課題：クラウドサービスの利用実態を把握できていない

福岡大学では「セキュリティ区画」を定め、学生の個人情報など、漏えいしてはならない情報は大学の管理下にある「区画内」に保存するようにと運用指針を定めている。BoxやGmailのような区画内として大学が定めたクラウドサービスやGoogleDriveをはじめとする区画外だが利用を認知しているクラウドサービス以外に、はたしてどのようなクラウドサービスを誰がどれくらい利用しているのかー利用実態の把握ができていないことへの危機感を持っていた。

調査：情報漏えいリスクに備えるためのベストソリューションとは

クラウドサービスの利用実態把握を筆頭に、藤村氏らはクラウドサービス利用に関するセキュリティ対策強化に取り組むことにした。

「守るべき情報」は大学が所有する情報資産（学生の個人情報や研究データなど）、「誰がその情報を扱うか」は教職員、「想定される（防止すべき）セキュリティインシデント」はクラウドサービス利用時の情報漏えいと明確にしたのち、情報収集を行う中で注目したソリューションが『Cloud Access SecurityBroke（r 以下、CASB）』だ。

CASBに注目した藤村氏はまず、自学の課題解決に向けたCASBの必要機能を整理した。

クラウドサービス利用の可視化
誰が、いつ、どのクラウドサービスをどのくらい（アップロードとダウンロードのデータ量）使っているか。

クラウドサービス安全性の評価
利用されているクラウドサービスの情報漏えいのリスクはどの程度か。
例えば多要素認証を実施しているか、アップロードしたデータの所有権はどうなるか、過去にそのクラウドサービスでセキュリティインシデントが生じたことがあるか。

クラウドサービスを安全に利用できる環境整備
運用の安全性と容易性。リスクが高いクラウドサービスを容易に利用停止できるか。
運用作業が管理者の負担にならないか。

選定：自学の課題解決に最適なCASBは何なのか？

整理した必要機能を保有し、かつ最も優れているメーカーを選定すべく、複数メーカーの比較検討を開始。その結果選ばれたのがMcAfee 社が提供する『MVISION Cloud（以下、MVC）』だ。

クラウドサービス利用の可視化
MVCは利用するFirewallやProxy 経由でユーザのクラウドサービスへのアクセス状況可視化が可能。ログ転送サーバを経由してエージェントレスで利用状況の可視化ができること、また、McAfee 社のProxy 製品はもちろん、他社製品であっても容易に連携できるところがポイント。
MVCはクラウドサービスをCSA（Cloud SecurityAlliance）のガイドラインに基づき50 個のリスク項目を6つのリスク種別に分類し、9段階のリスクレベルで判定。他社のCASBに比べ、クラウドサービスのリスク判定根拠が細かく、わかりやすく判定されるところがポイント。

クラウドサービスを安全に利用できる環境整備
MVCでは、利用状況からハイリスクのクラウドサービスに対するアクセスを制限したい場合、特定のFirewallやProxyであれば、制御を行うためのURLリストをFirewallやProxyに自動で連携。また、McAfee 社のProxyと組み合わせればクラウドサービスの利用状況とリスクの可視化から制御までがワンストップで行えることも運用効率化につながるポイント。
また、必須機能以外にも、

• クライアントへのエージェント導入不要
• ネットワークの構成変更不要
• 利用中のProxy製品『McAfee Web Gateway』

と組み合わせて運用可能
といった他メーカにはない特徴も選定に至った理由であった。

導入：運用を見据えたCASB導入で情報漏えいリスクを低減

MVCの導入を決めた福岡大学。

しかし、ソリューションの導入はゴールではない。導入後に効率的かつ最適な運用を行うことで期待していた効果が発揮される。MVCを導入し、クラウドサービスの運用体制は次のようになった。

日々のクラウド利用状況はMVCにより自動で可視化し、定期的なレポート出力も自動化している。このレポートをもとに福岡大学とSIerが月例定例会でレビューし、危険なクラウドサービスや不審な利用状況がないか判断する。

危険なクラウドサービスがあれば、利用を制限するようにProxyで設定する。

User Profile