。これは結構、びっくりするような結果でした。
 特にネットワーク型ウイルスは、脆弱性が発見されてから攻撃が始まるまでの期間が短く、ネットワーク接続していればメールを開いたりWebを閲覧しなくて感染するため、いったん感染すると非常に速い速度で蔓延する可能性があります。こうした脅威には、現在使用しているウイルス対策ソフトだけでは対応できない場合もあるので、こうしたウイルスを一次フィルタとして事前に削除してくれる点はIntruShieldの大きなメリットですね。実際にブロックされているのを見ると、してやったりという気分になります。
 一方、導入時はIntruShieldがネットワークのボトルネックにならないかということを最も心配していました。導入したのはIntruShield 2600で、スペックはスループットが最大で600Mbpsですが、インラインモードで設置しているため、全てのトラフィックがIntruShieldを通過しますから、正直なところ、はたしてどうなのかという懸念を持っていました。また、上位が折角10Gbpsの帯域があるのに、もったいないと思ったのです。しかしセキュリティ対策の方が重要であることを考えて採用に踏み切りました。また万一、IntruShieldに障害が発生した時、ネットワークが落ちてしまうことも心配でした。IntruShieldのセンサには、ハードディスク等の可動部品がないので、滅多にこわれることはないと思いますが、将来的には、スイッチでスパニングツリーを組むなり、対策を考えておこうと思っています。次に気を配ったのは、管理システムであるIntruShield Security Manager (ISM)の稼働環境です。ISMは分散配置した6個のセンサーまたはギガビットポートをサポートしてくれるため、ここにかなりの負荷が掛かると言われていましたし、導入前に手持ちのパソコンにISMをインストールして検証したところ、CPUスペックもさることながらメモリーを相当に必要とすることが分かったので、CPU 3GHz、メモリ2GB、SCSI RAIDというハイスペックなパソコンを新たに購入して専用マシンとして割り当てました。これにより、実際に導入してからもパフォーマンスが問題になることはなく、これまで安定稼動が実現しています。



---今後、ウイルス対策についても見直しを考えられているとお聞きしましたが?

津坂氏 不正侵入の手口と同様に、ウイルスも年々、高度化・複雑化しています。例えば、以前であればメールの添付ファイルにだけ気を付けていれば大抵のウイルスには有効であったものが、今ではそれだけでは不十分になっています。
 ウイルス対策はクライアントPCとメールサーバーについて、それぞれ異なる他社の製品を導入し二段構えで対応しています。クライアント用のアンチウイルスソフトについては、名古屋大学として契約しており、大学のIPアドレスを持つPCならどこでも使えるようになっていますが、メールサーバーについては、医学部保健学科として独自に対策を行っています。医学部保健学科では私が立てたUNIX(Solaris)サーバーを使っていますが、この対策には、別の他社のウイルス対策製品(ゲートウェイ型)を使っていました。しかし、特に1年前ほどからウイルスの取りこぼしが目立つようになり、クライアントPC側でアラートが上がるようになってきたのです。特に先ほどのようにネットワーク感染型のウイルスや新しいウイルス、その亜種などは、取りこぼすことがあるのです。
 さらに、最近ではスパムメールの存在が顕著で、HPにメールアドレスを記載しているようなアクティブな教職員が標的にされて、ものすごい数のメールが来ます。人によってはメールの8割以上をスパムが占めるほどです。これまでその対策として、ユーザー単位でメールソフトでスパムメールの切り分けをして対処してきたのですが、これからはゲートウェイでそうした対策を一括して行いたいと考えています。これによって、間違いなくスパムであるというメールを前処理として取り除くことによって、ユーザの負担もメールサーバの負荷も相当軽くなると思われます。しかし、スパムではない肝心なメールもスパム扱いにしてしまっては困りますので、さらっとフィルタをかけて、確実なスパムだけを取り除き、後の処理は各ユーザのメールソフトに任せようと思っています。ちょうど、がん検診で疑わしいがんを拾い上げ、さらに精密検診で絞り込むような考え方です。擬陽性(false positive)は減らしたいのですが、取り除きすぎると必要なメールも除かれてしまいます。メールサーバーでブラックリストやホワイトリストを作って、スパムに対応することもできますが、その手間と時間を考えると踏み込めませんでした。
 そのため現在、次のセキュリティ対策として導入を決めたのがマカフィーさんのWebShieldです。最近、セミナーにも何度か参加させてもらっていますが、かなり評判が良いですし、この製品によってウイルスやスパム、さらには最近問題になっているフィッシング詐欺などにもまとめて対処できるようになると考えています。それに、管理者の立場からもこれ以上、セキュリティ対策に煩わされたくないですから、ゲートウエイで対策をまとめてしまうことで自動化してしまいたいですね。



---最後にマカフィーへの要望をお聞かせください?

津坂氏 これはセキュリティ対策だけに限らないことですが、私自身、ネットワークやクライアントの運用・管理・保守にかなりの時間を割かれて、本職である研究や教育の時間が相当圧迫されているのが現状です。そのため、できるだけこうした作業は軽減したいのです。セキュリティ対策の必要性は政府もかなり強調しているものの、そのための人員や予算はなかなか付けてもらえないことが大きな理由ですが、これは私個人や名古屋大学だけに限った問題ではなく、日本の大学のほとんどが抱えている問題で、現場の研究者の中でコンピュータに詳しい人が兼任で管理を行っているのが現状なのです。しかし、いつまでもこうした状況が続けばいずれ限界がきますし、実際、私も少々、疲れてきたというのが本音です。ユビキタス社会を迎え、各家庭でもインターネットへの常時接続が可能になりました。今後ますますウイルス等の被害は増加してくるものと思います。企業等では、セキュリティ対策に多くの資金をつぎ込んでいますが、大学・教育機関では、なかなか予算と人員を確保できないのが現状です。特に限られた人員で効率よく管理するためには、自動監視システムの導入が良いと思います。最近は、管理の楽なアプライアンス製品が人気ですが、マカフィーさんには、導入しやすい価格で管理者の手間を省き、負荷を軽減してくれるような製品の開発を望みます。

---分かりました。ご要望にお応えできるよう、努めてまいります。今日は貴重なお話を有り難うございました。


●名古屋大学医学部 保健学科について
 名古屋大学医学部はその源を尾張藩校に発し、130年有余の歴史と11,000人を超える卒業生を誇る日本でも最古の医学部の一つです。1871年に名古屋藩の仮病院、仮医学校として発足、1931年にいたって第7番目の帝国大学の医学部となり、戦後は1947年に新制名古屋大学医学部として再出発しました。1978年に大幸キャンパスに設置された医療技術短期大学部が、1997年に医学部保健学科へと改組され、医学部は医学科と保健学科の2学科制となりました。保健学科(5専攻・12大講座)は,平成9年10月1日付けで,それまでの名古屋大学医療技術短期大学部(昭和52年10月1日5学科1専攻)を改組し医学部に設置されました。前身の短期大学部は,医学部附属の看護、診療放射線技師、臨床検査技師学校等を改組したもので、医療技術者教育では実に百年余の歴史と伝統を有しています。

取材日:2005年10月