Cases 導入事例

－ICUにおけるクラウドサービスの利用状況を教えてください。

当学では、Google WorkspaceやMicrosoft 365、Zoomなどのクラウドサービスを、大学のオフィシャルなサービスとして導入しています。さらに、クラウドシステムが普及するにつれて、業務利用や個人利用を問わず、在学生や教職員がさまざまなクラウドサービスなどを利用するようになりました。

－今回、アカウント情報の漏洩対策に取り組んだきっかけなどはあったのでしょうか。

クラウドサービスから情報漏洩が発生したというニュースは、サービス事業者の規模や有名・無名を問わず後を絶ちません。大学内で管理しているシステムであれば、不正アクセスや情報漏洩などに対して適切なセキュリティ対策を施すことができるのですが、クラウドサービスの事業者が管理しているアカウント情報に関しては、当学で直接管理できず、情報漏洩が発生したかどうかリアルタイムで把握するのも難しいのが現状です。

一度、インターネット上に漏洩してしまった情報は消すことができず、すぐに直接的な被害を受けなくても、潜在的なリスクを抱えていることになってしまいます。

加えて、今回、新型コロナウイルス感染拡大の影響により、これまでのように学内で学生が活動することができなくなりました。システムやセキュリティも、学外からの利用を前提とした仕組みに作り替えていかなければならず、その最重要ポイントであるアカウントの認証に関して、より厳格に管理する必要があると考えるようになりました。

－具体的にどのようなところに興味を持ったのでしょうか。

個別のサービスや個別のアカウントに対して、漏洩しているかどうかをある程度調べるツールのようなものはありますが、SPC Leak Detectionのようにアカウント漏洩情報の検知から通知までを自動で恒常的に行い、利用者へ変更を促すまでの流れを包括的に提供するサービスは見たことがありませんでした。

また、
●アカウント情報漏洩が検知された対象者へダイレクトに通知を送ることができるので、リアルタイムで対象者に対応を促せること。
●管理者側で検知情報だけでなく、対象者の対応状況を管理できること。
●クラウドサービスなので、学内の認証システムに改変などは不要で、導入や運用にかかる手間や負担を最小限に抑えることができること。
にも興味を持ちました。

最終的に、SPC Leak Detectionを用いてトライアルを実施した結果、検知精度やスピードも高いことが確認でき、利用コストも適正であると考えられました。

そして、長年にわたり当大学のシステムのサポートをしてもらっている富士フイルムビジネスイノベーション様から紹介を受けたサービスなので、安心して利用できると判断して、導入を決めました。

－SPC Leak Detectionを導入したねらいについて教えてください。

当学が利用している一部のクラウドサービスにおいて、アカウント情報が漏洩していないかどうかを調べる手段はありましたが、作業に手間と時間がかかり、限られたITセンターの人員で対応するのは難しい状況でした。

また、大学から提供しているシステムサービス以外に利用者が登録した各種サブスクリプションサービスなどに関して、当学のメールアドレスが用いられているすべてのサービスを包括的に把握することも難しく、さらにはアカウント情報漏洩が発生しているのか、漏洩したアカウント情報の中に当学のメールアドレスが含まれているかどうかを把握することもできていませんでした。

そのため、アカウント情報の漏洩を検知する運用の手間や負荷をかけず、自動で検知し、対象者への通知ができるという点を重要視して、SPC Leak Detectionを導入しました。

アカウント情報が漏洩していることが検知できれば、アカウントのなりすましなどの不正利用や、不正利用による被害を未然に防いだり、最小限に食い止めたりすることにつながります。SPC Leak Detection導入の最終的なねらいはここにあります。

また、これまでも学生・職員に対し、アカウント情報を厳格に管理する必要性や、パスワードを使い回す危険性に関する啓蒙をしてきましたが、自分自身や自身の周りに被害を受けたという例があまり見られないため、意識付けがなされず、対応が軽視されてしまう場面も見られました。

－SPC Leak Detectionの利用状況を教えてください。

ICUでは、全教職員と全在学生（合計約3,500名）が利用している、メールアドレスをキーとしたアカウントIDとパスワード情報の漏洩を検知するため、新年度を迎える2021年5月より、全学で利用を開始する予定です。

－アカウント情報の漏洩が検知された場合の運用について教えてください。

アカウント情報の漏洩が検知された場合、SPC Leak DetectionのLeak Check Center機能によって、対象者へ自動的に通知メールが送信される設定にしていますので、そのメールに従って対象者自身にアカウント漏洩情報を確認してもらい、必要に応じてパスワードの変更や使い回しを止めてもらうなどの対応をしてもらいます。

そのために、学内のポータルサイトに通知メールの内容説明や対応方法を記載したマニュアルを掲載します。マニュアルは、ソースポッドより提供してもらったひな形をベースに、当学用にアレンジしました。日本語版に加えて英語版も用意し、英訳は当学で行いました。

また、アカウント情報漏洩の通知に対する対応状況は、私たち管理者側でも確認できますので、通知があったのにもかかわらず対象者が何もしていない場合は、こちらから対応を促すことも想定はしています。

－SPC Leak Detectionの利用に際して、トレーニングなどを開催する予定はありますか。