自由な教育/研究を妨げないセキュアな学外コラボレーション環境、共通認証基盤とBoxで実現
東工大CERTが考える、コラボレーションとセキュリティの最適解
2021年05月25日 08時00分更新
サイバー空間に、東工大という“会員制組織”を作る
東京工業大学(以下、東工大)には、学内の情報セキュリティを管理運営する専門部署「東工大CERT」が存在する。通常、企業などでCERT(Computer Emergency Response Team)と言えば、セキュリティインシデントが発生した際の緊急対応チームを指す。しかし、東工大CERTはそれだけでなく、安全な大学運営のためのセキュリティ環境構築、職員や学生へのセキュリティ情報提供など、啓蒙活動も行っている包括的なセキュリティ専門組織だ。
東工大は、国立の理工系総合大学として創立から130年以上の歴史を持ち、専門性の高い研究を数多く行っている。学生がおよそ1万名、教員や職員が約3500名(常勤、非常勤含む)在籍する大きな組織であり、学生は1年ごとに、そして教員や職員は不定期に組織を出入りする。また研究活動においては、民間企業とコラボする産学連携や、国際的な教育研究機関とのプロジェクトも常時進行している。
東工大 学術国際情報センター准教授で東工大CERTの統括責任者を務める松浦知史氏は、学外との交流や共同研究が盛んな同学のようすを「オリンピックのような国際的イベントを、ふだんから行っている組織」だと例える。
ただし、これはセキュリティの観点からすると、リスクが無制限に広がりかねない危険な状態だとも言える。もちろん、大学全体のセキュリティポリシーやデータ取り扱いのガイドラインは設けており、日本語だけでなく英語や中国語も含めCERTとしてアナウンスしている。さらに、セキュリティの最新インシデントを解説するチラシを作成し、配布やWeb公開などを通じて注意喚起するなどの活動も行っている。
その一方で同学では、自由な教育、研究を優先する考えも大切にしている。セキュリティについてもその考えは変わらないと、松浦氏は説明する。
「セキュリティに関しても、実際の運営は各学院(東工大における学部の呼称)の自治に委ねられています。いい意味で自由度を高くして、部局の文化を大事にしてきました。私自身も、セキュリティが研究の足かせになっては絶対だめだと意識しており、むしろ研究や学びのパフォーマンスを最大化するために、セキュリティが必要だという考えを広めたいと思っています」
自由度を保ちながら、安心して学び、研究できるセキュリティ環境を作るために、松浦氏が最も必要性を感じたのが、東工大の認証基盤とクラウドサービスとの連携だった。「例えばメール(の送受信)には、基本的に認証がありません。認証なしで、世界中の何十億もの人とつながってしまう可能性がある――。これはセキュリティの視点から見ると大きな脅威です」。
認証基盤にログインし、その人の権限内で使えるアプリケーションや触れるファイルの場所を完全にコントロールできている状態であれば、安全に活動できる。最初にその状態ができれば、あとはできる限り制限をなくして自由に教育、研究を進めてもらえる。学術国際情報センターや事務局を中心に全学一丸となって、この考え方に沿って学内の新しいコミュニケーションやデータ共有基盤の検討を始めた。
「認証基盤には、まず東工大という『会員制組織のメンバー』になってもらって、その中で仕事をするという意味があります。このクラブのメンバーは、外部の関係者を含めても数万人程度ですから、十億人規模と比べれば圧倒的に狭い組織です。セキュリティのスコープとして、それだけで5ケタ以上のセキュリティリスクが低減できます」
現場が喜んで使うことでセキュリティも高まる
さらに、この認証基盤の上で動かすアプリケーションにも、セキュリティの高いものを選ぶ必要があった。だがここで松浦氏は、東工大ならではの課題も感じていた。理工系大学ということで学部内のITスキルは高く、統制こそ取れていないものの各部署のセキュリティは十分確保されていた。そのため、研究や業務の基盤を変えるには相応の理由が必要だった。
松浦氏は、セキュリティを「グラウンド整備」に例える。「荒れて石ころだらけのグラウンドでは、選手がいいパフォーマンスを発揮することができません。グラウンドを安全に維持するためには、管理者だけでなく、選手自身も動いてもらわなければいけません」。そこで考えたのが、現場に対して「アメ」、つまりインセンティブを与えることだった。
「セキュリティ面で定評のあるBoxや、Slack、Zoomなどのクラウドサービスを導入することで、現場が便利になり、みんなが喜んで使うようになると思いました。心地よい、使いやすい環境を作ることで、業務を改善することと同時にセキュリティの統制も効かせることを狙いました」
これらのクラウドサービスのうち、Zoomに関してはコロナ禍でオンライン授業を行うために先行して全学に展開したが、BoxとSlackは、まず事務部門の業務効率化とセキュリティ向上のために使うことを決めた。メールと添付ファイルによるやり取りを、SlackとBoxの組み合わせによるコミュニケーションに変えることで、情報の一元化を図った。
Boxについては段階的に利用を拡大しており、現在は学内すべての事務職と教員に約3500アカウントを発行し、運用を始めている。従来は各学院(学部)、研究室ごとに設けたファイルサーバーやNASに保存されていたデータを、Boxに一元化することで、保存容量を気にする必要がなくなり、検索も容易になった。
そしてセキュリティ面では、認証基盤とBoxのアクセス権限を連動させることで、ログインした人の部署や役職に応じて自動的にアクセス可能なフォルダを制限できる。松浦氏が実現したかった“サイバー上の会員制組織”が実現したのだ。
産学連携にはセキュアな情報共有基盤が不可欠
「最初の設定が肝心なため、まず全学のDX推進体制の下、学内の事務の体系や組織の構造を調査して、基本的なフォルダ構造を作り、管理者権限で各フォルダの初期のアクセス権限を設定しました。そのあとは、現場で自由にフォルダを追加してもらっても問題ありません。必要なセキュリティは確保されています」
Boxのアクセス権限の仕様は、あるディレクトリの権限設定を決めておけば、その下位にフォルダを作って階層を深めていっても、上位フォルダの設定が引き継がれるというものだ。そのため、学外の企業や他大学と連携するプロジェクトでも、不用意に情報が漏れることがなく、情報共有時のセキュリティ確保に役立っている。もともと一部の研究室では外部との情報共有でBoxのアカウントを取得していたところもあり、なじみがあったという。
「最近では、東工大から複数の研究部門が同じ産学連携プロジェクトに参加することも増えました。例えば5G関連のプロジェクトでは、通信もあればアプリケーションもあります。研究者にとっては、自分たちの研究領域の“横”にある分野の研究者といかに連携していくかが重要な課題です。そういう場合でも、セキュリティの心配をせずにファイル共有ができるBoxのような環境が必要になっています」
東工大と組んで研究を進める民間企業の側も、Boxを使えば安心して情報をやりとりすることができる。
「コラボレーション基盤がなかった時代は、プロジェクトごとにバラバラの管理をしていました。研究室としても、学外の人とやり取りする際には心配が増えます。現在は認証基盤によって東工大の“会員”に閉じた世界ができているので、そこに外部メンバーを加えるときは、1つ、2つの部分だけを注意して権限を与えれば大丈夫だと言っています。もちろん、メンバーを増やすことはリスクですが、Boxのコラボレーション機能は優れており、アクセスログもきっちり残るので、権限の設定だけ間違えなければ問題は起きないと考えています」
さらに、松浦氏がBoxのセキュリティ面で高く評価するのが、監査系のログが取れるところだという。「たとえ管理者でもログは消すことができず、最低7年間は保持されます。そのため何かあったとき、事後に原因を探る際も強力なツールになります」。
Boxによる新しい情報共有基盤は、学内の事務職や教員からの評判も上々だという。「コロナの影響で大学の事務の仕事も、急きょテレワークになりました。ですが、セキュリティ面で慎重な人ほど、重要な仕事はどうしても大学に出勤して行うことになり、些末な仕事を持ち帰るという本末転倒なケースが多く見られました。今は本格的なファイル共有の仕組みが入ったので、ストレスがなくなったという声が届いています」。
今後は学生へのBoxアカウント付与も計画しており、現在は運用について検討しているところだ。それが実現すれば、東工大としての“会員制組織”が完成する。
それとは別に、学生はコロナ禍におけるオンライン授業の場で、間接的にBoxを利用することにもなりそうだ。松浦氏が教員と話していて、オンライン授業の運営について大きな問題となっているのは、授業アーカイブのストリーミングコンテンツの視聴だということがわかった。
「巨大な動画ファイルを保存して、それをストリーミングするのに耐えるクラウドストレージでないと、授業アーカイブは機能しません。また一般的なサービスではストリーミングの利用状況に応じて課金が増減します。Boxは他の大学でも動画サーバーのように使われている実績があり、保存容量に制限がないことも魅力です」。すでに、講義動画を自分のBox領域に保存している教員や職員も出てきており、今後は全学部での利用も考えられるという。
Boxの利用がさらに広がっているイメージだが、松浦氏はITツールに対してフラットなスタンスでいることが大事だと考えている。
「逆説的になりますが、Boxのいいところの1つは、Box自体も他のツールに取り替えが効くところです。特定のベンダーにロックされることなく、厳しい競争の中で洗練されてきたツールであることが強みであり、今選ぶならベストという判断です。ツールと業務の関係を密にするか、疎にするかが問われていますが、私たちは『疎』のほうでいたいと思っています」
こうしたクラウドツールによる業務改革を、東工大では学長をはじめとした大学のトップが先頭に立って推進しているという。「学長が自ら職員や学生に対して、新しいことにチャレンジする姿勢を示しています。これはCERTにとって強力な後ろ盾になっています」。
自由闊達な研究活動や業務を守るための、セキュアな環境作りを進める東工大CERTの活動は、クラウドサービスの利用によって一段階目標に近づいた。