東北大学金属材料研究所の計算材料学センターは、 |
 |
 ■名 称:東北大学 金属材料研究所 ■所 在 地: 仙台市青葉区片平2-1-1 ■発 足: 1916年4月1日(旧臨時理化学研究所) ■設置研究部: 材料物性研究部、材料設計研究部、物質創製研究部、材料プロセス・評価研究部 |
 |
 |
||
 東北大学金属材料研究所は、物質・材料についての研究を国内外の研究者と共同で推進する世界的な機関として知られている。その歴史は古く1916年に発足した臨時理化学研究所までさかのぼる。材料科学の飛躍的な進歩に伴い、1987年には東北大附置全国共同利用型研究所として再スタートを切り、現在に至っている。同研究所は、インターネット普及前夜の「bitnet」の時代から国際的な学術ネットワークの構築に注力し、先進的な研究を行ってきた。その中核を担うのが同研究所の計算材料学センターだ。同センターは数値実験や複雑な解析など、大規模シミュレーションを可能にするスーパーコンピュータを時代とともに取り入れ、常に最高能力を誇るマシンを運用してきた。今春には7.5TFLOPSという高性能なスパコンを導入し、これと複数マシンの統合によって新システムを再構築した。 |
||
その一方で、同センターは高速演算に見合うように、ネットワークの整備も進めてきた。2002年にはサーバのクラスタ化を図り、1Gbpsのバックボーンを形成。今回のネットワーク構築では10Gbpsの幹線を敷き、膨大なデータの流通を可能にした。さらに耐障害性や信頼性を向上すべく、ネットワークの冗長化にも配慮した。計算材料学センターの責任部門を担当する川添良幸教授【写真1】は「ネットワークのボトルネックや停止によって先端の研究が妨げられないように、スイッチや回線を末端部以外すべて二重化した」と説明する。 このシステムとネットワークの再構築期間は、2006年12月から2007年3月までの4ヶ月間と、極めて短期に実施された。以前から同センターのシステムインテグレートに携わる日本ヒューレット・パッカード(以下、日本HP)の永島裕之氏【写真2右】は「自社のファシリティで、事前に仮ネットワークを組み、設定や検証などを済ませてから機材を持ち込むことで、すぐに稼働できるようにした」と語る。前出の川添教授も「これまで培ってきた日本HPの経験のおかげで、何のトラブルもなくシステムをスムーズに稼働できた」と、同社の迅速なシステム構築を評価する。 そして、この高度なネットワークのセキュリティ部分を陰で支えている礎が、フォーティネットの「FortiGateシリーズ」なのである。同シリーズは、ファイアウォール/VPN、アンチウイルス、IPS(不正侵入防御)など、各種セキュリティを統合した機能を提供するUTM(Unified Threat Management)アプライアンスだ。フォーティネットはUTMのトップベンダーとして幅広い製品ラインアップを取り揃えており、今回のネットワークでも中・大規模向けの「FortiGate-1000A」が活躍している。共同研究が多い金属材料研究所では、海外からのアクセスも頻繁にあり、セキュリティの強化は喫緊の課題であった。 |
|
【写真1】 東北大学金属材料研究所の川添良幸教授(理学博士)。第一原理計算や分子動力学計算、モンテカルロ法など複雑な確率論的シミュレーションをスパコンを駆使して研究している。計算材料学センターの責任部門も担当 |
では、同センターのネットワークに導入されているFortiGateについて見ていこう。配置されているFortiGate-1000Aは全部で3台。このうち2台は外部のインターネットと学内ネットワークを結ぶゲートウェイ部に置かれ、アクティブ-パッシブ構成にて冗長化されている。ネットワークは、スパコンがあるスーパー棟、1号館、2号館、3号館という物理的なロケーションでセグメントに分けられ、さらに1号館と金属材料研究所を結ぶネットワークにもファイアウォールとしてForiGate-1000Aが利用されている【図1】。 従来まで同センターのファイアウォールはアプリケーションゲートウェイ型が利用されていた。パッケージ提供でサーバにソフトウェアをインストールして運用するかたちだ。アプリケーションゲートウェイ型のファイアウォールは、通信を中継するProxyを介して外部ネットワークと学内ネットワークを切り離す。端末は外部と直接通信のやりとりがないため、セキュリティを強固に保てるというメリットがある。 とはいえ、このタイプは各アプリケーションのプロトコルごとに個別のProxyが必要だ。新しいアプリケーションを使いたければ、プロトコルに対応したProxyサーバを増やさなければならない。場合によってはベンダー側で対応できないアプリケーションもある。日本HPの永島氏は「当初はアプリケーションゲートウェイ型が売りだったが、金属材料研究所は先進的な研究を行っており、セキュリティを強固にしながら、ニーズの変化に柔軟に対応できる製品が必要になった。従来のシステムでは限界を感じていた」と打ち明ける。また、同研究所テクニカルセンターで管理者を務める三浦重幸氏【写真3左】も「サーバベースのためメンテナンスも面倒で、融通も利かない。そこでアプライアンスベースのパケットフィルタリング型ファイアウォールにリプレイスする方向になった」と導入のいきさつについて語る。パケットフィルタリング型のファイアウォールを導入するにあたり、数あるアプライアンスの中から日本HPがFortiGateシリーズを国際競争入札した第一の理由は、同製品の実績が多くあり、安心して提案できたこと、また他社と比べてコストパフォーマンスが高かったことが挙げられる。学術研究の連携を支える超高速ギガネットワークであったため、実際の性能面でもファイアウォールに非常に高い能力が求められていた。 そこでFortiGate-1000Aをチョイスし、特にファイアウォールとIPSの機能に絞って利用することになった。他社のUTMではファイアウォールとIPSを併用すると負荷が掛かり、パフォーマンスがかなり落ちてしまうが、FortiGateシリーズならばその心配も少ない。ASIC(特定用途向けIC)を搭載しており、ハードウェアによる高速処理が行えるからだ。このほか、他社のIPSを別途導入すると、設定・管理が複雑になってしまうという懸念もあったという。 |
 【写真2】
日本ヒューレット・パッカード 永島裕之氏(コンサルティング・インテグレーション統括本部 ソリューション技術本部 セキュリティ・ソリューション部 シニアセキュリティスペシャリスト、写真右) 図研ネットウエイブ 武藤耕也氏(営業部セキュリティソリューション営業1課、写真左) |
 【写真3】 東北大学金属材料研究所テクニカルセンター 佐藤和弘氏(技術専門職員、写真右) 東北大学金属材料研究所テクニカルセンター 三浦重幸氏(技術専門職員、写真左) |
今回、FortiGate-1000Aの導入にあたり、専用OSを最新版にバージョンアップした点も注目に値するところだ。最新のFortiOS 3.0は、パフォーマンスの改善、HA構成、IMやP2Pに対するセキュリティ対策、SSL VPN機能、バーチャルドメインの拡張などが強化されたOSだ。日本HPの永島氏は「長期にわたり運用するためには、本稼動前に最新バージョンのOSに変更したほうがよいという判断があった。そのため急遽、現場にて旧バージョンのFotiOS 2.8から最新のFotiOS 3.0に入れ替え作業を行うことになった」と振り返る。 新旧OSの切り替えにともない、HA構成が変更になるなど、若干挙動が変わるような現象もあった。しかし、FortiGateの販売代理店である図研ネットウエイブからの手厚いサポートを受け、無事に稼動できたという。同社の武藤耕也氏【写真2左】は「FortiGateの提供にあたり、社内で事前に様々な検証を実施しており、何かトラブルがあった場合でもタイムリーに情報を出せる体制を整えていた」と説明する。そのためOSの移行についてもスムーズな支援ができたのだ。日本HPの永島氏は「システム構築でFortiGateの設定などに掛かった時間は極めて短かった。これはFortiGate導入の容易さと使いやすさの証といえるでしょう」と語る。 一方、FortiGate導入後のユーザー側の反応も上々だ。FortiGateシリーズは、日本語化されたユーザーフレンドリーなGUIによって、誰でも直感的に操作できるという特徴がある【画面1】。セキュリティ製品の運用は、管理者に負担のない優れた操作性・管理性・運用性が特に重要なポイントとなる。実際にネットワークを運用する同研究所テクニカルセンターの佐藤和弘氏【写真3右】も「以前の製品は設定が複雑で、予想しないところで漏れが出る恐れもあった。FortiGateのメニューやカテゴリーは大変見やすく、実際に自身の手でいくつかのポリシーを追加したり、簡単に運用できるようになったところが良い」と、FortiGateの使いやすさを実感している。 5年先まで見据えた最先端のシステムとネットワークは、研究者の多様な研究を支える重要な存在だ。FortiGateは、その要塞として365日昼夜を問わず脅威をブロックし、センターの管理者をサポートする「セキュリティの守護神」の役割を果たしているのである【写真4】。 |
  |
