東北大学はこれまで、教育や研究用途を中心に膨大なIT資産を整備してきた。しかし近年、クラウドの活用などが拡大した結果、IT資産の網羅的な把握や管理が難しくなり、潜在的な脆弱性によるセキュリティリスクへの対応が課題になっていた。そこで同大学がクラウド環境内の外部公開資産保護を目的に採用したのが、米TenableのASM(Attack Surface Management)ソリューション「Tenable Attack Surface Management」(Tenable ASM)だ。受け身の取り組みから脱し、能動的かつ予防的な脆弱性対策に踏み出したかたちだ。
各部局の負担が大きく頻度も不十分だったIT資産の棚卸し
日本の大学の研究力低下が指摘されて久しいが、その対応策の一つとして政府は2023年に「国際卓越研究大学」制度を本格的にスタートさせた。世界トップレベルの研究成果が見込まれる大学を認定し、国が設立した10兆円規模の基金「大学ファンド」の運用益で支援する制度で、2024年11月、東北大学が初めて認定された。初回の公募では東京大学や京都大学など国立、私立を合わせて10大学が申請したが、認定されたのは東北大学のみだ。
こうした先端の研究活動を含め、大学運営の基盤となっているのが情報システムだが、全学横断組織である「東北大学データシナジー創生機構」が全体方針を決定し、各学部や研究所などの「部局」がそれに従って管理や運用を担う仕組みになっている。大学全体の情報システム部門といえる本部事務機構情報部は、データシナジー創生機構の事務局的役割を担うとともに、データシナジー創生機構傘下に設置されたSOCやCSIRTの実務も担っている。
情報システムの整備方針のベースとなるのは、2030年を見据えた長期ビジョンである「東北大学ビジョン2030」だ。同ビジョンでは、大学経営の革新に取り組む一環として、デジタルテクノロジーを活用した業務効率化や研究教育の利便性確保を進めつつ、セキュリティを抜本的に強化していく方針を掲げている。
セキュリティ対策の観点で近年、課題として顕在化していたのが、IT資産管理の正確性や網羅性が不十分である点だ。情報部デジタル基盤整備課情報セキュリティ係主任の大野勝也氏は次のように説明する。
「本学が管理するIT資産は膨大です。従来は年に1回、各部局でIT資産の棚卸しをして管理台帳にまとめて提出してもらっていました。部局側の担当者は教員であるケースも多く、彼らの負荷を考えると集約できる情報の詳細さには限りがありますし、情報が増えるほど集計作業の負荷も大きくなります。また、自己申告制ですのでどうしても多少の抜け漏れは出てきてしまいますし、年に1回の更新では、新しく立ち上がったIT資産が台帳に反映されるのは1年近く後になることもあり得るわけです」
オープンソースのネットワーク調査ツールの「Nmap」やTenableの「Tenable Nessus」といったツールを使って定期的に脆弱性診断はしていたが、これらも基本的には部局側に運用を任せており、統合的な脆弱性管理はできていなかった。診断頻度もリスク対策としては不十分だったという。
さらに近年はクラウド活用の拡大が課題をより深刻にしていた。大野氏は「中期計画で『クラウド・バイ・デフォルト原則』を掲げて多くのIT資産をクラウドに移してきましたが、これに伴い学外の環境に置かれているIT資産の管理が難しくなりました。脆弱性対応の状況も必要な情報が必ずしも把握できておらず、不安がありました」と振り返る。
「大学組織に適したASMツール」という観点で製品選定
東北大学はこうした課題への対策として、外部からアクセス可能なIT資産の脆弱性などを継続的に検出・評価するASMツールの導入を検討し始めた。直接のきっかけは、経済産業省が2023年にASM導入ガイダンスを作成・公表したことだ。「国立大学という組織の特性上、国の動向は常に注視しています。世界的にサイバー攻撃が増加している傾向にありましたし、経産省がガイダンスを出したことで、そろそろASMに具体的に取り組まないといけないという意識が高まりました」と大野氏は説明する。当初の事業計画にASMの導入は含まれていなかったが、データシナジー創成機構の中で合意形成し、追加施策として予算を取得してプロジェクトを進めた。
具体的な製品選定にあたっては、前述のとおりTenable Nessusを既に利用していた経緯もあり、Tenableが新たにASMソリューションのTenable ASMをリリースするタイミングで同社からの提案を受け、デモ環境で検証を行った。並行して、他ベンダーが提供する資産管理ツールから、コンサル的な要素まで含む網羅的なASMサービスまで、広く情報収集して検討を進めた。結果として、Tenable ASMの検証を通じて学内環境からクラウド上までIT資産を網羅的に調査できることを確認したこともあり、同製品が最もフィットするという結論になった。
選定のポイントになったのは、Tenable ASMで取得できる情報の種類が非常に多かったことだという。情報部デジタル基盤整備課情報セキュリティ係主任の北澤秀倫氏は次のように説明する。
「ASMツールの中には、(金銭的損失リスクやサプライチェーンリスクなどに関する)企業経営向けの情報がダッシュボード化されるようなものもありますが、我々にとってはあまり必要のない、むしろ使いづらい機能です。なるべく多くの情報を得た上で、それらを本学にとって必要な切り口で柔軟に可視化できるツールを求めていました。Tenable ASMはホスト名やIPアドレスからポート番号、各種ソフトウェアの詳細なバージョン情報、稼働中のアドオンソフトの情報など幅広い情報が収集でき、CVE(共通脆弱性識別子)やCVSS(脆弱性の深刻度を評価するための国際的な指標)を利用した脆弱性情報なども確認できます」
コスト面でもTenable ASMが最も費用対効果が高かったとしている。「例えば他のツールでは組織の規模に応じて課金される料金体系などもありますが、本学にとっては割高感がありました。Tenable ASMの利用では、一度のスキャンで得られる情報数(オブジェクト数)に応じて課金されるかたちになっています。現在は2週間に一度データを取得するという運用にしていて、デモ環境でコストの最適化について検証できたことも採用の決め手になりました」(大野氏)
さらに、既存のネットワークに影響を与えることなく導入可能で、部局側の作業も必要なく、情報部のみでプロジェクトを完結できることも採用を後押ししたという。
大学全体のIT資産管理の精度や脆弱性可視化の網羅性が向上
これは象徴的な事例だが、「クラウド環境にある資産を含めて、大学全体のIT資産管理の精度や脆弱性可視化の網羅性は高まっています」と大野氏は手応えを語る。さらに北澤氏は「従来はリスクの高い脆弱性が公開されても、実質的には各部局に注意喚起を促すことしかできず、都度調査をしてもらう必要がありましたし、見逃されることも多かったのが正直なところです。Tenable ASM導入後は、脆弱性があるIT資産をピンポイントで把握し、当該の部局に必要な情報と対応策を伝えることができるようになりました。部局側の担当者にとっても対応の効率化につながっています」と続ける。
こうしたTenable ASMの導入効果は、事後対応が中心だったサイバーセキュリティを予防的なアプローチに転換するという大きな変革にもつながっていると話すのは、情報部デジタル変革推進課デジタルイノベーションユニット専門職員の石幡研悟氏だ。「インシデントが起こる前に脆弱性を特定して対処できる仕組みができ、一方で部局担当者の調査にかかる手間などは省くことができています。効率的にセキュリティを強化し、教員が本業に安心して専念できる時間を確保できたことは、大学経営上、大きな成果だと考えています」
今後はIT資産管理と脆弱性対策のプロセス効率化をさらに追求する。RPAを使い、ASMの情報からIT資産管理台帳や脆弱性対処リストなどを生成し、これらを各部局とも共有して、より即時的で漏れのない対応につなげたい考えだ。