DXを進める東北大学、クラウド利用で煩雑になったIT資産管理の課題をどう解決したか

特設サイト「東北大学 DXナビゲーション」を立ち上げるなど、DX（デジタルトランスフォーメーション）を積極的に進めている東北大学。DXの一環としてクラウドサービスの活用を進める中で、同大学ではIT資産の特定と管理が課題となってきたという。

昨今、さまざまなIT資産の脆弱性がサイバー攻撃で狙われているが、企業・組織において利用している機器を正確に把握して、適切に管理していなければ、脅威は高まるばかりだ。

同大学は、このようなIT資産にまつわる課題をいかにして解決したのだろうか。東北大学 情報部デジタル基盤整備課 情報セキュリティ係 主任 大野勝也氏、東北大学 情報部デジタル基盤整備課 情報セキュリティ係 主任 北澤秀倫氏、東北大学 情報部デジタル変革推進課　デジタルイノベーションユニット専門職員 石幡研悟氏に話を聞いた。

• 

  左から、東北大学 情報部デジタル基盤整備課 情報セキュリティ係 主任 北澤秀倫氏、東北大学 情報部デジタル変革推進課　デジタルイノベーションユニット専門職員 石幡研悟氏、東北大学 情報部デジタル基盤整備課 情報セキュリティ係 主任 大野勝也氏

クラウド導入で学外に置かれるようになったIT資産

東北大学は「東北大学ビジョン2030」を掲げており、その中で、主要な施策として「データ活用による大学経営の高度化」や「情報環境の最適化と情報セキュリティ強化」を挙げるなど、DXに取り組む姿勢を打ち出している。

そうした中、大野氏は「当大学は規模が大きいため、管理しているIT資産は外部に公開している機器だけでも数千台とかなりの数でした。ただし、その台数は自己申告だったため、大学で利用されているIT資産をすべて把握できているか、明確ではありませんでした」と語る。

また政府主導の下、自治体ではクラウド･バイ･デフォルト原則が推奨されているが、東北大学でも業務システムをクラウドに移行している。大野氏は「クラウドの利用によりIT資産が物理的に学内にないため、インシデント対策が打ちづらい状況です」と語る。

なお、東日本大震災の経験を踏まえたBCP対策として、また、アセットライトな経営のための施策としても、クラウドサービスは不可欠だという。

一方、IT部門が一括してIT資産を購入・管理しやすい企業と異なり、大学は教育機関という性質上、学内で使われるIT資産が多彩という側面もある。研究室で独自にサーバを立ち上げたり、クラウドサービスを利用したりといったこともあるだろう。

セキュリティの脅威が今ほど高まっていなかった時代は、こうした「野良IT」もそれほど問題視されていなかった。だが、いつどの組織がサイバー攻撃を受けてもおかしくない今、たった一台の脆弱な機器をきっかけに大規模なサイバー攻撃を引き起こされてしまう可能性がある。

情報量が豊富なTenableの「ASM」を導入

そこで、東北大学ではクラウド環境で利用されているIT資産を把握するため、Tenableの「Tenable Attack Surface Management (ASM)」を導入した。同製品は、インターネットに接続された資産、サービス、アプリケーションを可視化して、リスクを評価・管理することを可能にする。

もともと、脆弱性診断ツールとして、Tenableの「Nessus」を利用していた縁もあり、「ASM」の紹介を受けて試用を開始したという。

大野氏は他社製品と比較してみて、「Tenable Attack Surface Managementは収集できる情報が多いこと、コミュニティがあることが魅力でした」と語る。コミュニティでは技術者同士で情報を交換できる。

さらに、大野氏は「当大学は文系、理工系、文理融合などの学科、研究室があり、研究分野が幅広いため、求められるIT資産も多種多様ですが、ASMなら1つのポリシーで管理できます」と語る。

想定以上の未管理のIT資産を検出

2023年7月～8月にかけて、検証を行ったのち、2024年2月からASMの正式利用が開始された。なお、ASMの導入は当初、計画になかったという。「複数年でIT管理基盤を整備する計画でしたが、CDOや専門の先生に理解いただいたことで、計画外であったASMを導入できました」と大野氏は話す。検証後から導入までの期間に、ASMの必要性を認識してもらったという。

ASMを導入したことで、さまざまな効果がもたらされた。まず、IT管理部門が把握していなかったWebサーバが数件発見された。これらは研究部門が利用していたもので、クラウドやホスティングサービスに配置されて外部からアクセス可能な状況だった。

北澤氏は「ASMによって、想定した以上に未管理のIT資産が見つかりました。外部のレンタルサーバを利用していると、こちらとしては管理する術がありません」と話す。

また、自動的にIT資産の情報を収集できるようになったため、研究室の手間が減ったという。それまでは、研究室の先生方がIT資産を管理していたという。北澤氏は「先生方にとって、教育のためのサーバ管理はメインの仕事ではありません。ASMによって、先生方が研究に集中できるようになりました」とも語る。

さらに、ASMによってどこにどんなシステムがあるかが把握できているので、脆弱性への対応も以前より速やかに行えるようになった。「ASMによってIT資産管理の網羅性が実現し、脆弱性に対しピンポイントで確実に手が打てるようになりました」と大野氏。以前は、深刻度の高い脆弱性が一般公開されても、大学全体に一斉に注意喚起をする形で伝えられており、見逃されていることもあったそうだ。

IT資産と脆弱性の把握でインシデント対応のコストを抑える

ASMの導入効果について、石幡氏は「ASMのデータとRPAと組み合わせて台帳を作ることで、手間を削減しています」と語る。東北大学では、DXの一環として、RPAも導入しているそうだ。

さらに、「いざ、インシデントが起きると、対応にコストがかかります。しかし、インシデントが発生する前に、ASMによって、どんなIT資産があり、脆弱性があるかどうかを把握しておくことで、トータルのコストを抑えることができます」とも石幡氏は語る。まさに、備えあれば憂いなしというわけだ。

石幡氏は、「ASMを導入してまだ一年も経っていませんが、事前に手を打つことで、脆弱性に正面から取り組み、本業に注力することを進めていきたいと思います」と語っていた。