CUSTOMER STORY

国立研究開発法人 理化学研究所

1917年(大正6年)に創設。物理学、化学、工学、生物学、医科学など、幅広い研究を行う日本で唯一の自然科学系総合研究所。研究成果を社会に普及させるため、大学や企業との連携による共同研 究 、受託研究等を実施している他、知的財産等の産業界への技術移転も積極的に推進している。

メリット

BIG-IP APMでSSL-VPNを集約することで、単一URLへのアクセスでVPNを開始できるようになり、ユーザーの利便性が向上

VPN運用を全拠点で統合でき、運用負担も軽減

問題発生時の原因切り分けも容易に

課題

拠点毎に異なるネットワークアクセスの統一化

外部からのVPNアクセスの利便性向上と運用負荷軽減

多様な端末に対応できるSSL-VPNの使用

十分なユーザー数のサポート

複数拠点のネットワーク統合の一環としてBIG-IP APMで外部からのVPN接続を集約 利便性向上と運用負荷低減を同時に実現

国内9カ所の拠点で幅広い分野の研究を行っている、国立研究開発法人 理化学研究所。ここでは 、これらの拠点を対象としたネットワーク統合プロジェクトの一環として、外部からのアクセスで使用されるVPNが、BIG-IP APMによって統合されている。VPN方式としては 、幅広い端末に対応可能なSSL-VPNを使用。端末のブラウザから1つのURLにアクセスするたけで、VPN通信を開始できるようにしているのだ。これによってユーザーの利便性が 向上し、VPN運用の負担も軽減、問題発生時の原因切り分けも容易になった。BIG-IP APMによるVPNの統合は、今回のネットワーク統合プロジェクトの中で、最も集約効果が高いものであると評価されている。

BIG-IP APMでSSL-VPNを集約したことで、ユーザーの利便性は大幅に高まりました。どの拠点のシステムを利用する場合でも、 ブラウザから単一のURLにアクセスすればVPNを開始できるからです

従来の課題

理化学研究所(以下、理研)は、日本で唯一の自然科学の総合研究所として、物理学、工学、化学、 計算科学、生物学、医科学などに及ぶ広い分野で研究を行っている国立研究開発法人である。主要な研究拠点は国内9カ所に分散しており、以前はネットワークの構築・運用を拠点毎に行うケースが多かった。外部からのアクセスをセキュアに行うためのVPN接続の運用も、拠点によって異なっていたのである。

「VPNの方式も、IPsecやSSL-VPN等、複数の方式が利用されていました」と振り返るのは、理研情報基盤センター横浜ユニットの溝口賢氏。このような運用はコストがかかる上、ユーザーの利便 性を考えても、好ましい状態ではなかったと語る。複数の拠点にまたがるプロジェクトに参加している場合など、他の拠点へのアクセスが必要なケースは少なくないが、そのたびにユーザーは 違和感を持ってしまうからである。また端末側の設 定を拠点毎に変更する必要もあり、問題発生時の 対応も大変だったと言う。

その一方で、拠点毎に構築・運用されてきたネットワークを、理研全体で統合することも重要な課題になっていた。「以前は導入機器毎に調達先が異なっていたこともあり、問題発生時の調査や新規ユーザーへのサービス展開にも時間がかかっていました」と溝口氏。しかし最近では「どの拠点でも Wi-Fiにすぐ接続したい」という要望が増えており、これへの対応にはネットワーク統合が不可欠だった と説明する。

この課題を解決するため、理研はまず2011年に、横浜拠点の機器調達先を1社に統合。2012年には理研全体のネットワーク統合に向けた取り組みに着手する。2013年4月には統合に向けたスケジュール を明確化し、入札の準備を開始。2014年10月に入札を実施し、同年12月に開札、東京エレクトロンデバイス(以下、TED)の提案を採用するのである。

ソリューション

このネットワーク統合の一環として、外部アクセスで使用するVPNの統合も行われている。これに関して理研から提示された要件は、大きく2つある。 第1はVPNの方式として、幅広い種類の端末で制約なく利用できるSSL-VPNを選択すること。理研の研究者はWindowsやMacOS、iOS、Android 等、様々な種類の端末を使用しており、海外から来た研 究者がLinuxを使用しているケースもあるからだ。 第2は十分なユーザー数をサポートできること。負荷の大きい SSLの処理を、同時に数100ユーザーがアクセスした場合でも、問題なく行えることが要求された。これらの要件を満たすため、TEDはBIG-IP Access Policy Manager(APM)によるSSL-VPNの 統合を、入札時の提案に盛り込んでいたのである。

そのシステム構成は図に示す通り。まずユーザー端末に 、電子証明書発行システムからSSL-VPNに使用する電子証明書を配布。ユーザー端末はこの電子 証明書を使用し、BIG-IP APMとの間にSSL-VPNのトンネルを張る。拠点間は広域イーサネットで接続されており、BIG-IP APMが設置された拠点を介して、各拠点のシステムにアクセスできるようになっている。

そこで端末周りのセキュリティ機能を追加するための検討に着手。OpenVPNとBIG-IP APMを比較 検討し、最終的に BIG-IP APMを仮想アプライアンスとして、AWS に実装することに決定する。

「当初は OpenVPNでいこうと考えていたのですが、クライアント毎に証明書が必要になることが大きな問題でした」と本郷氏。パートナー開発者の数が多く、入れ替わりも激しいため、管理負担が大きくなるからだと言う。「これに対してBIG-IP APMは、クライアント証明書を使用することなく端末検疫を行うことができ、ワンタイムパスワードの発行やSSL-VPNの機能も備えています。これなら運用負担を増やすことなく、端末のセキュリティを確保できると判断しました」

今回のネットワーク統合では、BIG-IP APMによるSSL-VPNの統合が、最も高い集約効果を発揮しています

メリット

■  単一URLへのアクセスで VPN を開始でき利便性が向上

「BIG-IP APMでSSL-VPNを集約したことで、ユー ザーの利便性は大幅に高まりました」と溝口氏。ど の拠点のシステムを利用する場合でも、ブラウザか ら単一の URLにアクセスすれば、VPN を開始できるからだ。「以前は拠点毎にアクセス手順 が異なっていたため、手順書も複数用意する必要がありましたが、これも統一可能になりました」。

F5 BIG-IP Edge Clientを導入しておけば、インターネットに接続可能な状態であれば、自動的に VPN接続することも可能だ。「現在はブラウザから のアクセスを推奨していますが、F5 BIG-IP Edge Client もTED が用意したポータルサイトからダウン ロード可能にしています」と溝口氏は語る。

■  問題発生時の原因切り分けも容易

外部から接続できないといった問題が発生した 場合の対応も容易になった。このようなケースでは、端末側の設定に問題があることがほとんどだが、以前は拠点毎に使用していたVPN 方式が異なる上、アクセス手順も個別だったため、まず「どの拠点のユーザーなのか」を確認しないと、対応できなかった。また通常アクセスしている拠点とは異なる拠点にアクセスする場合には、問題原因が端末側にあるのか拠点側なのかの判別が、難しいケースも少なくなかったと言う。しかし現在では全ての拠点に対するアクセスで、単一のBIG-IP APMを使用したSSL-VPNを使用しているため 、ユーザーがどの拠点にアクセスしようとしているのかを意識する必要がない。問題原因の切り分けも簡単に行えるように なっている。

■  高い集約効果を発揮し運用統合にも貢献

VPNの方式をSSL-VPNに統一した結果、端末OSのバージョンアップにも、柔軟に対応できるようになった。以前は拠点毎にVPN方式が異なっていたため、端末OSをバージョンアップするには、それぞ れのVPNがそのOSに対応しているか否かを確認し、必要であればVPNソフトウェアのバージョン アップも行う必要があった。そのため、端末OSのバー ジョ ン ア ップに関するユーザ ーニ ーズを拠点毎に調査した上で、どの拠点をいつバージョンアップすべきか、個別に検討しなければならなかったのである。しかし現在ではVPN接続を単一のBIG-IP APMで受けているため、拠点毎の個別検討は不要 になった。

「今回のネットワーク統合では、BIG-IP APM によるSSL-VPNの統合が、最も高い機器集約効果を発揮しています」と溝口氏。またこの部分の運用を統合できたことも、大きなメリットだと指摘 する。今後は他の部分の運用に関しても、さらなる統合を進めていく計画だ。SSL-VPNの統合は、単に外部アクセスの利便性を高めただけではなく、運用統合の先行例としても重要な意味を持っていると評価され ているのである。