2017年に発生した不正アクセスの再発防止に向け、着実に歩みを進める大阪大学。その先には、大学という多様性に満ちた組織における、新たなガバナンス、そしてCSIRTの在り方を模索、研究するという目標がある。
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、脆弱性管理に課題を感じた同大学は、脆弱(ぜいじゃく)性スキャナーの「Tenable.io」を導入した。
800以上あるホストの脆弱性検査を自動化させるシステムを構築するなど、再発防止に向けた歩みを着実に進めているが、Tenable.ioを導入した背景には、「CSIRTのあるべき姿を模索したい」という意図もあるそうだ。記事後編では、同大学サイバーメディアセンターの柏崎氏が考える、新たなCSIRTの在り方に迫る。
Tenable.ioの導入を主導した柏崎氏は「学内の人から疎まれていたら、CSIRTは機能しない」と話す。これは脆弱性管理の方法を、九州工業大学と東京工業大学のCSIRTに聞いた際に得られた知見だという。
「CSIRTはよく消防団に例えられますが、官僚的な消防団なんて成立しませんよね。近所に住んでいて、見回りをして危なそうなものがあれば声を掛け、何かあったら出てきて対応する……そんなふうに頼りになる存在じゃなければ、全学から疎まれ、反感ばかり買って終わってしまうだろうと痛感していました」(柏崎氏)
しかも、大学という組織は、上から下に命令が伝わる官僚的な組織とは異なり、きれいなツリー構造にはまとまらない。メッシュ構造でつながり、ところどころループしているなど、どちらが「根」か分からないような形なのだ。そんな構造の中で、どのようにガバナンスを利かせればいいのか――そう悩んでいた時にヒントになったのが、JANOG(JApan Network Operators' Group)ミーティングで行われた、「インターネットガバナンス」に関するセッションだったそうだ。
「そもそも『Governance』とは、いろいろなステークホルダーが集まって話し合い、調整し、方向性を策定してそれを実施する、それら全てを含めたものです。インターネットガバナンスも同じで、いろいろな国や法律があって、一元的にこうしろとはいえない中で調整していくものです。この考え方はスッと腑に落ちました」(柏崎氏)
上意下達式のガバナンスではなく、多様かつメッシュ式の構造におけるガバナンスは、「まだどうあるべきか、決まっていません」と柏崎氏。だからこそ、研究者のプライドとして「互いに尊重し合いながら、互いに不利益を被らない形で良い状況を作り出し、かつ皆が政策決定に参加している実感を得ることができる方法を、大学の人間として、そして科学者として考えなければいけないと思っています」という。
Copyright © ITmedia, Inc. All Rights Reserved.