長期化する新型コロナウィルス感染症による社会情勢の変化は、大学の運営にも大きな影響を及ぼしています。教職員や学生の健康を守り、安心安全かつ柔軟に大学を運営するためにはどうすればよいのでしょうか。
安全性と利便性の両立という課題を抱えていた創価大学が選んだのは、対象システムのログを収集し、アラート検出、調査、対処を自動で実施するサービス Microsoft Sentinel によるセキュリティの向上でした。
オンプレミス/クラウド混在のシステムも問題なく管理可能で、見えないリスクを可視化できる Microsoft Sentinel は、大学のセキュリティに関する業務を効率化するだけでなく、大学教職員の行動を過度に制限することのない環境づくりにも貢献しました。
創価大学では、2020年より情報セキュリティ対策委員会が中心となって全学的なセキュリティ対策を検討してきました。しかし、そこに予期せぬ新型コロナウィルス感染症の拡大が襲います。同学でも、教職員のリモートワークへの移行とオンライン授業化が急ピッチで進められました。
創価大学 総合学習支援オフィス システム支援課 課長 細田 隆志 氏は「当時の最優先事項は大学関係者の健康を守ることでした。大急ぎでリモート環境への移行が進む中、我々のリソースは限られており、セキュリティポリシーの遵守を全学にわたって監督することは現実的に難しい状況が続きました。その結果、現場の判断で各種の ICT ツールが導入され、セキュリティ監視の網から漏れてしまう部分が生まれました。当時の判断には一定の合理性があったと考えていますが、いつまでもセキュリティに脆弱性を残すわけにはいきません。各種イベントを統括的に監視、管理する体制を構築すべきだと感じていました」と振り返ります。
創価大学では、長らくセキュリティ強化に課題を感じていました。2010 年ごろにはスパムメールが社会問題となり、同学も、悪意ある攻撃者によりスパムメールを送信させられるセキュリティ事故を経験していました。当面の対策として他社製のファイアウォールを導入しましたが、2015 年には日本年金機構が標的型攻撃(特定の組織から情報を盗み出すことを目的とし、主にウイルスつきのメールを送る攻撃手段)を受け、膨大な年金情報を流出させてしまう事故が社会を揺るがします。
細田氏は「ニュースを目にした我々は、ファイア ウォールだけでは学内外を守りきれないのではないかという懸念を抱き、より革新的なセキュリティ対策を模索するようになりました」と語ります。
課題解決を求めて同学が選んだのは、Microsoft Defender for Office 365でした。アンチウイルス等の基本的なセキュリティ対策はもちろん、危険なメール ファイルの送受信を防ぎ、標的型メール攻撃を想定した対策もできる Defender for Office 365 は、まさに当時の同学が求めていたセキュリティ対策でした。
2017 年にはライセンス契約を Defender for Office 365 を含む EES 契約(教育機関向け総合契約)へと切り替え、メールの安全性を保てる体制が構築されました。
それでも、セキュリティ対策が完了したとは考えていませんでした。昨今のサイバー犯罪は巧妙化、高度化しており、メールの安全性を高めるだけでは充分でないと感じたためです。
創価大学 総合学習支援オフィス システム支援課 係長 本多 光紀氏は、同学のオンプレミス/クラウドが混在するサーバー構成に触れたうえで、「複雑なつくりゆえに、監視網に穴が空くリスクが高いと認識していました」と説明します。
さらに、万が一セキュリティ事故を起こしてしまった場合、どのようにアカウンタビリティ(説明責任)を果たすかも課題であったといいます。
創価大学 総合学習支援オフィス システム支援課 副課長 小松 光昭 氏によると、創価大学のネットワークのログ データはオンプレミス上に圧縮して保存されているといい、「万が一セキュリティ事故を起こしてしまったら、場合によっては当該ログを分析して、文部科学省に報告する必要があります。膨大な圧縮データを解凍し、当該ログを探し当てるのに相当な苦労を要していました」とのこと。
これらの課題を解決し、ログの保管、分析というセキュリティの基本を徹底したいと考えた同学は、これらの要件を満たす、SIEM(IT機器のログを集約し、脅威を可視化、検知するシステム)製品の検討を始めました。
過去に導入実績のあった他社の製品も選択肢には上ったものの、「他社製品は、とてもではないが納得できるコストではなかった」(細田氏)ことから導入には至らなかったと言います。そこで候補に挙がったのが Microsoft Sentinel でした。
「Microsoft Sentinel は高度な機能なだけでなく、コストにも納得感がありました。同時期に Microsoft 365 Education A5 を導入していたことで、ライセンス保有による割引特典が適用されたのです。また、クラウドならではの大容量を従量課金で利用できるだけでなく、Microsoft Azure のアクティビティログや Office 365 の監査ログ、Microsoft Defender のアラートなどが無料で利用できるのも、コストを気にする大学組織にとって大きな安心材料でした」(細田氏)
「サービス導入においては他社製品との相性も気になるところですが、Microsoft 365 Education A5 と Microsoft Sentinel ならそのような不安もありません。本学の課題であった、他社製品も入り混ぜてのオンプレミス/クラウド混在環境でも、Microsoft Sentinel なら問題なく対応でき、アカウンタビリティを果たすためのログの検索も簡単になると聞き、好印象を抱きました」(本多氏)
また、エンドポイント対策として Microsoft 365 Education A5 に含まれる Microsoft Defender for Endpoint の利用を始めています。選定理由となったのは、他社製品に先駆けて EDR(Endpoint Detection and Response : ネットワークに接続された機器を監視し、サイバー攻撃をいち早く発見して対処すること)の考え方を取り入れたマイクロソフトの姿勢でした。
「セキュリティ対策においては、何よりも『先回り』が欠かせません。既知の攻撃を確実に弾くだけでなく、未知の攻撃もある程度予測し、対処してくれる Defender for Endpoint を導入すれば、攻撃者に対して先手を打てるはずだという期待がありました」(小松氏)
同学ではこれまで、セキュリティにかかるコストは後ろ向きな投資と捉えられる風潮があり、スムーズに導入検討が進まないこともあったといいます。それを一変させたのが、文部科学省から大学等に向けて発出されたサイバーセキュリティ対策に関する通知でした。これは、公私立大学が対応することとして、CISOや情報セキュリティ委員会の設置をはじめとしたサイバーセキュリティ対策に努めることを促すもので、同学の情報セキュリティ体制の整備も一気に加速したと言います。
この流れの中で、全学的なセキュリティ対策を検討する場が立ち上がったことにより、Microsoft Sentinel の導入が決定。運用にあたっては「マイクロソフトが本学に向けてセキュリティ勉強会を提供してくれたため、推進メンバーのリテラシー向上に役立ちました」と本多氏は振り返ります。
Microsoft Sentinel 導入後の同学は、現在のところセキュリティ事故の検知はありません。それだけでなく、パスワードの漏洩と疑わしき動きが早期に検知されるなど、これまでの体制では発見できなかったリスクが可視化されるようにもなりました。
「Microsoft Sentinel の導入は、本学のセキュリティ体制を根本から変えました。これまでは視野に入らなかった危険が可視化されるようになり、視界が広がった感覚があります。実務に携わる者としては、アラートが Microsoft Sentinel 内で重要度に応じてレベル付けされ、重要度の高いものから順に報告される仕組みも運用の手間が減り大変助かっています」(小松氏)
「何より、心理的な安心感が高まりました。これまでに本学で講じてきたセキュリティ対策は急場しのぎの印象が拭えず、学内の月次報告会にも『予期せぬリスクを見落としているのでは』という不安を抱えながら臨んでいました。Microsoft Sentinel を導入した今では、Microsoft Sentinel のレポートを根拠に自信を持ってセキュリティ事故の発生有無の状況を報告できるようになりました」(細田氏)
「現在のところ、本学で活用できているのは Microsoft Sentinel の SIEM 的な側面にとどまっています。しかし、いずれはすべてのシステムをMicrosoft Sentinelの監視下に置き、SOAR 化(セキュリティ事故の監視、検知、対応の自動化)を推し進めることで業務効率化をはかりたいと考えています」(小松氏)
「本学がめざすのは、ゼロトラストを前提としたセキュリティ体制の構築です。従来の境界防御型セキュリティ(外部からの脅威のみを視野に入れた対策)では、BYOD (大学関係者が個人で保有するデバイスを持ち込んで利用するスタイル)によるオンライン授業や教職員への VDI (仮想デスクトップ)導入といった新たな運営スタイルに適応することができません。学内のソフトウェアやハードウェアを統括的に監視し、ログを一元管理するだけでなく、分析も加えられる Microsoft Sentinel なら、これからの時代の大学運営にしっかりと貢献してくれると期待しています」(細田氏)
Microsoft Sentinel に期待するのは、業務効率化だけではありません。同学ではかねてよりセキュリティと利便性の両立に頭を悩ませてきました。従来の体制では大学に在籍する関係者の行動や使用ツールを必要以上に制限せざるを得ず、「利便性や創造性を損なっている」との声も上がっていたのです。
「堅牢なセキュリティはむろん大切ですが、過度な締め付けは監視外でのポリシー違反を誘発する原因にもなります。また、業務効率や利用者の創造性を損なうようでは大学として本末転倒です。現状、学内利用者の ICT リテラシーにはバラつきがあり、中には『このような取り組みをしても良いのだろうか』と不安に思いながら行動している者もいるでしょう。Microsoft 製品、他社製品を垣根なく見守る Microsoft Sentinel なら、大学 ICT のセーフティネットとして機能してくれるはずです。大学側が自信を持ってセキュリティを担保することで、教職員が主体的に ICT の活用に取り組み、安心して『攻めの仕事』に邁進できる環境が実現できるのです」(本多氏)
Microsoft Sentinelに大きな期待を寄せつつも、「セキュリティに正解はない。Microsoft Sentinel導入はあくまでもスタートに過ぎない」(小松氏)と気を引き締める同学。それでも“攻めのセキュリティ”を意欲的に推し進める根拠になっているのは、米国防総省に次ぐ頻度でサイバー攻撃を受け、脅威インテリジェンスを蓄積してきたマイクロソフトへの信頼です
「常に新しい攻撃パターンを蓄積し、製品に生かしてきたマイクロソフトなら、本学の強い味方となってくれると確信しています。創価大学の試みは、まだ始まったばかりです」(細田氏)
ICT ツールはもはや、私たちの生活になくてはならないものとなっています。それは、未来の知を創造する大学においても同じです。セキュリティは、「後ろ向きなコスト」から「創造性を支えるセーフティネット」へ。創価大学はこれからも、そんな新しい時代の価値観を体現し続けていくでしょう。
“Microsoft Sentinel を導入した今では、Microsoft Sentinel のレポートを根拠に自信を持って『セキュリティ事故ゼロ』を報告できるようになりました”
細田 隆志 氏, 総合学習支援オフィス システム支援課 課長, 創価大学
Microsoft をフォロー