検討時は複数のASMツールを調査し、2023年7~8月にTenable Attack Surface Managementを検証した。脆弱性診断でTenable Nessus Professionalを利用していた経緯もあるが、情報セキュリティ係 主任の北澤秀倫氏は、「2カ月もの検証期間で入念に検証することができ、細部の疑問や使い方などに関する相談や質問にもサポートを得ながら理解を深めることができました」と話す。
また、ほかのツールに比べて管理対象資産の情報を詳細かつ豊富に取得できることや、ユーザーコミュニティーでは活用方法のアドバイスといったコミュニケーションが活発な点も評価した。さらに、対象が数千点に上るという資産の管理コストも懸念されたが、Tenable側が柔軟な契約対応を図ったという。
「Tenable Attack Surface Management」の管理画面(出典:Tenable)
2カ月間の検証中には、学外のクラウド環境にそれまで把握できていなかった複数のウェブサーバーが見つかった。さらに、脆弱性対策も迅速に実施できたという。大野氏によれば、しばしば外部機関よりセキュリティ情報を受け取ることがあり、以前なら上述のように手作業で時間をかけて対応しなければならなかったが、ASMツールでは検索してすぐに対象資産を特定し、短時間で対策を講じられた。
こうしてASMツールの導入を決定。2024年2月に本番運用をスタート。現在は特にASMツールが提供する豊富な情報の活用に取り組む。北澤氏によれば、例えば、電子証明書の有効期間の失効が迫るサーバーなどの状況もすぐに分かるため、事前に更新を準備するなど保守業務の効率化にも期待しているという。
デジタルイノベーションユニット専門職員の石幡研悟氏によれば、情報部デジタル基盤整備課では、RPAなども活用してセキュリティ運用業務の効率化に取り組んでおり、ASMツールについても管理資産の情報収集や更新などの作業をRPAで自動化し、省人化を図っている。
このように東北大学のセキュリティ対策では、ASMツールが情報部デジタル基盤整備課と各部門の資産管理者をつなぐ重要なプラットフォームになり、情報の共有や対応の迅速化、密なコミュニケーションを実現している。大野氏は、今後さらなるASMの取り組みを推進し、東北大学のセキュリティレベルを高めていきたいと述べている。