Cloudflareを選んだポイント
1.グローバルで展開している外国製品でブランド認知もあったこと
2.CloudflareがPVの料金テーブルによる固定料金制だったこと
3.ダッシュボードで、攻撃データやアクセス状況を可視化できること
2017年に日本初のデータサイエンス学部の設立など、新しい取り組みが注目されている国立大学法人の滋賀大学。コロナ禍により、オンライン授業が急速に拡大し、学内サーバー、外部とのネットワークの防御など、セキュリティ対策の高度化が必要になってきました。今回、学内9つのサーバーに対して、クラウド型WAFとして定評のあるCloudflareを同大学に導入いただきました。
滋賀大学で、サイバーセキュリティ対策を推進して来られたのが、図書情報課の村木氏とタッグを組んで対策をおこなっている情報基盤センターの竹内氏です。この2人に導入の経緯やその後の使い勝手についてお話いただきました。
同大学では、2022年12月に、学内利用の9つのサーバーに対して、WAF対策にCloudflareを選択いただきました。
「当校には、オンプレミスの9つのサーバーがあり、学生サービスや図書館利用、Eラーニングなど、多くがデータベースを持ち、ログインが要求されるサービスを行ってきました。しかし、以前は、WAFが入っていなかったのです。データベースを狙う、SQLインジェクション攻撃は、個人情報の漏洩につながり、これは怖いことでした」
※WAF Web application firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策のこと。
既にこうした危機意識は学内で共有されており、対策を行うための予算はすでに措置されたといいます。また同時に、2022年の夏には「WAF対策のための製品調査」がはじまっていたといいます。
「急いだのは、2022年11月に起こった他大学での、不正アクセスによる個人情報流出でした。大学を狙う攻撃が増えていたのです」
決め手は、料金変動のない定額制
既に、同大学では、国産のWAFも導入検討に入っていたといいます。Cloudflareは「グローバルで展開している外国製品でブランド認知もあったこと」「PVの料金テーブルによる固定料金制だったこと」の2つが決定要因になったといいます。
これはCloudflareの規模から考えた開発予算や世界中の攻撃データベース(シグニチャー)を保有している点、素速いアップデートなどに注目されたといいます。また、もう一つの決め手が、「固定の定額料金」だといいます。
「他社製品はサーバー台数や流量で課金されるのですが、Cloudflareはページビューのテーブルによる定額制でした。国立大学法人の予算というのは、毎月変動すると対応が難しいのです。また、料金が安かったこともポイントです。9つのサーバーで台数ごとに加算すれば、他社ですと、9台分のコストがかかっていました。Cloudflareは最初から予算内に収まり、すぐに導入を決めました」
攻撃を可視化できるダッシュボードで次の改善が見えてくる
村木氏は、導入してからまだ日が浅いため、多くは語れないという前提で、
「良かったのはダッシュボードで、攻撃データやアクセス状況を可視化できることです。いままではどんな攻撃があったのか、どのサーバーがどのように使われているか、その利用負荷さえ把握できませんでした。それがCloudflareのダッシュボードで、セキュリティ以外も可視化できることで、学内への認知や改善に利用できると考えています」
大学にはセキュリティの危険がいっぱい
「大学には、多くのいろんな学生が来ます。今は自分のノートPCが持ち込めるようになっていますが、本来、この持ち込みはウイルスなどの危険性を増すことになります。」
さらに制限をかけることもできるやり方もあるけれども、滋賀大学にとって、ネットワークを自由に使えることは、学びの場で必要なことだと教えていただきました。
最後にお二人が口を揃えて言います。
「自由で利便性が高く、セキュリティがいい環境を追求していくことが、我々のミッションだと考えています。」
Cloudflareが、同校のネットワークの安全運用に貢献し続ける使命を改めて感じました。