【国立大学法人東京大学】
学内ネットワークのセキュリティ刷新に取り組んだ東京大学
パロアルトネットワークスの旧機種から「PA-5450」へ更改

国立大学法人東京大学は2023年4月、東京大学の全学情報ネットワーク基盤「UTNET」を守るセキュリティ製品にパロアルトネットワークスの次世代ファイアウォール「PA-5450」を導入した。従来のセキュリティ製品が稼働してから8年以上が経過し、年々増大化するネットワーク通信量の処理に不安を感じていた東京大学は、性能に優れた最新セキュリティ製品への刷新を検討。安定性・拡張性とこれまでの採用実績を評価して、引き続きパロアルトネットワークス製品の導入を決定。400Gbpsの外部接続にも対応可能にするとともに、従来は3組の冗長構成だったセキュリティ製品を1組に集約するなどの効果が得られたという。

東京大学は、1877年に東京開成学校と東京医学校との合併により創設された日本最初の国立大学。人文学・社会科学・自然科学の広範な学問分野において世界最高水準の研究・教育に取り組む拠点として日本と国際社会の発展に広く貢献してきた。現在は法学部・医学部・工学部・教養学部など10学部、人文社会系研究科・情報学環・学際情報学府・公共政策大学院など15大学院研究科に2万7,000人以上の学生が在籍し、教職員数が1万人を超える国内最大級の国立大学でもある。

東京大学は、1877年に東京開成学校と東京医学校との合併により創設された日本最初の国立大学。人文学・社会科学・自然科学の広範な学問分野において世界最高水準の研究・教育に取り組む拠点として日本と国際社会の発展に広く貢献してきた。現在は法学部・医学部・工学部・教養学部など10学部、人文社会系研究科・情報学環・学際情報学府・公共政策大学院など15大学院研究科に2万7,000人以上の学生が在籍し、教職員数が1万人を超える国内最大級の国立大学でもある。

「東京大学には本郷・駒場などのメインキャンパス以外に多数の小規模拠点がありま すが、それらのキャンパスをつなぐUTNETの運用管理を担当する情報基盤センター にとって最も難しいのは『いかにセキュリティを担保するか』ということです。UTNET は国立情報学研究所（NII）が運営する学術情報通信ネットワーク『SINET6』を経由し て外部ネットワークに接続しており、現在はその出入口にセキュリティ製品を設置して 対応しています。このような東京大学全学をまとめるセキュリティの仕組みが出来上 がったのは8年前のことで、学内無線LANをキャンパス全体に整備したことがきっか けでした」（東京大学 情報基盤センター 教授 関谷勇司氏）

このときに東京大学情報基盤センターが導入したのが、パロアルトネットワークスの次世代ファイアウォール「PA-5060」、2017年に追加する形で導入したのが「PA5260」だった。

「従来のUTNETでは、冗長構成のPA-5060およびPA-5260を3組導入して運用していましたが、外部ネットワークの接続先であるSINETとの回線容量が400Gbpsになってネットワークトラフィックが増大化するなか、従来のセキュリティ製品では処理が追い付かないこともありました。一方で従来製品のメーカーサポート終了時期が迫っていたこともあり、この機会にセキュリティ製品を刷新することにしました」（関谷氏）

東京大学情報基盤センターは、新しいセキュリティ製品の導入に向けて2022年はじめに選定作業を開始した。複数の導入候補を挙げて比較検討した結果、同大学が採用を決めたのが、パロアルトネットワークスの次世代ファイアウォール「PA-5450」だった。

「新しいセキュリティ製品は、まずは膨大なネットワークトラフィックに対応できるパフォーマンスを発揮するものを第一に、機能や拡張性などを比較しながら選定作業を進めました。そのなかでも、とくに東京大学ならではの要件として挙げたのが、ACL（アクセス制御リスト）を設置するために独自開発したシステムとの連携が可能かどうかという点です。このシステムは、学内各部局それぞれのセキュリティ担当者が自分たちでセキュリティルールを設定できるように作成したWebアプリケーションであり、これを使ってセキュリティ製品をAPI制御しています。このシステムとの連携できることが、製品選定の必須条件でした」（関谷氏）

そうした条件を満たすセキュリティ製品として選定したのがPA-5450というわけだが、一番の決め手になったのが、パロアルトネットワークス製品の安定性・信頼性だったという。

「東京大学ではおよそ8年にわたってパロアルトネットワークスのセキュリティ製品を運用してきましたが、この間にセキュリティ製品が停止するといったトラブルは一度も発生していません。この稼働実績による安定性・信頼性を高く評価し、最終的にPA5450を選定することになりました」（関谷氏）

こうして東京大学がPA-5450を導入したのが、2023年4月のこと。そこから約3カ月をかけて従来製品からの移行・設定、テストなどの導入作業を進め、6月末に本番運用を開始した。

「同じパロアルトネットワークス製品からの更改だったので、移行作業自体が難しいということはありませんでした。しかし学内で設定していたセキュリティルールが数万単位で存在しており、それらを一つずつ確認しながら間違ったルールを修正、あるいは削除するといった棚卸し作業も必要だったため、移行に多少手こずったことは確かです。ルールの見直しは、本番運用開始後も継続して進めています」（関谷氏）テストについては、主に機能面の動作確認を中心に実施したという。

「PA-5450になって、製品に搭載されているPAN-OSのバージョンが新しくなったこともあり、従来の機能から変わった部分のチェックを行いました。基本的な機能差は小さく同じように動くので、機能のテストにはそれほど時間がかかりませんでしたが、冗長構成の切り替えなど可用性のテストだけは入念に実施しました」（関谷氏） 本番運用から間もないものの、すでに導入効果も実感しているという。

「一番の導入効果は、従来3組あった冗長構成のセキュリティ製品を1組に集約でき、アラート管理が大きく効率化されたことです。1組に集約しても物理機器内に複数の論理インスタンスを構築できるパロアルトネットワークスの『VSYS』機能を利用しているため、いままで個々にセキュリティ製品を運用していたそれぞれのセキュリティ担当者にとっても従来の運用管理と大きな違いはありません」（関谷氏）

東京大学では今後、PA-5450のパフォーマンスを監視し、状況を見ながら柔軟に拡張していく予定だ。

「現時点ではPA-5450の性能に余力がありますが、PA-5450には拡張スロットが用意されているので、必要に応じてCPUやインターフェイスの拡張カードを追加・増設していきたいと考えています」（関谷氏）

また、PA-5450が検知したアラートログを収集・分析する方法を検討しているとのことだ。

「インシデント対応に欠かせないログ収集ですが、現在は各種ログがトラフィックログと一緒になっているため、検索するのに時間がかかるという課題があります。それを解決するために、各種ログを分離して保存・分析する方法を検討しているところです」（関谷氏）

そうしたセキュリティ分析のためのデータを収集・統合する場所として、パロアルトネッ トワークスが提供する「Strata Logging Service」の有効活用を検討している。Strata Logging Service (旧称 Cortex Data Lake)に貯まったログを活用するソリューションとして、挙動分析（ふるまい検知） の「Cortex XDR」の導入を視野に入れているという。

パロアルトネットワークスのセキュリティ製品はこれからも、東京大学の学内ネットワークを守り続けていくことだろう。

国立大学法人東京大学
情報理工学系研究科 情報理工学教育研究センター
情報基盤センター（兼務）
教授 関谷 勇司氏