Cybereason

Cybereason

導入事例:国立大学法人宮崎大学

学内のみならず民間企業との連携も増える昨今、
あらゆる環境もカバーするセキュリティ

宮崎県宮崎市にキャンパスを構える宮崎大学は、2003年10月に旧宮崎大学と宮崎医科大学が統合し、新生宮崎大学として「世界を視野に、地域から始めよう」のスローガンを掲げ、生命科学、環境科学、エネルギー科学、食の科学の分野を筆頭に、国際的に通用する特色ある高度な学術研究結果を世界に発信しています。

また、2016年4月に新設した「地域資源創成学部」をはじめ、教育学部、医学部、工学部、農学部の5学部、大学院6研究科からなる総合大学として、地域活性化を推し進めています。

学内のみならず民間企業との連携も増える昨今、あらゆる環境もカバーするセキュリティとして、同校がに選んだのが「Cybereason EDR」でした。

国立大学法人宮崎大学

国立大学法人宮崎大学

概要
1949年設立。
教職員数 2,298名、在籍学生数 5,456名 ※2019年5月1日現在国際的に通用する高度な学術研究結果を宮崎から世界へ発信。新たな総合大学として、地域活性化を推し進めている。
導入製品・サービス
Cybereason EDR/マネージド・セキュリティ・サービス(MSS)

さまざまなセキュリティ対策を施すも、侵入を防ぐことは100%不可能

情報教育に力を入れている同校では、すべての学生がPCを保有し、教職員と合わせて約7,000人が日々の学習や業務のためにPCを使って学内ネットワークにアクセスしています。同校の情報システムには、学生・教職員の個人情報や成績情報、他校や民間企業との共同研究情報など、貴重な情報が数多く管理されているため、情報セキュリティ対策には早くから取り組んできました。

「ファイアウォールやIPS、メールセキュリティ製品など、適材適所でネットワークセキュリティ製品を導入し、さらにサーバやPCにはアンチウイルス製品を導入していました。ただしごく稀に、こうした多層防御をすり抜けて端末がマルウェアに感染したり、外部との不審な通信が検出されることがありました。昨今のサイバーセキュリティ事情と照らし合わせると、こうした侵入を100%防ぐのはもはや不可能で、侵入された後の対応に力を入れる必要があると常々考えていました」(青木氏)

情報基盤センター 副センター長 准教授 青木 謙二 氏

情報基盤センター 副センター長 准教授

青木 謙二 氏

学内外で使用される端末はEDRがなければ侵入後のセキュリティを担保できない

情報基盤センター 技術専門職員 園田 誠 氏

情報基盤センター 技術専門職員

園田 誠 氏

そこで同校は、サイバー攻撃による侵入を許してしまった後の検知・除去や、インシデント発生後の事後対応(インシデントレスポンス)に役立つツールの導入検討を始めました。

「情報収集の結果、私たちの要件に適うのはEDR(Endpoint Detectionand Response)製品であるとの結論に至りました。そこで主要なEDR製品ベンダー数社にお声掛けして、それぞれの製品についての説明を直接受けるとともに、そのうち2社の製品に関しては、実際に製品を手元で動かしてみて機能や使い勝手を評価することにしました」(園田氏)

インシデント発生時、即座に専門スタッフからのコメントがあるからとても安心できる

こうして複数のEDR製品を慎重に比較検討した結果、同校が最終的に選んだのが「Cybereason EDR」でした。

「Cybereason EDRは他の製品と比べ、管理ツールの画面が非常に使いやすかったのが印象的でした。また教員は、自身の研究予算で好きなPCを買って好きなアプリケーションを導入できるため、学内には機種やOS、環境が異なる多種多様なPCが存在しています。その点Cybereason EDRは多様なOSに対応しており、PCのリソース消費量も最小限で済むため、さまざまなPC環境が混在する本校に適していると判断しました」(黒木氏)

またCybereason EDRのクライアントソフトウェアが、カーネルモードではなくユーザーモードで動作する点も「多様なPC環境との親和性」という面では安心感が高かったといいます。さらには、サイバーリーズン社が提供するMSS(Managed Security Service)を利用できる点も、同製品を選んだ最大の理由の1つでした。

情報基盤センター 技術専門職員 黒木 亘 氏

情報基盤センター 技術専門職員

黒木 亘 氏

本校のセキュリティチームへのアシストに大きな期待

「MSSでは定期的なレポートだけでなく、緊急時には即座にアナリストの方から連絡いただける体制であることから、とても安心感が高いと感じました。実際にCybereasonEDRの本格運用を開始した後も、何らかのアラートを検知した際、管理コンソール上からその詳細情報を辿ると、MSSのアナリストの方が記入したコメントを参照することができ、自分たちで詳細を調査・切り分けする必要がないためとても助かっています」(川畑氏)

また何らかの問題を検出した際、Cybereason EDRの管理コンソール上から侵入経路や影響範囲などを一目で把握できるため、インシデントレスポンスの効率化や迅速化に役立てられるといいます。

情報基盤センター 技術職員 川畑 圭一郎 氏

情報基盤センター 技術職員

川畑 圭一郎 氏

幸いにも、Cybereason EDRの運用を開始した後に大きなインシデントは発生していませんが、同学では万が一に備えて「宮崎大学CSIRT」を組織しており、インシデント発生時のCSIRTにおける調査を効率化・迅速化できる手段として、同製品は大きな期待を集めています。

「現時点ではまだ、重要情報が保管されている一部の端末やサーバにのみCybereason EDRを導入している状況ですが、今後は徐々にその導入範囲を広げていき、少なくとも教職員が使うPCにはすべて導入したいと考えています。そのためにもサイバーリーズンさんには、今後とも高いレベルのサポートや情報提供をお願いできればと考えています」(園田氏)

Q&A

学内の機密情報をどのように管理されているのですか?

機密性のレベルを3段階に分けており、今回は最も機密性の高い「機密性3」の指定を受けている情報を管理するエンドポイントにCybereason EDRを導入しました。

機密性の高い情報の具体例を教えてください。

例えば、民間企業と共同で行っている「宮崎大学太陽光発電プロジェクト」では、企業から預かった貴重な研究データを窃取・漏えいから守る必要があります。

大学特有のエンドポイントセキュリティの要件はありますか?

職員のPCはIT部門がしっかり管理できますが、教員や学生が使うPCにはなかなか監視の目が行き届きませんから、EDRによるリモート監視・制御は極めて有用です。

課題と導入の効果

  • Beforeネットワークセキュリティ製品ではマルウェアの侵入を100%防ぎきれなかった
  • After機密性の高い情報が保管されているエンドポイント上の脅威を検知できるようになった
  • Beforeマルウェアの侵入を許してしまった後にそれを検知できる手段がなかった
  • After学内ネットワークに侵入した脅威を確実に可視化できるようになった
  • Beforeインシデント発生時の調査は手動によるログ調査に頼っており手間と時間がかかっていた
  • Afterインシデント発生時の各種調査を迅速かつ効率的に行えるようになった