立教大学
「検知」「隔離」「通知」
ネットワークウイルス対策における
プロセスの自動化を目指して
立教大学では、各研究室単位で様々なネットワーク環境を構築することがあるため、オープンなネットワーク環境を提供している。しかしネットワークウイルスなどの危険にさらされるリスクも高い。そこで、立教大学は、ウイルス感染の「検知」、「隔離」、「通知」といったプロセスを自動化するセキュリティソリューションの検討を急ピッチで進めている。 その中でTrend Micro Network VirusWall 1200(以下Network VirusWall 1200)の試験導入が行われ、ネットワークウイルス検知や感染コンピュータの隔離の機能、および装置そのものの信頼性が評価された。
導入背景
「証明書発行機までが感染していたのには驚かされました」
立教大学では、情報ネットワーク環境整備を1990年から進めてきており、2000年4月には、コンピュータセンターを移転してメディアセンターを新設している。ネットワークの整備に伴いセキュリティの強化も行っており、インフラ側ではファイアウォールやIDS(Intrusion Detection System)を導入。教職員に対してはクライアント用のウイルス対策ソフトのサイトライセンスを購入し配付している。さらに、「本学のメールサーバにはトレンドマイクロのInterScan VirusWallを導入しており、2万アカウント以上のメール全てを保護しています」(立教大学メディアセンター 課長 宮内文隆氏談)という体制だ。しかし、ネットワークウイルスの被害は同大学も受けており、MSブラスト(WORM_MSBLAST)が流行した2003年夏には、感染後の対応に追われることになった。メディアセンターの根本勇氏は次のように語る。「MSブラストの流行がピークとなった8~9月には、メディアセンターのスタッフに加えて平常時の倍の学生アルバイトをフルに動員して対処しました。」また、MSブラスト対応時にはこんなエピソードもある。「証明書発行機が突然動かなくなりました。OSがWindowsで動いていてMSブラストに感染していたんです。対応の自動化の必要性を痛感しました」と根本氏は話す。手動での対処では限界があるとして、メディアセンターではネットワークウイルス対策の予算を確保し、具体的なソリューションの検討を開始した。
選定ポイント
「対応プロセスの自動化に必要な機能を、ひとつでも多く満たす製品が必要です」
総合政策部IT計画課IT推進担当 主任の野本博一氏は、InterScan VirusWall エンタープライズエディション(以下ISVWEE)とInterScan for Lotus Notesの選択理由について、次のように説明している。
「メール環境のセキュリティを高めるために、従来のInterScan VirusWallから強化する形で採用しました。グループウェアにLotus Notesを使っており、職員どうしのメールは個人アドレスで、対外的には部署の代表アドレスでメールをやり取りするため、ISVW EEに含まれるInterScan Messaging Security Suiteを使ってフィルタリングする形にしてあります。また、LGWAN接続のために導入されたLinuxサーバに対応しているというのも、ISVW EE採用のポイントです。」
運用状況
「ネットワークを止めることがない、高い信頼性を確信しました」
ソリューション検討の一環として、「検知」および「隔離」を実現するトレンドマイクロのNetwork VirusWall 1200も立教大学でテストされた。検証は、メディアセンターの事務室および作業室、合計で数十台のコンピュータの上流側に設置して実際の環境で行われた。「Network VirusWall 1200を使えば接続前にウイルスの感染をチェックでき、ネットワークレベルでの信頼性を高められるでしょう。装置そのものの信頼性の高さも確信できました。期間中一度もダウンしませんでしたし、なによりもNetwork VirusWall 1200は検出機能などがダウンしてもネットワークそのものを停止させないので安心できます」と宮内氏は語る。また、根本氏は「脆弱性診断サービスなどは、まさに目的に叶った機能です。アナウンス前の新型ウイルスに感染したこともありましたが、そういった場合には大規模感染予防サービスが有効ですね。使い勝手の面では、導入後の運用を手放しで使うことができるのが便利だと思います」と評価している。立教大学では評価段階を終え、自動化プロセスを実現するソリューション構築に入ろうとしている。
将来展望
「既存資産を活かして、費用対効果の高いソリューションを構築したいですね」
立教大学のネットワーク基幹部分にはシスコシステムズのレイヤ3スイッチが導入されている。2004年6月、トレンドマイクロとシスコとのアライアンスが強化され、シスコ製のルータやスイッチに組み込まれている「シスコ侵入検知システム」にトレンドマイクロのウイルス対策関連技術が導入されることになった。脆弱性診断や大規模感染予防、感染復旧などの技術もシスコにライセンスされ、トレンドマイクロの提唱するTrend Micro Enterprise Protection Strategy、すなわち大規模感染のライフサイクルを総合的に管理するコンセプトを強化することになる。宮内氏は、このアライアンスの成果に大きく期待しているという。「シスコのスイッチとトレンドマイクロの技術の組み合わせで、うまくいけば解決できるかもしれませんね。学生や教職員などのユーザが快適かつ安全にネットワークを利用できるようにすることが、私たちの仕事。かといって、学生からお金を預かって運用しているのですから、できるだけコストは抑えねばなりません。そのために、既存ネットワーク機器も上手に組み合わせて費用対効果の高いソリューションを構築したいですね」
BIZ FOCUS
脆弱性のあるコンピュータやウイルス感染したコンピュータを検出、隔離した上でユーザに対策を促す機能
Network VirusWall 1200は、ネットワーク上を流れるパケットを解析し、TrendLabs(トレンドラボ)から配信されるネットワークウイルスパターンファイルを用いてネットワークウイルスを検出する。ウイルスに感染しているパケットは全て破棄されるので、ウイルスに感染したコンピュータは、ネットワーク上の他のリソースにアクセスできない隔離状態となり、ネットワークを安全な状態に保つことができる。これらが、立教大学の求める「検知」「隔離」機能である。なお、隔離機能には、脆弱性診断サービスと連動し、OSのセキュリティパッチが適用されていなかったり、ウイルス対策製品が導入されていないなど脆弱性の高いコンピュータを検出、隔離することも可能だ。隔離されたコンピュータはシステム管理者が設定したURLにリダイレクトされ、OSのパッチ適用やウイルス対策製品のパターンファイル更新などを行って安全な状態になるまでアクセスを規制されるので、ユーザに適切な対策を促すことができる。
また、立教大学では、パターンファイルが配布される前の最新ウイルスに感染した例がある。これに対しては、未知のネットワークウイルスの可能性が高いパケットを検出し、管理者に警告を出すネットワーク大規模感染監視機能や、危険性の高い通信(特定のポートやプロトコル、ファイルタイプや拡張子、インスタントメッセージングなど)を遮断するネットワーク大規模感染予防機能が有効となるだろう。未知のウイルスが流行したとしても、各種サーバやファイアウォール・IDSがパフォーマンス警告を発する前にメディアセンターのスタッフが異常事態を認知できるはずだ。
導入企業プロフィール
会社名
立教大学
創立
1874年5月5日
本社
東京都豊島区西池袋3丁目34番1号
代表
総長 押見 輝男
従業員数
教員1641名、職員263名(2004年5月1日)
事業
創始者ウィリアムズ主教の建学精神を受け継ぎ、「キリスト教に基づく教育」を志す大学。
2004年10月1日現在、池袋、新座の2キャンパスで学生14765名・大学院生1274名が学ぶ。
URL
