不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)(2/3 ページ)

» 2018年07月17日 08時00分 公開
[高橋睦美ITmedia]
前のページへ 1|2|3 次のページへ
photo 大阪大学 情報推進本部(兼)サイバーメディアセンター 講師 柏崎礼生氏

 まず、脆弱なOSを搭載しているホストの洗い出しを行った。「IPAのJ-CRATの支援を得て、レジストリなどに改変が加えられていないかをツールでチェックする作業を、学内にある2万1000台のWindowsホスト全台に対して行いました」(柏崎氏)。その結果、今回の不正アクセスに関連したもの以外にも、幾つか怪しい挙動が見つかり、検体の解析や対処に追われたという。

 「もちろん、大阪大学でも脆弱性検査はやってはいました。ですが頻度は2年に1回で、予算額が決まっていることもあり、重要なサーバ以外は任意でのチェックという形を取っており、十全な備えができていたとはいえないと思います」(柏崎氏)

 どうすれば、もっときめ細かく脆弱性の検出や管理ができるか――悩んだ柏崎氏が頼ったのが、大学の情報センター同士のつながりだ。九州工業大学と東京工業大学で、それぞれセキュリティ分野で実践的な取り組みを進めている、中村豊先生と松浦知史先生に尋ねたところ、脆弱性スキャナーの「Nessus」を利用しているという答えが返ってきた。

 「そこでNessusの評価版を入れて、shodan.ioで検出された800以上の大阪大学のIPv4アドレスを突っ込み、ひたすら脆弱性チェックを行いました。そうしたら、何とまあサポート外OSの多いこと……『Critical』や『High』の脆弱性がこれでもかというほど検出され、画面は真っ赤な状態でした」(柏崎氏)

 大阪大学では、外部からの不正アクセスに対して複数のセキュリティ機器を導入して防御を試みるとともに、「サポート期限の切れた脆弱なOSは学内ネットワークに接続しないこと」といった内規を定めていた。とはいえ、大学は上位下達で命令が伝わる組織とは異なり、自由度や多様性が重んじられる傾向にある。こうした風土もあって、内規が徹底できていたかというとグレーな状態であり、検査でもそれが裏付けられた形だ。

 脆弱性スキャナーの結果を踏まえ、Criticalな脆弱性が検出されたホストでは、アップデートなどで修正を行い、必要のないサービスについては、ファイアウォールで接続を遮断した。一方、どうしても外部に公開する必要のあるものは、期限を設けて対処するよう管理者に依頼し、CriticalやHighという高リスクの脆弱性への対処を一通り終えた。

Tenable.ioのREST APIを活用し、人間と同じような「手厚いケア」の実現を

 これで危険水域を脱したとはいえ、まだ「Medium」の脆弱性が多数残っている。対処するに越したことはないが、運用でカバーできるところもある。一般的には、どこまで対応するかが個々の判断に委ねられる問題だが、文科省の助言もあり、これらも全て対処する方向で作業を開始した。

 だが、スポット対応でさえ大きな負荷がかかる脆弱性の管理を数百オーダーこなすとなると、何らかの仕掛けが必要になる。中長期的に取り組むとなると手作業はまず無理だろう――そんなふうに考えていたとき、東陽テクニカから「Tenable.io」の提案を受け、採用することにしたという。

前のページへ 1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ