東北大学に聞く、アタックサーフェス管理の導入と活用

今回は「東北大学に聞く、アタックサーフェス管理の導入と活用」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 東北大学は、クラウドなど学外へのIT資産や情報資産の拡大に伴うサイバー攻撃リスクに対応するため、アタックサーフェス(攻撃対象領域)管理(ASM)の体制を整備した。情報部デジタル基盤整備課に、ASM整備の背景や導入および活用などの取り組みを聞いた。

 アタックサーフェスは、サイバー攻撃の脅威にさらされる可能性のあるIT資産や情報資産を指す。ASMは、これら資産の管理と保護を実施するセキュリティ対策となる。東北大学では、ASMツールとして米Tenableの「Tenable Attack Surface Management」を採用した。

 情報セキュリティ係 主任の大野勝也氏によると、東北大学では、2011年に発生した東日本大震災の教訓から事業継続計画(BCP)の一環として、古くからクラウドを積極的に活用してきた。また、研究室などでもクラウドの活用が進んでおり、大学の経営計画でも「クラウドバイデフォルト」の方針を掲げる。特にコロナ禍からは、リモートでの業務や研究、教育の機会も増え、クラウドの活用が加速しているという。

 「震災以降、大学ではアセットライト(保有資産の適正化)に取り組み、管理工数やコストなども最適化も含めて、学内の各部門や研究室が利用しているシステムもなるべく集約してきましたが、学外環境へのアクセスや利用が増えていきました」(大野氏)

 IT資産の管理は、学内に存在する管理対象については適切に把握できていたものの、学外に存在する管理対象が拡大するにつれて、把握が難しくなっていったという。IT資産管理は、各部門の管理者からの申告を踏まえて、手作業でスプレッドシートを使った台帳管理を実施していたが、自己申告を前提とする管理の正確性にも課題を抱えていたという。

 また、IT資産の脆弱(ぜいじゃく)性管理でも課題があった。ここではTenableの脆弱性評価ツール「Tenable Nessus Professional」を利用して、年間数度の脆弱性診断を実施していたが、大野氏は、「脆弱性の状況は診断時にしか把握することが難しく、学外にある資産の診断も困難でした」と話す。

 特に、新たな脆弱性情報が公開された際には、台帳の情報をもとに脆弱性の影響を受ける可能性のある資産を手作業で探して特定し、そこから各部門の管理者に連絡して対応を要請しなければならなかったといい、最新の脆弱性問題への対応にも不安を感じていたそうだ。

 学外への管理対象資産の拡大や脆弱性対策が課題となる中で大野氏は、経済産業省が2023年5月に「ASM導入ガイダンス」を発行したことから、ASMの必要性を強く認識し、ASMツールの導入を検討に着手した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Apple、採用情報に「homeOS」を記載(その後削除)
IT関連
2021-06-05 05:23
「iOS 16」でモバイルデータ使用を節約–オフにした方がよい4設定
IT関連
2022-11-06 21:41
AWS LambdaがRuby 3.3をサポート開始。新しいAmazon Linux 2023ランタイム上で提供
AWS
2024-04-08 13:42
パリス・ヒルトンの“料理番組”、Netflixで8月4日スタート
アプリ・Web
2021-07-14 23:14
もうすぐ登場するAndroid 15ではパスキーでのログインがより簡単にワンステップで
Android
2024-06-20 03:32
マクニカとNEXTAGE、わさびの促成栽培可能なコンテナ型植物工場を共同開発
IT関連
2023-02-25 03:44
CircleCIがGitLabに対応。GitLabのコード変更をトリガーにCircleCI でビルド、テスト、デプロイを実行可能に
CI/CD
2022-07-28 13:40
マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正
IT関連
2022-09-15 06:57
医療用IoTデバイス–サイバー攻撃者の次なる標的
IT関連
2023-04-27 14:39
J-REIT上昇、平均分配金利回りは3.6%まで低下–やや買われ過ぎか
IT関連
2021-04-08 16:26
ダスキン、会計業務のフロントシステムとして「SmartDB」を本格利用
IT関連
2023-08-04 22:24
NECとNTT Com、製造現場における作業員の見守り実証–3Dマップとスマートグラス活用
IT関連
2023-08-05 02:11
日立製作所、大阪・通天閣の屋外広告を9月に再開
IT関連
2023-07-28 21:16
アルフレッサとヤマト運輸、ビッグデータのAI分析で医薬配送を最適化
IT関連
2021-08-05 22:13