全学ファイアウォールについて
情報部情報基盤課ネットワーク係 野田大輔
情報部情報基盤課ネットワーク係 森倫子
サイバーサイエンスセンター 水木敬明
1 はじめに
本稿では,情報シナジー機構が2014 年7 月より本格運用を開始した全学ファイアウォールについて記載します。全学ファイアウォールはTAINS と学外ネットワークとの対外接続点に設置され,学外ネットワークからTAINS へ向けた通信のうち,部局からの事前の申請に基づき必要なものだけを許可することで,TAINS のセキュリティ向上に貢献しています。
2 導入の経緯
本学のネットワークセキュリティのさらなる強化を検討するため,2013 年12 月に全学ネットワークのセキュリティ強化検討プロジェクト・チーム(以下,「セキュリティ強化PT」という。)が設置されました。セキュリティ強化PT による検討において,これまで部局が個別に行っているセキュリティ対策に加えて,全学的なセキュリティ対策を実施することによりネットワークセキュリティを強化する方針が確認されました。そして,学外ネットワークとの接続点にTAINS への不要な通信を遮断する全学ファイアウォールの導入が決定されました。
3 概要
全学ファイアウォールはTAINS と学外ネットワークとの対外接続点に設置されている透過型のファイアウォールで,TAINS と学外ネットワーク間の通信を管理しています(図1)。全学ファイアウォールは学外からTAINS へ向けた通信はデフォルトで不許可とし,部局から申請され登録されたグローバルアドレスに対しての通信のみを許可とします。これにより複合機やNAS など学外へのサービス公開が不要な機器が意図せず学外ネットワークへサーバとして公開されることを防ぎます。一方で,TAINS から学外ネットワークへ向けた通信はその応答を含めて全て許可します。したがって,利用者端末からのウェブの閲覧等,学外ネットワークへの通信は全学ファイアウォールの影響を受けません。また,全学ファイアウォールはTAINS と学外ネットワーク間の通信を管理するものですので,TAINS 内部の部局ネットワーク間の通信には影響はありません。
4 サーバ等の公開について
前述の通り全学ファイアウォールの導入により,部局の管理するサーバ等の機器を学外ネットワークへ公開するためには情報シナジー機構への申請が必要となります。申請方法は,学内向けTAINS ウェブページ[1]に掲載している申請書に,公開するアドレス,通信許可ポート等を記入し,部局技術担当者を介して情報シナジー機構へ送付となります。通信許可ポートの詳細については同ウェブページをご参照ください。
図1: 全学ファイアウォールのイメージ
5 運用費用について
全学ファイアウォールの導入費用及び本年度の運用費用は,総長裁量経費により措置されました。来年度以降の運用費用については,セキュリティ強化PT の報告に従い,保有するグローバルアドレスの数及び全学的基盤経費の負担額に応じて各部局で
按分
することになりました。詳細については学内向けTAINS ウェブページ[1] をご覧ください。
6 おわりに
本稿では2014 年7 月より本格的運用を開始した全学ファイアウォールについて述べました。全学ファイアウォールの詳細については学内向けTAINS ウェブページ[1] をご参照ください。そこでは,全学ファイアウォールに登録されているグローバルアドレスの一覧を公開していますので,ご使用中のグローバルアドレスの登録状況をご確認いただけます。
参考文献
[1]学内向けTAINS ウェブページ, (https://www2.tains.tohoku.ac.jp/)
