【大阪経済大学】継続的な脆弱性診断により、
大学の信頼とブランドを守る

大阪経済大学 さま

大阪の中心に位置する「都市型複合大学」である、大阪経済大学。100周年ビジョン「DAIKEI 2032」を掲げ、個と個の相互作用によって新たなものを生み出す、“創発”の場を提供しています。

この度、Sreake Securityの脆弱性診断サービス（アドバンス診断）をご利用いただきました。診断を受けた感想や、大学が脆弱性診断を受ける意義などについて、学校法人大阪経済大学 情報システム課の下浦 智也さんにお話を伺いました。

――はじめに、御校の概要を教えてください。

大阪経済大学は、大阪市に立地し、現在約7,200名の学生が在籍する中規模の大学です。2032年で100周年を迎えます。大学の方針は色々とありますが、学内でよく耳にするのは「そっと手を添え、じっと待つ」ことです。学生をある程度サポートしつつ、経験をたくさん積んで自立してもらう。そのために、大学としては長い目で見守りながら、きめ細かいサポートをしています。

――今回、脆弱性診断を受けたのは、どのようなWebサイトですか？ 

本学が運用しているWebサイトの一つです。制作や保守は外部のベンダーが担当しており、本学とベンダーとの連絡調整を私が担当しています。利用者数がそれなりに多いWebサイトなので、万が一サーバーが停止してしまった場合の影響は非常に大きいです。問題を起こさないことはもちろん、起きた場合に速やかに復旧させることも非常に重要と捉えています。

――外部の脆弱性診断を受けることにした経緯をお聞かせください。

まず、Webサイトを数年前にリニューアルした際に、セキュリティ面まで十分に手を回せなかったことが懸念事項としてありました。当時、機能に関する多種多様な要望をベンダーに依頼した結果、スケジュールに余裕がなくなったことが大きな要因です。

その後の運用の中では、一般的なセキュリティ対策はしてきました。例えば、障害の速やかな検知や、公表されている脆弱性への対応といったものです。ただ、外部からの攻撃などに対する、本格的な対策は実施していませんでした。

このような状況だったので、現在抱えているセキュリティ面の課題を可視化する必要性を感じ、外部のセキュリティ診断を受けることにしました。ちょうど、この方針を決めた数か月後に、スリーシェイクの齊藤さんから私の上司に営業の電話がありました。

――その節は、営業担当からの突然の電話に、丁寧にご対応いただきありがとうございました。
　　Sreake Securityの診断を受けることにした決め手は何でしたか？

率直に申し上げると、まずは価格の面が大きかったです。他には、大手企業を含め、取引実績が豊富であること。そして、我々が気になっていたことを上手く吸い上げて、それにマッチする提案をしてくださったこと。契約に至るまでの対応も迅速で、信頼感を持てました。

――今回受けた脆弱性診断の内容を教えてください。

Webサイトについて、アドバンス診断を受けました。診断期間は5日間で、診断前後のスリーシェイクとのコミュニケーションは非常に円滑でした。診断前には細かい確認・調整をしましたが、診断期間中の技術的なやり取りは殆どなかったです。気が付いたら診断が終わっていて、報告書が上がってきました。

――スムーズに診断できたのは、診断前の確認にご協力いただいたおかげです！
　　診断の結果、脆弱性は見つかりましたか？

いくつか脆弱性が見つかりました。診断結果の報告書は、本学に常駐している外部委託先のエンジニアと一緒に読んだのですが、両者とも驚きました。我々だけでは気づけなかった脆弱性を指摘されていて……。今回見つけてもらえて、感謝しています。

――報告書のクオリティはいかがでしたか？

本当に必要十分な内容で、大変ありがたかったです。セキュリティ診断に限らず、報告書の類では、情報量が多すぎて重要なポイントがわかりにくいことが多々あります。Sreake Securityの報告書は、我々の課題や必要な対策が簡潔に書かれていて、すごくわかりやすかったです。導入ベンダーにもそのまま共有して、スムーズに改善の対応を進めることができました。

――報告書を褒めていただき、ありがとうございます！
　　御校のような大学がセキュリティ診断を受けることには、どのような意義があると思いますか？ 

大学には、学生が多数在籍していることから、SNSなどで話題に上りやすい傾向があります。また、特に規模の大きい大学の場合、世界中からのアクセスも想定されます。これらを踏まえると、どの大学でも脆弱性診断の実施は必要不可欠なのではないでしょうか。

大学のブランドといいますか、信頼をしっかり保つ上でも重要だと感じています。「受験生が増える」「外部からの評価が高くなる」といった、目に見える効果はないかもしれません。しかし、築き上げた信頼を崩さないための一つの手法として、脆弱性診断は受けた方が良い、受ける必要があると思います。

――最後に、セキュリティ面を含む、御校の今後の展望をお聞かせください。

今回は診断を受けなかったシステムも含め、今後も継続的に脆弱性診断を受けていく方針です。この方針自体は、今回の診断前から既にあり、来年度（2021年度）の予算も確保しています。実際にSreake Securityの診断を受けてみて、本学と導入ベンダーの二者の視点だけでは見落としがあることや、継続的に診断を受けることの必要性を改めて確認できました。

また、システムを使う「人」への教育にも力を入れていきたいと思っています。まず、教職員向けの情報セキュリティ研修については、2010年頃から実施しているものを今後もしっかり継続していきます。他方で、学生向けの授業は受講者数が少なく、学生の情報リテラシーを上げていくためには何らかの工夫をしていく必要があります。

ハード面・ソフト面ともにセキュリティ対策に順次取り組みながら、大学全体のセキュリティレベルを総合的に上げていこうと思います。

――ぜひ、今回の診断を、御校のセキュリティレベルの向上にお役立ていただけたら幸いです。
　　下浦さん、本日はありがとうございました！

written by　三谷 恵里佳　https://tokyo-merrydsn.com/

Sreake Security(現Securify脆弱性診断サービス)の事例となります