学内全9サイトにCloudflareを導入。グローバルに広がるデータベースを基にした保護で、より堅固な環境を実現。

9つのWebサイトにCloudflareを全て導入

自社内で運用するサブドメインを含む9つのWebサイト（システム）にCloudflareを導入した。元々WAFが導入されていた滋賀大学公式ページに加え、今回の9サイトの導入により、滋賀大学が保有するWebサイトは全てWAFによって保護されたこととなる。
今回導入したWebサイトは公式ページのような不特定多数のユーザーが利用するWebサイトというよりは、学生や職員のアクセスが中心であるe-ラーニングサイト、図書館のWebシステム、課題提出・ダウンロード等が行われるようなユーザーサイトである。

※WAFとはWeb Application Firewallの略で、WebサイトなどのWebアプリケーションを不正な攻撃から保護します。

大量の攻撃ログが記録されていた

── セキュリティ強化を推進されているそうですが、きっかけはありますか？

WAF導入検討の１つとしてサーバのアクセスログを解析したところ、SQLインジェクションなどの大量の攻撃ログが記録されていました。
もちろん、既存のセキュリティで明らかに防げているものばかりで、成功したものは１つもありませんでした。ですが、やはり万に１つこの攻撃が通ってしまったらという不安は感じました。
それがセキュリティ強化を推進した１つの要因と言えますね。

アプリケーション層の防御：WAFだけが不足していた

── 多種多様なセキュリティの中で、WAFの導入を推進された背景を教えてください。

滋賀大学は、学内ネットワークの入り口出口を防御するUTMを中心にセキュリティサービスやプロダクトを活用し、学内のネットワークを保護しています。

しかし、既存のセキュリティ体制ではアプリケーション層の防御部分に少し不足を感じており、それを補うためにWAFの導入を検討していました。我々は積極的にセキュアな環境構築に取り組んでおりましたので、逆に言えばWAF部分以外は比較的堅固に守られていたと思います。

導入の後押しは、他大学の情報漏えいインシデント

元々学内のセキュリティを高めるため、WAFの導入はかねてより検討していたと語るお二人。複数のサービスを視野にいれ、資料収集を進めていたといいます。
その検討が一気に進み導入を急ぐ原因となったのは、１つのインシデントニュースでした。

2022年11月：他大学が運用する情報システムのサーバが不正アクセスを受け、データの一部改変と個人情報漏えいインシデントを報告した。担当者はインシデントの報告と合わせて、今後はWAFを導入して対策を打っていくと話していた。

── このニュースを受けて、WAF導入の検討が一気に進んだということでしょうか？

そうですね、元々来年度WAFを導入するために予算への組み込みは検討していました。ですが、このニュースの後「やはり全WebサイトへのWAF導入は急務である！」という学内の認識が高まり、その結果として年内に急遽WAF導入の予算を設けることが出来ました。

逆に言えば、初期導入費用や初期サポートがかかるサービスなら、この年度内の予算を利用して導入してしまおうと思ったので、導入を急いだこともあります。

決め手は、定額制の料金プランと豊富な攻撃データベース

決め手１：定額制でドメイン＆PV数で決まる料金プラン

本校は国立大学法人のため、年度初めに作成された予算内での運用が必須です。そのため、トラフィック量などで変動する料金形態はどうしても受け入れることができませんでした。
その点、ざっくりとしたPV数によって料金が決まるCloudflare導入支援サービスは、本校にあっていたと思います。

また、WAFによってはFQDN単位の課金やサーバ台数での課金などもありましたが、今回のサービスはドメイン単位で契約が出来るため、今回導入した9つのWebサイトを1契約で賄えました。FQDN単位で9契約することを考えると、初期費用もランニング費用も大幅に削減できたと思っています。

決め手２：グローバルに広がるネットワークからの攻撃データベース

── コスト面以外でのCloudflareを選んでいただいた理由があれば教えてください。

もちろんあります。
コストだけでみると、安価なWAFも市場にたくさんありますが、そうした最安値のプロダクトというよりは、しっかり保護でき安心できるサービスを入れたいと思っていました。
その点「Cloudflare」については、詳しくはありませんが何となく知っておりましたし、世界的なネットワークを持っていることが安心感の１つでした。

外国製のWAFなのでという意見も市場ではあるようですが、やはりこうした攻撃のほとんどが海外から来ることを考えると、グローバルに広がるネットワークで集めた攻撃データベース、それを基に作られるルールセットというのは評価ポイントでした。

ダッシュボードで保護を可視化

── 導入効果として、セキュリティ保護の他に何かあれば教えてください。

管理画面において、WEBサーバごとのアクセス状況や攻撃状況等がリアルタイムで可視化されたことも１つ、メリットだと感じています。

そもそも学内のサイトなので、どんな攻撃があったのかだけでなく、Webシステムの利用状況などを可視化することを今まではしていませんでした。
ですが、今回のCloudflareの導入によって攻撃を受けブロックしたデータや、システムのアクセス・利用状況を可視化し把握できるようになりました。今は攻撃ログを見ることに主に利用していますが、この情報はもっといろんな活用が出来るのではないかと期待しています。

低コストでWEBセキュリティを確保したい企業におすすめ

── クララの導入支援については、いかがでしたか？

セキュリティプロダクトはどうしても最初のチューニングで遣り取りが何度も発生する性質のものだと思います。その中で、質問に対するレスポンスが早く、技術検証、サポートの提供も満足できるものでした。

── どんな企業に向いている製品だと思いますか？

コストパフォーマンスと、セキュリティパフォーマンス、サポートのパフォーマンスのバランスが良く、低コストでWEBセキュリティを確保したい企業様にはおすすめです。

入り口出口だけでなく総合的に保護していく、セキュアなネットワークを

── 最後に、貴校がIT周りで今後ミッションとして掲げるものがあれば、教えてください。

そうですね、やはりネットワーク全体のセキュリティ強化だと思います。

学生さんが自由にアクセスでき、学習に不便を感じない校内ネットワークは大学には必須です。今でも充分にネットワークの出入口を中心に堅固に保護していますが、やはり学内の自由アクセスで利便性を上げる程、学内ネットワークは安全であるという前提が崩れかねません。
なので、入り口出口だけではなく、ネットワーク内部でも総合的に保護していく、ゼロトラストベースのような安全で便利なネットワーク構築を推進していきたいと思っています。

クララは、滋賀大学が掲げるセキュアでかつ勉学に励む学生にとって不便のないIT基盤を引き続きご支援できるよう努めて参ります。

インタビューへのご協力、ありがとうございました。