Skip to content

導入事例:大学共同利用機関法人 自然科学研究機構

サーバ仮想化に伴い“仮想パッチ”で脆弱性対策を強化
セキュリティパッチ適用の遅延に伴うリスクを解消


正規パッチ適用までの隙間をいかに埋めるか

国立天文台、核融合科学研究所、基礎生物学研究所、生理学研究所、分子科学研究所という5つの研究機関からなる自然科学研究機構。全国の大学などの研究者に共同研究の場を提供する大学共同利用機関法人である。
これら5つの研究機関のうち、基礎生物学研究所、生理学研究所、分子科学研究所の3つの機関は愛知県岡崎市に設置されている。敷地内には、岡崎統合バイオサイエンスセンター、計算科学研究センター、動物実験センター、アイソトープ実験センターといった研究施設や岡崎情報図書館、新分野創成センターなども併設され、岡崎共通研究施設として一大キャンパスを形成している。
今日、研究活動を行う上でITは不可欠なインフラとなっている。岡崎キャンパスでも、大容量化する研究データに対応するため、ネットワンシステムズと共に100GbEの高速ネットワークを構築するなど、様々なITインフラに積極的に投資してきた。
しかし、課題もあった。
現在、岡崎キャンパスでは、DNS(Domain Name System)やメール、Webサーバといった汎用的なサービスはキャンパス共有の物理サーバ上に研究所ごとの仮想マシンを構築して利用している。この仮想サーバや構内ネットワークなどの共通インフラは、岡崎情報ネットワーク管理室が一手に管理を引き受けているが、仮想マシン上で稼働するシステムのOSやアプリケーションについては、各研究所が自ら運用管理を行っている。
この運用体制で課題となったのがセキュリティパッチに関する問題だ。OSのセキュリティパッチがリリースされた際、岡崎情報ネットワーク管理室は早期適用を促すことはできるが、実際の適用作業は各研究所に委ねられてしまう。一方、各研究所側は、全国の研究者との共同研究を継続するためにも、パッチの適用に伴うメールサーバやWebサーバのサービスの停止はできるだけ避けたい。結果、パッチ適用の遅れから、システムの脆弱性が放置されるリスクを内在していたのである。
「脆弱性を放置したままでは、ホームページを改ざんされたり、スパムメールの踏み台にされるといった、セキュリティリスクを高めることにつながります」と岡崎情報ネットワーク管理室の大野 人侍氏は語る。

運用管理負荷の低さ 仮想環境との親和性を評価

このような課題を解決するため、岡崎キャンパスでは、Webサイトや雑誌などを利用して情報を収集。IT、セキュリティ関連のイベントなどにも積極的に参加しながら、最新技術の動向や製品の調査を行った。そうした中、同機構が目を付けたのが「仮想パッチ」技術だった。
仮想パッチとは、正規パッチを適用するまでの間、仮のパッチを適用し、サーバの脆弱性を保護する機能のこと。この技術を評価した岡崎キャンパスは、仮想パッチ機能を要件に盛り込み、競争入札を実施。最終的にトレンドマイクロの「Trend Micro Deep Security(以下、Deep Security)」を採用した。
「当初は、ネットワーク型のIPS(Intrusion Prevention System)なども検討しました。しかし、実際にファイアウォールに搭載されたIPS機能を利用してみたところ、シグネチャをアップデートする度にルールセットを記述しなければならないなど、作業負荷が大きく、現実的な選択肢とはなり得ませんでした。一方、Deep Securityの仮想パッチ機能は、エージェントが自動でサーバの脆弱性を見つけ出し、その脆弱性に必要な仮想パッチを自動で適用してくれます。正規のセキュリティパッチ適用後も自動で仮想パッチを解除してくれ、運用負荷の観点からも最適です」と大野氏は説明する。
さらに仮想化環境との親和性も高く評価している。分子科学研究所の内藤 茂樹氏は次のように説明する。
「そもそも、当時、仮想パッチ機能を搭載している製品は他に見当たりませんでした。さらにDeep Securityは、各仮想マシン上で稼働するエージェントとハイパーバイザー層で稼働する統一基盤が連携し、各仮想サーバのパッチ適用状況を統合管理できるなど、高い管理性を実現しています」。

Trend Micro Deep Securityの仮想パッチ機能適用イメージ

研究活動を妨げることなくサーバの脆弱性を保護

現在、岡崎キャンパスの共通サーバシステムでは、計30台の仮想マシンが構築されている。仮想マシンのほとんどは、LinuxディストリビューションのひとつであるCentOS(The Community ENTerprise Operating System)の最新版であるCentOS 6を搭載している。
Deep Securityは、最新版の「Deep Security 8.0 SP1」から、このCentOS 6にも対応。「当初はCentOS 6に正式対応していなかったため、CentOS 5のシステム上にテスト的に導入し、検証を行いました。この環境でも問題はありませんでしたが、念のため『Deep Security 8.0 SP1』のリリースを待ち、現在、本格的に展開しているところです。この間、トレンドマイクロは、CentOS 6への対応予定など、我々の問い合わせにも柔軟かつ迅速に対応してくれ、安心して取り組みを進めることができました」と内藤氏は語る。
まず岡崎キャンパスでは、全仮想マシンの2/3にDeep Securityの仮想パッチ機能を適用し、その後、必要に応じて随時、適用範囲を拡大していく予定だ。
「Deep Securityによって、これまで我々が抱えていたパッチ適用の遅延によるセキュリティリスクが解消されます。各研究機関の活動を妨げることなく、セキュリティを強化できたのは大きな成果です」と大野氏はDeep Security導入の成果を強調する。
今後、岡崎キャンパスでは、研究者の活動をサポートするため、研究者が持つiPhoneやiPadといったスマートデバイスからWi-Fi経由で各システムにアクセスできるような環境も構想している。いわゆるBYOD(Bring Your Own Device)だ。
「こうした利便性の高い環境を実現する上でも、セキュリティは大きなテーマとなります。トレンドマイクロには、今後も我々のニーズに最適な形で応えてくれるセキュリティソリューションの選択肢を提供していただきたいですね」と大野氏は、トレンドマイクロに寄せる期待を最後に述べた。

【導入先プロフィール】

名称 大学共同利用機関法人 自然科学研究機構
所在地 〒105-0001 東京都港区虎ノ門4-3-13 神谷町セントラルプレイス2F
設立 2004年4月
役職員数 役員8名、職員844名(2012年4月1日現在)
事業内容 国立天文台、核融合科学研究所、基礎生物学研究所、生理学研究所、分子科学研究所の5つの研究機関からなり、全国の国公立私立大学等の研究者に共同利用、共同研究の場を提供する中核拠点としての役割を担う
URL http://www.nins.jp/

※ 記載内容は2012年10月現在のものです。内容は予告なく変更される場合があります。