セグメンテーションのケーススタディ：州立大学

顧客
 

大規模な州立大学

24 のキャンパスに 1 万 7,000 名以上の教職員を擁しているこの大規模な州立大学は、10 万名以上の学生の高等教育ニーズに応えています。 

課題

600 以上の建物のネットワークインフラ管理の一元化

この著名な州立大学は、州で展開されているスマート・キャンパス・プログラムの一環として、建物のオートメーションシステムを安全に導入したいと考えていました。大学の設備と OT システムを担当するチームは、デバイスやアプリケーションを保護するセグメンテーションがないことに不安を抱いていました。また、大学の IT ネットワークを今のエアギャップの状態から移行した場合に何が起こるかを懸念していました。そこで、担当チームは建物のオートメーションシステムを一元化し、セキュリティを強化するという意欲的な取り組みに乗り出すことにしました。                         

同大学のプロジェクトリーダーによると、「約 2 年前まで、個々のキャンパスはほぼ分離していました。メインのアプリケーションサーバーをホストしていましたが、個々のキャンパスのコントローラーは IT ネットワーク上に設置してあり、個々の VLAN とキャンパスのその他のトラフィック間がセグメント化されていないケースもありました」。これは、単一の建物の制御システムに対する攻撃が成功した場合、キャンパスの IT ネットワークへと容易に拡大する可能性があり、その逆のことも起こり得るということを意味しています。                                                             

プロジェクトを進めた背景には、経済的な理由もありました。「大学はエネルギー管理を行ってコスト削減可能な部分を把握したいと考えていました」とプロジェクトリーダーは説明します。「しかし、すべてがスタンドアロンシステムだったため、キャンパスからデータを取得することはできませんでした」。それぞれを接続する必要を感じていましたが、それには安全性が求められました。それらのリモートキャンパスからデータセンターに接続することで、潜在的な攻撃を防ぐためのバックドアをネットワークに作ることができました」                                         

すべてを共有ネットワークインフラに組み込むという意欲的なプロジェクトで対象となっていたのは、24 のキャンパスにある 600 以上の建物です。プロジェクトの実行には、学部の施設オートメーションチームが起用されました。しかし、大学のオートメーションシステムの複雑さと関係ベンダーの数も、大きな課題となっていました。                                         

「大学ではエレベーターシステム、空調、振動分析、照明、配電、電気メーターを管理しています。さらに、蒸気発生、配電、廃水処理などの主要なユーティリティ類もあります。こうしたシステムはさまざまな企業が管理しており、大学は 260 社以上もの業務委託先と契約しています」。                         

これらのベンダーはネットワークにアクセスする必要があります。その際、リスクの発生や他の制御システムへの干渉を避けなくてはなりませんでした。

水平方向（East／West）のトラフィックの可視性とポリシーの一元化が必要

遠隔地のキャンパスと大学の主要なデータセンターを結ぶ垂直方向（North／South）の接続に対応するために、スマート制御システムと IoT（モノのインターネット）ネットワークに特化したセキュリティプロバイダーである Tempered Networks が採用されました。そのような課題に対処しても、同大学は依然としてデータセンター内で稼働している 300 台以上のサーバーを保護するという問題に直面していました。                                             

「私たちは水平方向（East/West）のトラフィックを処理すると謳うソリューションを検討していましたが、いずれも私たちが望むほどクリーンでもシンプルでもありませんでした」と、大学のプロジェクトリーダーは振り返ります。                                              

「1 つの画面で簡単に管理でき、アプリケーションタイプに基づいてルールセットを作成する方法を見つける必要がありました。そこで Akamai に注目しました」

担当チームが Akamai の存在に気づいたのは、Akamai の無料の違反・攻撃シミュレーションツールである Infection Monkey を知ったときでした。Infection Monkey は、データセンターのオペレーターが自社の環境の復元力を評価して、侵害後の攻撃やラテラルムーブメント（横方向の移動）を防止するのに役立ちます。

セキュリティをシンプル化する分散統合型プラットフォーム                       

プロジェクトリーダーは、「ファイアウォールに固執し、それですべてを解決できると考える人もいます」と述べます。「一元的なファイアウォール管理では、ファイアウォールごとにルールを個別に設定する必要があります。Akamai なら、アプリケーショングループを作成して、指定したシステム間で通信するように指示できます」。

ファイアウォールには、コスト、リソース、管理性の問題もあります。「ファイアウォールの管理は悪夢のようでした。システムを展開し、問題がないことを確認するだけでも、おそらく 6 人のスタッフが必要になります。さらに、その管理だけに 2 人以上の専任スタッフが必要です」                                           

さらに、ファイアウォールは柔軟性がなく、アプリケーションレベルでポリシーの設定も変更もすることができません。

「Akamai では、しばらくリッスンして、システム間で何が起きているのか、そのシステム間でなぜ通信する必要があるのかを理解することができます。ファイアウォールを使用する場合は、100% かゼロかの選択になります。ファイアウォールはポート間をブロックするだけです」。

一元管理が容易なマイクロセグメンテーション 

チームメンバーがルールを作成して展開できるスピードと容易さも、大きなメリットとして挙げられています。 

「起動した初日、私たちはいくつかの機器にインストールしてから、1 つのベンダーを別のベンダーが表示できないようにするポリシーを作成しようとしました。あっという間に最初のベンダーで成功しました。それにより、この製品は私たちが求めていたものであることが証明されました」とプロジェクトリーダーは述べています。                                                                         

Akamai のマイクロセグメンテーションツールと手法は専門家を必要としません。「チームの誰もが使えるほどシンプルであることが大きな魅力でした」。