"限られたリソースで運用する中、DDIとCTDにより、脅威の見える化と対処の自動化が可能となり、より安心できるIT環境が整備できました"

関西大学
学術情報事務局 システム管理課
西脇 和彦 氏

関西法律学校として大阪市西区の願宗寺において開学し、2016年には創立130周年を迎えた関西大学。現在、20年後を見据えた行動指針である「Kandai Vision 150」を策定し、「教育」「研究」「社会貢献」「組織運営」の各領域における行動計画を掲げ、推進に向けた体制の整備を進めている。

同大学には、千里山、高槻、高槻ミューズ、堺の4つのキャンパスがあるが、各キャンパス間を高速ネットワーク「KAISER（関西大学学術情報ネットワーク）」で接続しているほか、学内無線LAN「KU Wi-Fi」を整備するなど、積極的なIT投資を行っている。

このようなITの利活用を進める上で課題となっていたのがセキュリティである。「PCのウイルス対策ソフトはもちろん、ゲートウェイに次世代ファイアウォールやIPSを設置するなど様々な対策を講じていましたが、標的型攻撃やランサムウェアなど、新たなサイバー攻撃による被害が増大している中、私たちとしてもさらなる強化策を打たなければならないと感じていました」と同大学の西脇 和彦氏は話す。

しかし、そのためには、教育・研究機関ならではの事情をクリアしなければならなかった。

「一般的に大学では、学生、教員、職員など、様々な立場の人間が、様々な用途でネットワークを利用することから、サイバー攻撃に遭いやすく、踏み台などにされることも少なくありません。そのため、過去に攻撃に遭ったことのある他大学や関係機関との通信を制限するといった厳しいセキュリティポリシーを設定してしまうと、特定の大学とのメールのやり取りができなくなるなど、利用者サービスに支障が生じるおそれがあります。その結果、一律に厳しいポリシーを適用できないという事情に直面してしまうのです」と同学の榊原 和弘氏は説明する。

セキュリティ対策は限られた人員・予算で行わなければならないため、「メールが届かない」といったような現場からの問い合わせを受け、その都度、すべてに対応していては到底追い付かない。また、サイバー攻撃は、未知の手法で攻撃してくることが多い上、その手口も巧妙化しており、そもそも既存のシグネチャベースの対策では100％脅威の侵入を防ぐのが困難なことも大きな問題となっていた。

このような複数の課題を解消するには、入口・出口対策によって侵入をブロックする対策だけではなく、侵入してしまった脅威に対応するための対策も必要であること、そして、同時にできるだけ人手を介さずに脅威に対する通信の自動閉塞などといった運用が望ましいと同学は判断。そこで導入したのが、トレンドマイクロのネットワーク型対策製品「Deep Discovery™ Inspector（以下、DDI）」、そして、DDIと「ウイルスバスター™ コーポレートエディション（以下、Corp.）」を連携させた製品連携ソリューション「Connected Threat Defense™（以下、CTD）」である。

「ネットワーク内に潜む標的型攻撃などの兆候を早期発見できることに加え、最も高く評価したのは、CTDによって一次対応を自動化できる点です。本学では、すでにクライアントPCにウイルスバスター Corp.を導入していることから、その既存資産を活かすこともでき、人的リソースに限りがある我々に最適だと判断しました」と榊原氏は話す。

また、それ以外にも、西脇氏は「既設のウイルスバスター Corp.を活用できるため、新たに一定リソースを消費するエージェントをPCにインストールする必要がないことも採用の決め手でした。PCのスペックも導入時期により異なることから、新旧モデルが混在する大学の環境にも無理なく導入できます」と続ける。

DDIは気付くことが難しい標的型攻撃やゼロデイ攻撃をネットワーク上の振る舞いから見つけ出し、早期対処を実現し、被害の深刻化を防ぐ製品である。

このDDIを活用した製品連携ソリューションであるCTDを導入すれば、DDIが脅威を検知した場合には、その情報を元にカスタムシグネチャが作成され、Trend Micro Control Manager™を介してCorp.クライアントに自動的に配信される。これにより、パターンファイルが配信される前の未知の脅威^※もエンドポイントでブロックすることが可能となる。

関西大学ネットワークにおけるDDIとウイルスバスター Corp.の連携イメージ

DDIおよびCTDによって、セキュリティに対する安心感は大きく高まった。

「DDIは、重大なインシデントを検知するとアラートをあげてくれる上、何が起こっているかをすぐに把握できます。例えば、以前はセキュリティ装置でC&C通信などの兆候が見られた場合、複数の機器の膨大なログ調査などが必要となり、多大な時間を費やしていました。現在は、DDIによって『C&C通信は発生していないか、またその通信は情報漏えいにつながるリスクはないのか』という状況をすぐに確認することができます」と西脇氏は言う。

また、CTDによるセキュリティ自動化の成果も大きい。

「攻撃はいつ発生するかわかりません。基本的に大学に管理者が不在となる休日や夜間に攻撃を受けると、すぐに対応することは難しい。CTDによって、そうした管理者不在の時間帯にも、システムが自動で一次対応をしてくれるようになったことは、大きな安心感につながっています」と榊原氏も続ける。

現在、同大学では、導入したDDIを活用しさらなるセキュリティの強化を検討している。例えば、DDIと現在使用している他社のセキュリティ製品を連携させて、ファイアウォールにおいて特定のポートやIPアドレスで通信を遮断する仕組み、スイッチ側で特定MACアドレスの通信を止めるといった仕組みの実現だ。

このような取り組みに向けて、トレンドマイクロに対する期待は大きい。「我々にとっての最大のテーマは、人員、スキルの両面でリソースに限りがある中、いかに確実な対策を行っていくかということ。今回、導入したCTDによるセキュリティの自動化は、まさに私たちの課題にフィットしたソリューション。今後も、さらなる自動化の推進など、トレンドマイクロ製品の進化に期待しています」と西脇氏は強調した。

※ 全ての未知の脅威に対応するものではありません
※ 記載内容は2017年5月現在のものです。内容は予告なく変更される場合があります