クラウド移行でIT資産管理が困難になった東北大学 なぜ脆弱性の把握とインシデントの未然対応が可能に?
現場が動きやすい“二層構造”が資産の把握を困難に……アタックサーフェスマネジメントによる打開に挑む

日本有数の国立研究・教育機関である東北大学。日本の教育機関の中でも、非常に柔軟でスピーディなDX推進と、それを支える組織体制の盤石さで、ITに携わる者の間でも有名だ。同学は、「クラウド・バイ・デフォルト」の原則に基づくDXを推進する中で、クラウドサービスの利用拡大にともなう“IT資産管理”の課題に悩まされていた。そこで見出したのが、本格的な「アタックサーフェスマネジメント」の導入である。同学でDX推進の中心に携わる石幡研悟氏と、サイバーセキュリティを担うチームの北澤秀倫氏、大野勝也氏に、同学が抱えていたセキュリティの課題と、それを克服するまでの道のりを訊いた。
DXとセキュリティ対策を両輪で進める東北大学
東北大学ではCDO(Chief Digital Officer)のガバナンスの下、教育部門、研究部門、経営部門が互いに連携し、情報化や教育研究の高度化を推進している。その一環として設立された「東北大学データシナジー創生機構」には、今回インタビューに応じた石幡氏、北澤氏、大野氏も所属し、その中でSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)などの活動にも取り組んでいるという。
北澤氏と大野氏が所属する情報部デジタル基盤整備課 情報セキュリティ係は、大学全体の情報セキュリティ対策計画の立案や施策の展開を担う部署であり、石幡氏が所属するデジタル変革推進課 デジタルイノベーションユニットとも連携している。
「東北大学のCSIRTは、事務職や技術職員、教員が所属するデータシナジー創生機構の中に設置されています。CSIRTの主な運用業務は私たち情報セキュリティ係が担いますが、管理する立場ではなく、あくまでも一員として活動しているという形をとっています。各部門が横串で連携し、意思決定する体制が整っているため、迅速に施策を決めて動けるようになっています」(北澤氏)
同学では、学内だけでなく、他大学や文部科学省、国立情報学研究所をはじめとする外部機関、さらには企業など様々な組織と連携しながら、情報化の取り組みが進められている。協議会のような形で議論や調整を行うこともあり、特にDXのアライアンスにおいては、東北大学が主導的な役割を担うこともあるという。
同学の情報部には、事務職と技術職の双方から職員が結集しており、専門的にデジタルテクノロジーや情報分野に従事してきた者、それらを学んだ者と、事務職出身者が協力しながら業務に臨んでいる。
DXや情報化を進める中で、セキュリティの重要性も当然強く認識していると石幡氏。IT予算や各種デジタル関連の施策は、中期目標や中期計画に基づき、計画的に進められているとした。また、『東北大学ビジョン2030』の中では、DXとセキュリティを両輪で推し進めていく方針を掲げており、教育や研究だけでなく、経営全体においてもDXとセキュリティを一体化させた考え方で取り組んでいるとのことだ。
この記事は参考になりましたか?
- この記事の著者
-
森 英信(モリ ヒデノブ)
就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
名須川 楓太(編集部)(ナスカワ フウタ)
サイバーセキュリティ、AI、データ関連技術やルールメイキング動向のほか、それらを活用した業務・ビジネスモデル変革に携わる方に向けた情報を発信します。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア