鹿児島大学様 Microsoft Sentinel活用支援サービス事例

メルマガ登録する

メルマガ登録する

鹿児島大学は、法文学部と理学部が薩摩藩校である造士館、医学部は島津藩医学校をその発祥としている歴史のある国立大学だ。現在は、9つの学部と9つの大学院研究科に1万人を超える学部生と大学院生がおり、自ら進んで物事に取り組む「進取」の気風がある。

鹿児島大学の情報基盤統括センターは、情報システムによる教育・研究利用への支援やキャンパス情報ネットワークの運用管理、学内外の情報関連組織と連携した主体的な研究開発を行い、学内外の情報基盤整備に中核的な役割を果たしている。同センター内のサイバーセキュリティセンターでは、情報基盤におけるサイバーセキュリティの戦略から運用までを担っている。

今回は、ラックと鹿児島大学が共同で取り組んだ、Microsoft Sentinel活用によるセキュリティ運用の負荷軽減について、佐藤豊彦氏と相羽俊生氏に話を聞いた。

限られたコストで、セキュリティ運用の負荷を軽減したい

鹿児島大学が抱える情報システム運用の課題について、佐藤氏は次のように語る。「大学、特に国立大学では、コスト削減の要望を強く感じます。システム運用の複雑化が進む中で、セキュリティレベルを向上させたくとも、増員や予算増は容易ではありません。それでも、情報システム担当者の負担を増やさずに、新しいセキュリティ技術も採用し続けたい。加えて、教職員は専門領域が変わらなければ異動の機会が少ない一方、セキュリティ業務を運用する職員には定期的な異動もあります。」組織へのスキルの定着や知識の蓄積、継承、技術教育は常に喫緊の課題となっている。

情報システムの運用やセキュリティ対策は、日々の運用作業が増えている。監視対象や確認すべきレポートの数をいたずらに増やしたくないが、セキュリティ強化のためには無視できない。さまざまな企業が、鹿児島大学に新たなセキュリティサービスを提案してくるが、多くは既存の運用に負荷をかけてしまう。現状維持と新たな取り組みの狭間で葛藤が続いている。

既存運用で確認するアラートを例にしても、本当に緊急性のあるものであれば通知に価値はあるが、実際の監視サービスでは、問題となりうるアラートはごく僅かだ。リスクが高いアラートに絞って確認作業を行っても件数が多く、人的リソースが追いつかない。不要なアラートに振り回されるのではなく、本当に重要なものを確実に検知できる仕組みが求められている。「アラートが出ても誤検知が少なく、打率が高いサービスなら採用したい。」と佐藤氏が現場の率直な思いを語った。

共同での取り組みの経緯

従来、セキュリティ対策は個別の課題ごとに、最適なソリューションを導入する方法が主流だった。しかし、それでは製品のバージョンアップや新たな脅威への対応負担が増し、運用の複雑化が進むばかりだった。そこで、統合プラットフォームを軸に、連携を強化する運用が注目されている。セキュリティ担当者は、個別の課題に対して最適な解決策を考える時間が限られているが、統合プラットフォームを導入すれば必要なスキルを迅速に習得できる。

ラック自身も、Microsoft 365を活用したセキュリティ運用を社内で実践し、その効果を実感していた。複雑化する運用業務を効率化するため、同じ課題を抱える企業向けにサービス化を進めていたが、2023年前半の段階では実績がほとんどなかった。さらに、社内でのサービス改善の話が先行したため、説明が前後し、サービス開発のために従業員や顧客データを活用するのかと誤解が生じ、調整が難航していた。そこで、鹿児島大学に相談を持ち込んだ。

鹿児島大学は、サイバー犯罪対策の強化で2016年から産学官連携協定を締結している関係があった。限られた予算と人員の中で、セキュリティ運用の負荷を軽減する手段を模索していた。ラックは鹿児島大学に対し、Microsoft 365を活用したセキュリティ運用の最適化・自動化の一環として、2023年4月に提供開始した、「Microsoft Sentinel活用支援サービス」を提案した。

ラックは「サービスの実績を積みたい」、鹿児島大学は「コストと工数を抑えてセキュリティ対策を強化したい」という双方のニーズが一致し、共同の取り組みが始まった。

Microsoft Sentinelを導入した効果

Microsoft Sentinelを導入し、鹿児島大学で利用するライセンスに合わせてMicrosoft関連のログを取り込んだが、それでも相当数のアラートが出た。標準のダッシュボードでは概要をまとめて把握することが難しかったため、ラックが作成した独自のダッシュボード（Sentinelの用語ではブック）を導入した。

1年間にわたる「Microsoft Sentinel活用支援サービスの効果測定」の期間中、高位のライセンスの一時的な試用も行い、予期せぬアラートが検知されないかを確認した。その結果、自動化機能を活用して不要なアラートを記録には残しつつ自動でクローズし、調査・対応が必要なものを担当者に連携する仕組みにした。

期間中、大きなインデントは発生しなかったが、ログ収集と監視を組み合わせたことで得られた知見もあった。例えば、大学関係者が利用するデバイスへの二要素認証を導入した後、明らかにアラートの発生が減少した。当初、学内では二要素認証の効果に懐疑的な意見もあったが、アラートが減ったことで対策の有用性が裏付けられた。

導入初期の段階では、技術職員から普段使い慣れないMicrosoftのセキュリティ製品の用語や、仕組みの理解に苦労する声が上がっていた。しかし、ラックが詳細な手順書や説明資料を用意し、機能説明なども行ったことで作業は次第にスムーズに進むようになった。実際、技術職員の相羽氏からも「ラックのサポートが手厚かった」との評価をいただいた。

一方で、取り組み期間を終えた後、さらなる改善の余地も見えてきた。ダッシュボードの継続的な見直しや、アラートの傾向を確認して運用方針の最適化を図るなど、もう一歩踏み込めたのではないかという点が、鹿児島大学とラックの双方で共通の認識となった。