システム技術分科会 2014年度第2回会合 分科会レポート
サイエンティフィック・システム研究会(SS研)のシステム技術分科会2014年度第2回会合が2015年1月30日に汐留にある富士通本社のユーザコミュニティサロンにおいて開催された。本会合は”今求められる新たなキャンパスネットワーク - 技術と法律 -”をテーマに、近年急激に多様化かつ大きく変化しているキャンパスインフラについて、無線インフラの整備の観点・BYODの観点・セキュリティの観点・学内情報基盤のネットワーク管理の法的観点での講演、セキュリティWGからの活動報告、と多くの興味深い講演で構成されている。 はじめに九州大学の岡村耕二氏の開会のあいさつに続き、計5件の発表が行われた。
 岡村耕二氏 (九州大学) |
1件目の発表は『京都大学における教育研究活動を支える無線インフラ整備と課題』と題する京都大学の古村隆明氏の講演である。
 古村隆明氏(京都大学) |
 |
京都大学では2014年に二度目の無線インフラの更新を開始し、3年間で全学の公共スペース、会議室、講義室、研究室などの主要エリアに展開する予定であるという。以前整備したのはアドホックな無線基地局で管理に大きな負担が掛かっていたため、今回から集中管理型にする。旧無線環境で提供している『みあこネット』は一度MIAKOというSSIDに接続後、PPTPなどのVPN接続を必要とする。非常に安全な利用方法であるが、主要な利用者である学内者から見れば学内への接続が手間となる課題があった。これを新しく学内利用者専用接続サービスを設けることで解決する。
訪問者に対してはゲスト用IDを発行していたが年間数千件を紙などで手渡しており、この負担軽減も狙ってキャリアWi-Fi(携帯主要3キャリアが提供する基地局を学内に設置することでキャリアの回線へ接続が可能となるサービス)を導入した。これに合わせて、通信事業者届出を行ったという。
無線LANで主要エリアはカバーできているものの、どこまでエリアを広げるべきなのか、BYODによって授業でどのように利用されるかについてはまだ予測できず、今後どれほどの無線LAN環境が必要になるのか見積もることが難しい。また、研究室などの細かい単位でVLANを分割してきた学内有線LAN環境と、フラットな無線LAN環境をどのように繋ぐのか、今後も有線と無線で異なる構成を維持し続けるのかといった検討もおこなう必要があるとのことである。
2件目の発表は金沢大学の北口善明氏による『金沢大学におけるパソコン必携化と無線インフラのこれまで』と題する講演である。
 北口善明氏(金沢大学) |
|
金沢大学では2006年より新入生のパソコン必携化を開始しており、全学生がノートパソコンを利用する状況となっている。これに合わせて、学生が利用するネットワーク環境の整備を進める必要があり、特に無線インフラの拡充を図ってきた。パソコン必携化開始時には、必修科目として準備した『情報処理基礎』を実施する教室を中心に整備したが、全学規模では点としての整備であった。このため2011年の基幹ネットワークの更新に合わせて面の整備に移行し、現時点では附属病院を除く全キャンパスの無線インフラ整備が完了した。
パソコン必携化のための環境整備を進めるにあたって一つ課題があった。それは『システム毎にIDが乱立していた』ために、学内のサービスを利用する際にそれぞれのサービス毎にログインをする必要があったことである。そこで金沢大学ではこのID体系の見直しを実施した。まずネットワークを利用するための「ネットワークID」の導入を始めた。ネットワーク関連のIDの統合を行い、電子メールをはじめVPN、無線LANの接続をこのID一つで行えるようにした。次に「金沢大学ID」の導入を行った。金沢大学IDは構成員1人につき1IDが用意され、この金沢大学IDを用いた統合認証KU-SSO(Kanazawa University Single Sign On system)により各サービスへの認証を金沢大学IDのみで行えるようにし、課題を解決した。
今後は必携パソコンとしてどこまでを可能とするか、スマートフォンなどのBYODに関する議論、学生の利用スタイルの変化への対応など『多様化するクライアント端末への対応』を行うとのことである。
3件目の発表は『システムログの解析とBYODセキュリティ』と題して熊本大学の武藏泰雄氏が講演を行った。
 武藏泰雄氏(熊本大学) |
|
武藏泰雄氏は2001年4月以来、DNSクエリ通信パケットログを中心としたシステムログの解析を行っている。このDNSのクエリログ(DNSクエリ要求パケットのログ)解析によって学内に潜むボット(コンピュータを外部から遠隔操作するためのバックドアプログラムの一種)の活動、大学のネットワークに対するサービス妨害攻撃活動が認識出来るようになった、とのことである。
例えばWebブラウザ等がサーバと通信する際に必要となるものがIPであるが、人が利用するときにはwww.example.comなどのドメインなどの形であることが多い。このドメインをIPに変換するものがDNSになる。ある端末のWebブラウザでとあるドメインにアクセスするときに「このドメインをIPに変換してください」とDNSサーバに要求する(DNSクエリ要求パケット)と、IPに変換できたかどうか(名前解決)などの結果をパケットとして返送される。この結果を利用して通信が行われるわけだがこの時、IPアドレス単位かつ年月日時分秒単位でログが残る。このログを観察し、様々な機器のログとの相関分析を行うことで様々な攻撃、例えば短時間の間にあるドメインについての名前解決のログが圧倒的に多くなればそれはホスト名探索攻撃やDoS攻撃などのサイバー攻撃を検知することが可能となる。そしてDNSクエリログを観察することで、DNSサーバへの攻撃のみならず、DNSを利用するネットワーク・サーバやクライアントの動向が観察できる。つまり、DNSクエリのログを観察することでサイバー攻撃だけでなく、DNSを利用するPC端末やスマートフォン・タブレットの情報が間接的ながら観察できる、というわけである。
また、これまで観察してきたログとこれまでの研究からDNSクエリログを解析することによって、サイバー攻撃の事前調査がDNSを用いて行われていることや様々なサイバー攻撃は常に行われていることが検知できることがわかった、とのことである。
4件目の発表は『学内情報基盤のネットワーク管理の法的側面と最新動向』と題して駒澤綜合法律事務所弁護士の高橋郁夫氏が講演を行った。
 高橋郁夫氏(駒澤綜合法律事務所) |
|
これまでの発表にある通り、大学における学内情報基盤は無線LANなどのインフラや認証機構をはじめ、一定の整備が進んでいる。その中でもクラウドコンピューティングの発展やネットワーク接続形式の多様化、それに伴う管理の多様化など情報技術の発展はその運用問題を法的観点から整理する必要がある、とのことだ。
仮にクラウドストレージにファイルを保存したとしよう。そのファイルはどこにあるのだろうか。その答えとしては地球上のどこかのデータセンターにある、というのが正しいが、ファイルの所有者はどこのデータセンターにデータが保存されているのかを認知することはできないのが現状である。クラウドサービスを利用して発生した問題やクラウドストレージ上にファイルを置いたために発生した問題、例えば某ハリウッド女優のセルフィ画像がとあるクラウドストレージから流出した事件はまだ記憶に新しく、このようなクラウドでの法適用の問題は難しい。クラウドコンピューティングの要素として『データの場所が無い(明確ではない)』ことでどこの国の法律に準拠するか分からないために法適用も難しい。当講演内ではMicrosoftのOffice365というサービスについては日本法に準拠していることや、AWS(Amazon Web Services)ではデータセンターの場所が日本国内であっても米国ワシントン州法に準拠することが紹介された。
クラウドサービスはそのサービスを利用したために問題が起きた場合にどこに責任が発生するのか、どこの法律に準拠するのかなど利用するサービスについて正しく情報を把握した上で活用する必要がある、とのことである。
最後の発表は、『移行期にあるネットワークサービスのセキュリティ』と題して、佐賀大学の只木進一氏からセキュリティWG(Working Group)の活動成果報告の講演が行われた。
 只木進一氏(佐賀大学) |
|
近年の大学をはじめとする高等教育機関や研究機関における業務の情報システムへの依存度は増加傾向にある。一方でそれらの機関による情報システムへの投資は予算が取れないことによる金額面の不足だけならず、人員についても不足の一途をたどっている。その結果として情報システムを管理・運用する人間への負担は徐々に大きくなっている、とのことである。
このような状況の対応策の一つとしてクラウドサービスの活用が挙げられた。クラウド技術は費用が安く、スケールを自由にかつ大きく取ることができる点で魅力的である。そしてクラウドサービスは今においても急速な成長を見せている。
その一方で高等教育機関や研究機関などのクラウドサービス利用はあまり進んでおらず、組織内ネットワークの基盤であったIPv4サービスは、1990年頃からアドレス枯渇について叫ばれていたが、それはついに現実となってしまった。今後増え行く情報機器の接続のために、IPv6への対応を急がなければならない。また前述にあるように、クラウドサービスの利用を避けて通ることができないが、「どのようにクラウドサービスを利用したらよいのか」、個人情報や組織の機密情報を理由に「セキュリティはどうなのか」といった不安は拭えない。そこでクラウドサービスのデータやシステムの独立性、データの秘匿性などについて組織がそのサービスを利用可能であるかどうかの指標作りがWGのテーマの一つであった。
クラウドサービスには無償のものと有償のものがある。無償の汎用的サービスの例としてMicrosoft のOffice365が挙げられる。なぜ無償なのだろうか。無償であるからこそ突然サービスが無くなる可能性は否定できない。また、「アカウントが乗っ取られた」、「保存したデータが無くなった」、「サービス内容の急な変更」などのトラブルが発生した際にはどのように対応したらよいのかという懸念は残ってしまう。
このようなトラブルへの対策には、「組織で文書の重要度を定める」ことで重要度ごとに取り扱い(アクセス権等)をどうするのか、どこに保存するのかを最初に決めておくことが重要であるそうだ。
クラウドサービスを利用するにあたって、データセンターがどこにあるのかということをはじめ、利用するクラウドサービスが準拠する国の法律などクラウドサービスに対する正しい理解に加え、クラウドサービスを利用することで発生するトラブルへの対策をしっかりとすることが大切である、とのことである。
最後に、九州大学の岡村耕二氏が閉会のあいさつを述べ、会合は閉会された。
以上
SS研facebookページへ