ほとんどの大学が教職員より多くの学生を抱える中、大学生セキュリティマネジメントは困難なのが実情だ(画像:ペイレスイメージズ 2 / PIXTA)

大学や研究機関における情報漏洩などのサイバーセキュリティ・インシデントが、度々発生している。こうした組織に対するサイバー攻撃は、一般企業への攻撃とどう異なるのか。大学が持つ情報の特殊性や狙われやすいポイント、そして、セキュリティ人材を確保しづらい大学はいかにセキュリティを確保すればよいのか、情報セキュリティ大学院大学教授の後藤厚宏氏に聞いた。

大学生は「お客様」だから対策を強制できない

--大学におけるサイバー被害や情報漏洩のニュースがしばしば報道されています。最近の動向を教えてください。

ここ数年、学生情報が漏洩したという報道が続いています。学生は大学にとって、授業料を支払ってくれる「お客様」です。企業が自社の社員にセキュリティ管理を強いるのと異なり、顧客にセキュリティ管理を徹底させるのはなかなか難しい。さらに、ほとんどの大学は教職員よりはるかに多い学生を抱えています。こうした観点から、学生のセキュリティマネジメントは困難なのです。

--特に大学が狙われる理由として、どのようなものがありますか。


東洋経済Tech×サイバーセキュリティのトップページはこちら

大きく3つあります。1つ目は、学生の個人情報です。学生時代のアドレスは、多くの人が就職後も使い回します。学生の情報は狙いやすいだけでなく、将来よい「金づる」になり得る個人情報でもあるのです。VIPやセレブの情報と比べれば単価は安いものの、学生の個人情報は実際にブラックマーケットで売買されています。企業であれば統制を利かせて情報管理を強制できますが、学生にはなかなかできません。情報は学生からもある程度漏れるものだと覚悟し、その前提で対策を講じる必要があります。


後藤 厚宏氏(ごとう・あつひろ)情報セキュリティ大学院大学学長 NTT研究所にて並列・分散処理アーキテクチャ、インターネットセキュリティ技術、高信頼クラウドコンピューティグ技術、ID管理技術の研究開発等に従事、NTT情報流通プラットフォーム研究所長などを歴任。 2010年よりNTTサイバースペース研究所長。IEEE Computer SocietyのBoard of Governor、2011年7月より情報セキュリティ大学院大学教授。 2015年11月より内閣府SIP プログラムディレクター。2017年より同学学長(写真は本人提供)

2つ目は、大学が持つ学術的成果です。高度な学術研究を行っている大学は、先進企業の営業秘密と同等かそれ以上に貴重な情報を持っています。特に、産官学で共同研究をしている場合などは、国立の先進研究機関と同レベルの情報を抱えていますから、それらを守る努力や仕組みが必要です。

3つ目は、攻撃による社会的影響が大きいことです。教育機関の重要なミッションは、教育サービスを提供し続けること。この「事業継続性」を妨害して授業や入試を実施できないようにした上で、身の代金を要求するランサムウェア攻撃などが起こり得ます。

被害を防ぐために、大学生セキュリティ教育を施すのはもちろんですが、小中学生のうちから、大切な情報を守る自己管理能力を高める教育をすることも必要でしょう。ちょっとしたノウハウだけでも対策になるので、ITは便利な分だけリスクがあることを早くから伝えておくとよいと思います。

入学・卒業が重なる春に大量のID登録や破棄が必要

--現状の大学組織のセキュリティ体制には、どのような課題がありますか。

今の大学はほぼITシステムで運営されていて、とても人海戦術で管理できる規模ではありません。セキュリティ専門の教授がいない社会学系や文系の大学でも、クラウドやAIを使って研究・講義をしますから、自組織だけで対策するのは難しいでしょう。リスクの理解と最低限のセキュリティ対策は内部で実施し、具体的な対策は適宜アウトソースして外部の専門家の力を借りるべきです。

とはいえ、外部に仕組みを作ってもらっても、大学が侵入や不正アクセスを見分けるログのチェックなどを怠っているケースはよく聞きます。大学経営に携わる方々には、誰がどこまでやるかの責任を明確にし、ルールを遵守するのはあくまで内部の体制であることを意識してほしいです。

特に大学は毎年多くの入学生と卒業生が出るため、春に大量のID登録と破棄を行わなくてはいけません。この管理は相当負担が大きいのですが、担当者には覚悟を持って取り組んでもらうしかありません。今では一括でID管理ができる便利なツールもあるので、そうしたサポートを活用するのがよいでしょう。

--具体的に大学で情報漏洩が起きやすい状況としては、どのようなものがありますか。

企業でも問題となっている「シャドーIT」です。セキュリティ管理者に許可を得ず、独断でツールやシステムを導入してしまう例は、大学にも山ほどあります。特に、研究室で便利さを優先してしまったり、多忙となる入試前後の時期にシャドーITが増えます。

忙しくて家でも仕事をしないと終わらず、禁止されているはずの情報をコピーして持ち帰ってしまう。これを防ぐには対策を強化するだけでなく、教職員の負担を減らすことが重要です。

セキュリティ対策をしない研究は「その程度の価値」

--今後考えられる対策としてはどのようなものがあるでしょうか。

今働きかけていることの1つが、文科省が大学に公募をかける研究について、応募する大学が出す提案書にセキュリティ対策の費用項目を追加させることです。研究そのものの費用とは別にセキュリティ対策費用を必要とし、事前にチェックするのです。よい研究をするほど、攻撃の対象になるのは当然です。個人的には、セキュリティ対策を立てるつもりがない研究は、「その程度の価値なのですね」と思ってしまいますね。

--大学でセキュリティ対策が思うように進まない中、大学本部や学生はどのようなことに注意すればよいですか。

大学の予算のうち、セキュリティ対策に割ける額が大きくないのはたしかです。限られた予算でゼロリスクを目指すのは無理ですから、何かあった際に被害を最小限にすることを考えるのです。


最初にやるべきは、学生の情報を守る、先進的な研究の重要情報を守る、事業継続性を確保する、これらのどれを優先すべきかを考えることです。これは大学本部、研究センターなど部門ごとに異なりますし、目的によってバックアップのあり方や管理方法も違ってきます。

例えば学生情報の漏れを防ぐには、不必要にバックアップをしないことや、バックアップを取った際にはその管理にも注意が必要です。一方、大学の事業継続性を守るためには、万が一に備えて別の場所にバックアップデータを取っておいて、すぐに復旧することが求められるでしょう。

本学には「プラスセキュリティ」という考え方で、医療関係者や弁護士など現在の本職の専門知識に追加してセキュリティを学ぶ社会人学生が多くいます。リカレント教育の一環として、大学組織内の人をセキュリティ専門人材にしていくことも1つの道かもしれません。

(谷川 耕一 : ライター)