case_tohoku1.jpg
 
「大学のネットワーク管理は、企業のそれとは、そもそも運用の「原理原則」が全く異なる」と語る東北大学(大学院経済研究科)の石垣政裕氏(写真中央)に、大学のネットワーク管理の前提条件とあるべき姿について、詳しく聞きました。
(写真左右は、ネットワーク管理スタッフの皆様)
 
大学ネットワークと企業ネットワークの違い
Q)大学のネットワーク環境は、普通の企業のネットワーク環境と異なる点は何になるでしょうか?

A)あくまでも一般論ですが、以下の点で、運用上の原理原則が大きく異なると思います。整理のため、箇条書きで説明してみることにします。
  1. いろいろなシステムが混在している。統一することはできない。
    Windows、MACやUNIX、Linuxなどの各種バージョンが混在するネットワーク環境です。場合によっては、研究目的で実験的なマシンが接続されることもあります。普通の企業であれば、これでは業務の遂行上、非効率なので機器やOSをある程度統一しようという動きになる所ですが、大学のPCは、業務の遂行のためでなく、研究や学習のためにあるものなので、そのような効率優先の運用はできません。
  2. 持ち込みPCが容認されている。
    企業ネットワークにおいては、セキュリティ上の理由から、自宅PCの持ちこみ、接続を禁じている所が多いと聞きます。しかし大学においては、学生や教員の持ちこみPCの接続を禁じるわけにはいきません。
  3. 学生のみならず、外部の人間の接続もある程度、容認せざるを得ない。
    例えば、共同研究のために他の大学から来ている研究者のノートPCなどは、一定期間の間、学内ネットワークへの接続を認めることになります。また海外の留学先で、長い間使われていたPCが日本に戻ってきて、接続される事もありえます。
  4. 多様なポリシーが混在している。
    教員の部屋のPCのように、固定した場所で、一人が一日中使っているマシンもあれば、コンピュータ実習室などのように、不特定多数が入れ替わりログインする所もあれば、事務室のように企業の業務用に近い使い方をするケースもあります。また大学院生のPCは自宅と院生合同研究室とを往復します。多様な運用ポリシーが混在しています。
  5. ネットワーク使用者の入れ替わりが激しい。
    大学の場合、単純な話、毎年、四年生が卒業して、一年生が入学します。これはネットワーク運用の観点から見ると、ネットワーク使用者のうち、毎年、四分の一がそっくり入れ替わることを意味します。企業においても新採用と退職者とで入れ替わりはあるでしょうが、毎年四分の一ということはないでしょう。
  6. ネットワーク管理が自主的に自治的に行われている。
    これは、大学ネットワーク一般の話というよりは、東北大学経済学部ネットワークだけの特色になるかもしれません。私たちの学部には経済学部学生メール研究グループという、学生によるボランティア組織があって、学生のメールアドレス設定や、その他のネットワーク設定を、自主的に行っています。私たちのような総合管理部門のほかに、草の根の管理をする組織があるということですね。いろいろ他大学の話を聞いても、こうしたあり方はどうも非常に珍しいことのようです。
大学ネットワーク環境において管理ツールに求められる要件
Q)このような環境において、ネットワーク管理ツールに求められる要件は何でしょうか?

A)おおざっぱに言って、「ネットワークに接続可能なユーザーの登録」、「ネットワーク接続ユーザー、接続マシンの現況把握」、「不正接続の検知」、「異常トラフィックの検知、対処(*)」などになります。これらの運用を現在、NetSkateKobanを使って行っているわけです。

Q)具体的にどのように運用しているのでしょうか?

A)では、NetSkateKobanへの評価を交えて、項目ごとに分けてご説明いたします。
  1. ネットワークに接続して良いユーザーの限定
    大学の場合は、ネットワークに接続して良いユーザーは、学生、院生、教職員、事務員など学生および大学関係者になります。例えば学生などが、持ちこみマシンのネットワーク接続を希望する場合は、申請をしてもらい、そのマシンのMACアドレス等の情報をNetSkateKobanに登録いたします。これによりNetSkateKobanの内部に、正規マシンの「台帳」が出来上がります。この台帳に載っている以外のマシンが接続されていれば、それは不正接続と見なすというわけです。

    大学の場合、先にも述べたとおり、学部では毎年、四分の一のユーザーが入れ替わります。また大学院の場合は4月入学10月入学など多様な履修期間があります。そして共同研究のための他大学の先生の一時滞在も頻繁にあります。これは管理台帳の更新が、頻繁に大量に発生するということですから、そこのインターフェースが、使いにくかったり、難解であったりすると、ネットワーク管理に支障が出てきます。NetSkateKobanの更新は、簡単で良いですね。初心者でも、ほぼ直感的に更新できます。
  2. ネットワーク接続ユーザー、接続マシンの把握
    この管理室では、経済学部/大学院関係のネットワークを管理しています。大学のネットワークの場合、仮にトポロジーが一つであっても、物理的な場所は分散しているのが通常です。経済学部のネットワークの場合は、その範囲は、経済学部B棟、G棟の一部、I棟のフロアーの4Fと10F、F棟の5階、講義棟が三箇所というように散り散りになっています。

    このような環境の場合、ネットワーク異常の発生箇所の「物理的な位置の把握」が困難になりがちですが、NetSkateKobanの場合、スイッチ別、ポート別に接続位置が特定できるのはなかなか便利だと思います。現状では、大元のメインのスイッチからツリー状にKobanセンサを配置しているので、何か異常が起きたときでも、あ、これはI棟の4Fにつながっているマシンが変だなという具合に、場所の特定が容易です。
ネットワーク管理の理想形と今後のNetSkateKobanへの期待
Q)試みにお聞きしたいのですが、石垣様にとってのネットワーク管理の100%の理想形はどのようなものでしょうか?

A)「理想形」と言われるとなかなか答えにくいところですが、例えばの話、ネットワークのどこかで異常が起きたときに、それがどこで起きていて、どんな異常で、どれぐらい重大な異常なのかが、分かるといいですね。しかも、「理想形」ということで言えば、そうした状況把握が、あれこれ操作すると分かるというのではなく、ビジュアル的に、直感的に、イベント発生と同時に分かるようであって欲しい。
さらに欲を言えば、異常が起きてから対処するという管理ではなく、異常が起きる兆候を見つけて、事前にトラブルの芽をつむような管理ができるのが理想ですね。それが完璧にできたとすれば、理論上は、あらゆるトラブルが事前に対処できるので、ユーザー側から見たネットワークトラブルがゼロになります。そうなればネットワークは、電気や水道と同程度の安定性をもって活用できる状態になります。

Q)その状態を100点として、今NetSkateKobanはどのレベルぐらいまで達している感触でしょうか。

A)割合にいい所まで来ているのではないでしょうか。理想の状態をプロ野球の優勝とすれば、「Aクラス入りは見えてきた」という印象ですね。少なくとも、製品が目指すベクトルは、理想の方向を正しく向いていると思います。

Q)今後NetSkateKobanにどのような事を期待しますか?

A)セキュリティもネットワークも変化が激しい世界なので、その変化に対応できるよう、常に新しい技術を開発し続けてほしいですね。ネットワークは、今や重要な教育インフラです。そのインフラを安定稼動させるためにも、今後も優れた技術とサービスを継続提供してください。期待しております。

-- 今日は、貴重なお話を有難うございました。
  • 東北大学(大学院経済学研究科)のWebサイト
  • 取材日時 2005年9月