導入事例

学校法人国際基督教大学

ICU_pre.png

(写真左より)国際基督教大学 事務局長 兼 ITセンター長 兼 研究戦略支援センター部長 畠山 珠美氏、ITセンター長代理 IRオフィス 小松 倫子氏、ITセンター 佐野 譲氏、ITセンター 太田 康寛氏、株式会社ソースポッド 営業部 サービス営業チーム 山野 拓氏

日米両国を中心とする国際的な善意の寄付によって大学の礎が築かれた国際基督教大学(以下、ICU)では、教職員および学生によるクラウドサービスの利用が広がる中、アカウント情報の漏洩を把握し、対応するためSPC Leak Detectionを導入しました。ご担当者に、導入の経緯とねらいについて詳しく伺いました。(取材日:2021年3月)

一度洩してしまった情報は消すことができず、潜在的なリスクとなる

-ICUにおけるクラウドサービスの利用状況を教えてください。

当学では、Google WorkspaceやMicrosoft 365、Zoomなどのクラウドサービスを、大学のオフィシャルなサービスとして導入しています。さらに、クラウドシステムが普及するにつれて、業務利用や個人利用を問わず、在学生や教職員がさまざまなクラウドサービスなどを利用するようになりました。

-今回、アカウント情報の漏洩対策に取り組んだきっかけなどはあったのでしょうか。

クラウドサービスから情報漏洩が発生したというニュースは、サービス事業者の規模や有名・無名を問わず後を絶ちません。大学内で管理しているシステムであれば、不正アクセスや情報漏洩などに対して適切なセキュリティ対策を施すことができるのですが、クラウドサービスの事業者が管理しているアカウント情報に関しては、当学で直接管理できず、情報漏洩が発生したかどうかリアルタイムで把握するのも難しいのが現状です。
一度、インターネット上に漏洩してしまった情報は消すことができず、すぐに直接的な被害を受けなくても、潜在的なリスクを抱えていることになってしまいます。
加えて、今回、新型コロナウイルス感染拡大の影響により、これまでのように学内で学生が活動することができなくなりました。システムやセキュリティも、学外からの利用を前提とした仕組みに作り替えていかなければならず、その最重要ポイントであるアカウントの認証に関して、より厳格に管理する必要があると考えるようになりました。
しかし、適切な対策が見つからずにいたところ、富士フイルムビジネスイノベーション株式会社(以下、富士フイルムビジネスイノベーション。当時、富士ゼロックス株式会社)様より、サービス提供が開始されたばかりの、アカウントの漏洩検知サービスであるSPC Leak Detectionの紹介を受けました。当学は海外との交流が多く、その中で、アメリカではセキュリティ対策の一環として、アカウントの漏洩検知サービスが使われていると聞いたことがありました。そのため、最初に資料を見たとき、すぐに興味を持ちました。

自動で恒常的に漏洩情報を検知・通知。対象者自身による対応も促せる、ほかにはないサービスに期待

-具体的にどのようなところに興味を持ったのでしょうか。

個別のサービスや個別のアカウントに対して、漏洩しているかどうかをある程度調べるツールのようなものはありますが、SPC Leak Detectionのようにアカウント漏洩情報の検知から通知までを自動で恒常的に行い、利用者へ変更を促すまでの流れを包括的に提供するサービスは見たことがありませんでした。

また、
●アカウント情報漏洩が検知された対象者へダイレクトに通知を送ることができるので、リアルタイムで対象者に対応を促せること。
●管理者側で検知情報だけでなく、対象者の対応状況を管理できること。
●クラウドサービスなので、学内の認証システムに改変などは不要で、導入や運用にかかる手間や負担を最小限に抑えることができること。
にも興味を持ちました。
最終的に、SPC Leak Detectionを用いてトライアルを実施した結果、検知精度やスピードも高いことが確認でき、利用コストも適正であると考えられました。
そして、長年にわたり当大学のシステムのサポートをしてもらっている富士フイルムビジネスイノベーション様から紹介を受けたサービスなので、安心して利用できると判断して、導入を決めました。

なりすましなどの不正利用や被害を未然に防ぐだけでなく、学生・職員らのセキュリティ意識啓蒙も狙い、SPC Leak Detectionを採用

-SPC Leak Detectionを導入したねらいについて教えてください。

当学が利用している一部のクラウドサービスにおいて、アカウント情報が漏洩していないかどうかを調べる手段はありましたが、作業に手間と時間がかかり、限られたITセンターの人員で対応するのは難しい状況でした。
また、大学から提供しているシステムサービス以外に利用者が登録した各種サブスクリプションサービスなどに関して、当学のメールアドレスが用いられているすべてのサービスを包括的に把握することも難しく、さらにはアカウント情報漏洩が発生しているのか、漏洩したアカウント情報の中に当学のメールアドレスが含まれているかどうかを把握することもできていませんでした。
そのため、アカウント情報の漏洩を検知する運用の手間や負荷をかけず、自動で検知し、対象者への通知ができるという点を重要視して、SPC Leak Detectionを導入しました。
アカウント情報が漏洩していることが検知できれば、アカウントのなりすましなどの不正利用や、不正利用による被害を未然に防いだり、最小限に食い止めたりすることにつながります。SPC Leak Detection導入の最終的なねらいはここにあります。
また、これまでも学生・職員に対し、アカウント情報を厳格に管理する必要性や、パスワードを使い回す危険性に関する啓蒙をしてきましたが、自分自身や自身の周りに被害を受けたという例があまり見られないため、意識付けがなされず、対応が軽視されてしまう場面も見られました。
その点に関しても、特に学生に対しては、これからの情報社会を生き抜いていく上で、適正にアカウントやパスワードを管理していくことの重要性を理解してもらい、情報セキュリティに関するリテラシーを高めていけるというねらいもあります。SPC Leak Detectionの導入によって、直接的な被害は受けなくても、もしくは古いアカウント漏洩の情報であっても、実際に情報が漏洩していることが伝われば、これまでとは異なるアプローチで、情報の管理やリスクを認識してもらえるはずだと期待しています。

アカウント情報の漏洩が検知された場合、自動的に対象者へメールで通知

-SPC Leak Detectionの利用状況を教えてください。

ICUでは、全教職員と全在学生(合計約3,500名)が利用している、メールアドレスをキーとしたアカウントIDとパスワード情報の漏洩を検知するため、新年度を迎える2021年5月より、全学で利用を開始する予定です。

-アカウント情報の漏洩が検知された場合の運用について教えてください。

アカウント情報の漏洩が検知された場合、SPC Leak DetectionのLeak Check Center機能によって、対象者へ自動的に通知メールが送信される設定にしていますので、そのメールに従って対象者自身にアカウント漏洩情報を確認してもらい、必要に応じてパスワードの変更や使い回しを止めてもらうなどの対応をしてもらいます。
そのために、学内のポータルサイトに通知メールの内容説明や対応方法を記載したマニュアルを掲載します。マニュアルは、ソースポッドより提供してもらったひな形をベースに、当学用にアレンジしました。日本語版に加えて英語版も用意し、英訳は当学で行いました。
また、アカウント情報漏洩の通知に対する対応状況は、私たち管理者側でも確認できますので、通知があったのにもかかわらず対象者が何もしていない場合は、こちらから対応を促すことも想定はしています。

-SPC Leak Detectionの利用に際して、トレーニングなどを開催する予定はありますか。

教職員に対してはSPC Leak Detectionの導入に関する通達はしていますが、教職員に対しても、学生に対しても、講習会のようなトレーニングを実施する予定はありません。基本的には、マニュアルを見てもらえれば対応してもらえると考えています。もちろん、対象者から問い合わせなどがあった場合は、個別に対応する体制は準備しています。
また、SPC Leak Detectionのマニュアルは、管理者向け、利用者向けともにわかりやすく作られており、特に利用者向けの内容に関しては、単に操作手順が記されているだけではなく、情報セキュリティに詳しくない学生でも理解できるよう詳細な説明などが記載されているので、安心して運用できると確信しました。

標的型メール訓練サービスの導入も検討

-ソースポッドに対する要望や期待があれば教えてください。

コロナ禍で直接、対面での打ち合わせはほとんどできませんでしたが、そのような状況でも、丁寧かつ迅速な対応で導入検討や初期設定の支援をしてもらえたので、とても助かりました。
現在、標的型メール訓練サービス「SPC 標的型メール訓練」の導入も検討していますので、引き続き、これまでと同様のサポートをお願いできればと思います。

法人概要
法人名 学校法人国際基督教大学
所在地 東京都三鷹市大沢3-10-2
ご利用数 3,500アカウント

※取材:2021年3月
※記載の担当部署は、取材時の組織名です。

関連製品

SPC Leak Detection

SPC Leak DetectionOSINTによる漏洩情報検知サービス

詳細を見る