他大学での標的型攻撃による被害を受けてセキュリティ対策の強化を検討

「実践性」「先進性」「開放性」「国際性」、以上4つの理念を掲げる横浜国立大学は現在、21世紀のグローバル新時代に求められる人材を育成する取り組み「新・YNUプロジェクト」を推進している。同大学は世界60カ国以上と活発な学生交流を行っており、いくつかの国には国際ブランチ（海外協働教育研究拠点）を設置。最近では、2015年11月にオウル大学ブランチ（フィンランド）を開設した。また、50年ぶりに新設学部「都市科学部」の設置が認可されたことで、2017年より5学部体制がスタートする予定だ。

同大学の図書館・情報部 情報企画課では、職員が使う情報システムを対象に、事務業務のIT化の推進、端末やサーバ、ネットワーク等の運用・管理などを担当しているが、セキュリティ対策もその一環だ。以前のセキュリティ事情について情報企画課長の仁村俊明氏は「最低限のセキュリティ対策、具体的にはアンチウイルスソフトやフィルタリング製品のみを導入していましたが、特に大きな被害を受けたことはなく、追加のコストをかけてまでこれ以上の対策をとる必要性は感じていませんでした」と振り返る。

しかし近年になって、他大学で標的型攻撃による大規模な情報漏えい事件が発生。国立大学の情報システム担当者が集まる会議の場でも、標的型攻撃の危険性が話題となることが増えてきたため、同大学でもセキュリティ対策の強化についての情報収集を進めることにした。

このような状況の中、2015年10月にマクニカよりエンドポイント型の標的型攻撃対策製品「CrowdStrike Falcon（クラウドストライク ファルコン）」の紹介を受けたのである。

既存のセキュリティ対策をすり抜けたランサムウェアを検出　その性能を高く評価し、導入を決定

この紹介を受けて横浜国立大学では、2016年3月より職員が利用するVDI環境を対象にCrowdStrike FalconのPoC（Proof Of Concept/トライアル）を実施することにした。
「正直に言えば、無償トライアルということもあって試したまでで、当初は導入まで考えていませんでした。これは予算の権限を持つ役員たちも同様で、これまで問題が起きていないのに、新たなセキュリティ対策を導入する必要はないだろうという認識でした」（仁村氏）

なお、同大学は他のベンダーからもセキュリティ対策の提案を受けていたという。情報企画課 副課長の大槻郷子氏は「CrowdStrike Falconと他社のセキュリティ対策では、導入時の手間に大きく違いがありました。他社の製品は、トライアルを行うだけでも既存環境の設定を変更する必要があり、トライアルすら容易にできなかったのです。それゆえ具体的な導入の検討を行う前の段階で候補から外れました」と当時を振り返る。

一方、CrowdStrike Falconは既存環境を一切変更することなく導入が可能だ。クラウド型の製品のためサーバレスで、クライアントにセンサー（ソフトウェア）を展開するだけで済む。この点について情報企画課 情報システム係の根岸朋子氏は「システムリソースに負荷がかからないので、動作が重くなるようなこともありません。VDI環境にとってこれは大きなメリットです」と評価する。

同大学がCrowdStrike FalconのPoCを開始して１ヶ月後、ひとつの事件が起こった。CrowdStrike Falconがランサムウェア「Locky」を検知したのである。その時点でユーザのひとりがメールの添付ファイルをクリックしてしまっており、クライアントとファイルサーバにあったファイルのうち、2万7000ファイルが暗号化されていることが判明した。当時の状況について情報企画課 情報システム係の石黒靖博氏は「暗号化されたファイルはバックアップから復旧したのですが、2～3日間はこの作業に追われることになりました。とはいえ、早い段階でCrowdStrike Falconが検知してくれたおかげで、被害の拡大を防止することができました」と語る。

そこで同大学は、CrowdStrike Falconの検知機能に加えてブロック機能も有効にしてPoCを継続したところ、1週間後に2回目の攻撃が発生。このときは侵入を許さず防御に成功した。
「CrowdStrike Falconは『Locky』に対応済みでしたが、既存のアンチウイルスソフトが検出できるようになったのは2回目の攻撃の2週間後に起きた3回目の攻撃のときでした。もしCrowdStrike Falconがなかったら、どれほどの被害を受けていたかと思うとゾッとします」と仁村氏。

CrowdStrike Falconの効果を目の当たりにした同大学は、その能力を高く評価し、7月に正式採用を決定した。

フォレンジック機能で被害の状況を正確に把握　運用支援サービスで担当者の負荷も最小限に

現在、横浜国立大学では職員が利用するVDI環境の450クライアントを対象にCrowdStrike Falconを導入している。大槻氏はその効果について、「既存の対策ではすり抜けていたかも知れない未知の脅威もCrowdStrike Falconならブロックしてくれるという安心感はとても大きいですね」という。

一般的に、システム管理者はさまざまな仕事を兼務しているため、セキュリティ対策に手間を取られたくないというのが本音だ。その点、CrowdStrike Falconは運用管理に余計な手間がかからない。さらにフォレンジック機能によって、攻撃者がアクセスしたドキュメントや実行したコマンドをリアルタイムに可視化できる。加えて、CrowdStrike社のエンジニアがイベントを24時間365日モニタリングしている。
「万が一、ネットワーク内部へ侵入されたとしても、被害の状況を正確に把握できます。これは運用を担当する者にとって、その後の対応に活かすだけでなく、説明責任を果たすという意味からも大きなメリットです」（石黒氏）

攻撃を受けた際には文部科学省への報告を行うが、CrowdStrike Falconのフォレンジック機能により被害状況が把握できていたため簡潔に報告を行うことができたのだ。

さらに同大学では、マクニカとの間で運用支援サービスも契約している。
「CrowdStrike FalconはInformational/Low／Medium／High/Criticalの5段階のアラートを出しますが、表示が英語ということもあり、内容がよくわからないときもあります。この運用支援サービスでは、アラートのレベルに応じ、その内容とどのような対応をすればよいかを具体的に指示してくれるのでとても助かっています」と根岸氏。

利用範囲を他の端末にも拡大　全学への展開も検討

横浜国立大学では現在、CrowdStrike Falconを550ライセンス契約している。今後は、VDI環境以外のファットクライアント40～50台へと利用範囲の拡大を予定しており、全学に展開することも検討しているという。

また、仁村氏は今回の導入の成果について、全国の国立大学の情報システム担当者が参加する発表会の場で紹介している。
「効果的なセキュリティ対策をご紹介いただき感謝しています。また、マクニカのサポートもしっかりしており、高く評価しています。まだ本格的な運用を開始して約4ケ月ですが、今後は自分たちのノウハウを積み上げるとともに、これを現場に向けた啓発活動に役立てたいと考えています」（仁村氏）

User Profile