有明工業高等専門学校～Barracuda WAF導入事例

有明工業高等専門学校創造工学科准教授　マルチメディアセンタ情報基盤部長､松野良信氏に､Barracuda Web Application Firewall（以下Barracuda WAF）を導入した経緯とその効果について詳しくお聞きました。（取材日：2018年2月）

お客様情報
学校名：有明工業高等専門学校
設立：昭和38年4月1日
本科学生数：1,048名
専攻科学生数：57名
教職員数：117名
（平成30年4月1日現在）

有明工業高等専門学校（有明高専）とは

有明高専では、本科5年間と専攻科2年間を有機的に連携させた教育プログラムを通し、幅広い工学基礎と豊かな教養を基盤に、創造性、多様性、学際性、国際性に富む実践的な高度技術者の育成を目指しています。

公式サイト用のWebサーバなどへの、Barracuda WAF 本格導入を進めていきます

Webアプリケーションに対するインターネット経由のアクセスに使用

Q: 有明工業高等専門学校ではBarracuda WAFをどのように活用されていますか。

2017年2月より､仮想アプライアンス版のBarracuda WAF 460Vxを導入し､研究室などが立ち上げているサーバ内のWebアプリケーションに対するインターネット経由のアクセスに対して使用しています｡
1年目の活用はどちらかといえばテスト導入的な色合が強く､有明高専の公式サイト用Webサーバにはまだ使用していませんでした｡Barracuda WAFの使用も2年目に入りますので､今後､公式サイト用Webサーバでの使用を進めて行く考えです｡

Q: Barracuda WAF導入以前にもバラクーダ製品をお使いいただいていますが､バラクーダネットワークスジャパンを知ったきっかけと使用している製品について教えてください｡

15年ほど前から､現在のBarracuda Email Security Gateway(以下Barracuda ESG)を使用しています｡当時はスパムメールが増え始めた時期でもあり､私たち学校や自治体でその対策が急務になりつつあったとき､SIerより提案されたのが､Barracuda ESGでした｡その頃､いわゆるスパムフィルターに他社製品はなく､すぐに導入したと記憶しています｡

ただ､その導入から5年後､他社製のスパムフィルターを導入しましたが､使い勝手が悪く､さらに5年後に改めてBarracuda ESGを導入しました｡ Barracuda ESGは他社製品と比較して､定義ファイルの更新が適切になされており､必要なメールがスパムメールと判断されることはほとんどありません｡その点が他社製品と比較して､使い勝手が優れている点です｡

仮想版アプライアンスとリーズナブルな価格が導入の決め手

Q: Barracuda WAFを導入されるにあたり､何らかの課題があったのでしょうか｡

研究室などでサーバを立ち上げて､Webアプリケーションを使用する際のセキュリティはサーバを設置した担当者に任せている部分が多く､組織としては受身の対応でした｡もちろん管理を企業に委託している公式サイト用Webサーバなどは、それぞれに対策を取っていました。

何か対策が必要と考えていたときに参加した展示会でBarracuda WAFを知り､バラクーダネットワークスジャパンの方と名刺交換しました｡詳細な製品情報を拝見し検討した結果､Barracuda WAFの導入を決め､直接バラクーダネットワークスジャパンに連絡して､代理店をご紹介いただき導入しました｡

Q: 数あるWAF製品の中から、Barracuda WAFを導入した理由をお聞かせください。

実際のところ､他社のWAF製品との比較検討は行っていません｡導入を決めた理由は､

仮想アプライアンス版があったこと
コスト的にリーズナブルであったこと

の2点になります｡

仮想アプライアンス版があったこと：有明高専のデータセンターに仮想基盤の空きはありましたが､ラックに余裕がなく物理アプライアンス版を導入することは困難でした｡また､検討・導入時期が年度末に近く､仮想アプライアンス版であれば､納期の心配をせずにすむことも一つの理由です｡
コスト的にリーズナブルであったこと：導入理由として､テスト導入的な色合が強かったため､物理アプライアンス版の導入はコストも含め､ハードルが高いと感じました｡仮想アプライアンス版であれば､コスト的にもリーズナブルですし､校内の手続きも比較的容易な手続きで導入できる金額であったことがあげられます｡

校内のサーバの状況をセンタとして把握

Q: Barracuda WAFを導入された効果について教えてください。

校内のサーバ全体の様子が把握できる
研究室などのサーバについては､いままで各サーバのログを見ないと､状況の把握はできませんでした｡現在では､Barracuda WAFを通じて各サーバの状況を把握することができますし､こちらで調査することもできますので､非常に安心です｡例えばSQLインジェクションなどによる攻撃があることは話としては知っていましたが､改めてBarracuda WAFのログを見ると日常的に行われていました｡そして攻撃からBarracuda WAFがきちんと守ってくれていることもわかりました｡こうした状況についても今までは研究室などの担当者に任せていましたが､センタとして把握することができるようになりました｡
ユーザーの負担なしに導入できた
研究室などの担当者から､特別な報告はありませんので､今までの使い勝手と変わらずにBarracuda WAFを使用してもらえていると､判断しています｡また､変なアクセスが減ったようだと感じている担当者もいるようです｡

Q: Barracuda WAFの今後の活用予定を教えてください｡

今後､公式サイト用WebサーバーなどにBarracuda WAFの導入範囲を広げていこうと考えています｡その際には､どのような導入構成にすればよいのか､代理店経由になるのかもしれませんが､アドバイスとサポートをお願いします｡また､本格導入というかたちになった場合､今まで通り仮想アプライアンス版でよいのか､それとも物理アプライアンス版がよいのかは､コストとの兼ね合いも出てくると思いますので､ご相談できると助かります｡

情報システム環境の変化に対するサポートと提案に期待

Q: 松野先生は国立高等専門学校機構の情報戦略推進本部情報セキュリティ部門長も兼任されていますが､各高専でのWAFなどの導入状況はいかがでしょうか｡

高専機構で､高専機構CSIRT（コンピュータセキュリティインシデント対応チーム）を組織する際、責任者に就任しました｡有明高専の教員がメインではありますが､高専機構CSIRTの活動も行っています｡

全国の高専の状況ですが､まだWAFそのものを知らないところも多いと感じていますし､予算の関係で導入できていないところもあるようです｡そういう意味では､2017年6月の高専機構CSIRTの勉強会をバラクーダネットワークスジャパンにサポートしていただき､「IPSとWAFの違い」「Webの脆弱性と脆弱性調査」「クラウドでのWAF」などのお話しを通じて､メンバーの知識やスキル向上につながったことは感謝しています｡

Q: Barracuda WAF､バラクーダネットワークスジャパンに対するリクエストなどありましたらお聞かせください｡

有明高専はじめ全国の高専の情報システム環境が変化していく中､Barracuda WAFなどセキュリティ面でのサポート､ご提案に期待しています｡

──有明高専様、本日はお忙しい中、貴重なお話をありがとうございました｡