国立大学法人 東京農工大学

ネットワーク機器と連携し
「脅威の検知・対処」を自動化
端末1万台の通信を可視化し
学内ネットワークのリスクを低減

概要

お客さまの課題

標的型メール攻撃などの増加により、人手によるインシデントの検知・対応作業が限界に近づきつつあった

解決策と効果

ネットワーク機器と連携し、運用ポリシーに基づき不正な通信などを遮断。脅威の検知から1次対処までを自動化することで、脅威への早期対応が可能になった

"オープン、かつ安全な学内ネットワークの実現に向け、大きく貢献してくれるものと期待しています"

国立大学法人 東京農工大学
総合情報メディアセンター 教授(工学博士)
NIPC 国立大学法人情報系センター協議会事務局担当
萩原 洋一 氏

"ネットワーク監視製品が上げるアラートは、多すぎて的確に仕分けられないことが多いもの。自動で絞り込んでくれるメリットは大きいですね"

国立大学法人 東京農工大学
総合情報メディアセンター 教授(工学博士)
辻澤 隆彦 氏

"人によるネットワーク監視は、利用者側に『情報を見られる』という感覚を与えがち。自動対策ならその心配はありません"

国立大学法人 東京農工大学
総合情報メディアセンター 講師(工学博士)
櫻田 武嗣 氏

導入の背景

日本の産業の根幹を成す「農学」と「工学」。この2分野に特化した専門大学として、1874年の創基以来、専門性と知識を併せ持つ数々の人材を輩出してきたのが東京農工大学である。現在は産学連携を積極的に進めており、世界的に関心が高まる環境・エネルギー・食料分野の問題解決にも注力している。

「優れた留学生や研究者の受け入れといった国際交流も進めながら、より良い大学を目指すための改革も継続的に進めています」と東京農工大学の萩原 洋一氏は紹介する。

お客さまの課題

学内では、日々様々な研究・実験が行われている。データの収集や分析、外部機関との連携による情報交換、さらに学術情報コンテンツの作成・保存・情報発信などを行う上で、今やITは欠かせないものとなっている。

このようなIT活用と表裏一体となるのがセキュリティである。特に大学は、先進の研究内容や、学生の個人情報などの情報が無数にあり、それを守ることは不可欠といえる。「ただ一方で、そうしたセキュリティ対策に、どこまで工数をかけるべきかは、常に検討すべき問題でもありました」と同大学の櫻田 武嗣氏は語る。

例えば、かねて同大学は、端末の「検疫」を行うシステムなど、様々な対策を実施することでセキュリティ強化に尽力してきた。しかし、サイバー攻撃は増加傾向にあり、また手法も多様化する中では、セキュリティ対策の負荷が大きくリソースを圧迫することが避けられない状況になりつつあったという。この状況を打開するには、生まれ続ける脅威に対し、人手を介さず、迅速・的確に対処できる仕組みが必要になっていた。

「折しも、学内ネットワーク機器の更改時期が迫っていました。そこで私たちは、その入れ替えと同時に、『自動化』を前提としたセキュリティ対策の仕組みも検討することにしたのです」と同大学の辻澤 隆彦氏は話す。

選定理由

こうして同大学が実現したのが、ネットワーク製品とセキュリティ対策製品の連携による、脅威侵入時の初動対応を自動化する仕組みである。

具体的に、この仕組みはトレンドマイクロのネットワーク連携セキュリティ対策製品「Trend Micro Policy Manager™(以下、TMPM)」、ネットワーク監視製品「Deep Discovery™ Inspector(以下、DDI)」、および連携可能なパートナー各社のスイッチで構成される。

中核を成すTMPMは、DDIが検知したリスクに対し、あらかじめ設定されたポリシーに基づき「緊急度」「対処法」などを判定。その上で、不正通信の遮断などの対応をネットワーク製品に指示する。「高精度な検知と的確な対応を、人手に頼らず実行できる点がポイントでした」と萩原氏は選定理由を述べる。

また、大学内には大きく「研究向け」「事務職員向け」「学生向け」の3つのネットワークセグメントが存在している。利用者や利用目的が異なるため、求められるセキュリティレベルがそれぞれ異なるが、この運用にTMPMが対応している点も評価したという。

「例えば、様々なサイトを閲覧したり、企業と連携したりする研究向けはオープンである必要がありますが、ほかの2つはクローズドなほうが望ましい。TMPMは、こうした個別の環境ごとにポリシー設定をカスタマイズできます。これなら、むやみに通信を遮断してユーザの利便性を損なうといった問題も起こさずに、安全性を高められると考えました」と櫻田氏は言う。

ソリューション

TMPMは、“センサー”の役目を果たすトレンドマイクロのセキュリティ製品、および他社製のネットワークコントローラー/スイッチと連携することで、動的なネットワーク制御を実現するソリューション。

センサーで得た不審な通信の情報を、TMPMが持つポリシー情報と照合し、「対応の緊急度」「適切なアクション」などが決定される。カテゴリごとに分類されたポリシーは、トレンドマイクロの知見を集約した脅威トリガーのデータベースを基に随時更新されるため、常に最新情報に基づく対応が行える。またユーザがカスタマイズすることも可能なため、組織のセキュリティポリシーに即した対処を実行させることも可能だ。

東京農工大学は、TMPM、DDIとアラクサラネットワークスのAX-Security-Controller/スイッチを連携して利用。TMPM自体は、ほかにも複数社のネットワーク製品と連携が可能になっている。

東京農工大学におけるTrend Micro Policy Manager™利用イメージ

導入効果

同大学は、学内の全ネットワークを対象に、先の環境を導入した。

既に自動化に必要なシステムは整っており、現在は遮断後の端末の復旧などを含めた運用フローを検討中。それが完了次第、運用を開始する予定だ。「学生向けセグメントではBYODも許可しているため、学生のスマートフォン/PCなどを含めると、ネットワークに接続する端末は1日1万台に上ります。そのほぼすべてについて『マルウェア感染の有無』『C&Cサーバーとの通信有無』といったリスクを可視化できる予定です」と辻澤氏は語る。

運用開始後は、これまで気付けなかった脅威もDDIでいち早く発見できるようになり、初動対応が迅速化できるだろう。検知後のアクションはTMPMが判定するため、管理者の負担も増えることはない。「セキュリティ対策の運用負荷は変わらないまま、対策範囲を大きく広げられます」と櫻田氏は言う。

今後の展望

増え続けるサイバー攻撃に対し、セキュリティ対策製品とネットワーク製品の連携により対策を強化した東京農工大学。TMPMを通じ、セキュリティベンダーの知見を現場に取り込むことで、効率よくネットワークの安全性を高めていく。この環境の下、同大学は、今後も研究・教育をサポートするIT環境の拡充を図っていく構えだ。

※ 記載内容は2017年11月現在のものです。内容は予告なく変更される場合があります。