A Customer Success Story 高輝度光科学研究センター多くの外部研究ユーザが利用する実験施設で持ち込みPCの脅威からネットワークを保護する InterSpect ユーザ財団法人高輝度光科学研究センター分野研究機関チェック・ポイント製品高輝度光科学研究センターについて財団法人高輝度光科学研究センター（JASRI）が管理運営するSPring-8（Super Photon Ring - 8 GeV）は、世界最大・最高水準の放射光を利用することができる大型の実験施設です。放射光は、電子が磁場で曲げられたときに、その進行方向に放射される電磁波です。加速された高エネルギー電子ビームから発生する、この放射光を使って、タンパク質巨大分子の3次元構造解析や新薬開発など生命科学への応用、先端材料の原子・電子の構造解析、新物質創製など物質科学への利用といったほか、環境科学、医学、産業などさまざまな分野で利用されています。日本原子力研究所と理化学研究所が共同で建設し、その管理運営を行っているのが高輝度光科学研究センターです。 ■ InterSpectTM 410/610 ■ FireWall-1® ニーズ ■ 施設の外部ユーザによる持ち込みPCの脅威からネットワークを保護 ■ 管理者権限のないコンピュータに対するセキュリティ対策 ■ メイン業務に負担をかけない運用管理兵庫県西部に位置する播磨科学公園都市に建設され、1997年に運転を開始したSPring-8は、周長1,436mの蓄積リングへ加速エネルギー8GeV（ギガ電子ボルト）で入射された電子ビームからの放射光を用いて実験を行うための、多種多様な約60本のビームラインと呼ばれる実験施設を備えています。ビームラインは、高エネルギーX線回析、粉末結晶構造解析、構造生物学など研究目的・手法別に運用されており、大学、研究機関、多数の企業などが利用しています。課題 SPring-8の施設内のネットワークは、大きく3つに分けられています。1つが中央管理棟や各実験施設棟を結ぶ、施設のスタッフ等が利用するOA-LAN。もう1つが、蓄積リング棟の周囲に配置されたビームライン実験室（実験ホール）で利用されている、ビームライン利用実験用のLAN （BL-User-LAN）。そして、加速器やビームラインなど装置自体を制御するための制御系ネットワーク（Control-LAN）です。実験で得られたデータは、BL-User-LANからOA-LAN上にあるファイルサーバへ転送することができます。また、BL-User-LANからインターネット経由でユーザの大学や企業に転送することもできます。「プラットフォームの統一やポリシーの強制適用が難しい外部ユーザのコンピュータが多い環境で、 InterSpectは内部セキュリティの強化に大きな成果を発揮しています」高輝度光科学研究センタービームライン・技術部門石井美保氏 BL-User-LANは、高輝度光科学研究センターのビームライン・技術部門により管理されています。ビームラインには、それぞれ担当者が配置され、BL-User-LANにつなぐコンピュータは、各担当者により管理されています。したがって、ネットワークの管理者とコンピュータの管理者は、異なります。特にBL-User-LANは、外部ユーザがノートPCなどを持ち込んで利用できることから、セキュリティに不備のあるコンピュータによるネットワーク・セキュリティのリスクは以前から問題であったようです。そもそも、InterSpectTMの導入を検討するきっかけになったのは、そうした外部から持ち込まれたワームに感染したノートPCが原因で、ネットワーク障害につながったことが発端だったといいます。「2003年8月にWelchiに感染したノートPCがpingエコーを大量に発信したため、BL-User-LAN の基幹L3スイッチのCPUリソースが限界に達し、ネットワーク自体がダウンするという障害が発生しました。BL-User-LANはビームラインごとにVLANでセグメント化され、VLAN間の接続ができないようになっているので、他のビームラインに感染が広がることはありませんでしたが、ネットワーク全体を麻痺させるような大きな影響が出ました」（ビームライン・技術部門石井美保氏）。チェック・ポイントは、境界、内部、WEBなど、ネットワークのあらゆる局面に対するセキュリティ・ソリューションを提供します。これにより、企業はネットワークや、ネットワーク・リソース等を安全に保護しながら、高い接続性を実現するリモート・アクセスを提供し、簡単に管理することができます。 1 その後も被害は大きくなかったものの、数件のワーム感染コンピュータが持ち込まれることがあり、また、BL-User-LANには、測定パフォーマンスを重視するためにアンチウイルス・ソフトウェアを導入していないコンピュータや、測定ソフトに影響があるために脆弱性に対するパッチを適用していない実験装置用のWindowsコンピュータがあるなど、ネットワーク内部のセキュリティに課題がありました。 FireWall-1 FireWall-1 レイヤ3スイッチ InterSpect 410 無線LAN NAT FireWall-1 クラスタゲストハウスデータ・ストレージレイヤ3スイッチチェック・ポイントのソリューション高輝度光科学研究センターではこのような内部セキュリティの課題を解決するため、 2004年8月の運転停止期間を機に、 InterSpect 410をBL-User-LANの基幹レイヤ 3 スイッチ配下に導入しました。さまざまなソリューションを検討した中で InterSpectを採用した理由を、石井氏は次のように述べています。インターネット（SINET）制御系ネットワーク Control-LAN ファイル・サーバ InterSpect 610 中央管理棟 OA-LAN ビームライン実験室 BL-User-LAN VLAN VLAN InterSpectは外部から持ち込まれるコンピュータにセキュリティ・ソフトウェアを追加導入させることなく各コンピュータにセキュリティを実施することにより、JASRIの内部ネットワーク・セキュリティをより安全にしました。 VLAN総数64 VLAN 「当時は内部セキュリティのためのソリューションは少なく、IDS（侵入検知システム）を導入してファイアウォールと連携して運用するという方法も考えましたが、運用管理が問題でした。また、検疫システムも考えましたが、検疫されるコンピュータにライセンスが必要であり、外部ユーザのコンピュータにポリシーを強制適用することは現実的でないと考えていました。そうした中でInterSpectが最も当施設のネットワーク環境に適していたことが採用理由です。また、インターネットとの境界、Control-LANと OA-LAN間、BL-User-LAN間のそれぞれに以前からセキュリティ・ゲートウェイのFireWall-1 ® を導入しており、チェック・ポイントの技術力、品質などに信頼を寄せていたことも大きな理由といえます」 InterSpectの利点 InterSpectの特徴の1つに、ネットワーク・ゾーンのセグメント化ができることがあります。BL-User-LANはビームラインごとにVLANが設定されているため、約60あるVLANセグメント全てを集約的に防御できることが要件でした。「InterSpect 410は128個のVLANに対応できる仕様でしたから、その点も環境に合っていました。また、ブリッジモードを使用することにより、現状のネットワーク構成を変更する必要がなかったことも大きな利点です」（石井氏）と述べています。また、石井氏はInterSpectのスループットの高さも評価しています。「InterSpectのスループットのカタログ値は500 Mbpsですが、実際にパフォーマンス測定をしてみたところ、ほぼカタログ値通りのスループットを実証し、かつ安定的に動作しています」と述べています。導入の効果 2004年8月に導入してから1年間にInterSpectが隔離したコンピュータの件数を見ると、「InterSpectがマルウェアやワームなどに感染している疑いのあるコンピュータを識別し、確実に隔離できていることがデータとして表れています」と、石井氏はInterSpect導入の効果を述べています。その結果を石井氏は、2005年秋にスイスで開催された加速器、大規模実験の制御システムについての国際会議「 I C A L E P C S 」（International Conference on Accelerator and Large Experimental Physics Control Systems）のネットワーク・セキュリティのセッションで講演したところ、世界から集まった研究者が一様にその効果に注目したと語っています。「どの大型研究施設も外部ユーザ等の安全を確認する事ができないコンピュータの持ち込みがあるにも関わらず、ワーム検出ツールによるルールを外部ユーザなどに強制できないため、容易な導入と運用で内部感染拡大を防ぐInterSpectの効果に関心を寄せたのだと思われます」高輝度光科学研究センターでは、2006年4月にそれまで使用してきた InterSpect 410の置き換えとして、新たに上位機種であるInterSpect 610を 2台追加導入しました。今後は、スパニング・ツリーによるInterSpect 610 の冗長化を進めていくとともに、SmartCenter TMによりInterSpectと FireWall-1の統合管理も行う計画です。 ©2003-2006 Check Point Software Technologies Ltd. All rights reserved. Check Point, Application Intelligence, Check Point Express, Check Point Express CI, Check Pointのロゴ, AlertAdvisor, ClusterXL, ConnectControl, Connectra, Cooperative Enforcement, Cooperative Security Alliance, CoSa, DefenseNet, Eventia, Eventia Analyzer, Eventia Reporter, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity SecureClient, Integrity Clientless Security, InterSpect, IQ Engine, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Policy Lifecycle Management, Provider-1, Safe@Office, SecureClient, SecureKnowledge, SecuRemote, SecurePlatform, SecurePlatform Pro, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, SiteManager-1, SmartCenter, SmartCenter Express, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SofaWare, SSL Network Extender, Stateful Clustering, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm Internet Security Suite, ZoneAlarm Pro,Zone Labs, Zone Labsのロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。その他の企業、製品名は各企業が所有する商標または登録商標です。本書で記載された製品は米国の特許No.5,606,668、5,835,726、6,496,935、6,873,988、および6,850,943により保護されています。その他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。 P/N 502249-J 2006.10 ※記載された製品仕様は予告無く変更される場合があります。チェック・ポイント・ソフトウェア・テクノロジーズ株式会社〒160-0022 東京都新宿区新宿5-5-3 建成新宿ビル6F 2 http://www.checkpoint.co.jp/ E-mail : [email protected] Tel : 03（5367）2500