1. 大学の学内 LAN の状況
平成 13 年、京都大学は非常に不正アクセ スが多かった。その原因の一つは、グローバ ル IP アドレスを持つマシンが 2 万台以上あっ たことだ。しかも、正確な数も把握できてお らず、非常に甘い管理だった。そのため、ホー ムページの改ざんや、SPAM の不正中継、 踏み台にされるなどの問題が起こっていたが、 何かインシデントが起きても、そのマシンが どこにあるのか分からないことも珍しくな かった。 その少し前の平成 11 年から IDS を導入し ていた。当時は、大学のネットワークの入り 口は 100Mbps の FDDI であり、そこにシス コシステムズ社1の NetRanger(元 Hucom 製) という IDS 製品を設置した。それは、イン シデントが起きたら自動的にネットワークを 止める機能があるということで、期待して導 入したが、最初の 1 年はほとんど動かなかっ た。後からわかったことだが、ネットワーク 上では、機器の想定を超えて、インシデント まがいのトラフィックが飛び交っていたこと が原因だった。 IDS が動き出すと、今度は膨大な数のア ラートがあがるようになった。アラートが出 ると、それを人が見て判断するように設計さ れているが、人間が見る量をはるかに超える アラートが発生していた。そのため仕方なく、 アラートの数を MRTG で見ていた。アラー トを中身ではなく、数の多さで何か起きてい るのではないかと判断していた。 平成 13 年の KUINS Ⅲの時には、IDS を 学内の 10 か所に仕掛けた。すると、機器の 性能も上がり、仕掛ける場所も変えたことで、 1 http://www.cisco.com/web/JP/index.html それまでの数十倍にアラートの数が増えた。2. 学内ネットワークの問題
大学のネットワークの管理は、学内組織と して、KUINS 機構があり、そこが大学のネッ トワークをサービスしていた。KUINS 機構 では、全学で百数十箇所ある各建物に設置し たルータまたは L3 スイッチまで管理した。 その先の建物内はそれぞれの利用者に任され ていた。 問題は、建物内の配線まで大学で管理して いなかったため、この建物のこのセグメント でインシデントを起こしているマシンがある ことは分かっても、それがどこにある誰のマ シンかということまでは分からなかった。ネッ トワークケーブルの反対側がどこにつながっ ているかも分からない状態であり、原因のマ シンが判明しても、それを設定した学生はす でに卒業していたということもあった。 さらに、この時期には改組や耐震改修、 キャンパス移転などに伴い、大学の中で建物 の引っ越しが非常に多かった。それまでは、 建物がそのまま大学の組織であったが、移転 すると建物内に複数の組織が入っており、1 セグメントにポリシーの異なる構成員が雑居 するような状態であった。3. 情報ネットワーク危機管理委員会
これまでの建物の入り口までの管理では支 障があったため、平成 13 年 8 月に情報ネッ トワーク危機管理委員会が発足した。最高情 報セキュリティ責任者は今でいう情報担当理 事であり、委員は匿名で参加した。それは、 この委員会は、ネットワークを有無を言わさ ず切る権限が与えられたので、委員が責任を大学における情報セキュリティ対策と
情報セキュリティポリシーの浸透
岡部 寿男 京都大学 学術情報メディアセンター長 概要:大学におけるキャンパスネットワーク運用の歴史はセキュリティインシデントへの対応の歴史でもあった。インター ネットの導入が早期行われた大学ほど、キャンパスネットワークはオープンで、かつ草の根的な運用がなされ、セキュリティ 対策は困難と言われてきた。本論では、そのような大学の典型例である京都大学でのこれまで事例をベースに、大学にお ける情報セキュリティ対策と情報セキュリティポリシーの浸透について振り返りつつ、クラウド時代ともいわれる今日に 大学がとるべき対策について考える。 キーワード:キャンパスネットワーク、情報セキュリティ、情報セキュリティポリシー、無線 LAN持って仕事ができるように、委員名は部局長 以外には伏せられた。 不正アクセスが起きた時には、ネットワー クの緊急遮断権限があり、第 1 段階では大学 の入り口の対外接続ルータで IP アドレス単 位で遮断した。これは 24 時間 365 日の対応 だった。解除は、部局長による申請が必要 だった。それまでは、ネットワークの運用担 当者の判断で遮断し、現場の利用者からのク レームがあると解除せざるを得ない状況だっ たので、このルールができたことは大きかっ た。
4. 安全なギガビットネットワークシステム
平成 13 年秋には、ギガビットネットワー クシステムを導入した。KUINS- Ⅲは、セキュ リティを重視したネットワークを意識してい た。それまでと違うところは、配線を引きな おし、各部屋の情報コンセントまで KUINS が 管 理 し、 各 部 屋 の ポ リ シ ー に 応 じ て VLAN を設定した。また、DHCP により登 録なしでも利用できるようにした。その上で、 新しい KUINS- Ⅲは、学外とは直接接続性の ないイントラネットとして構築された。 そして、これまで野放図だったグローバル なネットワークである従来の KUINS- Ⅱは、 厳格な登録制に移行した。まず、計算機ごと に管理者を明確にし、その上で、それ以外の 登録されていない IP アドレスはフィルタリ ングにより全て使用を禁止した。DHCP も 原則使用できないようにした。 KUINS ネットワークの概略図が図 1 であ る。構内スイッチから各建物の館内スイッチ を経て各フロアに配線されている。情報コン セントは、原則として各部屋に 2 つ設置して おり、グローバル系の KUINS- Ⅱと、イント ラネット系の KUINS- Ⅲに使えるようになっ ている。情報コンセントの数は、約 3 万 2 千 個である。グローバルな IP アドレスは、約 2500 個あり、プライベート VLAN は約 4200 個である。 図 1 KUINS ネットワーク概略図図 2 KUINS の論理構成 論理構成は図 2 のとおりであり、ノート PC や 研 究 室 に あ る 機 器 は、KUINS- Ⅲ の VLAN に接続する。VLAN 間は、基本的に は別の研究室であれば直接通信はできないよ う に し て い る。VLAN と グ ロ ー バ ル の KUINS- Ⅱ と は、 直 接 通 信 が で き る。 KUINS- Ⅱとインターネットが直接通信でき る。しかし、KUINS- Ⅲとインターネットは 直接通信ができないので、プロキシを介して 出ていくことになっている。
5. 学術情報メディアセンター&情報環境
機構の発足
平成 14 年 4 月、大型計算機センターと総 合情報メディアセンター、さらに学術情報 ネットワーク機構が統合され、学術情報メ ディアセンターが発足した。さらに、平成 17 年 4 月には、学術情報メディアセンター の事務職員・技術職員を事務本部の情報部に 移管し、情報環境機構が発足した。 当時としては非常に特徴的だったのが、 ネットワークの利用負担金を設定したこと だった。KUINS- Ⅱのグローバル IP アドレ スについては、月額 1500 円、年間 1 万 8 千 円と設定した。KUINS- Ⅲのプライベート IP アドレスについては、情報コンセントあたり 月額 300 円とした。そして、単に課金をする だけでなく、技術的な管理責任者と支払い責 任者を登録させることにした。例えば、教授 が辞めた研究室は、自動的にいったんクロー ズされることになり、いつまでも関係ないマ シンが動き続けるということはなくなった。 毎年請求書がくることにより、本来動いてい るべきでないマシンが、少なくともその時点 で分かる。 負担金制にした理由は、従来は建物の入り 口までとしていた管理を各部屋までに広げた 結果、業務量が増加したことや、セキュリティ 対応業務の増加により、一部を外部の業者に 委託せざるを得なくなり、利用者からお金を 徴収しないとネットワークの運用ができな かったからである。 はじめは、グローバル系のネットワークで ある KUINS- Ⅱから KUINS- Ⅲへの移行は嫌 がられたが、負担金制の導入により、それま で 2 万台の登録が、2000 台強に減少した。6. IP アドレス登録制の実装
IP アドレスを負担金制にしたことで、IP アドレスの偽装ができてしまうと、非常にま ずいので、その対策に苦慮した。登録してい ない IP アドレスをフィルタすることは簡単 だが、IP アドレスを偽装されたときに、そ れを止める仕組みがなければならない。その ため、当初は、Gateway 側のルータの ARP table に IP ア ド レ ス と MAC ア ド レ ス を static に書いていた。こうすると、登録外の IP アドレスが MAC アドレスまで偽装しな い限り、外への通信ができない。しかし、送 信元 IP アドレスを spoof したパケットが流 出し DoS 攻撃等の可能性は排除できない。 また、一つの IP アドレスで複数の MAC アドレスを使いたいという場合には、都度対 応をしていたが、その後の調達時に、「予め 登録した IP アドレスと MAC アドレスの組 でフィルタできること」という仕様を入れた。 この仕様に当時対応できて採用したのが、 Cisco Catalyst6500 + ACE だった。Alaxala も後にこの機能を実装した。 この管理を、初めはエクセルで行っていた が、その後、手作りシステムから代を重ねて、 KUINS 接続機器登録データベースが動いて いる。各責任者に、承認依頼や申請の一覧、 VLAN と管理しているグローバル IP アドレ スや管理しているホストの一覧を確認できる ようにした。(図 3)図 3 KUINS 接続機器登録データベース これらの取り組みは、「安全なギガビット ネットワークシステム KUINS- Ⅲの構成とセ キュリティ対策i」と「開放型大規模ネット ワークのための IDS ログ監視支援ii」という 2 つの論文で発表している。
7. 無線 LAN サービスとセキュリティ
2002 年より、京都で MIAKO ネット2とい う無線 LAN のプロジェクトに携わった。こ れは、京都の街中に無線 LAN ルータを設置 して、無線を無料で利用してもらおうという、 実証実験だった。今では、公衆無線 LAN の 例も多くなったが、当時は世界に類を見ない 取り組みであった。 2008 年より、各団体による自律分散型の 運用が開始され、MIAKO ネットのプロジェ クトはクローズしているが、京都大学内では まだ使われている。当時は、先進的な無線 LAN の 安 全 な 接 続 方 式 が な か っ た。 IEEE802.1x の認証方式はあったが、サプリ カントが必要だったり、プラットフォームが 限られるので、逆に、無線 LAN は誰でも繋 げられるが、VLAN のプロトコル(暗号化 +認証)だけを通信許可させるとしたのが、 MIAKO ネットだった。 基地局提供者側からみると、VLAN プロ トコル以外は通さないので、SPAM 発信や 掲示板荒らしなどはできず、認証に伴うリス クや管理コストがない。一方、利用者側から すると、認証の手続きもなく、直接自分の 持っている VPN サーバに接続すればよく、 VPN で暗号化されるため、盗聴やなり済ま しのリスクがない。ただし、VPN 接続して いなければ使えないので、VPN の普及が課 題だった。 2 http://www.miako.net/index.html8. 京都大学 KUINS が提供する
VPN サービス
MIAKO ネット、eduroam、ならびに学外 からの接続に利用している VPN で、一番メ インに使っているのが MS PPTP である。こ れは、Windows だけでなく、MacOS、iOS、 Android な ど も 標 準 で 対 応 し て い る。 KUINS- Ⅲの VLAN と、この PPTP を整合 させて、PPTP 接続時に全学 ID に VLAN 管 理番号を添えることで、当該 VLAN 内のリ ソース(プリンタや共有ファイルサーバ)に 直接アクセスできる。これは当然、誰でも入 れるわけにはいかないので、KUINS データ ベースの方で、VLAN 固定サービスで接続 可能な利用者のリストを管理している。 また、PPTP が通らない環境向けに、MS SSTP や、Linux、MacOS など幅広いプラッ トフォームに対応している OpenVPN も用 意している。昔ながらの SSH でトンネルを 張りたいという方のために、Port forward 専用 SSH というサーバも動かしている。9. eduroam 関連情報
eduroam3は、国立情報学研究所の UPKI プロジェクト4で推進してきた方式である。 ヨーロッパ発祥の無線 LAN ローミングアー キテクチャで、2015 年 6 月現在、国内 115 機関(地域)が eduroam に参加している。 特に米国では、Internet2 がこれにコミット したので、急速に普及が進んでいる。 京都大学が運用しているアクセスポイント はすべて eduroam に対応しているので、学 内の主だったところでは eduroam が使える。 eduroam 仮名アカウント発行システム5は、 学認6を利用して、所属機関の認証により eduroam の仮名アカウント(最長 1 年有効) をオンラインで取得可能である。これは、京 都大学で設計をした。802.1x 認証で学内の全 学 ID とパスワードを入れるようにしてしま うと、それを入力することに対して抵抗感が なくなり、偽のアクセスポイントを立てて、 ID とパスワードを入手させるという攻撃に 簡単に引っかかってしまうのではないかと思 い、学内 ID とパスワードは安易に使わせな 3 http://eduroam.jp/ 4 https://upki-portal.nii.ac.jp/docs/odcert 5 https://eduroamshib.nii.ac.jp/ 6 学術認証フェデレーションいようにしている。 別のアカウントを作るのであれば、京都大 学だけでなく、全国で使ってもらえるように 学認連携をした。このアカウントそのものに は、利用者を識別できる情報を持たないので、 例えば、私が PC から eduroam で接続をし ても、京都大学の岡部であることは、利用し ている先にも、訪問先にも一切情報は出ない。 もしインシデントが起きたら、このアカウン トの発行ログと、今の RADIUS の情報と付 き合わせると誰がインシデント起こしたかが 分かる。アカウントの発行時に有効期限を設 定して、使い捨てのアカウントのようにする こともできる。 さらに、この仮名アカウントには、ID そ のものに有効期限の情報も含めている。しか も、パスワードは、ID と秘密のキーからア ルゴリズムで生成されるので、通常であれば、 アカウントを発行すると、ID とパスワード の情報を RADIUS の方に持っていく必要が あるが、それが不要である。これも、ロケー ションプライバシーを守るための仕掛けであ る。
10. eduroam 対応無線 LAN
アクセスポイントの展開
一方、アクセスポイントは、1,000 台以上 が今も動いている。これらは、eduroam 方 式と MIAKO ネット方式を併用しており、 後に述べる KUINS Air という新しい方式に も対応している。 アクセスポイントの故障頻度が上がってき たため、平成 26 年度から 3 年計画で入替を 進めている。1 年目は、Cisco 社のアクセス ポイントを導入し、802.11ac 対応とともに、 全学的に集中管理ができるようになっている。 入試の期間中だけ、無線 LAN アクセスポイ ントを全部止めるようなこともできるように な っ た。 京 都 大 学 で も、2 ~ 3 年 後 に は BYOD を入れたいと思っており、それを前 提に設計をしている。 また、WPA-EAP(EAP-PEAP)により、 全学 ID で直接利用できるようにする新しい サービスも始めた。さらに、キャリア Wi-Fi と し て、docomo、Wi2_club、mobilepoint も使えるようにした。 公 衆 無 線 LAN サ ー ビ ス で は、Captive Portal という技術が使われていることが多い。 京都大学でも、学内 LAN の認証を Captive Portal を使おうという議論も出るが、偽基地 局をたてると、簡単に ID とパスワードを入 手できてしまうため、私は反対している。11. 京都大学の情報セキュリティポリシー
京都大学のセキュリティポリシーが最初に 制定されたのは、平成 14 年 12 月だった。国 立大学の法人化の直前で、他校に比べて早い 段階から制定していた。その後、何回か改訂 を重ねて、平成 27 年 4 月に大改正を行った。 最初の情報セキュリティポリシーは、その 前の平成 12 年に国立 7 大学の情報センター と、国立情報学研究所により作られた、「大 学における情報セキュリティポリシーの考え 方7」がベースになっている。当時の京都大学 の考え方としては、部局自治を基本に、部局 情報セキュリティ責任者(部局長)に強い権 限と重い責任を負わした。そして、すべての 部局は対等の立場であるということで、学術 情報メディアセンターのような全学のインフ ラを担っているとこであっても、1 部局であ るとして、特別な権限は与えなかった。重要 事項は全学情報セキュリティ委員会で決める ことにし、最高情報セキュリティ責任者が全 権限を持つとした。 法人化後の最初の京都大学の中期計画・中 期目標に、情報セキュリティに関する基本方 針を盛り込んだ。そして、中期目標に書くと、 それに対する具体的な施策を書く必要がある。 例えば、学内者による外部への不正アクセス を防止するために技術的な対策を講じるとと もに、罰則規定を定める、全構成員に基本方 針の内容を周知徹底する、認証システムを構 築しセキュリティレベルの高い情報基盤活用 サービスを全学に提供する、という内容をこ の時には書いていた。 中期計画に書くと、その後、どこまで達成 されているかの評価をし、達成されていない と、法人評価の際にペナルティになることが 後からわかった。そのため、例えば、学内者 による外部への不正アクセスを防止するため に、罰則規定を設けるという項目については、 情報ネットワーク倫理委員会を設置し、違反 行為者に対する措置を行うようにルールを定 めた。そして、全構成員に基本方針の内容を 周知徹底させるため、情報セキュリティの e-Learning システムを導入した。さらに、全 学レベルの認証システムも、この中期計画が 7 http://www.nii.ac.jp/csi/sp/きっかけとなり、導入することになった。
