サイバー攻撃の手法が巧妙化するなか、すべての利用者やデバイスなどを信用せず、検証と対策を続ける“ゼロトラスト”の考え方にもとづくセキュリティ対策が、企業や教育機関などで注目を集めています。
今回の事例インタビューでは、「クラウドフレア」のゼロトラスト・セキュリティサービスを2023年に導入し、シャドーITの把握や攻撃リスクの可視化、VPNを使わずにリモートワーク環境の安全性を確保するなど、さまざまな成果を上げた日本女子体育大学の取り組みを紹介します。
同大学は「クラウドフレア」が提供しているゼロトラスト・セキュリティサービスの機能であるWAFやログイン管理、ネットワーク監視、トラフィックの可視化、コンテンツフィルタリングなど、複数のセキュリティ対策を組み合わせて個人情報や研究データを守る強固な体制を構築しました。
「セキュリティを強化したい」「VPNをなくしたい」「シャドーITを管理したい」といった課題をお持ちの方は、本稿をぜひご一読ください。
この記事は、次のような方にオススメです
・ゼロトラスト・セキュリティの仕組みや効果を知りたい方
・組織に求められるセキュリティ対策について理解を深めたい方
・既存のセキュリティ対策に限界を感じており、ツールの見直しを検討している方※本稿では「クラウドフレア」のゼロトラスト・セキュリティサービについて、イラスト付きでわかりやすく解説しています。
日本女子体育大学が“ゼロトラスト”でセキュリティ強化
株式会社ドーモ 取締役 康(以下、康):日本女子体育大学様は、どのようにセキュリティ対策を強化しているのでしょうか。
日本女子体育大学 山口様(以下、山口様):「クラウドフレア」を2023年に導入し、ゼロトラスト・セキュリティサービスの機能であるWAF(Web Application Firewall)やアクセス制限、ネットワーク監視、トラフィックの可視化、コンテンツフィルタリングなどを組み合わせてセキュリティ対策に取り組んでいます。
現在導入しているゼロトラスト・セキュリティサービスの機能名を具体的に挙げると、学内ネットワークに対するサイバー攻撃などの脅威を検出・ブロックする「ゲートウェイ(Gateway)」、VPNを使わずに安全なリモートワーク環境を実現する「アクセス(Access)」、学内からの情報漏えいを防ぐ「DLP(Data Loss Prevention)」、公式ホームページに対するサイバー攻撃をブロックする「WAF」などがあります。なお、公式ホームページには表示スピード高速化の対策としてCDNも導入しています。
“ゼロトラスト”を重視する理由とは?
康:セキュリティ対策において“ゼロトラスト”を重視している理由を、お聞かせいただけますか?
山口様:サイバー攻撃が巧妙化していることや、働き方の多様化によってリモートワークが広がっていること、さらにはクラウドサービスの浸透によってシャドーIT(組織側が把握していないITツール)が増えていることなど、昨今問題になっているセキュリティ課題に対応するには、ファイアウォールのような従来型の境界防御だけでは不十分であり、“ゼロトラスト”にもとづくセキュリティ対策が必須だと考えています。
例えば大学の教員は、自宅や出張先などから学内の業務システムにアクセスすることがあります。ですから、ユーザーの本人認証や、リモートワーク環境における通信の保護などが欠かせません。
また、Google WorkspaceやMicrosoft365といったクラウドサービスも日常的に使われているため、リスク管理の観点からシャドーITの把握も不可欠です。
そして、学生や教職員が学内のパソコンでインターネットを使う際にも、危険なWebサイトに意図せずアクセスしてしまうことを防ぐ必要があります。
これは日本女子体育大学に限ったことではなく、リモートワークを伴う組織や、オンプレミスの業務システムとクラウドサービスを併用している組織では、外部からのサイバー攻撃に備えるのはもちろんのこと、組織内におけるセキュリティリスクにも目を光らせ、さまざまな対策を複合的に実施する“ゼロトラスト”の考え方が必要だと思います。
採用の決め手は「クラウドフレアに惚れ込んだ」
康:セキュリティ対策を強化するために「クラウドフレア」を選んだ理由をお聞かせください。
山口様:一言で表現するならば「クラウドフレアの機能に惚れ込んだ」ということかもしれません。
私は情報システム担当者として20年以上、大学のセキュリティ対策に取り組んできました。ギーク気質ということもあり、セキュリティツールを導入する際は機能や操作性などを細かく検証しています。
今回、セキュリティツールを見直す際にも「クラウドフレア」を含めて複数のプロダクトを吟味しました。その結果、「クラウドフレア」は設計思想や機能、会社の実績と言った総合力で頭ひとつ抜けている印象を受けました。
康:「クラウドフレア」がクラウドサービスであることも、評価のポイントだったと伺いました。
山口様:あらゆる分野でITツールのクラウド化が進むなか、セキュリティ分野においてもクラウドツールの優位性が評価される時代になったと考えています。
新手のサイバー攻撃が次々と出てくる現代において、オンプレミス型では機能が陳腐化してしまうリスクがあります。システムの保守や改修を続けるコストも重く、サーバのスケーラビリティにも課題があります。
特に、限られた人員でセキュリティ対策を強化したい組織では、手離れの良いクラウド型が向いているのではないでしょうか。
ゼロトラスト導入で「データの流れ」や「シャドーIT」を可視化
康:「クラウドフレア」のゼロトラスト・セキュリティサービスを導入したことで、どのような効果がありましたか?
山口様:まず、学内ネットワークにおけるデータの流れやシャドーITを可視化することができました。組織内のどこに、どのようなリスクが潜んでいるのかを把握できるようになったことは、サイバー攻撃や情報漏えいを防ぐ上で、非常に大きな成果だと考えています。
また、コンテンツフィルタリングによって、学生や教職員が危険なWebサイトやアプリケーションにアクセスしてしまうリスクを下げることもできました。サイバー攻撃の脅威も早期に検知し、対策を打つことができています。
康:「クラウドフレア アクセス」を導入したことでVPNを廃止したそうですね。
山口様:はい。VPNを使わなくても安全性なリモートワーク環境を整備することができました。以前はVPNを使っていましたが、専用機器の設置が必要になるほか、各種設定や運用の負荷が重いことが課題でした。
康:公式ホームページにCDNを導入したことで、表示スピードにも変化はありましたか?
山口様:公式ホームページの表示スピードも顕著に上がり、ユーザビリティの向上につながっています。
「ドーモさんのおかげでプロジェクトがスムーズに進みました」
康:「クラウドフレア」を導入する際や、導入後のサポートにおける、株式会社ドーモの対応について率直な感想をぜひお聞かせください。
山口様:「クラウドフレア」の代理店にドーモさんを選んで本当に良かったです。お世辞ではなく、ドーモさんがいてくださったおかげでプロジェクトがスムーズに進みました。
契約前の商談では、康さんやエンジニアの方などが丁寧かつ真摯に対応してくださいましたし、ドーモさんとクラウドフレア社のコミュニケーションも取れているので、こちらの要望や疑問などがクラウドフレア社にしっかり伝わって助かりました。
「クラウドフレア」に限らず、海外資本の大手ベンダーと契約する場合、代理店の選択がプロジェクトの成否を分けると思っています。ドーモさんは導入後もオンラインミーティングやレポートなどを通じて、私たちに伴走してくださるので心強いです。
康:「クラウドフレア」を導入する際、苦労したことや、意識的に取り組んだことはありましたか?
山口様:システムの導入そのものは、ドーモさんにサポートしていただいたこともあり、スムーズに進んだと思っています。プロジェクトを進める上では、ステークホルダー全員が同じ方向を向けるように、学内の業務システムを管理しているSIerを含めてプロジェクトに関わる皆さんが交流する場を設けるなど、コミュニケーションを大切にしました。
セキュリティ担当者の使命を果たしたい
康:セキュリティ対策が強化されたことで、教職員の方々や学生さんからの評判はいかがですか?
山口様:サイバー攻撃や情報漏えいを未然に防いだからといって、褒め称えられるようなことはありません。教職員や学生のほとんどは、クラウドフレアが稼働していることすら知らないわけですから。むしろ、教職員や学生がセキュリティのことを意識せずに利用出来ているのは良いことと考えます。
評価されようと、されなかろうと、学内のITツールやネットワークを、いつも通り安心して使えるようにセキュリティを維持し続ける。それが私たち情報システム部門の使命だと思っています。
康:山口さんは、セキュリティ対策の重要性について学外でも啓発活動を行っていらっしゃるそうですね。
山口様:セキュリティ対策が脆弱な大学は少なくありません。日本女子体育大学で培った“ゼロトラスト”の知見を他の大学にも共有するなど、日本全体でセキュリティ水準を高めていきたいと考えています。
康:最後にセキュリティ対策の抱負をお聞かせください。
山口様:セキュリティ対策に終わりはありません。AI時代の到来で新たな脅威も加わりサイバー攻撃への対応は“イタチごっこ”、その時々で時代を見据えた最適解を見つけていく必要があります。セキュリティ担当者は、新手のサイバー攻撃や最新のセキュリティ技術にアンテナを高く張って、勉強し続けることが重要だと思っています。「クラウドフレア」は新しい機能が随時追加されていきますので、私自身も日々学びながら、「クラウドフレア」を使いこなしてセキュリティを強化していきたいです。
