学術情報処理研究 22 巻, 1 号

NetFlowトラフィックデータの取得と解析に関する共同研究

インターネットの普及・高速化に伴いインターネット上の脅威は増大し多様になってきている。これに対し組織のネットワーク運用者はUTM(統合脅威管理 : Unified Threat Management)装置等のセキュリティ装置を導入して自ネットワークの安全性を担保するようになりつつある。しかし、このセキュリティ装置でも検知が困難な高度なDDoS(Distributed Denial of Service attack)攻撃が近年広まりつつある。さらにセキュリティ装置はルータ等の装置と比べスループットが低いことが多く、DDoS攻撃のような高負荷な攻撃がなされた場合はUTM装置等自体がボトルネックとなり、組織全体のネットワークに影響を及ぼす。これら課題の解決に向けて、外部企業と共同研究契約を締結している。この共同研究では、攻撃トラフィックがセキュリティ装置に入る前に攻撃を検知・対処する技術を確立するため、まずはルータ等の装置で使用可能なNetFlow技術と機械学習技術の連携により攻撃検知を行う技術検討に取組んでいる。本稿では、共同研究締結に向けた動き、導入したNetFlowトラフィックデータ取得システムと、そのシステムを運用した一部の結果を述べる。

パブリッククラウドとオープンソースソフトウェアを用いたトラフィック分散型eduroam基盤「静大IoTE」の構築

静岡大学は，2018年3月にトラフィック分散型eduroam無線LAN基盤「静大IoTE」を構築した．静岡大学では，アクティブラーニング，反転授業，大学動画配信Webサイトなど，多様な教育ICTサービスを提供しており，年々利用者が増加している．これらサービス利用の環境として，これまでも学内無線LANを整備していたが，サービス多様化にともない利用者の増加およびトラフィック量が増加した．そこで，学内のインターネット通信を分散して，複数回線にバイパスするデータオフロードの仕組みをeduroam基盤にて構築した．これまで，学内ネットワークの最終出口はSINETを介していたが，これに複数の商用回線を追加することでトラフィック負荷を軽減した．また，eduroam基盤には普及品の機器やオープンソースソフトウェアを用いることで，構築費用を軽減できた．

ホスト登録システムへの非利用IPアドレスの特定機能実装とIP棚卸し

新潟大学では，2009年度に，全学のネットワークアクセス認証システムと連動したホスト登録システムであるIP管理データベース(IPDB)を開発し，その運用を行ってきた．利用者がネットワークアクセスするためには，IPDB上にホスト登録されていることが必要であるため，セキュリティインシデント発生時の速やかな利用者や端末特定に，IPDBは，大きな貢献をしてきた．しかしながら，利用開始時のホスト登録が確実である一方で，教職員の退職や異動に伴う利用終了時のホスト削除の方は，ユーザからの自己申請制で申し入れが少ないため，徐々に，登録ホスト数が肥大化するという問題が発生してきた．そこで，本研究では，IPDBに対する非利用IPアドレス特定機能の実装の研究開発を行った．また，その非利用IPアドレス特定機能を利用した全学のIPアドレスの棚卸しを実施したので，その実施結果について考察，及び，報告を行う．

環境によって自動で設定を変更するプログラムの開発

ノートパソコンはその手軽さゆえに様々な環境で利用されることが多い。企業によっては利用する場所によってパソコンを使い分けるなどして高いセキュリティを保つが、一般には一つのノートパソコンを様々な環境で利用する場合が多いだろう。外部環境によって必要となるセキュリティ等の設定は異なる。そこで本研究では、一つのパソコンで様々な環境に応じてセキュリティなど様々な設定を自動で変更するためのプログラムを開発した。

セキュアキャンパスネットワークにおける802.1x認証への統一と不正通信端末自動遮断機能の実現，及びその運用における課題と対応

2010年2月から運用してきたキャンパスネットワークはその老朽化に伴い，新たな方針のもとに更新を行った．そこでは，従来通り高速なバックボーン(10Gbps)を維持しつつ，効率的な運用を目的に機器の集約化と，セキュリティ強化のための仕組みを導入した．また，認証方式を802.1x認証とし，2013年から導入したキャンパス無線LANネットワークでの認証方式（802.1x認証方式）に統一した．セキュリティ強化の仕組みとしては，検疫システムに代えて，有線LAN・無線LANにかかわらずセキュリティリスクが高いと判断した端末・機器をネットワークから自動遮断するシステムと，ユーザに遮断状況を提示しユーザ自身が解除申請を行える仕組みを導入した．本論文では，更新したシステム全体を概説するとともに，自動遮断された端末をユーザが確認し解除するシステムに関して述べた．また，認証方式の統一や自動遮断システムの展開を進めるに当たって直面した課題とその対応策などの記述を通して，キャンパスにおける展開状況について述べた．

岩手大学における持続可能な情報セキュリティインシデント対応体制の構築

本論文では，岩手大学CSIRT（Computer Security Incident Response Team）の構築と，CSIRTによる情報セキュリティ対策の一環である脅威・攻撃の検知・対応の強化について示す．はじめに，規定等を定め平成28年4月に発足した本学CSIRTについて記す．発足においてCISOのリーダーシップのもと，技術職員の従来の業務・役割の一部を縮小した上で，所掌・職分を超え新たな業務・役割であるCSIRT活動を付加する体制を構築した．この実現には，CISOのリーダーシップと共に，本学情報基盤センターに，全くの別組織であった教育・研究系と事務系双方の情報システム運用に関わる技術職員等が，所掌・職分はそのままに配置されていたことも有利に働いた．次に，岩手大学CSIRTにおける日常の情報セキュリティ対策・対応で課題となった「脅威・攻撃の検知機能」「技術的対応体制」の改善方法を示す．脅威・攻撃の検知機能の強化では，ネットワーク更新にあわせて導入した次世代ファイアウォールや外部監視サービス，電子メールサーバ等のログ確認機能の構築，学内ユーザからの不正・不審メールのCSIRTへの提供により，より多くの脅威・攻撃を検知しうる仕組みを整えた．なお，本学の情報基盤が自身の保有するハードウェアで構築したオンプレミス構成だったことが，柔軟なログの分析等の実現を容易なものとしたことも特記する．技術的対応体制については，部局等統合の結果として比較的多くの技術職員が本センターに配置されている状況を活かし，習熟度の高いCSIRT班員と若手技術職員が2人1組となって技術的対応を行っている．これにより若手技術職員がCSIRT班員の技術的対応から知見を得ることが可能となり，継続的に高いレベルでの技術的対応を維持・継続できる体制を実現したので報告する．

香川大学での標的型攻撃メール訓練の導入と改善点の検討

日本年金機構に対する標的型攻撃（2015年6月）では多数の個人情報が流出し，香川大学（以下：本学）の医学部附属病院でも，同様の攻撃によって端末1台がウイルスに感染するインシデントが発生した．本学では，こうした事例に基づき，2016年度に，情報セキュリティ対策の強化の一環として，構成員（特に教職員）による標的型攻撃メール対応訓練を導入した．これに続き，香川大学情報セキュリティインシデント対策チーム“KADAI CSIRT”（以下：本CSIRT）を発足させ，訓練・教育・注意喚起・報告受付の各業務を組織化し，攻撃に対する本学の潜在的課題やCSIRT活動の課題を探るべく調査を実施してきた．本論文では，標的型攻撃メール訓練に対する構成員から得られた主観的評価等のデータに基づきCSIRT構築過程を詳述する．

宮崎大学の全構成員に対する標的型攻撃メール訓練

近年，多くの機密情報を保有する大学は，標的型サイバー攻撃のターゲットになりやすく，情報が漏洩した際の社会的インパクトも大きい．このような状況の中，標的型攻撃メールなどの個人に対する攻撃から重要な情報を守るためには，構成員一人一人が正しい知識を持ち，正しく対処する必要がある．そこで，標的型攻撃メールがどのようなものかを周知し，攻撃を受けた場合に適切な行動をとれるようになるために，本学の全構成員を対象とした標的型攻撃メール訓練を行った．訓練は，事前に標的型攻撃メールへの注意喚起と対処法を通知し，その数日後，事前通知なしに訓練用の疑似標的型攻撃メールを一斉に送った．メールには，標的型攻撃メールと判断できる疑わしい点をいくつか含ませた．メール内に偽装したリンクを記述し，これをクリックした場合を標的型攻撃メールの被害にあったとみなし，その数を集計した．集計の際には，Sandboxによる試行接続を考慮し，この影響を除外した．その結果，リンクをクリックした者は全体の約14%であった．本論文では，実施方法および集計方法，集計結果について報告する．

富山大学の構成員に対する情報セキュリティ教育の効果把握

近年，情報セキュリティ・インシデント（以下，インシデント）が学内外において多発している．富山大学では，学生や教職員（以下，構成員）の情報セキュリティに対する知識や意識レベルを向上させ，インシデントを未然に防止したり，軽微な段階での対処が可能となるよう，セキュリティ体制の強化を進めている．その一環として，本学ではe-Learningを用いたセキュリティ教育を全構成員に義務づけている．本稿では，直近の3年間について，本学のセキュリティ教育を受講したユーザのアクセス記録とテスト結果を分析する．更にそれらの動向と，学内におけるインシデントの発生状況とを比較検討し，e-Learningを用いたセキュリティ教育が，本学構成員にどのような効果をもたらしたかを考察する．

情報セキュリティ教育を支援する情報サービス管理

広島大学では2008年度から毎年、全アカウント所有者にアカウント年度更新を行うことを必須化した。さらに2011年度からは、アカウント年度更新時に情報セキュリティ講習の受講を義務付けた。例年、年度初めから3か月間の更新期間内に約90％のアカウント所有者が講習を受講し、年度末までに約95％が受講を終えている。更新を怠ったアカウントは自動的にロックしている。なお、ロック解除は本人がオンラインで実施できる。本稿では、アカウント管理とID管理を別の枠組みで運用する広島大学の方法のメリットについて報告する。また本学での経験を踏まえて、ID管理主体での運用を行う大学における「情報セキュリティ教育必須化の方法」を提案する。

Shibboleth IdPのためのプラガブル多要素認証システムの提案

Shibboleth IdPなどのIdentity Providerを用いた情報システムの認証において，認証方法の基本はユーザIDおよびユーザIDに紐付く固定パスワードによる認証である．利用者にとって簡易で身近な方法ではあるが，フィッシングなどによりこれらの情報が漏洩した場合には不正にアクセスされる危険性が高い．この対策として，固定パスワード以外の要素による追加の認証も併せて要求する多要素認証がある．本稿では，Shibboleth IdPにおいて，追加の認証や，要求する追加の認証の方法や数を制御する認証ポリシーを柔軟に設定でき，必要に応じて着脱することが可能な，多要素認証を実現するシステムの提案および実装について示す．本システムでは，Shibboleth IdP自体の多要素認証機能に依存しないため，バージョンアップなどによる実装の変更により影響を受ける可能性が減り，保守性を確保した上で認証を強化できる．また，追加の認証や認証ポリシーを柔軟に定義可能とすることで，セキュリティを確保しながらも利便性の向上やセキュリティポリシーの柔軟な運用を図ることができる．

静岡大学テレビジョンのアクセス分析による入学志願者数の動向に関する考察

静岡大学では，Webシステムで稼働する動画配信ポータルサイト「静岡大学テレビジョンSUTV」を2013年から運用している．静岡大学テレビジョンの目的は，研究や学部，サークルなどの紹介を通して大学広報力を向上することである．昨今，大学が抱える諸問題の1つに少子化に伴う入学志願者数の減少がある．2018年から18歳以下人口が減少する2018年問題はその代表例であり，大学経営に深刻な影響を及ぼすと推測される．このような背景から今後は入学者確保が切実な課題となり，入学志願者を増加させるための広報手段が重要となる．そこで，筆者らは広報手段としての静岡大学テレビジョンが入学志願者数に及ぼす影響を分析している．静岡大学テレビジョンへのアクセスをGoogleアナリティクスにて分析し，SUTVへのアクセスと入学志願者数の相関を確認した．この結果から入学志願者数と動画を用いた広報の関係について考察する．

徳島大学における安否確認サービスの設計・開発と訓練結果

徳島大学（以下，本学）の所在する徳島県は発生確率が高いとされる東南海・南海地震の被害が懸念されており，大規模災害を想定した事業継続計画（BCP）の策定と，その実施が重要である．その一環として，情報センターでは，本学における安否確認プロセスの統括的立場である総務課と連携し，構成員安否確認サービスを見直し，再設計，開発を行った．また，平成28年度および平成29年度に全学構成員を対象とした安否確認訓練を実施した．これらは，被災時に本学構成員の安否確認が，迅速かつ簡潔に実施される事により，事業継続性が向上されることを目的としている．本論文では，サービスの概要，安否確認訓練の実施結果と改善課題について述べる．