利便性を損なわないセキュリティ対策,基盤システムの休みのないPDCAサイクル適用
2018年度は,一昨年度末に発足したサイバーセキュリティ・CSIRT業務が情報基盤センターと独立した組織であるサイバーセキュリティセンターが行うことになりました。ICTシステムのアクセルを踏む情報基盤センターと適切に制御をするサイバーセキュリティセンター間で,利便性を損なわないセキュリティ対策を基本原則として各種ICTシステムのPDCAサイクルを回しました。
- 本学が12年前(我々の知る限り)全国の大学で初めて全面導入したICカードによる多要素認証に加えて,今後の認証の主流となると考えるスマホ・電話認証システムを導入しました。さらに,スマホ・電話認証をMicrosoft Office 365およびVPN接続サービスの認証にも適用し,Office 365は去る2019年3月28日に,VPN接続サービスは2019年6月よりこれを必須化します。また,認証基盤システムを冗長化し,可用性も向上させました。
- Internet Explorer 11のみをサポートした従来のICカード認証の利便性と安全性を向上するために,Microsoft EdgeやGoogle Chrome,Mozilla Firefox等を新たにサポートしたICカード認証用のソフトウェアを開発しました。これにより,Microsoft社より利用が推奨されていないInternet Explorer 11の利用を停止する準備が整いました。今後はInternet Explorer 11の利用を段階的に停止していただきますよう,お願いいたします。
- 基盤パスワードを忘れた際に,安全かつ簡便な基盤パスワードの再設定システムを学生向けに開発しました。
- 認証基盤システムにおける認証時のユーザー・インターフェースの統一化とEV(Extended Validation)SSLサーバー証明書の導入により,なりすましサイトの対策を行いました。
- Microsoft Office 365サービスの一つであるMicrosoft Teamsの事務用シンクライアント環境への展開とマニュアル整備を行いました。
- RMS(Right Management System)保護のマニュアル整備と啓蒙を行いました。
- 集合知を用いた迷惑電話システムの拡張を行いました。
- 2017年度に独自開発した電子ワークフローシステムの高速化ならびに機能改善(祝日判定,ユーザー・インターフェースの高機能化等)を行いました。
- リース契約など金額の決まった支出に対して,事前に支出予約設定が可能な収支参照システムの機能追加を行いました。
- 従来の可搬型ICカードリーダーの後継サービスとして,ノートPCで動作するWindowsアプリケーションの受付くんを新たに開発し,学内公開を行いました。本学構成員であれば事前申請なく自由にインストール,利用が可能であり,イベントの受付のみならず,例えば研究室内の出欠などにも活用が見込まれます。
- 各棟への入館の権限を制御する入館システムの利便性の向上を目指し,新規開発しました。
- これまで西暦と和暦が混在していた各種情報基盤システムを,西暦に統一する修正を順次行いました。
- セキュリティクラウドの認証基準を制定しました。認証基準を満たしたクラウドとして,スマホ・電話認証を適用したMicrosoft社のAzureクラウドならびにOffice 365がCIOによりセキュリティクラウド認定されました。これにより“Office 365によって提供されるOneDrive for Businessは,学内サーバーのディスクと同一の安全性”と認定されたため,機密性のあるデータの格納が可能となりました。これにより,盗難や紛失の危険性のあるUSBフラッシュメモリーや学外に持ち出したノートPCに,これらのデータを保存する必要性が無くなりました。これらを適切に使うことにより,例えば個人情報を含むデータの盗難・流出の被害を事実上ゼロにすることができます。
- 情報基盤センター・サイバーセキュリティセンターのウェブサイトをリニューアルしました。このリニューアルにより,CMS(Content Management System)ソフトウェアの脆弱性対応だけでなく,レスポンシブ・デザインを全面的に採用したことで,スマートフォンへの大幅な対応強化を行いました。加えて,コンテンツの整理と拡充も行いました。
- 主に学生が利用する各講義室や大学会館,図書館,さらには学会などで利用する会議室などを中心に,新たな無線アクセスポイント(AP)を昨年度3回に分けて整備しました。新APは,従来のMACアドレス認証とウェブ認証にプラスする形で802.1X認証およびeduroamにも対応するとともに,2.4GHz帯と5GHz帯を同時利用可能なバンドステアリング機能など,利便性に最大限配慮した無線LAN環境を構築しました。
- 研究室向けにeduroamのAPを一時的に貸し出すサービスを開始しました。
- VPN接続サービスを提供するVPN装置のリプレイスを行いました。本システムは教職員・学生の共用システムであると同時に,セキュリティ向上のためスマホ・電話認証が必須となります。旧システムは2019年5月31日に停止予定のため,VPN接続サービスの利用者は期限までに必ず新VPN装置用の設定を完了していただくよう,お願いいたします※。
※スマホ・電話認証が必須となるため,移行テストなしに海外を含む出張に行かれた場合は,いかなる方法でもVPN接続サービスの利用ができなくなります。
- これまで教職員は学術情報課のITサポート,学生は情報基盤センターの学生サポート窓口と分かれていたサポート窓口を,情報基盤センターITサポート窓口に一元化しました。それに伴い,サポート受付システムやFAQの整備などを行いました。
- 情報基盤センターでは入試課や企画広報課を通じて,学外からの見学者の対応も行っています。特に昨年度は一昨年度の1.5倍となる14校に対応させていただきました。
学内の2万台のネットワーク接続機器や学生の持ち込みPC,スマートフォンが原因となるインシデントに常時対応する作業以外に,インシデントを未然に防ぐ準備も行っています。2018年度では,これら対応の基礎となる「情報セキュリティインシデント対応要領」を定め,セキュリティインシデントに対する対応方針を明確にしました。
- Microsoft社の基本ソフト(OS)を対象としたWindows Defender ATP(高度ふるまい検知・防御システム)の導入を行うとともに,マニュアル整備,啓蒙活動を行いました。なお,macOS等,Windows以外のOSに対する導入の可能性も継続して調査しています。
- Azure Security Centerによるセキュリティ監視を基盤システムの主要サーバ(Windows・Linux)に導入し,ログの集中管理による異常監視体制の構築を行いました。今後は,通信異常ログ監視と合わせて,学内で発生したセキュリティインシデント監視体制の効率的な運用を目指します。
- DNSフィルタ,WEBフィルタなどを適切に運用し,危険・違法サイトの通信を遮断する体制を強化しました。
- 強制力を伴う情報セキュリティ研修システムの開発し,全構成員を対象に実施しました。
- 学外公開サイトだけでなく,学内の計算機に対しても脆弱性診断と対応依頼を行いました。加えて学外公開ホスト申請時に脆弱性調査を必須化しました。
これら以外にも,MAINS接続機器の管理やネットワークループなどの障害対策や500台以上の教育用端末の管理・運用,授業に用いるソフトウェアのインストールとメンテナンス,出欠システム,IP電話システムなど,学内に数えられないくらい存在するシステムの保守,新規機能追加,脆弱性対応など,情報基盤センター・サイバーセキュリティセンターの業務は多岐に渡ります。また,IoT・サイバー攻撃の激増の時代,これらの仕事は増えることはあっても減ることはありません。しかし,我々センターの人的リソースは脆弱です。昨年度の挨拶でもお願いしました"教職員に対する4つのお願い"を順守して頂ければ幸いです。
昨年度は多段のセキュリティ対策として認証にスマホ・電話認証を,計算機内のふるまい検知にWindows Defender ATPを,万が一の侵入を想定し被害を最小限にするRMSを導入しました。しかし,情報基盤センターのみで運用を開始できるスマホ・電話認証は別として,機密性の高い文書を安全に配布するRMSは事務局でほとんど使われていない状況であり,加えて従来のウイルス対策ソフトに比べても強力な防御能力を有するWindows Defender ATPの導入も,事務用シンクライアント端末(約200台)と教育用端末(約550台)を除けば約300台(内,センター管理のサーバーが約50台)と,現時点で我々の期待をはるかに下回っています。一方,この約1,000台程度の監視を数か月行っただけでも,50件以上のインシデント(すべて防御済み)が観測されています。
学内にはWindows Defender ATPの対象となるWindows PCが少なく見積もっても3,000台程度は存在します。世界最先端レベルのセキュリティ対策システムは導入したものの,仏作って魂入れず状態になりかねません。我々としても更なる啓蒙を行っていく予定ですが,もし重大なセキュリティインシデントが発生し,例えば個人情報などが流出した場合,本学の信用の低下が避けられない社会的環境を,教職員の皆様にもう一度確認して頂ければ幸いです。特に研究情報を保存しているサーバーへのWindows Defender ATPの導入と,個人情報を含む文書などへのRMS適用を強くお願いいたします。さらには情報基盤センター・サイバーセキュリティセンターからの掲示やウェブを通じた案内や依頼には耳を傾けて頂くことも重ねてお願いいたします。
今年度のシステムに対応する教職員用の情報基盤システムユーザーズガイドはPDF形式での提供となり,冊子体での配布は行いません。教職員ポータルのリンク集からダウンロードしていただき,是非ともご一読のほどをお願いいたします。必ず皆様の事務作業を改善する発見があると考えます。
サイバーセキュリティセンター長 齋藤 彰一
平成31年4月