導入事例

学校法人同志社 同志社大学

doushisha.png

(写真)同志社大学 総務部 情報企画課 ITサポートオフィス 情報ネットワーク係長 山北 英司氏

2025年に創立150周年を迎える同志社大学では、これまで把握するのが難しかった外部サービスのアカウント漏洩を検知するためSPC Leak Detectionを導入。速やかな対応を促すために、利用者本人に漏洩情報を通知する機能の活用を進めています。ご担当者に、導入の経緯と成果について詳しく伺いました。(取材日:2020年7月)

学生と教職員のアカウント漏洩を検知するためにサービスを利用

-同志社大学におけるSPC Leak Detectionの利用状況について教えてください。

外部のクラウドサービスやサブスクリプションサービスにおいて、同志社大学ドメインのメールアドレスが使用されているアカウント(メールアドレス、パスワード)の漏洩情報を検知するため、2019年12月よりSPC Leak Detectionを利用しています。対象は、在学中の学生と教職員を合わせて約35,000アカウントとなります。
SPC Leak Detectionの運用は、定期的にサービスの管理画面より漏洩情報を確認するようにしていましたが、2020年6月末より新たに漏洩情報を検知した場合は、随時管理者に通知メールが来るようになったので、その後は特別な作業は行っていません。万が一、アカウントの漏洩が確認された場合は、利用者へ速やかに状況を伝えてパスワードの変更を促します。

作業負荷を増やすことなく、アカウント漏洩を検知

-SPC Leak Detectionの導入効果について教えてください。

doushisha02.png 漏洩を検知した段階で管理者に通知が来るので、迅速な対応が可能です。漏洩後の被害を最小限に抑えることができ、不正アクセス等による事故を未然に防ぐことができるというのが、SPC Leak Detection導入のねらいであり、実際の効果となります。
普段、システムの運用やセキュリティ対策などの作業に追われる中で、作業負荷を増やすことなく新たな情報漏洩対策を実践できるようになった点も重要な評価ポイントです。
今後は、漏洩した情報を利用者に提示することで、情報漏洩やアカウント管理に対するリテラシー向上を促したり、より効果的かつ具体的な対策を実施できるようにしていきたいと考えています。
今回、SPC Leak Detectionの導入検討や運用を通じて、もし外部サービスからアカウント情報が漏洩してしまうと、インターネット上で完全に削除することは難しく、残り続けてしまうことをあらためて認識しました。そのアカウント情報はいつどこで悪用されてもおかしくはないので、漏洩したことがわからないまま、漏洩したパスワードを使い続けることは、非常に危険な行為であるということを実感しました。

学内システムを守るためにアカウント漏洩をいかに早く検知できるか

-SPC Leak Detectionを導入した経緯を教えてください。

学生のリテラシーを高めるため、約20年前から独自の情報セキュリティ教育などを実施しています。また、10年前までは、学内システムをいかに守るかという発想でセキュリティ対策に取り組んでいました。
今では外部クラウドサービスやサブスクリプションサービスを利用するのが当たり前となりましたが、教育理念として「自由主義」を掲げている本学では、セキュリティ対策面でその利用を制限するのは本意ではありません。しかし、外部サービスと学内システムとで同一のアカウントを利用するケースが多く、外部サービスのアカウントが漏洩してしまった場合、学内のシステムが脅威にさらされてしまうことになりかねません。そのため、従来の学内のシステムだけを守っていれば済むという発想から転換し、外部のアカウントも含めたセキュリティ対策が必要だと考えるようになりました。
一方で、外部サービスにおける情報漏洩は本学だけの対策では防ぎきれないので、情報が漏洩することを前提に、対策をしていかなければなりません。そのためには、漏洩してしまった情報をいかに早く検知して、早く対応できるかが重要となります。メールアドレスを1件ずつ漏洩しているか調べることのできるFireFox Monitorなどのサービスの利用を検討しましたが、人力でやるには現実的ではなく、全学生と全教職員に対する網羅性もありません。定期的に公開情報をクロールしてアカウントの漏洩情報を検知するサービスを探したのですが、本学で調べた限りでは、最適なサービスは見つけられませんでした。そのようなときに漏洩情報を検知する新たなサービスとして紹介を受けたのが、SPC Leak Detectionでした。

利用者本人が漏洩情報を確認できることが迅速な対応につながる

-SPC Leak Detectionの採用を決めた理由を教えてください。

最大のポイントは、漏洩情報を検知した段階で、即座に利用者本人へも直接メールで通知でき、学生や教職員が利用するポータルサイトからシングルサインオンで利用者用の漏洩情報確認画面を表示できるようになるという点です。
あるべき姿としては、大学が介在するのではなく、漏洩が検知された時点で利用者本人が迅速かつ適切に対処するべきであり、SPC Leak Detectionは本学が求めている機能を提供できるサービスであると考えました。

SPC Leak Detection.png

【利用者用の漏洩情報確認画面イメージ】

ただし、現段階ではサービス利用開始からそれほど時間が経っていないため、状況を見ながら利用者への展開方法を検討していきたいと考えています。
また、ダークウェブ上にどのようなアカウントが漏洩しているかを把握することもできるので、漠然とした不安がなくなります。

検知した漏洩情報の取り扱いの観点

-サービスの導入検討時や導入時に苦労したことなどはありませんでしたか。

アカウント漏洩の検知によって得られる情報は、インターネット上に公開されている情報とはいえ、管理は厳重に行わなければなりません。また、そのような情報を得ること自体に問題があるかという点を判断できなかったので、法務担当者に確認を取りました。結果的には、個人情報として適切に管理すれば問題はないということでした。

ソースポッドの評価と期待

-ソースポッドへの評価や要望があれば教えてください。

ソースポッドという会社は、機動性に優れ、レスポンスや対応も速いので、導入検討をスムーズに進めることができました。サービスの機能に関しては、さらなる管理面での使いやすさや運用のしやすさの向上に期待しています。

-本日は貴重なお時間をいただき、ありがとうございました。
法人概要
法人名 学校法人同志社 同志社大学
所在地 京都市上京区今出川通烏丸東入玄武町601番地5
ご利用数 35,000アカウント
関連製品

SPC Leak Detection

SPC Leak DetectionOSINTによる漏洩情報検知サービス

詳細を見る

SPC 標的型メール訓練

SPC 標的型メール訓練【本当に効果のある】標的型メール訓練

詳細を見る