次世代ファイアウォールで自由と安全の両立を実現 - 国立天文台

次世代ファイアウォール導入で約30%のコスト削減を実現

国立天文台工学博士・助教大江将史氏

世界最先端の観測施設を擁する日本の天文学のナショナルセンターである国立天文台は、大学共同利用機関として全国の研究者の共同利用を進めるとともに、共同研究を含む観測・研究・開発を広く推進している。また、国際協力の窓口としても、天文学および関連分野の発展のために活動。本部は東京都三鷹市に置かれており、水沢VLBI 観測所（岩手県奥州市）、野辺山宇宙電波観測所／太陽電波観測所（長野県南佐久郡）、岡山天体物理観測所（岡山県浅口市）、そしてすばる望遠鏡があるハワイ観測所など、国内外に主要な観測所を展開している。

国立天文台のネットワークは、主要拠点間通信としてデジタル高速専用線によるネットワークを使用し、対外ネットワークとしては学術情報ネットワーク「SINET4」に接続しており、どちらも研究の重要なインフラとなっている。


天文台歴史館（大赤道儀室）提供:国立天文台	太陽電波望遠鏡提供:国立天文台

「研究機関のネットワークとして、研究者の自由な活動を阻害しないように配慮しながら高いセキュリティを確保できるよう留意しています」と語るのは、国立天文台の工学博士・助教の大江将史氏だ。大江氏は国立天文台の天文データセンターに所属しており、情報ネットワークやネットワークセキュリティを研究しながら同天文台のネットワーク運用にも携わっている。

国立天文台では、10GBを超えるような広帯域を必要としない通信を対象としたネットワーク・セキュリティ対策として、ステートフルインスペクション型ファイアウォール、ステートレスファイアウォールとして利用するマルチサービスルータ、IPSなど、異なるメーカーの複数の装置を運用してきた。しかし、運用・保守コストの削減や、インバウンド/ アウトバウンドのトラフィックを可視化してセキュリティリスクを低減することを目指し、2010年、これらの装置をパロアルトネットワークスの次世代ファイアウォール「PA-4020」へと統合を果たしたのである。

「PA-4020へとシステム更新したことで、アプリケーションの可視化・制御が可能となり、国立天文台のネットワークが他のネットワークに被害をもたらすようなリスクを極少化することができました」と大江氏は語る。また、従来のファイアウォールやルータ、IPSなどの機能をPA-4020に集約化したことにより、ライセンス費や保守コストの約30%削減を実現するとともに、各機器のオペレーション技術の習得に関わるコストも削減できたという。

「研究所なので、企業のようにエンドユーザーのクライアント環境を1つのOS、特定の機種やアプリに限定することができません。エンドユーザーはさまざまな機種やOS、アプリを使用しているので、例えばVPNをサポートしていないOSを使っているユーザーがいてもサポートする必要があります。そのため。サポートのためのコストがITコストのかなりの比率を占めています。そうした保守運用コストなどを含めてトータルでコストを計算すると、複数のセキュリティ機器を運用するよりも1台に集約する現在の環境のほうがはるかに低コストになることがわかりました。セキュリティは特に費用対効果が求められるので、満足のいく結果が出ていると自負しています」（大江氏）

パロアルトネットワークスの次世代ファイアウォール「PA-4020」

これからの日本社会にふさわしいUIにもっと目を向けてほしい

ここ数年のネットワーク・トラフィックの増加を受けて、国立天文台では現在、PA-4020からPA-5050への移行を進めている最中だ。2013年にPA-5050を導入し、目下テストを続けながらPA-4020と並行稼働を行っている。

大江氏は言う。「現在、VPN機能の後方互換性をチェックして、問題がないことを確認できたところです。ファイアウォールは切り替えのタイミングが大事ですので、慎重にテストを繰り返しながら、問題ないことが確認できたら一気に移行しようと考えています。PA-5050に移行することで、パフォーマンスの向上とともにさらなるコストを削減できると見込んでいます」

大江氏は、PA-4020やPA-5050のようなアプリケーション・ファイアウォールの大きなメリットの1つとして、ポート番号に縛られずにアプリケーションを制御できる点を挙げる。

「あくまでWebへのアクセスを許可するのであって、80番ポートの通信を許可するのではないというコンセプトの価値は大きいですね。そして、脅威のシグネチャ・フォーマットとストリームベースのスキャンニング、URLフィルタリングを融合することで、アプリケーションの可視化・制御を実現し、インバウンド/アウトバウンド双方の脅威を極めて高い確率で止める能力があると考えています」

最後に大江氏は、これまでの導入・運用での経験などを踏まえて、これからのセキュリティ機器の方向性に対し、次のような提言を行った。

「現在、パロアルトネットワークスの製品の場合、主に人が操作するインタフェースとしてWebを採用しています。これは、旧来のファイアウォールの操作体系を拡張したものとなっています。この方向性は、他社製品からの移行にまつわる手間の軽減という意味ではよいものだと思います。しかし、設定の煩雑さが増し、設定ミスに対する原因調査に経験を要するなど、移行後のランニングコストの観点からはよいものではないと思います。これからの日本は未曾有の少子高齢化社会を迎えることになり、1人のエンジニアが担うべき範囲はより広大なものとなることでしょう。つまり、高いスキルのあるエンジニアが数多くの仕事を効果的にこなしていかねばならなくなるのです。パロアルトネットワークスも含め、セキュリティベンダーには、高度化するセキュリティ対策に対して、導入期から運用期を通して、APIやCLIも含めて、オペレータが思い通りにセキュリティ対策を具現化できるユーザーインタフェースがどのようなものか、ぜひ熟考してほしいですね」