本論文では,岩手大学CSIRT(Computer Security Incident Response Team)の構築と,CSIRTによる情報セキュリティ対策の一環である脅威・攻撃の検知・対応の強化について示す.はじめに,規定等を定め平成28年4月に発足した本学CSIRTについて記す.発足においてCISOのリーダーシップのもと,技術職員の従来の業務・役割の一部を縮小した上で,所掌・職分を超え新たな業務・役割であるCSIRT活動を付加する体制を構築した.この実現には,CISOのリーダーシップと共に,本学情報基盤センターに,全くの別組織であった教育・研究系と事務系双方の情報システム運用に関わる技術職員等が,所掌・職分はそのままに配置されていたことも有利に働いた.次に,岩手大学CSIRTにおける日常の情報セキュリティ対策・対応で課題となった「脅威・攻撃の検知機能」「技術的対応体制」の改善方法を示す.脅威・攻撃の検知機能の強化では,ネットワーク更新にあわせて導入した次世代ファイアウォールや外部監視サービス,電子メールサーバ等のログ確認機能の構築,学内ユーザからの不正・不審メールのCSIRTへの提供により,より多くの脅威・攻撃を検知しうる仕組みを整えた.なお,本学の情報基盤が自身の保有するハードウェアで構築したオンプレミス構成だったことが,柔軟なログの分析等の実現を容易なものとしたことも特記する.技術的対応体制については,部局等統合の結果として比較的多くの技術職員が本センターに配置されている状況を活かし,習熟度の高いCSIRT班員と若手技術職員が2人1組となって技術的対応を行っている.これにより若手技術職員がCSIRT班員の技術的対応から知見を得ることが可能となり,継続的に高いレベルでの技術的対応を維持・継続できる体制を実現したので報告する.
