東京工業大学(以下、東工大)は、1881年の創立から130年以上の歴史を持ち、日本を代表する理工系大学として、多くの優秀な人材を輩出し続けてきました。工業大学の役割がますます拡大する中、東工大は科学技術の分野でグローバルに活躍できる人材を育成し、地球が抱える問題の解決に向けた研究を通して社会の発展に大きく貢献しています。こういった研究は、東工大の長期目標である「世界一の理工系総合大学」の実現に向けて進められているものです。
東工大におけるキャンパスネットワークや、多数のWebサイトを安全に運用するためのホスティングサービスなど、研究所のIT環境の管理・維持は学術国際情報センター
(GSIC)が担当しています。学内のWebサイトは継続的に攻撃の標的となる傾向がありますが、セキュリティ担当者だけでカバーできる範囲は限られています。そのため、東工大はセキュリティ対策として、導入が容易で、Webコンテンツを効果的に保護できる高品質なソリューションを取り入れることにしました。そして採用されたのが、ImpervaのWebアプリケーションファイアウォールです。
課題:膨大な量のWebコンテンツを確実に保護できるシ ステムが不可欠
東工大には東京都目黒区大岡山にあるメインキャンパスを含む3つのキャンパスが存在し、学部生5,000人、大学院生5,000人、合わせて約10,000人の学生が学んでいます。また、約1,200名の教員と約600名の事務職員・技術職員が在籍し、学生の教育や研究を支えています。東工大は日本一の理工系大学と称され、学生、教員、事務職員、技術職員が常時利用可能なITインフラを通してデータを共有できる環境が整っており、技術的な先進性を誇っています。学内には「TUBAME」というスーパーコンピュータがあり、学部生が科学技術研究のために利用しています。現在では、大学の公式Webサイトのほか、教員、事務職員、技術職員が運営するサイトの数は約400にものぼります。
この大量のウェブサイトを運用するためのプラットフォームとなっているのが東工大のスーパーコンピュータ
「TUBAME」であり、これをホストしているのがGSICです。GSICがこういったホスティングサービスを提供するに至ったのは、過去にセキュリティ上の脅威に直面した経験があったためでした。東工大のネットワークを担当する東工大GSICの友石正彦教授は、「TUBAME」を立ち上げるまでの経緯を以下のように説明しています。
こうしてホスティングサービスが開始し、その利用が拡大するとともに、ホストするWebサイトの数も増え続けました。この間、ドメインやコンテンツだけでなく、Webコン
テンツの管理システムも多様化しました。「ホスティングサービスの開始から10年ほど経ったころ、特にWebを狙った標的型攻撃が激増しました。当時、Webコンテンツの管理にはWordpressやMovable Typeがよく使われていましたが、その脆弱性が顕在化したのです。ホスティングサービスを運営する我々としては、早急に対策を講じる必要がありました」と、友石教授は振り返ります。
導入の背景:導入が容易でWebコンテンツを完全に保護するソリューションとして、Imperva WAFの採用を決定
GSICがWebコンテンツを保護するソリューションを検討し始める際、絶対的なセキュリティのほかに重視されていたのが、運用をできるだけシンプルにすることでした。組織内のスタッフは、セキュリティ担当がわずか2名、セキュリティ以外の業務担当が 4名という構成でした。人的資源が限られている状態で差し迫る脅威に対応するために、できるだけ運用が簡単なシステムが求められていました。
GSICの准教授であり、東工大におけるCERT(コンピュータ緊急対応チーム)の統括責任者を務める松浦知史氏は、以下のようにコメントしています。「インシデントが発生した場合、セキュリティ担当者には即時の対応が求められます。インシデントは Webやメールで発生することが多いのですが、すぐに対処する必要があり、担当者の負担が大きくなります。また、WebプラットフォームにCMSを使うと、脆弱性があり、常にバージョンアップが必要で、学内の多くの関係者を巻き込むことになります。何かあったときにすぐに対応しなければならない状態は、大きなストレスになります。」つまり、担当者が常に気を張っていなくともWebコンテンツが保護されるシステムが必要だったのです。
この問題に関して、Imperva Webアプリケーションファイアウォール(WAF)を活用した解決策があると知った東工大は、マーケットリーダーであるImpervaが提供するソリューションを検討し始めました。その後、IT部門における予算の承認が下りたため、セキュリティのニーズに合わせ、2009年にImperva Webアプリケーションファイアウォールと3年間の前払い契約を結びました。
結果:脅威を知らせるアラート機能によってセキュリティ状況を正確に把握。また、インシデント対応の優先順位付け機能を通して、業務効率の向上を実現。
Imperva Webアプリケーションファイアウォールを導入したことで得られたメリットとして友石教授がまず述べたのが、アラートメッセージの有効性です。「WAFで特に気に入っているのは、Web関連のコンテンツやHTTPプロトコル関する非常に詳細なアラートメッセージが送信されることです。これは現在のセキュリティ状況を把握する重要な存在であり、とても役に立っています」。
Imperva WAF Gateway導入後、GSICでは別ベンダーのセカンダリファイアウォールも導入されました。これをImpervaの機能と一体化したシステムとして統合する案がありましたが、両者が発信するアラートを比較した結果、Impervaによる緊急度の優先順位付けの方がはるかに高度であることが判明しました。
「それぞれのアラートを比較したところ、Impervaの方がより多くの脅威を検出し、精度も高いことが確認できました。また、優先順位付けの性能もより優れているため、次世代ファイアウォールと組み合わせて今後もImpervaを利用する予定です」と友石教授は述べています。
また、松浦准教授は、緊急時の対応に優先順位をつけられるようになったことについて、以下のように述べています。「セキュリティ担当者としてWAF Gatewayを利用し、 Webサイトの保護に役立てる中で実感している最大のメリットは、インシデント対応の緊急度を下げられるということです。現在の運用体制では、WAF Gatewayの保護下にないWebサイトに関しては優先順位に沿った対応を行っています。その後、WebコンテンツをImpervaの保護下に置くことで、緊急対応の担当者の負担が大幅に軽減されました」。
さらに、GSICのセキュリティ技術専門員である隅水良幸氏は以下のようにコメントしています。「Imperva WAF Gatewayは大規模なサイバー攻撃も自動的にブロックしてくれるので、過度な労力を割く必要がなく、運用が非常に楽です。ファイアウォールによって重要なトラフィックが遮断されるリスクもありますが、WAF Gatewayでは過去8年間で20回以下しか発生していません。もしブロックを解除したい場合は、数回クリックするだけなのでとても簡単です」。
今後の展望:運用面でのセキュリティを強化する。
Imperva WAF Gatewayの導入によって、東工大は期待以上の成果を上げることができ、すでにその機能を活用した他の方法も検討しています
友石教授は、現在保護されていないWebサイトについても段階的にImperva WAF Gatewayを拡張していく意向を示しています。「大学の特性上、学生サイトの多くは4年後に運営者が変わります。これらのサイトをWAFの保護下に置くことで、安全な運用を維持していきたいと考えています」。
最後に、松浦准教授はImperva WAF Gatewayを高く評価し、以下のように結論付けました。「大学は一般企業とは異なるため、強制的なトップダウンのセキュリティ対策には向いていません。このような環境下でWebコンテンツを十分に保護してガバナンスを有効にするためには、Imperva WAF Gatewayのように、傘を開く程度の簡単さで扱える製品が非常に重要なのです。今後、WAF Gatewayの有効性がさらに高まることを期待しています」。