国立大学法人 群馬大学 様

認証と仮想化技術でセキュリティ強化 利用端末に応じたVLAN自動接続で利便性を向上

ポイント

導入製品

認証システムの導入と10Gbps高速接続への対応

　国立大学法人 群馬大学（以下、群馬大学）は、教育学、社会情報学、医学、理工学の4学部5研究科などの教育研究組織からなり、学生約6,500人、教職員約2,500人を擁する北関東を代表する総合大学である。特にグローバルな時代に活躍する人材の基盤を形成するための新しい科目として“学びのリテラシー”の導入、英語教育の改革、留学支援などを推進している。さらに、次世代のリーダー養成のためのグローバル・フロンティア・リーダー（GFL）育成コースを全学部で開設するなど、群馬大学は常に自己を見つめ直しながら改革を行い、発展を図っている。

　キャンパスは、荒牧キャンパス・昭和キャンパス（前橋市）、桐生キャンパス（桐生市）、太田キャンパス（太田市）の4か所に分散しており、その他附属学校も含めてデータセンターを経由して、全キャンパスがネットワークでつながっている。国内外の大学や研究機関間を広帯域で結ぶ学術情報ネットワーク“SINET®”と、独自に構築した群馬大学学術情報ネットワーク“GUNet”を接続するなど、当時のネットワークとしては先進的であった。

国立大学法人 群馬大学 総合情報メディアセンター 講師 博士（理学） 浜元 信州 氏

そのネットワークは、2001年以来長年更新していなかったのだが、2010年3月に荒牧キャンパスでネットワークのリプレイスを実施。光直収ネットワークを導入し、安定的なネットワーク環境を実現した。他のキャンパスではコスト的な課題から導入を見送っていたが、ネットワークの老朽化が進み、2016年に全キャンパスのネットワーク更新に踏み切った。 　群馬大学 総合情報メディアセンター講師 博士（理学）の浜元 信州氏は、そのときの状況を 「機器の故障でネットワークの停止が多くなり、安定的なネットワークへ一気に刷新したかったのです。もうひとつは、認証システム導入の必要に迫られたことです」と語りはじめる。

従来のネットワークには認証システムはなく、LANケーブルをつなげば誰でも学内ネットワークに接続が可能であり、特に接続者を識別していなかったという。 　「インシデントが起きた時の原因を調べるために、まず接続者の特定が必要でした。以前のシステムでは、接続者を割り出すのに時間も手間も要していました」と、群馬大学 総合情報メディアセンター技術専門職員 齋藤 貴英氏は、当時を振り返る。 　また外的要因として、2016年にSINETがSINET5に更新され、10Gbpsの高速通信サービスを提供開始したことが挙げられる。

国立大学法人 群馬大学 総合情報メディアセンター 技術専門職員 齋藤 貴英 氏

　従来はSINETを経由して学外と1Gbpsで接続していたが、10Gbpsの高速接続を計画した。しかし、当時使用していたスイッチやファイアウォールなどの機器は、10Gbpsの高速接続には対応していなかった。

　そのため、10Gbpsの高速接続への対応と、認証システムを始めとするセキュリティの強化が今回のネットワーク更新のミッションとなった。

3週間という短期間で全キャンパスのネットワークを更新

　新しいシステムは2013年頃から構想を練り、入札のうえ2015年12月に構築を開始。2016年4月から稼働が始まった。

　システムの構築や移行はどのように行ったのだろうか。既存ネットワークを並行稼働させながら新しいネットワークも構築するという難易度の高い作業となった。日中はネットワークを止めるわけにいかないため、その構築作業は夜間と土・日で行ったという。さらに桐生キャンパス、昭和キャンパス、太田キャンパスでは建屋ごとに点在するスイッチを個別に置き換えていくなど、膨大な作業量だった。構築に要した期間はトータル約4か月だが、実際の現場での作業期間はわずか3週間ほどというからかなりのスピード構築だ。

　「短い期間で、夜間休日しか作業ができないなど、さまざまな制約のあるなかで、日立電線ネットワークスの皆さんはよくやってくれました」と、齋藤氏はその成果に目を細める。

　新たに導入された認証システムの構成は、以下の通りとなっている。群馬大学災害対策用データセンター（以下、災害対策DC）に、Account@Adapter+（VA版）のマスター機とスレーブ機の2台を設置。荒牧キャンパス・昭和キャンパス・桐生キャンパスにAccount@Adapter+（アプライアンス版）を各1台の合計5台設置している。端末のMACアドレス情報は、災害対策DCに設置されたマスター機で登録され、各スレーブ機にレプリケートされる。各キャンパスに設置されたスレーブ機でユーザーはネットワーク認証され、システムを利用できる。万一トラブルが生じた場合は、ネットワーク経由で災害対策DCのスレーブ機でネットワーク認証することが可能な地理的に離れた構成とし、耐障害性を向上させている。

　認証の方式は、MACアドレス認証とWeb認証の2通りを使い分けている。原則として、教職員の使用する端末はおおむね固定となるため、MACアドレス認証となる。MACアドレスの登録は、事前に各自で行うセルフ登録システムが導入されており、管理者の手間を省いている。Account@Adapter+には、ユーザーの所属部署情報を登録してあるため、ユーザーがMACアドレスを登録すると、自動的に所属部署のVLAN番号とそのMACアドレスがひも付けされる。つまり、MACアドレスの登録された端末ごとに接続すべきVLAN番号も指定されるため、ユーザーが移動して通常と異なる場所でLANケーブルを挿しても、ユーザーの所属部署ごとに指定されたVLANにつながる動的VLANを採用している。
「従来は、部屋の模様替えや移動の際にはVLAN番号の付け替えをスイッチに対して手動で行っていました。所属が変わらなくても部屋を移動するだけでVLAN番号を変える必要があったので、ユーザーも管理者も設定を変更する手間がかかっていました」と、浜元氏は当時を思い返す。

国立大学法人 群馬大学 総合情報メディアセンター 技術職員 小田切 貴志 氏

「昔は、VLAN番号は“建物にひも付いている”感じでした。今は、“人にひも付いている”というイメージとなり、使い勝手がよくなりましたね」と、群馬大学 総合情報メディアセンター 技術職員 小田切 貴志氏は笑顔を見せる。MACアドレスが登録されている機器の台数は約5,000台、当然、プリンターやネットワークストレージなどの周辺機器もMACアドレス認証となる。学生は、私物の端末を持ち込みネットワークに接続するため、Web認証のみでネットワークを利用している。Web認証している端末は、500台程度になるという。 　また、スイッチには、アラクサラネットワークス社のAXシリーズを導入し、10Gbpsの高速接続を実現した。これらの機器で、VRF（Virtual Routing and Forwarding）とVDOM（Virtual Domain）を使用し，学外との通信に加え学内の通信にもアクセス制限やUTM機能を適切に適用できるようになった。

柔軟性の高いAccount@Adapter+がニーズに合致し、課題を解決

　群馬大学では、以前は自作の認証サーバーで運用していたというが、浜元氏は
「自作のシステムでは運用が属人的になってしまいます。ユーザーの要望を満たすために自由に作れる反面、中身は作った人にしかわからない。これでは運用管理の面で不都合が生じます」と、その課題を語る。
「Account@Adapter+は柔軟性が高く、こちらの要望にうまくマッチさせることができました。課題もありましたが、素早い対応で解決してくれました。既成品として、このような要件を満たす製品は少ないのです」と、Account@Adapter+の優位性を語る。

　また、齋藤氏が特に気に入ったのは、アラクサラネットワークス社の製品だという。
「アラクサラは、情報が豊富に公開されているため、知りたいことがすぐにわかる点がよいですね。公式の日本語マニュアルも充実しているので海外メーカーの製品のように使い方に困ることはありません」と、齋藤氏は、とても好印象を抱いているようだ。

　では、今回のネットワーク更新は成功といえるのだろうか。

　浜元氏は「今回の更新ではSINET5への対応や認証システム導入など、ミッションとしていたことがおおむね実現でき、うまくいったと思います。日立電線ネットワークスは短期間でしっかり対応してくれました」と満足気に語り、
「今後は、VLANの構成をもっと細かく分けるなど、セキュリティ面を一層強化していきたいです」と、さらなる意欲を見せた。

　群馬大学は、今後もネットワークの進化を止めることなく、ますます魅力あるキャンパスになっていくだろう。

PDFダウンロードはこちらから

国立大学法人 群馬大学 様

昭和24年に新制の国立大学として誕生した群馬大学は、群馬県前橋市、桐生市、太田市にキャンパスを有する、北関東を代表する総合大学である。豊かな教養と高度な専門性をもった人材を育成するとともに、教育および研究活動を世界的水準に高めるため国内外の教育研究機関と連携し、最先端の創造的な学術研究を推進している。

名称 国立大学法人 群馬大学 URL http://www.gunma-u.ac.jp/

---