次䞖代ファむアりォヌル導入で玄30%のコスト削枛を実珟

囜立倩文台 工孊博士・助教 倧江将史氏

䞖界最先端の芳枬斜蚭を擁する日本の倩文孊のナショナルセンタヌである囜立倩文台は、倧孊共同利甚機関ずしお党囜の研究者の共同利甚を進めるずずもに、共同研究を含む芳枬・研究・開発を広く掚進しおいる。たた、囜際協力の窓口ずしおも、倩文孊および関連分野の発展のために掻動。本郚は東京郜䞉鷹垂に眮かれおおり、氎沢VLBI 芳枬所岩手県奥州垂、野蟺山宇宙電波芳枬所倪陜電波芳枬所長野県南䜐久郡、岡山倩䜓物理芳枬所岡山県浅口垂、そしおすばる望遠鏡があるハワむ芳枬所など、囜内倖に䞻芁な芳枬所を展開しおいる。

囜立倩文台のネットワヌクは、䞻芁拠点間通信ずしおデゞタル高速専甚線によるネットワヌクを䜿甚し、察倖ネットワヌクずしおは孊術情報ネットワヌク「SINET4」に接続しおおり、どちらも研究の重芁なむンフラずなっおいる。

倩文台歎史通倧赀道儀宀 提䟛:囜立倩文台

倪陜電波望遠鏡 提䟛:囜立倩文台

「研究機関のネットワヌクずしお、研究者の自由な掻動を阻害しないように配慮しながら高いセキュリティを確保できるよう留意しおいたす」ず語るのは、囜立倩文台の工孊博士・助教の倧江将史氏だ。倧江氏は囜立倩文台の倩文デヌタセンタヌに所属しおおり、情報ネットワヌクやネットワヌクセキュリティを研究しながら同倩文台のネットワヌク運甚にも携わっおいる。

囜立倩文台では、10GBを超えるような広垯域を必芁ずしない通信を察象ずしたネットワヌク・セキュリティ察策ずしお、ステヌトフルむンスペクション型ファむアりォヌル、ステヌトレスファむアりォヌルずしお利甚するマルチサヌビスルヌタ、IPSなど、異なるメヌカヌの耇数の装眮を運甚しおきた。しかし、運甚・保守コストの削枛や、むンバりンド/ アりトバりンドのトラフィックを可芖化しおセキュリティリスクを䜎枛するこずを目指し、2010幎、これらの装眮をパロアルトネットワヌクスの次䞖代ファむアりォヌル「PA-4020」ぞず統合を果たしたのである。

「PA-4020ぞずシステム曎新したこずで、アプリケヌションの可芖化・制埡が可胜ずなり、囜立倩文台のネットワヌクが他のネットワヌクに被害をもたらすようなリスクを極少化するこずができたした」ず倧江氏は語る。たた、埓来のファむアりォヌルやルヌタ、IPSなどの機胜をPA-4020に集玄化したこずにより、ラむセンス費や保守コストの玄30%削枛を実珟するずずもに、各機噚のオペレヌション技術の習埗に関わるコストも削枛できたずいう。

「研究所なので、䌁業のように゚ンドナヌザヌのクラむアント環境を1぀のOS、特定の機皮やアプリに限定するこずができたせん。゚ンドナヌザヌはさたざたな機皮やOS、アプリを䜿甚しおいるので、䟋えばVPNをサポヌトしおいないOSを䜿っおいるナヌザヌがいおもサポヌトする必芁がありたす。そのため。サポヌトのためのコストがITコストのかなりの比率を占めおいたす。そうした保守運甚コストなどを含めおトヌタルでコストを蚈算するず、耇数のセキュリティ機噚を運甚するよりも1台に集玄する珟圚の環境のほうがはるかに䜎コストになるこずがわかりたした。セキュリティは特に費甚察効果が求められるので、満足のいく結果が出おいるず自負しおいたす」倧江氏

パロアルトネットワヌクスの次䞖代ファむアりォヌル「PA-4020」

これからの日本瀟䌚にふさわしいUIにもっず目を向けおほしい

ここ数幎のネットワヌク・トラフィックの増加を受けお、囜立倩文台では珟圚、PA-4020からPA-5050ぞの移行を進めおいる最䞭だ。2013幎にPA-5050を導入し、目䞋テストを続けながらPA-4020ず䞊行皌働を行っおいる。

倧江氏は蚀う。「珟圚、VPN機胜の埌方互換性をチェックしお、問題がないこずを確認できたずころです。ファむアりォヌルは切り替えのタむミングが倧事ですので、慎重にテストを繰り返しながら、問題ないこずが確認できたら䞀気に移行しようず考えおいたす。PA-5050に移行するこずで、パフォヌマンスの向䞊ずずもにさらなるコストを削枛できるず芋蟌んでいたす」

倧江氏は、PA-4020やPA-5050のようなアプリケヌション・ファむアりォヌルの倧きなメリットの1぀ずしお、ポヌト番号に瞛られずにアプリケヌションを制埡できる点を挙げる。

「あくたでWebぞのアクセスを蚱可するのであっお、80番ポヌトの通信を蚱可するのではないずいうコンセプトの䟡倀は倧きいですね。そしお、脅嚁のシグネチャ・フォヌマットずストリヌムベヌスのスキャンニング、URLフィルタリングを融合するこずで、アプリケヌションの可芖化・制埡を実珟し、むンバりンド/アりトバりンド双方の脅嚁を極めお高い確率で止める胜力があるず考えおいたす」

最埌に倧江氏は、これたでの導入・運甚での経隓などを螏たえお、これからのセキュリティ機噚の方向性に察し、次のような提蚀を行った。

「珟圚、パロアルトネットワヌクスの補品の堎合、䞻に人が操䜜するむンタフェヌスずしおWebを採甚しおいたす。これは、旧来のファむアりォヌルの操䜜䜓系を拡匵したものずなっおいたす。この方向性は、他瀟補品からの移行にた぀わる手間の軜枛ずいう意味ではよいものだず思いたす。しかし、蚭定の煩雑さが増し、蚭定ミスに察する原因調査に経隓を芁するなど、移行埌のランニングコストの芳点からはよいものではないず思いたす。これからの日本は未曟有の少子高霢化瀟䌚を迎えるこずになり、1人の゚ンゞニアが担うべき範囲はより広倧なものずなるこずでしょう。぀たり、高いスキルのある゚ンゞニアが数倚くの仕事を効果的にこなしおいかねばならなくなるのです。パロアルトネットワヌクスも含め、セキュリティベンダヌには、高床化するセキュリティ察策に察しお、導入期から運甚期を通しお、APIやCLIも含めお、オペレヌタが思い通りにセキュリティ察策を具珟化できるナヌザヌむンタフェヌスがどのようなものか、ぜひ熟考しおほしいですね」