Cases 導入事例

（写真)同志社大学　総務部　情報企画課　ITサポートオフィス　情報ネットワーク係長　山北 英司氏

2025年に創立150周年を迎える同志社大学では、これまで把握するのが難しかった外部サービスのアカウント漏洩を検知するためSPC Leak Detectionを導入。速やかな対応を促すために、利用者本人に漏洩情報を通知する機能の活用を進めています。ご担当者に、導入の経緯と成果について詳しく伺いました。（取材日：2020年7月）

---

学生と教職員のアカウント漏洩を検知するためにサービスを利用

－同志社大学におけるSPC Leak Detectionの利用状況について教えてください。

外部のクラウドサービスやサブスクリプションサービスにおいて、同志社大学ドメインのメールアドレスが使用されているアカウント（メールアドレス、パスワード）の漏洩情報を検知するため、2019年12月よりSPC Leak Detectionを利用しています。対象は、在学中の学生と教職員を合わせて約35,000アカウントとなります。

SPC Leak Detectionの運用は、定期的にサービスの管理画面より漏洩情報を確認するようにしていましたが、2020年6月末より新たに漏洩情報を検知した場合は、随時管理者に通知メールが来るようになったので、その後は特別な作業は行っていません。万が一、アカウントの漏洩が確認された場合は、利用者へ速やかに状況を伝えてパスワードの変更を促します。

---

作業負荷を増やすことなく、アカウント漏洩を検知

---

学内システムを守るためにアカウント漏洩をいかに早く検知できるか

－SPC Leak Detectionを導入した経緯を教えてください。

学生のリテラシーを高めるため、約20年前から独自の情報セキュリティ教育などを実施しています。また、10年前までは、学内システムをいかに守るかという発想でセキュリティ対策に取り組んでいました。

今では外部クラウドサービスやサブスクリプションサービスを利用するのが当たり前となりましたが、教育理念として「自由主義」を掲げている本学では、セキュリティ対策面でその利用を制限するのは本意ではありません。しかし、外部サービスと学内システムとで同一のアカウントを利用するケースが多く、外部サービスのアカウントが漏洩してしまった場合、学内のシステムが脅威にさらされてしまうことになりかねません。そのため、従来の学内のシステムだけを守っていれば済むという発想から転換し、外部のアカウントも含めたセキュリティ対策が必要だと考えるようになりました。

一方で、外部サービスにおける情報漏洩は本学だけの対策では防ぎきれないので、情報が漏洩することを前提に、対策をしていかなければなりません。そのためには、漏洩してしまった情報をいかに早く検知して、早く対応できるかが重要となります。メールアドレスを1件ずつ漏洩しているか調べることのできるFireFox Monitorなどのサービスの利用を検討しましたが、人力でやるには現実的ではなく、全学生と全教職員に対する網羅性もありません。定期的に公開情報をクロールしてアカウントの漏洩情報を検知するサービスを探したのですが、本学で調べた限りでは、最適なサービスは見つけられませんでした。そのようなときに漏洩情報を検知する新たなサービスとして紹介を受けたのが、SPC Leak Detectionでした。

---

利用者本人が漏洩情報を確認できることが迅速な対応につながる

---

検知した漏洩情報の取り扱いの観点

－サービスの導入検討時や導入時に苦労したことなどはありませんでしたか。

アカウント漏洩の検知によって得られる情報は、インターネット上に公開されている情報とはいえ、管理は厳重に行わなければなりません。また、そのような情報を得ること自体に問題があるかという点を判断できなかったので、法務担当者に確認を取りました。結果的には、個人情報として適切に管理すれば問題はないということでした。

---

ソースポッドの評価と期待

－ソースポッドへの評価や要望があれば教えてください。

ソースポッドという会社は、機動性に優れ、レスポンスや対応も速いので、導入検討をスムーズに進めることができました。サービスの機能に関しては、さらなる管理面での使いやすさや運用のしやすさの向上に期待しています。

－本日は貴重なお時間をいただき、ありがとうございました。