2008年4月末,広島大学はネットワークを刷新した。新ネットワーク「HINET2007」では,端末の認証機能とファイアウォール機能をネットワーク側に持たせ,一元的に運用・管理できる仕組みを取り入れた。従来のネットワーク「HINET2001」では,部局ごとにサブネットを割り当て,その運用を各部局に任せていた。

写真1●広島大学 情報メディア教育研究センターの相原玲二教授
写真1●広島大学 情報メディア教育研究センターの相原玲二教授

 HINET2007を計画したのは2006年後半。そのきっかけは,日常茶飯事になったウイルスや外部からの攻撃,ネットワーク・トラブルだった。「一番の問題は,実質的に誰が管理しているのか分からないこと」(広島大学情報メディア教育研究センターの相原玲二教授,写真1)。そのため,学生などが校外から持ち込んだ端末によってワームの感染が広がったり,勝手にケーブルをループ接続したりといったトラブルが生じていた。

 かつては部局ごとにネットワークに詳しい人がいて,ボランティアでネットワークの構築や運用を手がけていたという。しかし,そうしたボランティアも異動などでいなくなり,“ネットワークの自治”は機能しなくなっていた。ネットワークのトラブル・シューティングは7人だけで行っており,約2万台の端末を収容する大規模ネットワークを従来のやり方で運用するのは限界だった。

 そこで,ネットワークを“自由に任せる”という考え方を改めた。「本当は好きな考え方ではないが,管理されたネットワークを導入することにした」(相原氏)。具体的には,限られた人数で一元管理できる仕組みを備えたネットワークを構築することだ。

 HINET2007の一元管理の仕組みは,(1)認証ネットワーク,(2)研究室(教員)ごとのファイアウォール──の二つの柱から成り立っている(図1)。

図1●広島大学の新キャンパス・ネットワーク「HINET2007」の構成図<br>従来のネットワーク「HINET2001」は部局ごとにサブネットを割り当て,管理を任せていた。しかし,接続する端末の把握が難しくなり,ワームの感染が広がるなどの問題も発生した。そこで,認証に基づいたアクセス制御機能と教員ごとのファイアウォール機能によって,少ない人員でもセキュリティを維持できる仕組みを取り入れた新ネットワーク「HINET2007」を構築した。
図1●広島大学の新キャンパス・ネットワーク「HINET2007」の構成図
従来のネットワーク「HINET2001」は部局ごとにサブネットを割り当て,管理を任せていた。しかし,接続する端末の把握が難しくなり,ワームの感染が広がるなどの問題も発生した。そこで,認証に基づいたアクセス制御機能と教員ごとのファイアウォール機能によって,少ない人員でもセキュリティを維持できる仕組みを取り入れた新ネットワーク「HINET2007」を構築した。
[画像のクリックで拡大表示]

HTTPSで安全なWeb認証を実現

 (1)の認証ネットワークは,ユーザー認証に基づいたアクセス制御を備えるネットワーク・システムのこと。その基盤となるのは,認証サーバーと認証スイッチである。認証スイッチとは,端末のアクセス時に認証を実施し,認証に成功した端末だけを内部のネットワークに接続させるLANスイッチのこと。これにより,未登録の端末が勝手に内部ネットワークに接続される事態を防げる。

 認証方式は,一般に「IEEE 802.1X認証」,「Web認証」,「MACアドレス認証」の3種類がある。今回は,主要な方式としてWeb認証を採用した。その理由は,様々な種類のパソコンやバージョンが異なるOSなどをつなぐため。背景には「社員にパソコンを買い与える企業と違って,大学では教員や学生が自分のパソコンを利用することが多い」(相原氏)という事情があった。

 Web認証では,認証スイッチが返してくるWebページにユーザーが認証情報(ユーザーIDやパスワードなど)を入力する。OSの種類やバージョンは関係なく,Webブラウザが動作すればよい。プリンタなどブラウザが使えない端末はMACアドレス認証を使う。

 認証スイッチには,アラクサラネットワークスの「AX2430S」を採用した。同スイッチを選択した理由は,HTTPSを使って暗号をかけた際の処理速度だったという。

 HINET2007では,パスワードの盗聴を防ぐため端末と認証スイッチの区間にHTTPSを使う。そこで相原氏は,「HTTPSで100台の端末がアクセスしたときに30秒以内で認証処理を終えること」を条件に出した。アラクサラはこの条件を満たしたが,ほかのベンダーの製品は端末が10台でも処理が終わらずパケット・ロスが発生した。