国立大学法人 広島大学では、NIIと共同で「学術機関における情報セキュリティガバナンス・クラウドサービス利用の実態調査」を実施しました。その狙いと調査結果について、情報メディア教育研究センター センター長/教授 西村 浩二氏、助教 渡邉 英伸氏にお話を伺いました。(インタビュー実施:2018年7月4日)
広島大学 情報メディア教育研究センター長西村氏:当センターの主な業務内容としては、キャンパスネットワークや計算機システム、並びに電子メールをはじめとする各種サービスの構築・運用が挙げられます。業務サーバのクラウド化も早くから進めており、学内には教務系や教育研究系の一部サーバしか残っていません。また、近年注力している分野としては、情報セキュリティ対策の強化が挙げられますね。本学ではこれまでもISMSの認証取得など、様々な取り組みを進めてきましたが、インシデントに類する事案は年々増加傾向にあります。最近では外部への説明責任も求められますので、「NII-SOCS」のサービス等も活用して対策に努めています。
西村氏:これまでに様々な機関・団体が行った学術機関におけるクラウド利用実態調査の内容を、当センターで分析してみたことがきっかけです。ここでは、情報セキュリティに対する不安がクラウド活用を妨げる要因となっていること、また情報セキュリティへの不安が毎年トップの項目になっていることなどが分かりました。こうした不安を解消していくためには、各機関における情報セキュリティの取り組みを客観的/定量的に評価し、適切なフィードバックを提供できる調査が必要です。そこで、今回の調査を実施してみようと考えたのです。
広島大学 情報メディア教育研究センター渡邉氏:今回の調査では、「1. 各組織における情報セキュリティガバナンスの実態」「2. 組織内で運用されている情報資産の把握実態」「3. セキュリティインシデントの発生状況とその対処」の3つのテーマでそれぞれ設問を用意しました。まず1. については、ガバナンスの実態をどう表すかで悩んだのですが、ISMSでも求められるPDCAが重要なポイントと考え、これがきちんと廻せているかを問う設問を作りました。また、2. の設問では、「組織内でどのようなシステムが運用されているか」「それはオンプレかクラウドか」「クラウド化の検討が進められているものはどれか」といった点を聞いています。こうしたものをリスト化できるということは、組織内の情報資産の把握や管理が適切に行えているということにつながります。さらに最後の3. では、過去1年間に発生したインシデントの件数を、クラウドサービス利用に起因する場合、起因しない場合でそれぞれ回答してもらうと同時に、セキュリティトラブルの対処日数についても聞きました。これにより、インシデントやトラブルの記録が適切に管理されているか、組織的な対処が的確に行われているかといったことが分かります。なお、学術機関のクラウドサービス利用/導入状況を、公平・定量的に評価するモデルがなかったため、ISMSや民間調査会社の評価手法などを参考に、情報セキュリティガバナンスの実態を「適応力・管理力・対処力・自己啓発力」の4つの評価基準と、「初心組織・試行組織・標準組織・高度組織・先進組織」の5段階のステージで評価するモデルを作りました。
渡邉氏:今回の調査で明らかになった問題としては、「データセキュリティへの取り組みが不十分である」「組織的な共通化・共有化が進んでいない」「自己評価や見直しがきちんとできていない」の3点が挙げられます。組織が保有する情報の格付けがなされていない機関がまだ存在し、暗号化/バックアップなどの対策にも不備が見られます。また、どのような情報資産があるか、どの部門に問合せれば良いかが分からないというケースも多いようです。さらにガバナンスという面でも、PDCAのPlan、Doまでは何とか廻せていても、なかなかその先のCheck、Actionにまでは至らない機関が見受けられます。今回の調査に参加して頂いたのは、いずれもクラウド活用に積極的で意識も高い学術機関です。それでも、なかなか望まれる水準にはまだまだ達していないということですね。
西村氏:Check、Actionが弱いという裏側には、現状の運用で手一杯という事情もあるように思います。実際に関係者の間でも、インシデントの発生を受けて事案をオープンするものの、なかなかクローズする余裕がない、どこでクローズするのかきちんと定義されていないといった話を耳にします。特に小規模な学術機関では、「一人情シス」ならぬ「一人CSIRT」のような状況も少なくないようですしね。
渡邉氏:本学としても、その点を大きなメリットと考えています。自組織の現状がISMS相当の観点で可視化されますので、ガバナンス向上やクラウド導入などの目標に向けて、何に取り組むべきかが明確になります。実際に本学の自己評価でも、「対処力」に関する項目で低い結果が出たため、これに関連する業務の見直しを行いました。こうした改善につなげていく一つのきっかけになれば嬉しいですね。
西村氏:本学でもISMSの認証取得に取り組んだ際に、一体何を指摘されるのかと冷や冷やした経験があります。しかし、外部の客観的な評価を受けることで、ちゃんとできていること、改善が必要なことを改めて知ることができました。こうした取り組みを進めることで、学術機関のガバナンスもぐんと改善されるのではと思います。
西村氏:事後アンケートでは、多くの学術機関から調査継続のご希望を頂きましたので、改善要望などを反映した上で続けていきたいと思います。調査精度を向上させる上では、より多くの機関にご参加頂く必要がありますので、説明会の開催なども予定しています。ただし、事後アンケートでも要望の多かったフィードバック情報のさらなる充実については、我々だけでは対応できない部分もあります。こうした点については、学認クラウド導入支援サービスで、調査結果に基づいたコンサルティングサービスなどの提供を検討していただければと思います。また、こうした本格的な調査はそう頻繁に実施できませんので、もっと手軽に自己チェックができるような仕組みも作っていきたいですね。
渡邉氏:今回の調査では、学認クラウド導入支援サービスのチェックリストが質問項目の内容を検討する上で大いに参考になりました。今後もより良いガバナンスを実現するための取り組みを続けていきたいと考えていますので、NIIにも引き続き協力をお願いしたいと思います。