導入事例

学校法人東京工芸大学

tokyokogei.png

(写真左)東京工芸大学 大学事務局 教育研究情報課 主査 古川 康平氏

写真を初めとするテクノロジーとメディアアートの最先端教育・研究機関として進化を遂げてきた東京工芸大学では、外部のクラウドサービスやサブスクリプションサービスなどからの漏洩情報を検知するためにSPC Leak Detectionを導入。ご担当者に、導入の経緯と成果について詳しく伺いました。(取材日:2020年6月)

約30のドメイン、約5,000アカウントを対象に漏洩情報を定期検知

-SPC Leak Detectionの利用状況を教えてください。

2020年4月よりSPC Leak Detectionの利用を開始しました。学内で利用している約30のドメイン、教員および学生の使用している約5,000のアカウントで、アカウントの漏洩チェックを定期的に行っています。

解決策や対応策が見出せなかった外部サービスによる情報漏洩

-SPC Leak Detectionの導入を検討した背景を教えてください。

今では、オフィス系やSNS、クラウドストレージ、テレビ会議など、教職員のみならずほとんどの学生がクラウドサービスを利用しています。特に当学の場合、画像や動画などをデジタル処理するためのサブスクリプションサービスを多くの学生が利用していて、大学ドメインのメールアドレスによるアカウント登録が必要になります。
学内で管理・運用しているシステムや情報に関しては、不正アクセス対策や情報漏洩対策を実施しているものの、外部のクラウドサービスやサブスクリプションサービスに関しては、私たち学内の情報システム担当が手を施すことができません。世の中では実際に、クラウドサービスやサブスクリプションサービスから大規模な情報漏洩事故が発生しています。
仮に、教職員や学生が利用している外部のクラウドサービスやサブスクリプションサービスでアカウント情報が漏洩した場合、その中に大学のメールアドレスや学内システムに登録しているパスワードが含まれて、それが原因で学内システムへの不正アクセスが行われると、大学側だけで対処することが難しくなります。
そもそも漏洩したことをどのように確認すればいいのか。気づかずそのまま不正利用され続けてしまう場合は、どのように対応すればいいのか。踏み台やなりすましなどによる標的型メールに利用されて、大きな損害をもたらすような事件に発展する可能性もあります。正直なところ、教職員や学生が利用している外部のクラウドサービスやサブスクリプションサービスで利用された当学のメールアドレスやパスワードが漏洩し、不正利用された場合の明確な解決策や対応策を見出せずにいました。

管理側の負担が少なく、定期的に情報漏洩の状況が確認できる

-SPC Leak Detectionに興味を持った理由を教えてください。

ソースポッドからサービスの説明を受けたとき、実際に当学のアカウント漏洩状況を見せてもらいました。その内容や数に、正直なところ驚いたと同時に、今後さらなる漏洩が発生する可能性もあると思いました。
その上で、サービスの内容に関して、下記の点に興味を惹かれました。

●定期的に情報漏洩の状況を確認できる
単発の検知サービスではなく、定期的に検知することを前提としたサービスなので、都度依頼せずとも、クラウド環境上で常に最新の状況を確認できる。

●業務に組み込みやすい
サービスを申し込めば、通常は何もすることがないので業務負荷がかからず、セキュリティの管理業務に組み込みやすい。また、担当者や担当の部署が変わっても引き継ぎや運用も容易(非属人化)。

●定額的な利用コスト負担で利用できる
初期申込費用はかかるものの機器などの導入は不要で、最初に対象となるアカウント数を決めてしまえば、サービスとして毎月決まった金額で利用できる。また、金額自体も魅力的だったので、予算として計上しやすい。

●サービスとしての将来性を評価した
サービスの提供が開始されたばかりで、段階的にサービスのレベルや内容の向上を図るロードマップが示されており、ソースポッドからは自社開発サービスのため、大学として利用する際の要望があれば、積極的に伝えてほしいと言われました。また、今後の追加機能・サービスの説明も興味深いものでした。

-ほかに比較検討したサービスなどはありましたか。

自分たちで調べた範囲では、単発で調査するセキュリティ診断サービスのようなものはありましたが、定期的に同様のコストでアカウントの漏洩情報を検知できるサービスは見つかりませんでした。

-導入に関して、反対意見などはありませんでしたか。

同様のサービスがあまり見られず、上司や学校として理解が得られるかどうか当初は不安もありました。しかし、近年、文部科学省からの通達や指針、補助金を受けるための条件を見ると、明らかにセキュリティや情報管理、情報漏洩対策などに関して触れられている機会が増え、情報が漏れてしまった場合のリスクを考えたとき、SPC Leak Detectionで漏洩情報を検知し、迅速に対応できることの重要性は、すぐに理解してもらえました。

パスワードに対する議論のきっかけとしても期待

-SPC Leak Detectionを導入した効果について教えてください。

サービスの利用を開始してから数ヶ月が経過しました。具体的な効果はこれからですが、情報漏洩が発生しているかどうかを定期的かつ自動的に確認できる。不正利用を最小限で食い止めることができるようになったという安心感は、とても大きな成果です。これまでは手つかずの部分でしたから。
当学の教職員や学生が利用しているアカウントの情報が漏洩したことの事実を迅速に把握できることは大切ですが、教職員や学生の情報漏洩に対するリテラシーや理解度を高めることも重要です。
また今後、あってはほしくないことですが、利用者や学校側に一切落ち度がなくても、外部のサービスからアカウント情報やメールアドレス、パスワードの漏洩が発覚することも考えられます。
SPC Leak Detectionの導入により、インシデントが発生する前にアカウントが漏洩した事実を迅速に把握、対処できるようになり、さらに学内でパスワードなどに対する意識付けや議論のきっかけになることを期待しています。

今後の展開予定とソースポッドへの要望・期待

-SPC Leak Detectionおよびソースポッドに対する要望や期待があればお聞かせください。

これまであまり見られなかった新しいサービスを提供してもらい、大学でも利用しやすいように工夫もされているので、とても感謝しています。数多くの大学関係はもちろん、一般企業に普及することによって、機能面でも品質面でもより良いサービスになっていくことに期待しています。がんばってください。

-本日は貴重なお時間をいただき、ありがとうございました。
法人概要
法人名 学校法人東京工芸大学
所在地 東京都中野区本町2丁目9-5
ご利用数 5,000アカウント
関連製品

SPC Leak Detection

SPC Leak DetectionOSINTによる漏洩情報検知サービス

詳細を見る

SPC 標的型メール訓練

SPC 標的型メール訓練【本当に効果のある】標的型メール訓練

詳細を見る