CrowdStrike

クラウドストライク

国立大学法人 香川大学様

脅威ハンティングチーム(Falcon OverWatch)による 高度な攻撃の検知とEDR(Falcon Insight)による 高性能な調査機能がキャンパスのセキュリティ環境を確立

ダウンロードはこちら

POINT
  • 脅威ハンティングサービス(Falcon OverWacth)が巧妙かつ高度な攻撃手法も確実に検出
  • 高性能な調査機能により、詳細な状況を時系列で把握
  • サイバー攻撃の具体的な手法や傾向が分かるため、本当に必要な対策の判断が可能
後藤田 中氏

創造工学部 創造工学科
造形・メディアデザインコース
准教授 博士(工学)(兼)総合情報センター
情報セキュリティ部門長 後藤田 中氏

末廣 紀史氏

学術・地域連携推進室
情報グループ
チーフ 末廣 紀史氏

“四国のハブ”的な存在としてさまざまな施策を実施 情報セキュリティや防災の人材育成にも注力

学術の中心として真理を探究し、その成果を社会に還元するとともに、環瀬戸内圏の中枢都市・高松に位置する大学であることを踏まえ、学術文化の発展に寄与することをミッションとする香川大学。2018年4月にスタートした「香川大学改革」では、「地域活性化の中核的拠点としての機能強化を目指し、特定の分野においては、世界ないし全国的な教育研究を目指す」ことを基本的な目標に掲げている。同大学の特徴について学術・地域連携推進室 情報グループ チーフの末廣 紀史氏は「香川はもともと地震などの災害が少ない地域です。そして高松には、四国における国の出先機関が集中。民間企業の四国支社も数多く存在しています。こうした背景もあって、香川大学では国や県、各自治体と連携。“四国のハブ”的な存在として、さまざまな施策を行っています」と説明する。

同大学で最も新しい学部が、2018年4月に工学部を発展的に解消し、新設された創造工学部だ。ここでは、価値創造に繋がる「デザイン思考能力」や、それに伴うリスクを管理する「リスクマネジメント能力」を兼ね備えた「次世代型工学系人材」の育成を推進している。同学部について創造工学部 創造工学科の後藤田 中准教授は「創造工学部では、情報システム・セキュリティコースや防災・危機管理コースなどを設置し、情報セキュリティや防災の人材育成に力を入れています」と語る。

このように、情報セキュリティについても積極的に取り組む同大学だが、過去には苦い経験もあった。2015年に発生し、社会的にも大きなニュースとなった一連の標的型攻撃の被害を受けてしまったのである。

標的型攻撃により学内の端末がウイルス感染 抜本的なセキュリティ対策が急務に

この標的型攻撃(「Emdivi」と呼ばれるマルウェア)では、国の組織他から大量の個人情報が流出したが、香川大学でも2015年6月、医学部附属病院の端末1台がマルウェアに感染するインシデントが発生した。実在する団体になりすまして送られてきたメールの添付ファイルにマルウェアが混入されており、これを開いた職員のPCに感染したのである。
「警察からの連絡を受けて感染が判明したのですが、幸いデータの流出は確認されませんでした。しかし、一度こうしたインシデントが起こると、被害状況を調査するだけでなく、学内及び文科省等へ詳細なレポートを提出しなければなりません。その作成にはかなり苦労しました」(末廣氏)

この事件の後、文科省は全国の大学に情報セキュリティの強化を要請し、情報セキュリティ対策基本計画の策定やインシデント対応体制および手順書の整備などを求めた。
「当大学はアンチウイルスソフト包括契約に加え、ファイアウォールやアンチスパム、そして事件後にサンドボックス等を既に導入していましたが、それでも十分なセキュリティ対応ができるのか危機感がありました。そこで環境を見直した上で、どんな手法を導入し、どこまでを対象範囲にすべきかを整理することにしました」(末廣氏)

同大学では、2017年に学内のネットワークをリプレースする計画があり、そのタイミングで新たなセキュリティ対策を導入することにした。数多くある最新のセキュリティ製品について、見通しもなく検討することとならないよう、同大学は以下の3つの具体的なパターンを想定して比較をおこなった。

  1. ネットワーク型装置の導入により、事務局と医学部のネットワークを監視する方法
  2. 数千台の業務PCを対象に、標的型攻撃対応のエンドポイント製品を展開する方法
  3. 重要端末を抽出し、標的型攻撃に対応かつインシデント分析運用に適したエンドポイント製品を導入する

同大学では約30の製品をリストアップ。2016年秋から医学部が先行するかたちでいくつかの製品のPOCを行った後、情報グループがさらに選定を行い半年間かけて検証を実施した。その結果、遡り調査の重要性が認識され、パターン③のセキュリティ製品導入を決定。2017年3月、最終的にCrowdStrike(クラウドストライク)社製の次世代エンドポイントセキュリティ「CrowdStrike Falcon」の採用を決めたのである。

脅威ハンティングサービス(OverWacth)が運用負荷を軽減 判断の難しいアラートも適切に診断

香川大学がCrowdStrike Falconを選んだ理由だが、第一に脅威ハンティングサービス(OverWacth)を備えていたことにあったという。Falcon OverWatchでは機能的な検知をすり抜ける高度な脅威であっても、脅威ハンティングチーム(OverWacth)で検知が可能であり、特に危険なイベントに関しては詳細な情報を添えてユーザーへ通知してくれるため、素早く対処にあたる事が可能である。
「加えて当大学では研究者の端末に占めるmacOSの割合も高いのですが、問題なく対応できるのは大きなポイントでした」(末廣氏)。

また、高性能な調査機能も評価された。「インシデントが発生した際、何が起こったのか内外へしっかり説明できることも大事ですから、選定に際しては調査機能もかなり重視しました。CrowdStrike Falconの導入端末なら、自身あるいは他のセキュリティ製品が検知したアラートについて、擬陽性など判断の難しいものまで含め、適切な診断を下すことが可能です。さらに、時系列でイベントを追うことができますし、詳細なレポートも出してくれます。これにより、状況が可視化されるため、関係部署や外部機関へ詳細な説明をすることができるようになりました」(後藤田氏)

今後の対策の優先順位や投資の判断に役立てる

今回の導入において、サイバー攻撃の具体的な手法や傾向が見えてくるようになったことも大きなメリットだという。
「CrowdStrike Falconを導入したことで現在のセキュリティ対策の妥当性や、今後の対策の優先順位・投資の判断に役立てることができると考えています」(末廣氏)

大学の中には、要員の不足などを理由にセキュリティ対策を含めてシステム運用すべてを外部へ委託しているところも多い。しかしそれでは学内のノウハウが無くなり、万が一の際に自分たちではまったく対応ができなくなってしまうという。「現在、当大学ではCSIRT(インシデント対応チーム)の人材育成を進めていますが、中には非常勤のメンバーもいます。こうした状況のもとでレベルを向上させていくためには、セキュリティ製品も誰もが簡単に使えるものでなくてはなりません。そうした意味では、CrowdStrike Falconは非常に優れたツールだと思います。マクニカには今後とも最新の情報提供などのサポートを期待しています」(後藤田氏)

User Profile

国立大学法人 香川大学
所在地 香川県高松市幸町1-1
導入時期 2017年 3月
URL https://www.kagawa-u.ac.jp/
1949年に設置された国立大学。「世界水準の教育研究活動により、創造的で人間性豊かな専門職業人・研究者を養成し、地域社会をリードするとともに、共生社会の実現に貢献する」という理念のもと、「地域に根ざした学生中心の大学」として、地域の防災・危機管理、地域をフィールドにした地域活性化教育などを推進している。

お問い合わせ・資料請求

株式会社マクニカ CrowdStrike 担当

月~金 8:45~17:30