高輝度光科学研究センター 多くの外部研究ユーザが利用する実験施設で

A Customer Success Story
高輝度光科学研究センター
多くの外部研究ユーザが利用する実験施設で
持ち込みPCの脅威からネットワークを保護する
InterSpect
ユーザ
財団法人 高輝度光科学研究センター
分野
研究機関
チェック・ポイント製品
高輝度光科学研究センターについて
財団法人 高輝度光科学研究センター
(JASRI)
が管理運営するSPring-8(Super Photon Ring - 8
GeV)
は、世界最大・最高水準の放射光を利用することができる大型の実験施設です。放射光は、
電子が磁場で曲げられたときに、その進行方向に放射される電磁波です。加速された高エネルギー
電子ビームから発生する、この放射光を使って、タンパク質巨大分子の3次元構造解析や新薬
開発など生命科学への応用、先端材料の原子・電子の構造解析、新物質創製など物質科学への
利用といったほか、環境科学、医学、産業などさまざまな分野で利用されています。日本原子
力研究所と理化学研究所が共同で建設し、その管理運営を行っているのが高輝度光科学研究
センターです。
■
InterSpectTM 410/610
■
FireWall-1®
ニーズ
■
施設の外部ユーザによる持ち込みPCの脅威から
ネットワークを保護
■
管理者権限のないコンピュータに対するセキュ
リティ対策
■
メイン業務に負担をかけない運用管理
兵庫県西部に位置する播磨科学公園都市に建設され、1997年に運転を開始したSPring-8は、
周長1,436mの蓄積リングへ加速エネルギー8GeV(ギガ電子ボルト)で入射された電子ビーム
からの放射光を用いて実験を行うための、多種多様な約60本のビームラインと呼ばれる実験
施設を備えています。ビームラインは、高エネルギーX線回析、粉末結晶構造解析、構造生物学
など研究目的・手法別に運用されており、大学、研究機関、多数の企業などが利用しています。
課題
SPring-8の施設内のネットワークは、大きく3つに分けられています。1つが中央管理棟や各実
験施設棟を結ぶ、施設のスタッフ等が利用するOA-LAN。もう1つが、蓄積リング棟の周囲に配
置されたビームライン実験室(実験ホール)で利用されている、ビームライン利用実験用のLAN
(BL-User-LAN)
。そして、加速器やビームラインなど装置自体を制御するための制御系ネット
ワーク
(Control-LAN)
です。実験で得られたデータは、BL-User-LANからOA-LAN上にあるファイル
サーバへ転送することができます。また、BL-User-LANからインターネット経由でユーザの大学や
企業に転送することもできます。
「プラットフォームの統一やポリシーの
強制適用が難しい外部ユーザの
コンピュータが多い環境で、
InterSpectは内部セキュリティの
強化に大きな成果を発揮しています」
高輝度光科学研究センター
ビームライン・技術部門
石井 美保 氏
BL-User-LANは、高輝度光科学研究センターのビームライン・技術部門により管理されています。
ビームラインには、それぞれ担当者が配置され、BL-User-LANにつなぐコンピュータは、各担
当者により管理されています。したがって、ネットワークの管理者とコンピュータの管理者は、
異なります。
特にBL-User-LANは、外部ユーザがノートPCなどを持ち込んで利用できることから、セキュリティ
に不備のあるコンピュータによるネットワーク・セキュリティのリスクは以前から問題であったようです。
そもそも、InterSpectTMの導入を検討するきっかけになったのは、そうした外部から持ち込まれた
ワームに感染したノートPCが原因で、ネットワーク障害につながったことが発端だったといいます。
「2003年8月にWelchiに感染したノートPCがpingエコーを大量に発信したため、BL-User-LAN
の基幹L3スイッチのCPUリソースが限界に達し、ネットワーク自体がダウンするという障害が発
生しました。BL-User-LANはビームラインごとにVLANでセグメント化され、VLAN間の接続がで
きないようになっているので、他のビームラインに感染が広がることはありませんでしたが、ネット
ワーク全体を麻痺させるような大きな影響が出ました」
(ビームライン・技術部門 石井美保氏)
。
チェック・ポイントは、境界、内部、WEBなど、
ネットワークのあらゆる局面に対するセキュリティ・
ソリューションを提供します。これにより、企業
はネットワークや、ネットワーク・リソース等を安全
に保護しながら、高い接続性を実現するリモート・
アクセスを提供し、簡単に管理することができます。
1
その後も被害は大きくなかったものの、数
件のワーム感染コンピュータが持ち込まれ
ることがあり、また、BL-User-LANには、測
定パフォーマンスを重視するためにアンチ
ウイルス・ソフトウェアを導入していないコ
ンピュータや、測定ソフトに影響があるため
に脆弱性に対するパッチを適用していない
実験装置用のWindowsコンピュータがある
など、ネットワーク内部のセキュリティに課
題がありました。
FireWall-1
FireWall-1
レイヤ3スイッチ
InterSpect
410
無線LAN
NAT
FireWall-1
クラスタ
ゲストハウス
データ・
ストレージ
レイヤ3スイッチ
チェック・ポイントのソリューション
高輝度光科学研究センターではこのような
内部セキュリティの課題を解決するため、
2004年8月の運転停止期間を機に、
InterSpect 410をBL-User-LANの基幹
レイヤ 3 スイッチ 配 下 に 導 入しました。
さまざまなソリューションを検討した中で
InterSpectを採用した理由を、石井氏は
次のように述べています。
インターネット
(SINET)
制御系ネットワーク
Control-LAN
ファイル・サーバ
InterSpect 610
中央管理棟
OA-LAN
ビームライン実験室
BL-User-LAN
VLAN
VLAN
InterSpectは外部から持ち込まれるコンピュータにセキュリ
ティ・ソフトウェアを追加導入させることなく各コンピュータ
にセキュリティを実施することにより、JASRIの内部ネット
ワーク・セキュリティをより安全にしました。
VLAN総数64
VLAN
「当時は内部セキュリティのためのソリューションは少なく、IDS(侵入検知
システム)
を導入してファイアウォールと連携して運用するという方法も
考えましたが、運用管理が問題でした。また、検疫システムも考えましたが、
検疫されるコンピュータにライセンスが必要であり、外部ユーザのコン
ピュータにポリシーを強制適用することは現実的でないと考えていました。
そうした中でInterSpectが最も当施設のネットワーク環境に適していた
ことが採用理由です。また、インターネットとの境界、Control-LANと
OA-LAN間、BL-User-LAN間のそれぞれに以前からセキュリティ・ゲート
ウェイのFireWall-1 ® を導入しており、チェック・ポイントの技術力、
品質などに信頼を寄せていたことも大きな理由といえます」
InterSpectの利点
InterSpectの特徴の1つに、ネットワーク・ゾーンのセグメント化ができ
ることがあります。BL-User-LANはビームラインごとにVLANが設定さ
れているため、約60あるVLANセグメント全てを集約的に防御できるこ
とが要件でした。
「InterSpect 410は128個のVLANに対応できる仕様
でしたから、その点も環境に合っていました。また、ブリッジモードを使
用することにより、現状のネットワーク構成を変更する必要がなかった
ことも大きな利点です」
(石井氏)
と述べています。
また、石井氏はInterSpectのスループットの高さも評価しています。
「InterSpectのスループットのカタログ値は500 Mbpsですが、実際に
パフォーマンス測定をしてみたところ、ほぼカタログ値通りのスループット
を実証し、かつ安定的に動作しています」と述べています。
導入の効果
2004年8月に導入してから1年間にInterSpectが隔離したコンピュータ
の件数を見ると、
「InterSpectがマルウェアやワームなどに感染している
疑いのあるコンピュータを識別し、確実に隔離できていることがデータと
して表れています」と、石井氏はInterSpect導入の効果を述べています。
その結果を石井氏は、2005年秋にスイスで開催された加速器、大規
模 実 験 の 制 御 シ ス テ ム に つ い て の 国 際 会 議「 I C A L E P C S 」
(International Conference on Accelerator and Large Experimental
Physics Control Systems)のネットワーク・セキュリティのセッション
で講演したところ、世界から集まった研究者が一様にその効果に注目し
たと語っています。
「どの大型研究施設も外部ユーザ等の安全を確認する事ができないコン
ピュータの持ち込みがあるにも関わらず、ワーム検出ツールによるルール
を外部ユーザなどに強制できないため、容易な導入と運用で内部感染拡大
を防ぐInterSpectの効果に関心を寄せたのだと思われます」
高輝度光科学研究センターでは、2006年4月にそれまで使用してきた
InterSpect 410の置き換えとして、新たに上位機種であるInterSpect 610を
2台追加導入しました。今後は、スパニング・ツリーによるInterSpect 610
の冗長化を進めていくとともに、SmartCenter TMによりInterSpectと
FireWall-1の統合管理も行う計画です。
©2003-2006 Check Point Software Technologies Ltd. All rights reserved.
Check Point, Application Intelligence, Check Point Express, Check Point Express CI, Check Pointのロゴ, AlertAdvisor, ClusterXL, ConnectControl, Connectra, Cooperative Enforcement, Cooperative Security Alliance, CoSa, DefenseNet, Eventia, Eventia Analyzer, Eventia
Reporter, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity SecureClient, Integrity Clientless Security, InterSpect, IQ Engine, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Policy
Lifecycle Management, Provider-1, Safe@Office, SecureClient, SecureKnowledge, SecuRemote, SecurePlatform, SecurePlatform Pro, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, SiteManager-1, SmartCenter, SmartCenter Express, SmartCenter Power,
SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker,
SofaWare, SSL Network Extender, Stateful Clustering, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power VSX, VPN-1 Pro,
VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm Internet Security Suite, ZoneAlarm
Pro,Zone Labs, Zone Labsのロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。その他の企業、製品名は各企業が所有する商標または登録商標です。本書で記載された製品は米国の特
許No.5,606,668、5,835,726、6,496,935、6,873,988、および6,850,943により保護されています。その他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。
P/N 502249-J 2006.10
※記載された製品仕様は予告無く変更される場合があります。
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
〒160-0022 東京都新宿区新宿5-5-3 建成新宿ビル6F
2
http://www.checkpoint.co.jp/ E-mail : [email protected] Tel : 03(5367)2500