Case Study ■ 導入事例 CrowdStrike社「Falcon Host」 国立大学法人 横浜国立大学 様 既存の対策をすり抜けるランサムウェアを 「CrowdStrike Falcon Host」がブロック、 被害の拡大を防止。運用支援サービスの利用により、 担当者の負荷も最小限に。 Point PoC期間中に既存の対策をすり抜けたランサムウェアをブロック、被害の拡大を防止 フォレンジック機能による状況の可視化で、万が一の際にも被害を正確に把握 アラート時の具体的な指示など、担当者の負荷を最小限に抑える運用支援サービス 他大学での標的型攻撃による被害を受けて セキュリティ対策の強化を検討 る大規模な情報漏えい事件が発生。国立大学の 情報システム担当者が集まる会議の場でも、標的 国立大学法人 横浜国立大学 名 所 在 導入時 U R 称 : 国立大学法人 横浜国立大学 地 : 神奈川県横浜市保土ケ谷区常盤台79-1 期 : 2016年7月 L : http://www.ynu.ac.jp/ 横浜経済専門学校・横浜工業専門学校・神奈川 師範学校・神奈川青年師範学校の4つの旧制官立 教育機関を母体として、1949年に発足。現実の社 会との関わりを重視する 「実践性」、新しい試みを意 欲的に推進する 「先進性」、社会全体に大きく門戸 を開く 「開放性」、海外との交流を促進する 「国際性」 を建学からの精神として掲げ、21世紀における世界 の学術研究と教育に重要な地歩を築くべく、努力を 重ねている。 型攻撃の危険性が話題となることが増えてきたた 「実践性」 「先進性」 「開放性」 「国際性」、以上 め、同大学でもセキュリティ対策の強化について 4つの理念を掲げる横浜国立大学は現在、21世 の情報収集を進めることにした。 紀のグローバル新時代に求められる人材を育成 このような状況の中、2015年10月にマクニカ する取り組み 「新・YNUプロジェクト」 を推進して ネットワークスよりエンドポイント型の標的型攻撃 いる。同大学は世界60カ国以上と活発な学生交 対策製品「CrowdStrike Falcon Host(クラウド 流を行っており、いくつかの国には国際ブランチ ストライクファルコンホスト) ( 」以下、Falcon Host) (海 外 協 働 教 育 研 究 拠 点) を設 置。最 近では、 User’s Profile の紹介を受けたのである。 2015年11月にオウル大学ブランチ (フィンランド) を開設した。また、50年ぶりに新設学部「都市科 学部」 の設置が認可されたことで、2017年より5 学部体制がスタートする予定だ。 既存のセキュリティ対策をすり抜けた ランサムウェアを検出 その性能を高く評価し、導入を決定 同大学の図書館・情報部 情報企画課では、 この紹介を受けて横浜国立大学では、2016年 職員が使う情報システムを対象に、事務業務のIT 3月より職員が利用するVDI環境を対象にFalcon 化の推進、端末やサーバ、ネットワーク等の運用・ HostのPoC(Proof Of Concept/トライアル) を 管理などを担当しているが、セキュリティ対策もそ 実施することにした。 の一環だ。以前のセキュリティ事情について情報 「正直に言えば、無償トライアルということもあって 企画課長の仁村俊明氏は 「最低限のセキュリティ 試したまでで、当初は導入まで考えていませんでし 対策、具体的にはアンチウイルスソフトやフィルタ た。これは予算の権限を持つ役員たちも同様で、 リング製品のみを導入していましたが、特に大きな これまで問題が起きていないのに、新たなセキュリ 被害を受けたことはなく、追加のコストをかけてまで ティ対策を導入する必要はないだろうという認識で これ以上の対策をとる必要性は感じていませんで した」 (仁村氏) した」 と振り返る。 なお、同大学は他のベンダーからもセキュリティ しかし近年になって、他大学で標的型攻撃によ 対策の提案を受けていたという。情報企画課 副 国立大学法人 横浜国立大学 図書館・情報部 情報企画課長 仁村 俊明 氏 国立大学法人 横浜国立大学 図書館・情報部 情報企画課 情報システム係 石黒 靖博 氏 http://www.macnica.net/crowdstrike/ 国立大学法人 横浜国立大学 図書館・情報部 情報企画課 副課長 大槻 郷子 氏 国立大学法人 横浜国立大学 図書館・情報部 情報企画課 情報システム係 根岸 朋子 氏 Case Study ■ 導入事例 CrowdStrike社「Falcon Host」 国立大学法人 横浜国立大学 様 課長の大槻郷子氏は 「Falcon Hostと他社のセ 学は、その能力を高く評価し、7月に正式採用を うことができたのだ。 キュリティ対策では、導入時の手間に大きく違い 決定した。 さらに同大学では、マクニカネットワークスとの がありました。他社の製品は、 トライアルを行うだ けでも既存環境の設定を変更する必要があり、 ト ライアルすら容易にできなかったのです。それゆえ 具体的な導入の検討を行う前の段階で候補から 間で運用支援サービスも契約している。 「Falcon HostはInformational/Low/Medium/ フォレンジック機能で被害の状況を正確に把握 運用支援サービスで担当者の負荷も最小限に 外れました」 と当時を振り返る。 現在、横浜国立大学では職員が利用するVDI High/Criticalの5段階のアラートを出しますが、 表示が英語ということもあり、内容がよくわからな いときもあります。この運用支援サービスでは、ア 一方、Falcon Hostは既存環境を一切変更 環境の450クライアントを対象にFalcon Hostを ラートのレベルに応じ、その内容とどのような対応 することなく導入が可能だ。クラウド型の製品の 導入している。大槻氏はその効果について、 「既 をすればよいかを具体的に指示してくれるのでと ためサーバレスで、クライアントにセンサー (ソフト 存の対策ではすり抜けていたかも知れない未知 ても助かっています」 と根岸氏。 ウェア) を展開するだけで済む。この点について の脅威もFalcon Hostならブロックしてくれるとい 情報企画課 情報システム係の根岸朋子氏は う安心感はとても大きいですね」 という。 利用範囲を他の端末にも拡大 全学への展開も検討 「システムリソースに負荷がかからないので、動作 一般的に、 システム管理者はさまざまな仕事を が重くなるようなこともありません。VDI環境にとっ 兼務しているため、セキュリティ対策に手間を取ら てこれは大きなメリットです」 と評価する。 れたくないというのが本音だ。 その点、Falcon Host 横浜国立大学では現在、Falcon Hostを550 同大学がFalcon HostのPoCを開始して1ヶ は運用管理に余計な手間がかからない。 さらに ライセンス契約している。今後は、VDI環境以外 月後、ひとつの事件が起こった。Falcon Hostが フォレンジック機能によって、攻撃者がアクセスした のファットクライアント40∼ 50台へと利用範囲 ランサムウェア 「Locky」 を検知したのである。そ ドキュメントや実行したコマンドをリアルタイムに可 の拡大を予定しており、全学に展開することも検 の時点でユーザのひとりがメールの添付ファイル 視化できる。加えて、 CrowdStrike社のエンジニア 討しているという。 をクリックしてしまっており、クライアントとファイル がイベントを24時間365日モニタリングしている。 また、仁村氏は今回の導入の成果について、 サーバにあったファイルのうち、2万7000ファイ 「万が一、ネットワーク内部へ侵入されたとしても、 全国の国立大学の情報システム担当者が参加 ルが暗号化されていることが判明した。当時の状 被害の状況を正確に把握できます。これは運用 況について情報企画課 情報システム係の石黒 を担当する者にとって、その後の対応に活かすだ 「効果的なセキュリティ対策をご紹介いただき感謝し 靖博氏は 「暗号化されたファイルはバックアップ けでなく、説明責任を果たすという意味からも大 ています。また、マクニカネットワークスのサポートも から復旧したのですが、2∼ 3日間はこの作業に きなメリットです」 (石黒氏) しっかりしており、高く評価しています。 まだ本格的な 追われることになりました。 とはいえ、早い段階で 攻撃を受けた際には文部科学省への報告を 運用を開始して約4ヶ月ですが、今後は自分たちの Falcon Hostが検知してくれたおかげで、被害の 行うが、Falcon Hostのフォレンジック機能により ノウハウを積み上げるとともに、これを現場に向けた 拡大を防止することができました」 と語る。 被害状況が把握できていたため簡潔に報告を行 啓発活動に役立てたいと考えています」 (仁村氏) する発表会の場で紹介している。 そこで同大学は、Falcon Hostの検知機能に 加えてブロック機能も有効にしてPoCを継続した ところ、1週間後に2回目の攻撃が発生。このと きは侵入を許さず防御に成功した。 「Falcon Hostは 『Locky』 に対応済みでしたが、 既存のアンチウイルスソフトが検出できるように なったのは2回目の攻撃の2週間後に起きた3回 目の 攻 撃 のときでした。もしFalcon Hostがな かったら、 どれほどの被害を受けていたかと思うと ゾッとします」 と仁村氏。 Falcon Hostの効果を目の当たりにした同大 http://www.macnica.net/crowdstrike/ 本社 西日本営業所 〒222−8562 横浜市港北区新横浜 1−5−5 TEL.045−476−2010 FAX.045−476−2060 〒530−0005 大阪市中之島2-3-33 大阪三井物産ビル 14階 TEL.06−6227−6916 FAX.06−6227−6917 [email protected] 2016年12月 © Macnica Networks Corp. ● ● 本カタログに掲載の製品仕様は、予告なく変更する場合があります。予めご了承ください。 本カタログに掲載されております社名および製品名は、各社の商標及び登録商標です。
© Copyright 2024 ExpyDoc
