【インタビュー:広島大学】クラウド化する大学~ISMSクラウドセキュリティ認証取得の最先端セキュリティポリシーに迫る
(上部写真:広島大学情報メディア教育研究センター長・西村浩二教授(左)に取材するさくらインターネット・滝島(右))
近年、大学のクラウド化が急速に広がりを見せている。背景には少子化による学生数の減少に加え、ICTの高度化による技術者確保の問題がある。中四国地方を代表する国立総合大学・広島大学(広島県東広島市)では、2017年3月に学校法人では初めてISMSクラウドセキュリティ認証を取得するなど、わが国最先端の学内のクラウド化を推し進めている。この取り組みはどのように実現させたのか。大学ICT推進協議会クラウド部会副査を務める、さくらインターネットの滝島が、広島大学情報メディア教育研究センター長の西村浩二教授に話を伺った。
過去の連載記事はこちら
<第1回>【インタビュー:武蔵大学】私立文系大学のクラウド化は進んでいるか?大学のクラウド化によるメリットと今後の課題
目次
学内のクラウド化は下から起こった
滝島:早速ですが、意思決定の問題から入りたいと思います。大学はいろいろな立場の方が様々な意見をお持ちでいらっしゃいます。そこがいいところだと思うのですが、反面こうした多様な意見をまとめないとなかなか前に進まないというところもおありかと存じます。クラウド導入の場合、学内に保存されているデータを学外に出すことに抵抗がある方もいらっしゃったと思うのですが、どうやって学内をまとめていったのでしょうか。
西村先生:実はそういった反対の声はほとんど起こりませんでした。むしろ、教職員や学生のほうから「DropboxやGoogle Driveなど便利なサービスが学外にはあるのに、なぜ大学にはそういったものがないのか、学内で使ってはいけないのか」というような質問が続々と寄せられるところから始まりました。こうした要望によって私たちメディアセンターがボトムアップに突き動かされた格好になります。
滝島:なるほど、個人で使っているクラウドサービスが最初にあったわけですね。
西村先生:そうです。既にコンシューマー向けのクラウドサービスが世の中にあるのに、なんで使わせてくれないの、という感じで。で、もう使っているんだけど、それってまずいことなんですか? っていう質問が寄せられるようになりました。大学で使ってもいいか一応確認したいんだけど、大学で使ってもいいよねというような問い合わせが非常に多かったです。
滝島:自分達で使っているクラウドのツールを本当に使ってもいいんですね、公式に認めて下さいというような感じでしょうか。
西村先生:そうです。大学としてそれを使っていいよというお墨付きをもらいたいというわけです。大学のほうがクラウド化に際しては立ち遅れていたというわけですね。
ガイドラインとチェックリストでクラウドセキュリティに対処
西村先生:こうした要望に対し、大学の情報部門に確認しますという形で対応していたのですが、結局はお墨付きを与えることはしませんでした。クラウドサービスは続々と登場していましたし、既にあるサービスにしても内容が改訂されることもあります。ですので、このサービスなら大丈夫とするのは基本的には難しいわけです。
滝島:それは理解できます。やはりどんどんサービス内容は変わっていきますし、設定できる内容も変わってきますからね。
西村先生:したがって、問い合わせに対し当初大学として十分な回答ができませんでした。判断基準というものがまだなかったからです。そこでこうした情勢に合わせていくために、ガイドラインを1年かけて作ることになりました。一人一人自分で判断し、セキュリティに対するリテラシーを高めていくことで対応しようというわけです。
滝島:なるほど、そういうのはその都度エンドユーザーさんが判断していかないといけないですからね。
西村先生:そうですね。ガイドラインだけでなくチェックリストも作りましたが、大学の基準に合ったものは何かというところを判断する基準を作って提供する形をとりました。
滝島:チェックリストもですか。チェックリストは結構具体的な作りになっていると思うんですけれども。既存の学内の決まりを読み替えたりしてクラウドを使うときの問題点や水準を決めていったという感じですか。
西村先生:元々セキュリティポリシーや法人文書の管理規則というのが大学にあって、それらに抵触しないようにするにはどういうところに気をつけていけばいいかというのをチェックリストとして作っていきました。
滝島:そういう基準を作ってチェックリストを作り、それをもとにエンドユーザーさんの判断に委ねていくというわけですね。例えばDropboxとかのサービスの設定をチェックリストを見ながら一つ一つ確認するみたいなことをやってくださいと。
西村先生:そうですね。問題ないかどうかというのを自分できちんと確認しなきゃいけませんよというものを作りました。これがチェックリストです。最低限これだけはチェックしてください。×があれば対策を考えてください。一応それだけやっておけば基本的には大丈夫というわけです。
滝島:そしてチェックしたものを大学の情報部門で集めておられると。
西村先生:そうです。それぞれ各自がチェックしたものは一応提出してくださいねというようにしています。しかしその公開はしていません。公開をしてしまうと、誰々さんが使っていたから私も使っていいというふうになってしまって、結局チェックが疎かになってしまうからです。各自が自分の責任できちんとチェックしてくださいという形にしています。
滝島:なるほど自己責任ですか。しかし逆にそういった責任分界点をエンドユーザーさんにも負わすことで、他の大学でも適用しやすくなりますね。
西村先生:そうですね。そもそも本来セキュリティというのは利用者がきちっとやってくれて底上げができないとやっぱりだめなわけです。利用者のレベルできちんと理解をしていないとセキュリティが保てないと思うので、お墨付きを与えるのではなく、自発的にチェックをして使えるようにするのが一番効率的だというわけです。
機械のお守りをすることが情報センターの仕事ではなくなってきている
滝島:クラウド化を進めると、ITの運用ノウハウとか、運用があるからこその知識やノウハウがセンターからなくなってしまうという話もありますよね。
西村先生:それはよく言われます。技術の喪失を防ぐためにクラウドを採用するべきではないとおっしゃる方は確かにいるのですけど、それは必ずしも運用をやらなきゃ残らないものでもないような気がするんです。クラウドに切り替えたところで、技術というのは研究者であればそういう研究をしているわけですから、そう簡単に失われないはずです。本当の要素技術といいますか、大規模システムでないとしても、失わない形でできるのではないかと思います。
滝島:ある勉強会では、研究システムは各研究者で分担してしまえばいいんじゃないか、教育システムも教務に任せてしまっても最低限動くでしょうと。そして残るのはネットワークの部分で、ネットワークのように横串で刺さるものは縦割りな大学という組織においては有益な部分があるんじゃないかという話がありました。さらにこの横串の組織であるがゆえのメリットを活かし、もっと情報システム部門が経営に参画することで大学は生まれ変われるんじゃないかみたいな話が出たんですね。ですから、情報システム部門の持つ今後の強みは、計算機を持っていることじゃなくて、情報流通の基盤を担っているところにあるんじゃないかとも考えるのですけど。
西村先生:それはおっしゃる通りだと思います。センターが担うべきなのはネットワークとサービス管理、そして付随する認証なのかなと思います。誰がどのサービスを利用できるか、どんな活動をしているかというのを管理するのであって、物の管理は私たちがやる必要がなくなるわけです。今や機械のお守りをすることが私たちの仕事ではなくなってきているのかなと思います。
滝島:ということはやはり情報センターの今後はそういう方向に向かっていくという雰囲気なんですかね。
西村先生:UNIXがどうだとか、チップス的なものをたくさん知っているというのが偉いんだよというのはもう違う。それはもはや私たちの仕事ではないと思います。
学内のクラウド化を進めたくばISMSをとれ
滝島:西村先生の話を伺っていると、クラウド導入というのはもはや問題ではないというように思います。
西村先生:それにはおそらく、これまでのいろんなプロセスが効いているのかなと思うんです。セキュリティでいうとISMS(情報セキュリティマネジメントシステム)というものをセンターで取得しました。3年前に始めたんですけど、これをやったことでオンプレミスのシステムの評価、アセスメントをやらないといけなくなったんです。これによってアセスメントの大切さというのがわかりました。そのあとにクラウド化をしたので、その時にもこのアセスメントと同じ手法でやれば一定のレベルが保てるということがわかっていたのです。結果的にはたまたまだったのかもしれませんが、まずガイドラインを策定したということ、そしてISMSを取得したという順番で進められたことによって、うまいこと私たち自身の安心や心の安静を保てたのではないかと思います。
滝島:うまく連鎖が繋がっていった感じですね。
西村先生:今年の3月にはISMSのクラウドセキュリティ認証を取得したのですが、それをやる際にガイドラインの考え方と上手くマッチしたんです。ガイドラインやチェックリストというのはクラウドにおける事前のリスクアセスメントなんです。その考え方がきちんとマッチしたので、認証を受ける時にもすごく役に立ちました。ここまでくるのに3,4年ぐらいかかりましたけど、今まで一個ずつばらばらにやってきたものが、ようやく一本の線に繋がったという感じがします。
滝島:でもISMSとっている大学さん少ないですよね。
西村先生:いま11校ぐらいでしたかね。さらにISMSのクラウドセキュリティまで取得したのは本学が大学で初めてなのだそうで、今度登録証を持ってきて下さるらしいです。ガイドラインやチェックリストの取り組みがあったからこそ先行できたのではないかと思っています。
滝島:つまりクラウド導入するにはISMSをとれってことなんですね。
西村先生:そうかもしれないです(笑)。これはつまり、元のセキュリティがきちんとアセスメントできてないといけなくて、それができてないのにクラウドにいくともっとぐちゃぐちゃになりますよっていうことだと思うんです。
滝島:ジャンプするためには足下整えてということですよね。
西村先生:そうそうそう。ISMSの建て付け、いわゆる情報システムのセキュリティがベースにあって、その上に乗っかる形の認証なんです。なので土台がしっかりしてないとクラウドセキュリティを取れないんです。建物の基礎をしっかりしないまま上に積み重ねていってもそれは崩れてしまいます。ベースがしっかりあるからこそ上が使えるわけです。今回第三者に認めてもらえたことによって、ガイドラインの考え方や進め方が間違ってなかったとことが確認できました。
滝島:一般の大学ですとポリシーから一気に飛ぼうとしちゃいますから、そこでなんかいろいろと問題が起きてしまうんじゃないかなという気がしますね。
西村先生:そういう進め方ですと、ポリシーがきちんと学内で回っているかどうかを確認する術がないんじゃないかなと思っています。
滝島:ポリシーがPDCAで回っているところは多くないですよね。
西村先生:例えば本学では全ての教職員や学生を対象に、年に1回フォローアップ講習というものを義務づけています。これをやらないと、その人の学内アカウントが凍結されてしまいます。ロックされちゃう。どういう内容かといいますと、まずこの1年間何をやったか、どういう行動をしたかというのを振り返ります。そのあとセキュリティの最新動向に関する勉強をして、確認テストに合格してはじめて来年度も使っていいよという仕組みなんです。これを全構成員がやるようになっています。しかし他の大学の話を伺うと、多くの大学ではそこまでできていないのだそうです。セキュリティ研修の受講率が悪いですとか、そういう話をよく聞きます。
滝島:諦めてしまう大学が多いようですね。
西村先生:そういう大学では研修を受けなくても罰則規定がないようですが、本学には使えなくしますっていう罰則があるんです。なので受講率は9割以上にのぼっています。確かに受けない人もいるんですけど、そういう人達はそもそもアカウントを利用していないので、そういうアカウントを残しておくほうが逆に危ないと考えています。ですのでそのようなアカウントは自動的に閉じるような仕組みにしています。本学ではこのような仕組みを作って、1年に1回棚卸しをするという取り組みをもう10年近くやっています。
クラウドの標準化が今後のカギ
滝島:何か一つ大きいヒントが見えてくる気がしますね。それを後追いできる大学がどれぐらいいるかなとも思いますけど。
西村先生:他大学にどう活かしていくかという部分で言いますと、NII(国立情報学研究所)の会田先生、吉田先生と一緒にいろいろ考えさせていただいております。実はNIIでは先ほどお話ししたガイドラインなどの考え方をベースに、クラウドの導入支援サービスをやろうとしています。本学で培った経験を取り入れていただけないか、検討しているところです。今までやってきたことがようやく繋がった形になったので、これを他大学にも活かせればと思ってお手伝いさせていただいています。
滝島:西村先生のところは体系化できたという格好ですよね。
西村先生:一応格好が付いたかなと思います。私たちがやったことはすごく時間がかかったと思うのですけど、うまく圧縮してやれば1年か2年ぐらいでできるような話のような気もするんです。私たちが紆余曲折した部分を上手く活かせるようになれたらいいんですが。そこまでやるのが私たちの役割かなと考えています。クラウド化に関してはISMSを取得したことで、いいところまでいったと思いますので、上手くまとめられたらいいなと思います。
滝島:ただ、クラウドってあくまで目的ではなくて手段ですからね。
西村先生:確かにクラウドを導入することが目標ですみたいになってしまわないように注意が必要です。クラウドを導入することでどういうメリットがあるのか、何のためにやるのかという部分が見えないといけません。
滝島:大学のクラウドという単語というのは前回の武蔵大学さんでも話したんですけど、IaaSじゃないんですよね。アウトソーシングするという意味合いが強いのかなと思っていて、学内において自分達がハンドメイドで運用しているのを外に出すことによって運用負荷を減らし、人の負荷を減らして必要な方のところに向けて下さいというのが大学におけるクラウドだと思うんですよね。単にIaaS入れたというだけではどうでもいい話なわけです。
西村先生:IaaSだとあまり変わらないと思います。変わらないんですけど、変わらないからこそ、移行の過程でそれを使うのはやむを得ないということで、本学はやってきているんです。事務系をはじめ、とりあえず全部IaaSに置き換えましょうというところから始めてきたのが現状です。だからこそ、その先を考えていかないと、そこで行き詰まっちゃうかなという気もしています。
滝島:ポストIaaSみたいなものですね。
西村先生:そうですね。IaaSの次にどうするかという。とりあえずクラウドにしましたというのは、IaaSにすればいいだけなので簡単なんですけど。
滝島:いやいや、そこからしてなかなか簡単にできないのが今の現実なのかなとも思いますが。ポストIaaSってどういうものなのでしょう。
西村先生:なんなんでしょうね。それこそSaaSの形なんでしょうか。例えば業務の見直しみたいなものが十分できていないとか、標準化という部分でしょうか。本学の場合、IaaS化は一生懸命がんばりましたが、標準化というところはまだこれからだと思います。標準化ができていないと、SaaSに移ることもできませんから。
滝島:標準化と言いますと、国立大学は昔、事務システムを共同で作っていましたよね。
西村先生:そうでしたね(笑)。事務システムの標準化が良かったかどうかの判断はおまかせするとして、私としてはNIIに旗を振ってほしいという思いもあります。先ほどのクラウドの導入支援サービスに加え、SSOやSINETなど、結構いいところを掴んでいると思うので、今後に期待したいなと思います。