【導入事例】自然科学研究機構(NINS)岡崎3機関 様

導入事例 統合セキュリティシステム構築 大学共同利用機関法人 自然科学研究機構(NINS)岡崎3機関 様 基幹100Gネットワークと統合セキュリティシステムを構築 研究を制約しない速さと、利便性を損なわないセキュリティを実現 ▪ 基幹ノード100G／支線ノード10G、Wi-Fi 6の高速ネットワークを安価に実現 大学共同利用機関法人 Point ▪ ファイアウォールを中核に据えた高度統合セキュリティシステムを構築 自然科学研究機構（ NINS） ▪ コロナ禍や半導体不足の中でも遅延なくプロジェクトを完遂 岡崎3機関 様 研究者コミュニティーによって運営 され、国内外の研究者に研究の場 を提供し、先端的な共同研究を行 う中核的研究拠点、大学共同利用 機関法人の1つ。国立天文台、核 融合科学研究所、岡崎3機関（基 礎生物学研究所、生理学研究所、 分子科学研究所）の5つの研究所 からなる。 https://www.nins.jp/ 一体的に運営されてきた3研究機関 ワーク管理室という部署が、岡崎3機関の共有部 研究者の自由の尊重と 分について企画から導入、運用までを担う。 セキュリティ対応に課題 「岡崎情報ネットワーク管理室は、SINETとの対 外接続やファイアウォール、基幹からエッジまでの 大学共同利用機関法人の1つである自然科学研 各スイッチなどを担当範囲とし、近年ではセキュリ 究機構（以下、NINS）は、国立天文台、核融合科 ティについても岡崎3機関の共通基盤となる部分を 学研究所、基礎生物学研究所、生理学研究所、分 担当しています。各部局（研究所）にも担当者がお 子科学研究所の5つの研究所が連携し、天文学、 り、部局の支線、ノードの管理や、エンドユーザー 物質科学、エネルギー科学、生命科学、その他の のサポートも部局側で担当します」と、同管理室の 自然科学に関する研究の推進をめざす法人組織だ。 大野人侍氏は説明する。 導入製品 NINSの中でも、愛知県岡崎市にある基礎生物 同管理室の人員は専任で4名。それに対し、研 ▪有線/無線ネットワーク : 学研究所と生理学研究所、分子科学研究所の3機 究活動ではクラスタなど多数のコンピュータが利用 CloudEngine6865／S5732／ 関（以下、岡崎3機関）は、1981年から岡崎国立 され、データ量も膨大なものになるため、高速な AirEngine9700／AirEngine5760 共同研究機構として一体的に運営されてきた歴史 ネットワークが欠かせない。またセキュリティについ (Huawei) ▪統合ファイアウォール : があり、NINSとなった今でも研究施設の一部や事 ても、近年では研究データを狙う不正アクセスなど FortiGate3401E (Fortinet) 務部門などは3機関が共有している。研究活動に への警戒が求められる。 ▪VPNクライアント：FortiClient ZTNA ／EMS (Fortinet) 欠かせない情報ネットワークは、岡崎情報ネット 「われわれが管理しているネットワークは岡崎3 ▪認証基盤（SAML&RADIUS）: FortiAuthenticator VM (Fortinet) ▪EDR(端末セキュリティ) : FortiEDR (Fortinet) ▪多要素認証（MFA）: FortiTokenMobile (Fortinet)／ FIDOハードウエアトークン ▪DNS評価システム : DNS Firewall (Spamhaus) ▪脆弱性検査システム : INSIGHT VM (Rapid7) ▪FWポリシー管理システム : Tun ▪SIEM : Qradar (IBM) ▪仮想サーバー基盤 : VMware／PowerEdge (Dell)／ OceanStor Dorado 6000 (Huawei) 自然科学研究機構 自然科学研究機構 自然科学研究機構 岡崎情報ネットワーク管理室 分子科学研究所 分子科学研究所 大野 人侍 技術推進部 計算情報ユニット 計算科学研究センター 様 技師 水谷 文保 様 技術職員 澤 昌孝 様

自然科学研究機構様統合セキュリティシステム概略図 「FortiAuthenticatorと他社製品とのAPI Internet（クラウド） 連携では、われわれが実現したいことをエイチ・ 自宅/外出先（FortiEMSによる端末管理） シー・ネットワ－クスに相談して助言をいただき DNS評価システム Google Workspace EDR VPN接続　ユーザー認証 （Spamhaus） SAML SP FIDOキー、Tokenを利用したMFA(多要素認証) ました。PoC環境を作って検証結果をフィード 端末セキュリティシステム 脆弱性検査システム VPN接続　ユーザー認証 バックしてもらえたことも、期限内導入を実現 （FortiEDR） （Rapid7 Insight Platform） FIDOキー、Tokenを利用したMFA(多要素認証) SINET6 する上で役立ちました。回答の内容からも、よ （100G） 統合FW（FortiGate）SAML SP く調べてもらっているということを実感しました 自然科学研究機構　岡崎3機関 し、おかげで安心して作業できました。トラブル SAML 認証 の少なさに感心しましたね」 脆弱性検査システム 認証システム ファブリック管理サーバー 無線コントローラー （Rapid7 InsightVM コンソール） （FortiAuthenticator） SAML IdP （Huawei） （Huawei） セキュリティアップデートもサポート 有線スイッチ 無線AP（383台） DNSログ管理システム VPN Client 管理システム 10G/25G/100G（Huawei） Wi-Fi 6（Huawei） 次回更新に向けた情報などの （IBM Qradar） （FortiClientEMS） DynamicVLAN DynamicVLAN 支援にも期待 構内LAN接続 構内LAN接続 FWポリシー評価システム 統合FW管理システム EDR EDR MAC認証＆ユーザー認証 MAC認証＆ユーザー認証 （Tun Orchestration Suite） （FortiManager） FIDOキー、Tokenを利用した FIDOキー、Tokenを利用した MFA(多要素認証) MFA(多要素認証) 2022年4月から、岡崎3機関の新たな基幹 仮想化サーバー基盤（VMware vSphere） 有線LAN（Huawei） 無線LAN（Huawei） ネットワーク・統合認証システムは無事に稼働を 開始した。分子科学研究所 計算科学研究セン ター 技術職員の澤昌孝氏は、運用開始後のエ 機関に所属する研究者だけでなく、国内外の スマートフォン上のソフトウエアトークン イチ・シー・ネットワ－クスのサポートも高く評価 共同研究者に対してもサービスを提供するもの (FortiToken Mobile)をそれぞれ用意し利用 している。 です。基本的には研究者の自由を尊重してお 可能としている。「われわれが重要視したのは 「導入して半年ほどの間にソフトウエアや り、ネットワークが研究の制約条件にならないよ DNS評価のSpamhausです。今回のファイ ファームウエアのアップデートがあり、エイチ・ うにと心掛けていますが、政府の基準に準じた アウォールは基本的なフィルタリングを行うのみ シー・ネットワ－クスに支援してもらいました。こう セキュリティも求められ、一定の統制が必要と ですので、外部のレピュテーションを取り入れ したバージョンアップ作業を行っていると、失敗 なります。制限を加えるバランスには常に気を る必要があり、これをSpamhausが担ってい することもあるのですが、エイチ・シー・ネットワ－ 配っています」（大野氏） ます。Rapid7やTunは、どちらかというと管 クスは問い合わせると失敗原因についてアドバ 理者が使う機能を担っており、実運用の段階で イスをしてくれるので、アップデート手順の見直 ユーザー認証を取り入れた 属人化をなくす効果を期待しました」と大野氏 しなどに役立っています。手厚い対応をしてくれ 統合セキュリティ は評価する。 る会社はあまりないので非常に助かります」 各種セキュリティ製品を 「エイチ・シー・ネットワークスは前身の日立電 API連携で統合 物流の混乱や半導体不足を 線のときに付き合いがあり、そのときの良さが 乗り越え期限どおりに 引き継がれていると思います。過去にイーサ 岡崎3機関では、これまでは基幹ネットワー ほぼトラブルなく構築完了 ネットスイッチのAPRESIAを使っていたとき、 ク機材をすべて購入していたが、近年では5年 われわれの要望に応えてVLANの認証機能な リースで導入・利用している。2017年に導入し エイチ・シー・ネットワ－クスによる提案が採用 どを製品に取り入れてもらいましたし、今回の た機材のリース切れに合わせた調達では、 されたのが2021年9月であり、新たなネットワー プロジェクトでも、同じく手厚い対応をしてもら 2021年8月に入札を実施して4社が応札。入 ク環境の稼働開始予定は2022年4月と、大規 いました。作業の際は事前にわれわれと調整 札は総合評価方式で、同管理室が作成した仕 模なネットワーク構築プロジェクトとしては比較 し、情報を共有した上で行ってくれるので安心 様書に必須項目と加点項目を設け、各社の提 的タイトなスケジュールだ。しかもコロナ禍に伴 感があります。運用年数がたてばハードウエア 案を総合的に比較・評価している。 う物流の混乱や、半導体不足に伴う機材調達の の老朽化などの問題はあると思いますが、エイ 「今回はファイアウォールを多機能型とせず、 遅延もあり、稼働が間に合うのかという懸念も チ・シー・ネットワ－クスならきちんと対応してい 代わりにAPI連携によって複数のセキュリティ あったという。大野氏は当時をこう振り返る。 ただけると思っています。次の更新に向けた情 製品を組み合わせて運用する形態としました。 「年度内に導入を完了するという日程は変え 報収集の際も、新たな情報提供などサポートを 認証のしくみも、端末MACアドレスベースでな られませんでした。既存の機材は年度明けに 期待しています」 く多要素認証としています。インシデント時の リースバックしなければならなかったからです。 追跡、確認をしやすくしようという意図ですが、 納期状況が悪化しているという情報を受けて、 結果的には『ゼロトラスト』の考え方に近いもの エイチ・シー・ネットワ－クスだけでなくメーカー になりました。そのほか、運用管理を容易にす 各社にも問い合わせ、間に合うかどうかを確認 るためには中核となる製品のメーカーが多くな しました。エイチ・シー・ネットワ－クスは常にわ らないことも重要です。APIを持つ製品を高評 れわれと情報を共有して、稼働開始の日程を間 価するなど、評価点数の配分を工夫しました」 に合わせてくれました」 （大野氏） エイチ・シー・ネットワ－クスでは細かな作業も同 こうした要件を踏まえて採用されたのが、エ 管理室と相談するなど、情報共有に努めた。構 イチ・シー・ネットワ－クスの提案だ。有線および 築作業自体も、ほとんどトラブルなく進んでいる。 無線のネットワーク機器を基本的にすべて 岡崎3機関側の技術者としてプロジェクトに Huawei製品で高速な構成とし、ファイア 参加した、分子科学研究所 技術推進部 計算 後列左より水谷氏、澤氏、大野氏 ウォールや認証関連にはFortinet製品を軸に 情報ユニット 技師の水谷文保氏は、認証周り 前列左よりエイチ・シー・ネットワース（株） 営業本部 西日本支店中部営業所長 API連携で構築できる構成を提案。認証の軸と のAPI連携などを担当する中で問題点に直面 荻上諭　同第一システムエンジニア なるFortiAuthenticatorでは、FIDOによる し、エイチ・シー・ネットワ－クスの支援で乗り リング本部 第二エンジニアリング部 認証を基本としつつ、ハードウエアトークン、 切ったと語る。 第一グループ　藤井一樹 〒111-0053 東京都台東区浅草橋1-22-16 ヒューリック浅草橋ビル4階 ※記載されている団体名および製品名は、各社の商標または登録商標です。 https://www.hcnet.co.jp/ ※記載の情報（役職名、製品仕様、サービスの内容、お問い合わせ先、URLなど）は、取材時の情報です。 ※本事例に記載の製品を輸出される場合には、外国為替および外国貿易法の規制ならびに米国輸出管理規則など外国の輸出関連法 CAT.NO.HCNET-069 Printed in Japan 202302 規をご確認の上、必要な手続きをおとりください。なお、ご不明な場合は、弊社担当営業にお問い合わせください。