熊本大学様導入事例 〜新型コロナウイルスの感染拡大による遠隔授業の増加に伴い、学外からのデータアクセスをセキュアに運用するために、Barracuda Web Application Firewallを導入〜
熊本大学は、1949年に発足した総合大学です。地域に貢献しながら、国際化した大学として、知的、道徳的でありながら応用能力を備えた人材を育成しています。今回は、熊本大学総合情報統括センター センター長 杉谷賢一様と情報企画課 課長 後藤正三様に、「Barracuda Web Application Firewall 660(仮想版)」の導入とその効果について聞きました。
(左から) 熊本大学 杉谷賢一さんと後藤正三さん
Q. バラクーダ製品を、どのような経緯で導入されましたか?
熊本大学では、新型コロナウイルスの感染拡大により、2020年の4月末から遠隔授業を開始しました。遠隔授業を実施するということは、学生が大学に登校することなく授業を受けることになります。本学で運用中の情報システムには、学外からのアクセスを許可しているデータと、学内からのアクセスに限定しているデータが存在しています。これまでは特に、学生の大事な情報を取り扱うということで学外からのアクセスの範囲を制限していましたが、遠隔授業の開始に伴い、学内からのアクセスに限定していたデータの一部を学外から利用出来るようにする必要がありました。
そのためには当然、事前にセキュリティ監査をおこなった上で公開するのですが、それと供に改めてWAF導入の検討をしました。本学では、既に他社のWAFを利用していましたが、新しい攻撃に対する更新が頻繁ではなかったことから、高機能なWAFの導入を検討していました。インターネットでWAFに関する情報を閲覧していたところ、バラクーダの製品を見つけ、他社の製品とも比較・検討し、導入することを決定しました。同年12月に試用版での運用を開始し、そのまま製品登録して継続利用しています。
Q. バラクーダ製品を導入した理由について、教えてください。
まず、最新のwebアプリケーションの攻撃に関する対策が行われていることが最も重要でした。また、これまで使用していたWAF製品はログベースで、結局どのような攻撃があったか知るためには、ログを読んでいくような形で使用していました。今回導入したバラクーダ製品では、どのような攻撃が何件あり、どの国から攻撃またはアクセスがあるかと言った、サイトへの攻撃内容や場所が可視化されている点がポイントになりました。
導入前に他社製品と比較した際、WAF製品は高価なものが多いと感じましたが、バラクーダの場合は、同様な機能を持つ他社製品に比べて安価であった点と、導入実績がNo.1であることが決め手となりました。
Q. 導入後は、どのような点を評価されていますか?
実際に試用版を使い始めてみると、管理画面をはじめ操作がわかりやすいことも評価しています。導入からパッシブモードまでの運用は、1日で開始できました。操作がわかりやすいため、思ったより時間がかからなかったという印象です。その後、WAFのログを確認しながら、解除する部分について留意しながら設定を行う必要があります。バラクーダのWAFではお薦めの設定を利用できますので、それでも問題になった場合の設定の見直しの部分ということになります。
攻撃のブロックに関する満足度については、まだそこまできちんと評価はできていませんが、間違いなく通常関わりの無い国から、件数は多くありませんが、アクセスが上がってきています。そう言った明らかに正常ではないアクセスも可視化されている状況ですので、それに対してファイアーウォールで本学へのアクセスの制限を行うなど、今後引き続き取り組みを行なっていきたいと思っています。
Q. 特に昨年は、新型コロナパンデミックの影響が大きかったと思いますがいかがでしょうか?
導入を決定したきっかけが、新型コロナパンデミックですので影響は大きいですね。
現在は、対面とリモートのハイブリットで授業を行なっていますが、感染が拡大した場合は遠隔授業だけにするなど、その辺りは感染状況を見ながら臨機応変に行なっています。学生の安全が第一ですから、状態が落ち着くまではこのような授業の運用が続くと思っています。
Q. バラクーダ製品が、大学の働き方改革に貢献している部分はありますか?
コロナパンデミック以前から働き方改革には取り組んできましたが、今後もそれに伴い、在宅勤務等が増える可能性があります。その際には、現在学内からのアクセスに制限しているシステムに関して、学外からアクセスする場合が増加すると考えられます。そういった場合に、セキュリティ製品等を活用し、セキュリティを担保しながらのシステム利用となりますので、益々重要な役割を果たすことが予想されます。
Q. 今後バラクーダ製品に期待する事はありますか?
引き続き、本学各種データに対する情報セキュリティが、御社のWAF導入によって強化されることを期待しています。また、AIを使った攻撃手法に対しての防御について、既に考えられていると思いますが、今後の進展についてさらに期待したいですね。