東京大学

800以上のWEBサイトがある東京大学。各サイト管理者が意識することなく、セキュリティレベルを向上させるためにCDN及びWebセキュリティサービス「Cloudflare」を導入し集中管理

日本で初めての近代的な大学として1877年に設立された東京大学は、東京都文京区の本郷キャンパスと目黒区の駒場キャンパス、千葉県柏市の柏キャンパスなど6つのキャンパスに10学部(大学)、15研究科(大学院)を有しています。学生数は学部学生、大学院学生、研究生を合わせて約2万8,000人。教職員数はおよそ1万人で、国立大学法人の中では最大級の規模を誇っています。

そんな東京大学で情報システム基盤の整備やサービスの提供、学術研究を行っているのが、東京大学情報基盤センターです。同センターは、学内外の研究・教育に必要な情報基盤の研究を行うとともに、学際大規模情報基盤共同利用・共同研究拠点としての役割を担う学術機関。教育用システムの維持・管理・運営と学内の情報リテラシーを含む情報関連教育の支援をする「情報メディア教育研究部門」、学生と教職員の学習、教育、研究活動に不可欠な学術情報をデジタルコンテンツとして提供する「学術情報研究部門」、学内ネットワーク(東京大学情報ネットワークシステム:UTnet)の構築と運用管理を担当する「ネットワーク研究部門」、最新のスーパーコンピューティング技術の研究と実用化に取り組む「スーパーコンピューティング研究部門」の4つの研究部門で構成されています。

サブドメインサイトのセキュリティ対策が急務

このうち情報基盤センターでは、東京大学のトップレベルドメイン「u-tokyo.ac.jp」を管理しています。同センターの情報メディア教育研究部門助教の岡田和也氏は、同部門にて一部のサブドメインのホスティングサービスなども提供していると話します。「東京大学では、各学部・研究科、各部局、各研究室などがそれぞれ個別にホームページを開設・運営しています。それらのサイトは、学内に設置されているオンプレミスのサーバーをはじめ、東京大学が契約している商用ホスティングサービス、あるいはパブリッククラウド上に構築されています。そうしたサイトへのサブドメインの払い出し、DNSへの登録、アカウントの発行、課金といった管理業務は、私たち情報メディア教育研究部門が担当しています」(岡田氏)

その数は、ホームページが開設・運営されている学内のサイトが複数存在し、ウェブサーバのホスティングサービスで収容しているサイト数は800以上になります。トップレベルドメイン配下のサブドメインの発行数は約1,000に上ります。

こうした状況にあるサブドメインには、問題が山積していたと岡田氏は話します。 「サブドメインの発行数が約1,000ということは、サブドメインの管理者が最低でも約1,000人はいるということです。それらのサブドメインの管理責任はすべて各サイトにあるのですが、管理者の知識や経験は様々でした」(岡田氏) とくにファイアウォールやWAF(Webアプリケーションファイアウォール)などのセキュリティ対策が講じられているサイトは少ない状況でした。 「セキュリティ対策が一切行われていないサイトもありますが、幸いなことに各サイトへのトラフィックは少なく、これまでにDDoS攻撃を受けた形跡も見当たりません。標的型攻撃による個人情報流出事故などのインシデントも、これまで発生していませんでした」(岡田氏)

DDoS攻撃対策の有効性からCloudflareを選定

インシデントが発生していないからといって、いつまでも無防備のまま放っておくわけにはいきません。そこで情報メディア教育研究部門では、同部門が提供するウェブホスティングサービスにおいて取り組めるセキュリティ対策について検討を始めました。 「各サイトが個別にセキュリティ対策に取り組んだとしても、日々刻々と脅威が高度化・巧妙化する現在は、既知の脅威は防げたとしてもゼロデイ攻撃など未知の脅威を防ぎきることはできません。いろいろな施策を検討した結果、導入が容易で、かつ高い効果が見込まれる方法として注目したのが、CDN(コンテンツデリバリーネットワーク)を採用することでした」(岡田氏) CDNは、サイトへのアクセス負荷を分散することにより、コンテンツ配信を高速化するサービスです。しかし単なる高速化だけでなく、負荷集中による遅延や遮断を防止して可用性を高めたり、SQLインジェクション、クロスサイトスクリプティングなどWebベースの攻撃やDDoS攻撃からサイトを保護したりする役割も果たします。こうしたCDNの機能に着目したのです。 情報メディア教育研究部門では複数のCDNサービスを比較検討。その結果、最適なCDNサービスとして選ばれたのが、MKIが代理店となり提供しているCloudflare社のCDNサービスでした。 「CDNサービスはいくつもありますが、その中で本学がCloudflareを選ぶ決め手になったのは、豊富なセキュリティ機能とルーティング技術にエニーキャストを採用しているからです。最も近いノードにルーティングするエニーキャストはDDoS攻撃対策に最も効果的であり、エニーキャストをサポートするCDNサービスの一つがCloudflareだったのです。ほかにも日本国内に東西2カ所のデータセンターがあって冗長性が確保されていること、DDoS攻撃からサイトを保護するWAF機能が組み込まれていることも、Cloudflareを選定した理由です」(岡田氏)

Cloudflareでセキュリティレベルの向上を実現

こうして東京大学情報基盤センター 情報メディア教育研究部門では、2017年度にCDNの導入計画を予算化し、MKIから調達することとなりました。2018年3月から導入を開始してCNAMEレコードの設定などの作業を行い、4月にテストサイトを開設。8月までに全面的な運用開始を目指しています。 「情報メディア教育研究部門が実施したのは、DNS上でサブドメインへのアクセスをCloudflareへ向けるようにしたことです。サブドメインサイトのURLなどは基本的に変わりませんが、内部マニュアルを作成して各サイトの管理者、およびユーザーに周知徹底を図っています」(岡田氏) 東京大学の部局や研究室のウェブサイトのうち、Cloudflareを導入したサイトでは、ネットワーク全体のセキュリティレベルの向上を実現できると期待されています。特にCMSに対する攻撃に効果を発揮することが期待されています。セキュリティ対策がまったく行われていなかったサブドメインサイトでも、WAFによるDDoS攻撃防御機能を付加することができました。 「最大の効果は、それぞれのサイトごとに行う必要があったセキュリティ対策を情報メディア教育研究部門で集中管理できるようになったことです。Cloudflareはユーザーインターフェイスが日本語化された分かりやすい管理用ダッシュボードが提供されています。またCloudflare社は過去に大規模なDDoS攻撃を何回も受けており、それらの攻撃に対応するなど技術的な信頼性が非常に高いところも評価しています。さらに対応が素早いMKIのサポート体制にも満足しています」(岡田氏) 今回の東京大学の事例は、サブドメインサイトの運用管理とセキュリティ対策に課題を抱えている多くの大学・教育機関にとって大いに参考になるはずです。

 東京大学
パートナー関係にあるのは
関連導入事例
主な成果
  • セキュリティ対策が行われていなかったサブドメインサイトでも、WAFおよびDDoS攻撃防御機能を付加することができた。

  • 約1,000近く存在するサブドメインごとに行う必要があったセキュリティ対策を一部門で集中管理できるようになった。

  • ルーティング技術にエニーキャストを採用しており、最も効果的なDDoS攻撃対策を実装することができた。

Cloudflareはユーザーインターフェイスが日本語化された分かりやすい管理用ダッシュボードが提供されています。またCloudflare社は過去に大規模なDDoS攻撃を何回も受けており、それらの攻撃に対応するなど技術的な信頼性が非常に高いところも評価しています。さらに対応が素早いMKIのサポート体制にも満足しています。


東京大学 情報基盤センター ご担当者様