学校法人近畿大学
インシデント発生後、外部の業者に見積りを依頼、
選定していては間に合わない。
情報セキュリティの“よろず相談先”としてのリテイナーサービスで即対応
情報セキュリティ対策では運用が鍵であり、「不審な挙動を発見した際、いかに迅速に対処できるかが重要」です。しかし、適切に対処するには専門知識が必要で、社内で体制を整えるのは難しいケースも多いのではないでしょうか。外部ベンダーに依頼するのも1つの方法ですが、インシデントが発生してから見積りを依頼し、ベンダーを選定、決定するという手順では、対応に遅れが生じ、被害はどんどん拡大してしまいます。
この状況を解決するのが、SCSKセキュリティの「リテイナーサービス」です。このサービスでは、事前契約したチケットで、標的型メール訓練や脆弱性診断といった定期的な対応から、インシデント発生時の対処までトータルにカバーします。2024年にリリースしたこのサービスをいち早く導入したのが、大学・附属病院・附属学校など守るべき範囲が非常に広く、法人内での情報セキュリティ対策に課題を感じていた近畿大学です。今回はサービス導入に至った経緯や導入効果などを詳しく聞きました。
インタビュー対応者※所属組織は2025年12月現在の情報です。
学校法人近畿大学
経営戦略本部デジタル戦略室 室長
大学運営本部KUDOS学生センター センター長(兼務)
前川 昌則 氏
学校法人近畿大学
経営戦略本部デジタル戦略室 主任
情報処理安全確保支援士
上田 拓実 氏
目次
大学・附属病院・附属学校など、守る範囲が広く多種多様な人がいる環境の情報セキュリティ対策とは?
近畿大学では、どういった業務を担当されていますか?
- 前川氏
- 近畿大学は2025年に創立100周年を迎える総合私立大学で、西日本を中心に6キャンパス、15学部49学科あり、2026年度には16番目の学部となる看護学部を開設する予定です。「実学教育」と「人格の陶冶」を建学の精神とし、クロマグロの完全養殖に代表される、社会に役立つ、必要とされる大学を目指しています。
私たちが所属するデジタル戦略室は、学校法人全体のデジタル戦略策定・推進を所管するとともに、KINDAI-CSIRTのコアメンバーとして情報セキュリティ対策の実務を担っています。具体的には、他のキャンパスや拠点の情報セキュリティ担当者と連携し、教職員向けの情報セキュリティ研修や、標的型メール訓練などを行うほか、インシデント発生時の対応(インシデントレスポンス)も担当します。
どのような課題があったのでしょうか?
- 前川氏
- 近年、大学はサイバー攻撃のターゲットになっており、他大学での情報漏えいやランサムウェア被害も増え、どう対策するかは大きなテーマとなっています。私たちが対処するのは、学校法人として管理するシステムやデバイスに限られ、例えば学生のスマホ紛失などまでは対応していません。それでも教職員だけで10,000人近くにのぼり、大学教授から幼稚園教諭までの教職員、附属病院の医師・看護師・技師、さらには農場や養殖場のスタッフなど幅広い職種の人がいます。それだけ、攻撃を受ける“口”も広くなり、ガバナンスを効かせにくいことが課題でした。
- 上田氏
- 日々新しい攻撃手法や脅威が登場する中で、新しい情報をキャッチアップしきれないと感じていたところも大きいです。デジタル戦略室は総勢10名(うち2名は兼務)で、IT企業から転職してきた職員はそのうち5名です。この規模では情報セキュリティ専任の担当者を置くことはできませんし、そのほかの業務もあり、新しい情報をチェックし続けるのは無理があります。
学内運用から外部委託へ。しかし、都度、業者を選んでいては迅速な対応は困難
以前はどのように対策していましたか?
- 上田氏
- 以前は、情報セキュリティ対策に割ける予算が少なかったこともあり、多くの部分を内製化していました。例えば情報セキュリティ研修では、教職員向け、キャンパスごとの情報セキュリティ担当者向けの研修を実施する際、動画・研修資料・理解度確認テストを私たちが作成し、実施していました。また、標的型メール訓練では、コンピュータ名を取得するマクロを添付した訓練メールを対象者に送付し、その実行状況を確認するといった形です。
その後、私たちだけでは手が回らなくなったこともあり、徐々に外部委託に切り替えました。標的型メール訓練、ペネトレーションテスト、脆弱性診断など施策ごとに業者を選定し、コストメリットの良いところに委託する形です。ただ、これでは情報セキュリティインシデントが発生した際の対応が遅れてしまいます。例えば、「業務ファイルが流出したことは判明しているが、原因はマルウェア感染なのか、メール誤送信なのか、状況がよく分からない」となった時、どこに相談してよいのか困ってしまいます。
また、業務システムや認証システム、キャンパスネットワークなどの構成について、それぞれの業者と個別に平時からコミュニケーションをとっておく必要があり、その点も負担に感じていました。
そういった流れから、取り組みごとに個別に外部の業者を選定するのではなく、“よろず相談”のような形でお付き合いできる会社がないか検討し、SCSKセキュリティに依頼することにしました。
事前に契約したチケットがあれば、万が一のインシデント対応時もすぐに相談できる
SCSKセキュリティに依頼した経緯を教えてください。
- 前川氏
- 情報セキュリティ全般を相談できるパートナーを探す中で、SCSKセキュリティのコンサルティングサービスやアドバイザリーサービスがマッチすると考え、2023年に利用し始めました。最初は、研修の準備や資料作成、規程・ガイドラインの改訂をサポートいただくところからスタートし、2024年には標的型メール訓練やペネトレーションテストもお任せしました。
当時は、案件ごとに個別サポートを依頼していましたが、それらを1つにまとめる形で包括的に支援いただけないかと相談し、提案いただいたのがリテイナーサービスです。
リテイナーサービスを導入した決め手を教えてください。
- 前川氏
- SCSKセキュリティリテイナーサービスはチケット制で、さまざまなサービスに柔軟に利用できます。サイバー攻撃の被害に遭った大学や病院などの事例を見ると、被害発覚から24時間以内に最初の記者会見を行っています。つまり、今の世の中では、こうしたスピード感での対応が求められているということです。
それを考えると、インシデントが発生してから相談を決めて、まず見積りを取り、契約して‥という手順を踏んでいるようでは到底対応できません。その点、あらかじめ契約したチケットを使って情報セキュリティの専門家に即相談できるのは心強く、平時のやりとりでの情報連携がある上で「会見でこう説明しようと考えているが、できる範囲でチェックして欲しい」といった相談ができます。
もともと研修資料の作成などもSCSKセキュリティにお手伝いいただいていたこともあり、システム構成や認証システムがどうなっているかなど、私たちの事情や状況が分かった上で相談に乗ってもらえるのは助かります。また、他の業者から導入したセキュリティアプライアンスなどについても、第三者の視点でチェックしてもらえる点も有効だと考えました。
緊急対応も定期的なテスト、訓練も同じチケットでカバーでき、予算編成も容易に
実際にリテイナーサービスを活用されて、いかがでしたか?
- 上田氏
- 導入もいたってスムーズで、私たちのニーズに丁寧に対応いただいていると感じます。リテイナーサービスのチケットは、標的型メール訓練やペネトレーションテストなど定期的に実施するものにも、インシデント対応など突発的なものにも利用できます。定期的に実施するものの場合、年度によって「今年は少し凝った内容の標的型メール訓練を実施したい」となった場合にもチケットの利用状況を見ながらバランス調整できる点はありがたいです。
- 前川氏
- チケット制は予算確保の面でもメリットが大きいです。情報セキュリティ対策の計画を立てて予算を確保し対策を実施する中、どこかでインシデントが発生すると、どうしても「うちは大丈夫か」という話になります。しかし、リテイナーサービスではそういった時もチケットで対応できるので安心です。何か起きるたびに見積りを取っていると予算内で対応しきれないリスクも出てきますが、まとめてチケットを確保した中で年間の対策をやりきれば良いのはとても便利です。緊急対応にも使いつつ、定期的に実施するもののボリュームで調整するなど、チケット利用の自由度が高く、予算編成もしやすくなりました。情報セキュリティは「重要だが、緊急ではない」課題が多くありますから、「チケットが余ってもったいない」ということにもなりません。
次はゼロトラストセキュリティモデルの導入へ。専門家視点の支援に今後も期待
今後の予定についてお聞かせください。
- 上田氏
- 大学としてはテレワークを推進しており、その発展形として、いつでもどこでも安心して学べる・働ける環境づくりのため、ゼロトラストセキュリティモデルの採用を計画しています。現在は、PCキッティングの平準化の検討など、今後の情報セキュリティ対策を進めやすくなるよう土台を整えている最中です。
ひと言で“情報セキュリティ”と言っても、エンドポイント、ネットワーク、アプリケーションそれぞれに対策が必要でかなり広範な知識が必要です。IT全般の知識を踏まえた上で、「今、どのようなサイバー攻撃があるのか」「なぜ攻撃者はその攻撃を仕掛けてくるのか」などの最新知識が求められます。少ない人数で大きな組織の対策を行うのはかなりの負担がありますから、SCSKセキュリティにタッグを組んでもらえるのは心強いです。
- 前川氏
- 以前は、バックオフィス部門の1つとして情報システムを担当する部署があったのですが、ITと経営が切っても切れなくなったことから、2021年に、経営戦略本部の配下にデジタル戦略室が立ち上がりました。私たちのミッションは、ITを活用し、ガバナンスを効かせながら、より良い環境を皆さんに届けることです。
その中で、SCSKセキュリティにはいつも柔軟に対応いただいています。研修ひとつとっても、こちらのリクエストに対して、私たちの事情を汲み取り、一緒に考え、作り上げようとしてくれるのは本当にありがたいです。リテイナーサービスのおかげで、「中長期の情報セキュリティ計画を専門家の視点でレビューして欲しい」なども気軽に依頼できるようになりました。レビューのためだけに見積りを取って契約するのは現実的ではなく、チケット制のメリットを感じます。やはり、情報セキュリティ対策の計画づくりから実施まで継続して専門家の視点が入っていることには大きな価値がありますから、これからも頼りにしています。
