クラウドコンピューティングが必要ですか? 今すぐ始める

セグメンテーションのケーススタディ:州立大学

州立大学が 24 のキャンパスで重要な建物運用テクノロジーを保護するために Akamai を採用

顧客
 

大規模な州立大学

24 のキャンパスに 1 万 7,000 名以上の教職員を擁しているこの大規模な州立大学は、10 万名以上の学生の高等教育ニーズに応えています。 

課題

600 以上の建物のネットワークインフラ管理の一元化

この著名な州立大学は、州で展開されているスマート・キャンパス・プログラムの一環として、建物のオートメーションシステムを安全に導入したいと考えていました。大学の設備と OT システムを担当するチームは、デバイスやアプリケーションを保護するセグメンテーションがないことに不安を抱いていました。また、大学の IT ネットワークを今のエアギャップの状態から移行した場合に何が起こるかを懸念していました。そこで、担当チームは建物のオートメーションシステムを一元化し、セキュリティを強化するという意欲的な取り組みに乗り出すことにしました。                         

同大学のプロジェクトリーダーによると、「約 2 年前まで、個々のキャンパスはほぼ分離していました。メインのアプリケーションサーバーをホストしていましたが、個々のキャンパスのコントローラーは IT ネットワーク上に設置してあり、個々の VLAN とキャンパスのその他のトラフィック間がセグメント化されていないケースもありました」。これは、単一の建物の制御システムに対する攻撃が成功した場合、キャンパスの IT ネットワークへと容易に拡大する可能性があり、その逆のことも起こり得るということを意味しています。                                                             

プロジェクトを進めた背景には、経済的な理由もありました。「大学はエネルギー管理を行ってコスト削減可能な部分を把握したいと考えていました」とプロジェクトリーダーは説明します。「しかし、すべてがスタンドアロンシステムだったため、キャンパスからデータを取得することはできませんでした」。それぞれを接続する必要を感じていましたが、それには安全性が求められました。それらのリモートキャンパスからデータセンターに接続することで、潜在的な攻撃を防ぐためのバックドアをネットワークに作ることができました」                                         

すべてを共有ネットワークインフラに組み込むという意欲的なプロジェクトで対象となっていたのは、24 のキャンパスにある 600 以上の建物です。プロジェクトの実行には、学部の施設オートメーションチームが起用されました。しかし、大学のオートメーションシステムの複雑さと関係ベンダーの数も、大きな課題となっていました。                                         

「大学ではエレベーターシステム、空調、振動分析、照明、配電、電気メーターを管理しています。さらに、蒸気発生、配電、廃水処理などの主要なユーティリティ類もあります。こうしたシステムはさまざまな企業が管理しており、大学は 260 社以上もの業務委託先と契約しています」。                         

これらのベンダーはネットワークにアクセスする必要があります。その際、リスクの発生や他の制御システムへの干渉を避けなくてはなりませんでした。

水平方向(East/West)のトラフィックの可視性とポリシーの一元化が必要

遠隔地のキャンパスと大学の主要なデータセンターを結ぶ垂直方向(North/South)の接続に対応するために、スマート制御システムと IoT(モノのインターネット)ネットワークに特化したセキュリティプロバイダーである Tempered Networks が採用されました。そのような課題に対処しても、同大学は依然としてデータセンター内で稼働している 300 台以上のサーバーを保護するという問題に直面していました。                                             

「私たちは水平方向(East/West)のトラフィックを処理すると謳うソリューションを検討していましたが、いずれも私たちが望むほどクリーンでもシンプルでもありませんでした」と、大学のプロジェクトリーダーは振り返ります。                                              

「1 つの画面で簡単に管理でき、アプリケーションタイプに基づいてルールセットを作成する方法を見つける必要がありました。そこで Akamai に注目しました」

担当チームが Akamai の存在に気づいたのは、Akamai の無料の違反・攻撃シミュレーションツールである Infection Monkey を知ったときでした。Infection Monkey は、データセンターのオペレーターが自社の環境の復元力を評価して、侵害後の攻撃やラテラルムーブメント(横方向の移動)を防止するのに役立ちます。


ファイアウォール管理システムは Akamai には勝てません。

大学のプロジェクトリーダー

ソリューション

Akamai Guardicore Segmentation セキュリティプラットフォーム

大学チームのメンバーは、Akamai Guardicore Segmentation をダウンロードして利用し始めた後、Infection Monkey によって明らかになった問題を解決できることに気づきました。                                    

Akamai Guardicore Segmentation セキュリティプラットフォームは、主にマイクロセグメンテーションに重点を置いた、市場でも数少ないソリューションの 1 つです。オペレーターは簡単にセキュリティポリシーを定義、作成、導入して、個々のアプリケーション間または論理的にグループ化されたアプリケーション間の通信を管理できます。                                       

Akamai チームは大学に対する初回のプレゼンテーションで、このプラットフォーム独自の視覚化機能を実演して見せました。Akamai Guardicore Segmentation を使用すると、データセンターのオペレーターは、環境内で実行されているすべてのアプリケーションと、それぞれの依存関係を示すグラフィックマップを見ることができます。 

「それはすぐに機能しました。まさに私たちが求めているものだと実感しました」
セキュリティをシンプル化する分散統合型プラットフォーム                       

プロジェクトリーダーは、「ファイアウォールに固執し、それですべてを解決できると考える人もいます」と述べます。「一元的なファイアウォール管理では、ファイアウォールごとにルールを個別に設定する必要があります。Akamai なら、アプリケーショングループを作成して、指定したシステム間で通信するように指示できます」。

ファイアウォールには、コスト、リソース、管理性の問題もあります。「ファイアウォールの管理は悪夢のようでした。システムを展開し、問題がないことを確認するだけでも、おそらく 6 人のスタッフが必要になります。さらに、その管理だけに 2 人以上の専任スタッフが必要です」                                           

さらに、ファイアウォールは柔軟性がなく、アプリケーションレベルでポリシーの設定も変更もすることができません。

「Akamai では、しばらくリッスンして、システム間で何が起きているのか、そのシステム間でなぜ通信する必要があるのかを理解することができます。ファイアウォールを使用する場合は、100% かゼロかの選択になります。ファイアウォールはポート間をブロックするだけです」。

一元管理が容易なマイクロセグメンテーション 

チームメンバーがルールを作成して展開できるスピードと容易さも、大きなメリットとして挙げられています。 

「起動した初日、私たちはいくつかの機器にインストールしてから、1 つのベンダーを別のベンダーが表示できないようにするポリシーを作成しようとしました。あっという間に最初のベンダーで成功しました。それにより、この製品は私たちが求めていたものであることが証明されました」とプロジェクトリーダーは述べています。                                                                         

Akamai のマイクロセグメンテーションツールと手法は専門家を必要としません。「チームの誰もが使えるほどシンプルであることが大きな魅力でした」。


インストールが完了するとすぐに、導入、展開を終え、保護ルールを設定し、販売することができました。

大学のプロジェクトリーダー

Akamai での可視化により、データセンター内で運用上の異常を発見できるメリットも得られました。「私たちのネットワーク以外に接続している印刷スプールサービスが見つかりました」と、プロジェクトリーダーは振り返ります。「最終的に、それは誰かのリモート・デスクトップ・セッションであり、切断されたものの完全には終了しておらず、PC の印刷サーバーに通信を何度も再試行していたことが判明しました。もしその PC が侵害されれば、アプリケーションサーバーにも被害がおよぶ恐れがありました」。

結果

大学のチームは、シンプルなマイクロセグメンテーションソリューションを探しました。そして、それ以上の機能を持つ Akamai に出会ったのです。

チームが Akamai を積極的に使用している今、同大学はすでに、このソリューションによって可能になるさらなるセキュリティ強化と効率化を思い描いています。                                                                                 

「将来的には、インシデントが発生した場合に備え、ネットワークの多くの機能を自動化する予定です。たとえば、建物から不正な MAC アドレスやアクセスポイントを検知したら、Akamai Guardicore Segmentation を使用して、その建物をロックダウンするコマンドを Tempered Network のソリューションに送信し、オペレーターにアラートを送信して修正と現状の把握を行うことができます。これまで、そのような検知機能はありませんでした」                                                                       

Akamai プラットフォームにより、大学の施設オートメーションチームは、予想以上に迅速かつ容易に目的のセキュリティ状態に到達できました。「すべてを常時監視するこのようなプロアクティブなツールは、今までありませんでした」と、プロジェクトリーダーは説明します。

Akamai が水平方向(East/West)のデータセンタートラフィックを監視しているため、チームはその作業を行う必要がありません。「私はチームメンバーに本来の仕事、つまり大学のエネルギーとコストの節減に専念してもらいたいと思っています。データセンターの状況に気をとられていると、仕事に集中できません」。

「私たちは、長い期間にわたって非常に簡単にメンテナンスできるものを求めていました。そして、[Akamai は] 私たちの期待をはるかに上回りました説明を受けた通りの働きをしています」

関連するお客様事例

セキュリティ

コネクテッド TV 広告のリーダー

TV 広告のリーダーが、マイクロセグメンテーションにより、サイバー保険への加入、攻撃の検知と防止、知的財産のより適切な保護を実現した方法をご紹介します。
続きを読む
セキュリティ

DOUGLAS Group

10 億ユーロ規模の小売企業である DOUGLAS Group は、Akamai を活用してサイトのパフォーマンスと保護を最適化しています。
続きを読む
セキュリティ

Rapyd

グローバル決済サービス企業が API のリスクを可視化し、API 脅威に対するセキュリティを確保。
続きを読む