東北大学に聞く、アタックサーフェス管理の導入と活用
東北大学は、クラウドなど学外へのIT資産や情報資産の拡大に伴うサイバー攻撃リスクに対応するため、アタックサーフェス(攻撃対象領域)管理(ASM)の体制を整備した。情報部デジタル基盤整備課に、ASM整備の背景や導入および活用などの取り組みを聞いた。 アタックサーフェスは、サイバー攻撃の脅威にさらされる可能性のあるIT資産や情報資産を指す。ASMは、これら資産の管理と保護を実施するセキュリティ対策となる。東北大学では、ASMツールとして米Tenableの「Tenable Attack Surface Management」を採用した。 情報セキュリティ係 主任の大野勝也氏によると、東北大学では、2011年に発生した東日本大震災の教訓から事業継続計画(BCP)の一環として、古くからクラウドを積極的に活用してきた。また、研究室などでもクラウドの活用が進んでおり、大学の経営計画でも「クラウドバイデフォルト」の方針を掲げる。特にコロナ禍からは、リモートでの業務や研究、教育の機会も増え、クラウドの活用が加速しているという。 「震災以降、大学ではアセットライト(保有資産の適正化)に取り組み、管理工数やコストなども最適化も含めて、学内の各部門や研究室が利用しているシステムもなるべく集約してきましたが、学外環境へのアクセスや利用が増えていきました」(大野氏) IT資産の管理は、学内に存在する管理対象については適切に把握できていたものの、学外に存在する管理対象が拡大するにつれて、把握が難しくなっていったという。IT資産管理は、各部門の管理者からの申告を踏まえて、手作業でスプレッドシートを使った台帳管理を実施していたが、自己申告を前提とする管理の正確性にも課題を抱えていたという。 また、IT資産の脆弱(ぜいじゃく)性管理でも課題があった。ここではTenableの脆弱性評価ツール「Tenable Nessus Professional」を利用して、年間数度の脆弱性診断を実施していたが、大野氏は、「脆弱性の状況は診断時にしか把握することが難しく、学外にある資産の診断も困難でした」と話す。 特に、新たな脆弱性情報が公開された際には、台帳の情報をもとに脆弱性の影響を受ける可能性のある資産を手作業で探して特定し、そこから各部門の管理者に連絡して対応を要請しなければならなかったといい、最新の脆弱性問題への対応にも不安を感じていたそうだ。 学外への管理対象資産の拡大や脆弱性対策が課題となる中で大野氏は、経済産業省が2023年5月に「ASM導入ガイダンス」を発行したことから、ASMの必要性を強く認識し、ASMツールの導入を検討に着手した。
