長岡技術科学大学における学内無線LANサービス PDF

第19回学術情報処理研究集会
発表論文集 pp.1 - 4
長岡技術科学大学における学内無線 LAN サービス
Operative management of the Wireless LAN Access Points
in Nagaoka University of Technology
白清 学†
Manabu Hakusei†
[email protected]
†長岡技術科学大学 情報処理センター
†Information Processing Center of Nagaoka University of Technology
概要
長岡技術科学大学では 2009 年 12 月に実施した全学のキャンパスネットワークの更改に伴い,キャンパス
内の講義室や会議室を中心として,認証機能付きの無線 LAN サービスを提供しており,導入以降,学内から
の要望に応える形で提供範囲を拡大し,学内における様々な活動を支援している.運用開始以後,遠隔から
の検出が困難であった認証障害検知システムの構築や,アクティブラーニング試行にともなう無線ネットワ
ーク利用のための連携対応,統合脅威監視装置導入に伴う P2P 検知対応の状況について報告する.
キーワード
学内無線 LAN, Web 認証, P2P
1. 無線 LAN システムの導入と運用
長岡技術科学大学は,
学生数2,391 人(学部生1,286 人,
大学院生 1,105 人,2015 年 4 月時点)の 1 学部(工学部)1 大
学院(工学研究科)の単科大学である.学部 1,2 年次の定員
は 80 名,学部 3,4 年次の定員は 390 名,大学院修士 1,2
年の定員が 419 名となっており,他の大学とは大きくそ
の構成割合が異なっている.学部 3 年次 2 学期の途中か
ら研究室へ配属される指導を行っており,2006 年以前は,
大多数の学生が研究室に配属以降にコンピュータネット
-1-
表 1 本学の定員
工学部
定員
大学院
工学研究
定員
第1学年 第2学年 第3学年 第4学年
80
80
390
390
第1学年 第2学年 第3学年 第4学年 第5学年
419
419
40
40
40
ワークの利用を開始する状況であった.そのため,大学
内の共用スペースにおける無線 LAN 利用の需要は僅か
る研究室の割合が多いため,一時利用の学内無線 LAN
システムを利用するよりも,居室スペースの環境で学内
LAN を利用することができ,無線 LAN システムの利用
機会が減少するものと思われる.
図 2 および図 3 に 2015 年 1 学期の利用状況を示す.
利
用の 9 割は学生であり,教員の利用は 7%に留まってい
る.利用場所としては,講義棟や図書館などの共用スペ
ースで 6 割以上を占めている.セコムホールや学生集会
施設は,学園祭実行委員や各サークルが利用しているス
ペースであり,課外活動の場においても一定の利用がな
されていることが分かる.
であったが,情報処理センター長の主導により,2006 年
に講義棟において無線 LAN サービス運用を開始した.
運用開始当初の無線 LAN システムはユーザ認証を伴わ
ず,共用の認証キーを用いるのみの運用であり,学外者
の利用も想定される状況にあり,セキュリティ面に課題
を有していた.
1.1. 学内無線 LAN システムの構成
2009 年 12 月に全学のキャンパスネットワークシステ
ムの更改を実施し,同時に全学の講義室に向けて利用者
認証機能を有する無線 LAN システムの実験運用を開始
した.運用開始後,その利便性が認められ,アクセスポ
イント(AP)増設の要望に応える形で追加設置を行ってお
り,現在は 70 台の運用に至っている.
表 2 無線アクセスポイントの増設
設置年月
台数
設 置 場 所
2009年12月
48 講義棟(28),新講義棟(6),図書館(3)ほか
2010年7月
9 事務局(2),総合研究棟(1),MSC(4),自習用PC室(2)
2011年3月
4 学生集会施設(1),セコムホール(3)
2012年2月
7 ゼミ室・会議室(環境1,機械1,電気2,物材2,図書館1)
2015年3月
2 学生課外活動施設(2)
合計
70
図 1 月別認証回数
本学の学内無線 LAN システムは,Web 認証機能を有
したネットワークスイッチと無線 AP および,利用者情
報との照合を行う radius サーバにより構成されている[1].
無線ネットワークはプライベートアドレスにより構成し
ているため,NAT ルータを介して学内 LAN において運
用しているグローバル IP セグメントへ接続している.無
線 AP のネットワークでは,利用者用と管理用の VLAN
を重畳して運用しているほかは,SSID および利用者認証
キーの設定の他,特別な設定を行っていない.
特徴的な運用として,講義棟・新講義棟における夜間
の運用停止を行っている.これらの建物は,常勤の教職
員がおらず,
管理の体制が充分でないため,
深夜1:00-6:00
の時間帯は電波を停止している.
図 2 利用者の割合(2015 年 1 学期)
1.2. 学内無線 LAN システムの利用状況
図1 に2010 年11 月以降ののべ利用者認証件数を示す.
4-7 月(1 学期)の利用を比較すると年々増加傾向にあるこ
とが分かる.8 月は夏休みによる利用減であるが,9-12
月(2 学期)は一定の利用はあるもののこちらは,1 学期に
比べると利用が半減している.これは,本学の特徴的な
教育である実務訓練制度(学部 4 年次の長期インターン
シップ)や,毎年 10 月頃に実施される学部 3 年次の研究
室配属などが理由として考えられる.研究室配属後は,
各研究室で各人が利用可能なスペースや端末が与えられ
-2-
図 3 設置場所別利用状況(2015 年 1 学期)
1.3. Web 認証障害検知システムの構築
学内無線 LAN システムでは,
AP 単体の障害や LAN
ケーブルのトラブルなど多様な障害が発生しているが,
最も対応が困難な障害として認証不能障害がある.認
証用の Radius サーバ,スイッチ,AP の通信応答は正
常であり,制御コンソールへの遠隔からの接続状況も
正常であるにもかかわらず,認証処理のみ必ず Failed
する障害で,発生時は実際に接続を試みないと障害検
知が不能な状況である.販売元へ構成情報を送付して
検証を行ったが,原因は明らかとなっていない.障害
からの復旧は認証を行っているスイッチの Reboot を
実施することにより可能である.無線 LAN 以外の同
一スイッチに接続されている有線 LAN 接続の通信も
利用不能となるため,障害発生時は多数の利用者に影
響が生じていた.2012 年 11 月以降,1 日単位で認証時
間をチェックし,24 時間以上認証記録が存在していな
い場合は現地にて確認を行うなど,運用により障害対
応に努めてきた.しなしながら 2015 年 4 月に,利用学
生から障害発生後 2 時間程度のスパンにおいて通信不
能の問合せがあり,早期の障害検知・復旧の体制が望
まれた.これを受け,新たに定期的かつ自動的に認証
動作を行うシステムを,多数障害が発生している講義
棟内へ設置することとした.機器としては有線 LAN
に加え,USB 接続の無線 LAN アダプターを追加し,
無線 LAN 通信が可能となる PC を設置し,スクリプト
ベースで認証処理を自動化して行うこととした.有線
LAN はグローバルアドレスを用いて学内 LAN へ接続
し,リモートにより PC の制御に用いる.無線 LAN 側
はプライベートアドレスで構成されており,Web 認証
処理の確認のみに用い,正常処理後は,無用な通信を
行わないようログアウト操作を行う.
る.ユーザ名とパスワードを付した状態でコマンドを
実行し,取得したファイル内における「Authentication
passed.」の文字列の有無により認証の成否を判断して
いる.
図 5 Web 認証成功時の画面
システム稼働後に本件の障害は発生していないため,
システム設置の効果は得られていないが,不定期に発
生している事象のため,今後の検出に期待している.
2. アクティブラーニングシステム連携
昨年度末,本学においてアクティブラーニングの導入
を行うことが決定され,今年度の学部 1 年生向け前期科
目の化学 I において試行されることとなった.アクティ
ブラーニングとしては様々な取り組みが存在しているが,
本学の取り組みとしては,SCSK 社が販売している
BeeDance システムを用いることとなり,学生は 1 人 1 台
のタブレット端末を操作して,授業内容の習熟度理解の
把握などの双方向授業を実施する.この iPad のネットワ
ーク接続に際して,情報処理センターで運用している学
内無線 LAN システムを用いることとなった.
学内無線 LAN システム設置している AP では,同時接
続数を 20 台程度と考えて運用していた.化学 I の受講者
は最大 50 名程度と予想されたため,
同時接続台数の能力
の高い AP へ交換して授業利用を開始した.BeeDance シ
ステムでは,
様々な設問スタイルの運用が可能であるが,
多肢選択式の設問などの比較的少ない通信量で運用が可
能な仕組みでは相応の速度で利用可能であったものの,
ペイント系のグラフィックスソフトウェアを用いて運用
を行う形態ではレスポンスが悪く,利用が困難であるこ
とが分かった.BeeDance サーバと iPad 端末を同一のセ
グメントで運用していないため,これらの通信に問題が
あることが想定された.学内無線 LAN システムの上流
では,次節で述べる統合脅威監視装置(UTM)を運用して
おり,こちらの影響による通信遅延がその原因ではない
かと考えた.
不特定少数のユーザの利用を想定して,運用を開始し
図 4 Web 認証障害検知システム
システム開始直後,無線側のネットワーク経路が消
失してしまうトラブルが確認された.無線 LAN 側の
ネットワークは通常時パケット送出を行っていないこ
とから生じる問題で,事前に netstat により状況確認を
行い,経路消失している場合にはゲートウェイを再設
定した上で認証動作の確認を行っている.Web 認証処
理はプログラムベースで動作しており,UNIX 上のシ
ステムにおいて wget を用いることにより実装してい
-3-
従来から学内 LAN における P2P ソフトウェア利用を禁
止としており(研究による利用は認めることとしている),
入学時の配布資料や,Web ページや電子メイル等を通じ
てアナウンスを行ってきたが,充分な理解を得られてい
なかったようである.2015 年 3 月より UTM の試行運用
を開始した.2015 年 1 学期における検出状況を表 3 に示
す.
表 3 P2P ソフトウェア利用検出数
た学内無線 LAN システムであるが, 同時多数かつ広帯
域な通信の環境としては十分でないことが明らかとなっ
たため,当該の授業時間帯のみ,ネットワークスイッチ
の VLAN を切替え,
UTM を経由せずに BeeDance サーバ
と通信可能とするネットワーク構成へスケジュール設定
により変更するものとした.この際の状況をアンケート
調査行った結果を図 6 に示す.学生の大半は改善された
と考えており,変更に気づかなかった学生も半数の割合
で存在しているが,利用に問題は生じていないことが伺
える.担当教員からは「通信環境が大きく改善されたの
で,
より積極的な利用を試みたい」
との回答を得ており,
アクティブラーニングシステム連携の支援ネットワーク
として,運用可能なレベルを提供できる状況に至ったも
のと考えている.
月
検出数
4
5
6
7
1
4
11
13
検出後の調査により誤検出と判明したものも複数あり,
これらは上記の表には含まれていない.試行している
UTM では通信ポートのチェックによる検知の傾向が強
く,検出した P2P ソフトウェアの種類とインストールさ
れているソフトウェアが異なる事例もあるため,ログの
確認には充分な注意が必要である.しかしながら,少な
くない件数のP2P ソフトウェア稼働が確認されている状
況である.
P2P ソフトウェアの利用については,公衆自動送信機
能を伴うことにより著作権侵害を招くことを問題視して
おり,クラス担任や研究室担当教員を通じて指導頂くよ
う依頼している.
図 6 LAN 構成変更のアンケート回答
今後,台数を倍増し,100 台程度の端末を用いたアク
ティブラーニングの試行が予定されており,現行のハー
ドウェア構成で対応可能であるかどうか,検証を行う予
定である.
4. まとめ
本学において運用を重ねてきた学内無線 LAN システ
ムの運用について,設置後の利用や拡大の状況,アクテ
ィブラーニング授業との連携,P2P ソフトウェアの利用
の検出とその対応について報告した.
有用性が認められ,
毎年,増加傾向にあり,多数の構成員に評価されている
ものと考えているが,一部には問題のある利用の存在が
明らかとなった.利用を拡大するだけでなく,適切な運
用が可能となるよう,
システムや情報提供の改善に努め,
大学の様々なプロジェクトの基盤として支援できるよう,
管理運用を進めたいと考えている.
3. 統合脅威監視装置(UTM)の導入
本学では,電子メイルのウィルスチェックや迷惑メイ
ルシステム,コンテンツフィルタリングシステムなどの
セキュリティ対策装置やシステムの運用をこれまで行っ
てきた.近年の情報セキュリティリスクに対する高度な
セキュリティ対策の試みがなかったことから,2015 年 3
月よりSandBox 技術を用いた標的型攻撃検知機能を有す
る UTM を試行導入することとした.学内無線 LAN シス
テムは常設の端末運用を想定していないが,学内構成員
が不定期に利用するシステムであり,一定の利用が見込
まれるため UTM の試行を行う環境としては申し分ない
ネットワークと考えたためである.
導入以後 4 ヶ月の運用を行ったところ,標的型対策に
該当する検出は皆無であったが,利用アプリケーション
の制御の機能を有効としたところ,多数の P2P ソフトウ
ェアの検出が見られることが判明した.本学としては,
参考文献
[1] 谷内田 昌寿, 白清 学:MAC アドレス認証と Web 認
証併用キャンパスネットワークの導入,第 14 回学術情報
処 理 研 究 集 会 , 学 術 情 報 処 理 研 究 集
会,No.14 ,pp.140-143(2010.09)
-4-