Akamai、Guardicoreを買収。ゼロトラスト・ソリューションを拡張し、ランサムウェアの阻止能力を強化。 続きを読む

国立大学法人 岡山大学

大学からの危険サイト接続を脅威インテリジェンスにより保護
学生・教職員、合計2万2,000人の端末へのサイバー攻撃対策

ETP導入後にフィッシングサイトへのアクセスが警報される件数の減少を感じています。既知の脅威についてはブロック、不審な通信については監視で運用していますが、誤検知の報告を受けることもほとんどありません。扱う警報件数が減ったことにより、その調査にかける対応コストも減少して助かっています。迅速かつ利用者に影響を与えずにセキュリティを向上することができている点について、我々は高く評価しています。

河野 圭太氏、情報統括センター 岡山大学CSIRT責任者 准教授
スーパーグローバル大学のICTを牽引する情報統括センター

 1949年に設立され、文部科学省が全国の大学・研究機関から選定する研究大学強化促進事業選定機関のひとつにもなっている国立大学法人 岡山大学。海外の大学との連携などを通じた国際化を推進し、世界レベルの教育・研究を行うスーパーグローバル大学としても知られている。

 その岡山大学にあって、教育・研究活動の高度化を実現するICTサービスを提供しているのが情報統括センターだ。基幹ネットワークシステム、教育・研究システム、それらを統合する認証基盤と岡山大学情報データベースなど、医療用ネットワーク以外、多くのシステムを運用・管理し、大学内の多様な情報資源を活用した大学経営や教育・研究の支援活動、学部学生への情報リテラシー教育活動などを行っている。

 セキュリティ対策に関しては技術的・人的に対応するため、以前から情報統括センター内の情報セキュリティチームが対応していた。巧妙化する脅威のインシデント防止と発生時の対応強化を目指し、2016年9月に情報セキュリティチームは岡山大学CSIRT(Computer Security Incident Response Team)として再スタート。現在も岡山大学CSIRTは、情報セキュリティの要として活動している。

パンデミック対策により、これまでのセキュリティ対策では不十分に

 同学のネットワークは2つの主要キャンパス内にLANを設置し、それらのキャンパス同士を最大40Gbpsの回線で結んでいる。また、各キャンパスおよび遠隔拠点を結ぶネットワークは、学術情報ネットワークのSINET(Science Information NETwork)を経由してインターネットへ接続する仕組みだ。「ネットワークに接続するユーザーの実数は学生が約1万6,000人、教職員は非常勤を含めて6,000人ほど。無線LANはセキュリティ対策のため一般開放はしていません。初等・中等・高等教育機関や研究機関の間でキャンパス無線LANの相互利用を実現するeduroamを利用していただくか、事前申請があった場合のみ無線LANのゲストIDを付与しています」と情報統括センター センター長 教授 村上 昌己氏は語る。

 学外との境界にはIPS(Intrusion Prevention System=不正侵入防止システム)機能も持った次世代型ファイアウォールを設置。学内に設置したメールサーバーに対しては、クラウドおよびオンプレミスのアプライアンスを利用した二段階の脅威検出を行い、外部からの侵入を防御していた。しかし、村上氏は新型コロナウイルス感染症の蔓延にともない、これまでのセキュリティ対策では不十分になってきたと語る。

フィッシング、ランサムウェア、標的型攻撃を警戒

 岡山大学では、マルウェア感染と標的型攻撃への対策強化が必要となっていた。「パソコンを使った授業に対応するため、BYOD(個人所有端末の持ち込み)を許可しています。しかし、現在は新型コロナウイルス感染症対策でオンライン授業や教職員の個人端末によるテレワークが必須の状況。大学の境界セキュリティを通過せず、メールを学外およびBYOD端末で受け取ることが増えたので、ランサムウェアをはじめとするマルウェア感染リスクへの対応強化が必要です。ウイルス対策ソフトの包括契約を結び、学生・教職員に無料配布してエンドポイントの強化に取り組んできましたが、個々のインストールの有無までは細かくチェックすることができていませんでした」(村上氏)

 標的型攻撃に関しては注意喚起の呼び掛けもあり、対策の重要性を認識していたという。情報統括センター 岡山大学CSIRT責任者 准教授 河野 圭太氏は「先端的な技術情報を始めとする機密情報を狙った標的型攻撃は、重大な情報漏えいにつながる可能性があるため、危機感を募らせていました。そこで、2020年までに猛威をふるったEmotet他、多くの標的型攻撃において、攻撃者のC2サーバとの通信をいちはやく検出・遮断することが、被害の最小化に重要と考えました。外部団体から提供される脅威情報を手動でファイアウォールに投入する従来の対応では、タイムリーに防御することは困難でした」と語る。このように同大学では、C2サーバやマルウェアサイトの脅威情報を自動的に更新して遮断する仕組みに期待を持った。

迅速かつ容易に導入できるDNSセキュリティソリューション

 岡山大学CSIRTが求めたのは、既存環境を大きく変えることなく、短期間で導入できるセキュリティ対策ソリューション。その観点からたどり着いたのは、既存のファイアウォールにURLフィルタの自動更新機能を入れる方法、もしくはDNSベースの脅威インテリジェンスソリューションだった。「既存のファイアウォールにURLフィルタリング対策を行えば、対処できるのではと考えました。しかし、この対策の場合はファイアウォールの性能に支障をきたす可能性があるため、導入には踏み切れませんでした。最終的な結論は、DNSを切り替えるだけの手軽さで導入でき、容易に外すこともできるDNSベースのセキュリティ対策ソリューション。アカマイのEnterprise Threat Protector(ETP)を含め、2製品で比較・検討しました」(河野氏)

 ETPを選定したのは、コスト面と2018年の段階でPoC (Proof of Concept=概念実証)で効果を確認していたことが大きかったという。「以前に技術的な興味と関心からPoCをさせていただきました。その結果は高く評価できるものでしたが、パンデミック以前の当時は学外で感染した端末が学内に接続するリスクは低く、導入には至りませんでした。今回の状況では、ETPこそが最善のセキュリティ対策ソリューションと考え、あらためて選定させていただきました」(村上氏)

 事前にPoCを実施していたこともあり、準備から本番稼働までスムーズに進んだ。実際の作業も、ETPの設定と学内DNSキャッシュサーバーのフォワーダー設定をETPに向けた程度だった。「PoC時は監視モードで運用していたところを、本番ではブロック(遮断)モードに変更するという最小限の設定で導入が完了しました。」(河野氏)

インシデント調査が減少し、業務の負担が軽減

 岡山大学CSIRTではETPの自動検知機能に加えて、手動の許可リストと拒否リストを運用している。拒否リストには、岡山大学CSIRTが独自に得たフィッシング目的で利用されることが多いという動的DNSのドメインを登録している。新型コロナウイルス感染症下で学内に来る学生が減るなど、ネットワーク利用状況の変化で正確な評価は難しいものの、運用面は良好だ。昨年の同時期よりもフィッシングサイトへのアクセスを疑う警告件数はかなり減少しているという。「ETP導入後にフィッシングサイトへのアクセスが警報される件数の減少を感じています。既知の脅威についてはブロック、不審な通信については監視で運用していますが、誤検知の報告を受けることもほとんどありません。扱う警報件数が減ったことにより、その調査にかける対応コストも減少して助かっています。迅速かつ利用者に影響を与えずにセキュリティを向上することができている点について、我々は高く評価しています」(河野氏)

 脅威対策については、アカマイ側でも日々強化を図っている。2020年にアカマイがフィッシング対策協議会のメンバーになったこともそのひとつだ。フィッシング対策協議会は、日本におけるフィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進を目的とする団体だ。これにより、JPCERTコーディネーションセンターから送られてくるフィッシング情報をETPに取り込むことが可能となった。日本独自のフィッシング攻撃に対し、ブロック機能の強化が期待できる。こうした点も、岡山大学CSIRTからの高い評価につながっている。

アカマイのソリューションを日本全国の大学に拡大していただくことを期待

 岡山大学CSIRTがセキュリティ対策ソリューションに期待するのは、ユーザーの拡大とユーザー間における脅威情報の迅速な共有。これこそが防御力向上の有効な手段だと考えている。「ユーザーが増えれば攻撃や脅威に関する情報が蓄積され、多くの大学にとってより有効な防御策となり得ると考えています。国内の大学は、いずれも予算的に厳しいなかでセキュリティ対策の向上を求めています。ETPほかコスト的に導入しやすいセキュリティソリューションを、日本全国の大学へ拡めていただくことをアカマイには期待しています」(村上氏)