学生や職員の金融機関関連の情報を含む大量の個人情報、その上、盗まれれば大変なことになる貴重な研究情報も豊富に保持している大学は、サイバー犯罪者からは、大金を得られる可能性がある宝庫、しかもあまり厳格でないシステムに管理されている狙いやすい宝庫のように見えます。
サイバーセキュリティの Red Teamer (敵がどう考えるかを推測でき、回避策を見つけ、想定し得るあらゆることに考えが及ぶ人)である Andrew Constantine 氏は、主要企業と協力して、サイバー攻撃シミュレーションを行いながらセキュリティの強化に携わっています。業界のリーダーと協力する民間の顧問会社である CIO Cyber Security の創設者であり、「The CIO Solution Book」の執筆者でもあります。
Constantine 氏は、様々な調査や研究を重ねた上での見解として、高等教育機関は失望を禁じ得ない業種であり続けていると繰り返し警告しています。Constantine 氏は、高等教育機関には、4つのサイバーセキュリティ上の問題があると指摘しています。
1. IT 部門における可視性の欠如
見えないないものをコントロールすることはできません。大学の IT 部門の問題の最たるものは可視性の欠如です。
学生が自分の機器を持ち込んだとして、それが見えなかったら、どうやって資産を保護できますか?視覚化されない、持ち込まれたアプリケーションや外部デバイスをメインテインできますか?
組織にとって脅威の指標は、所有する資産内で実行されているデバイス、サービス、プログラム、アプリケーション、および「モノ」を特定することで得られます。深刻な脅威を包み隠すことなく明確化し、リスクを把握し、対策を検討することが重要です。
オープンフィールドの大学で、学生が自分のデバイスを使用している場合、脅威がどこから来るのかを理解し、防御するための方策を立てることは困難かもしれません。学生の活動を監視することはできないので、ほとんどの場合は、してもいいこととしてはいけないことを明確化した、確固たるポリシーと手続きを作成し、学生にその要件を承諾してもらうことが最初のステップになります。脅威を排除するための、ゆっくりとではあっても確実なステップです。
セキュリティ責任者は、データがどこにあるかを検証する必要があります。どのデータをどこに保存し、どう監視・管理するのか、誰がどのデータにアクセスできるのかを検討することが重要です。そこから、ロードマップを作成し、内部そして外部からどのようにアクセス可能かを考察し、その上で資産を守るための保護手段を構築します。
2. エグゼクティブの承認
大学の IT 部門における第2の問題は、理事会や経営幹部からの賛同と承認を得るのが困難だという点です。
これは、大学に限らず、CISO (Chief Information Security Officer、最高情報セキュリティ責任者) が対峙しなければならない最大の課題の1つです。取締役会、理事会、CEO を含む経営幹部は、サイバー攻撃のリスクがどれほど高いのかを理解し、サイバーセキュリティの問題は単に IT 部門だけの問題ではなく、単独のアプローチだけでは解決できない、はるかに大きな問題であることを認識する必要があります。
エグゼクティブからの是認を得るために有効なアプローチ法は、できる限り友好的、協力的な態度で臨むことです。セキュリティを前面に出さないようにして、ビジネスリスクや経済的損失などに関する話題から入るのが望ましいかもしれません。全員で集まって CFO、CEO、CISO としてそれぞれが抱えている様々な課題やその克服方法などについて自由に議論する中で、CEO・CFO とセキュリティ責任者との間の信頼関係を育てることができます。
組織の方針決定に関与する全員が課題とリスクを理解すると、分析や実装が容易になります。多くのデータ侵害が発生する根本的な原因は、教育の欠如と、経営幹部からの賛同と承認がなかなかすんなりと得られない点にあります。
ソリューションを決定し、実装するには、明瞭な見通しと確固としたビジョンが必要です。
CEO も、取締役会も、IT 部門も、感知できないままでいて、データ侵害や攻撃が発生して初めて問題に気が付いたときには、時すでに遅し、です。現実的でない変更や実現不可能な結果を待っているだけの、受動的な事なかれ主義は通用しません。IT 部門が、適切な計画や対策を検討する余裕がないまま、変更と結果を強いられることになったとき、混乱や不手際が生じ、データ侵害が発生してしまいます。
また、セキュリティ担当部門にテクノロジー用に配分される予算の少なさも大きな問題です。今日でも、サイバーセキュリティとそれに関連するテクノロジーは根幹的な必要事項というより単なる予算の配分先と認識されている場合が多いようです。少なくともデータ侵害が発生するまでは。
解決策は、利用できるリソースについてよく調査して、本当に有用なものを見分けられる選択眼を持つことです。無料の製品やオープンソースの製品でできることの半分も実行できないような市販の製品がたくさんあります。予算を、学生や職員が便利に使えて、運用効率と生産性を向上させるのに役立つリソースの購入に割り当てられるよう、しっかり調査してください。
大学の IT 部門という立場は、脅威をもたらしたりコントロールして障害を与えたりする側とは見做されないので、正しい選択をすれば協力は得られるはずです。ネットワーク上の作業をより効率的に安全に行えるようにするための変更を加えることで信頼感が得られますが、人々を混乱させる不必要な製品やアプリを導入すると、人々は実装されたコントロールを回避しようとします。
簡単に言うと、セキュリティ対策として、誰も使い方がわからないようなツールや操作が難しくて作業に支障を来たすようなツールを導入することは、賢明な策ではないということです。
3. 非現実的な期待
3つ目の問題点は、非現実的な期待です。経営幹部からの要求は現実離れしたレベルのものも多く、管理上、環境上の都合から求められる要件は実現できそうにない難易度の高いものになることがあります。
Constantine 氏が遭遇した最近の「非現実的な期待」の例は、VPN ソリューション全体を2日間で構築し、古いシステムを廃止して全世界の 1,200 人以上の既存ユーザーをグローバルに移行し、新しいシステムを、負荷に耐え、セキュリティ対策も施しながら、稼働させることでした。
理想的には、これは数か月をかけるべきタスクです。サービスプロバイダに聞いてみれば明らかだと思います。ソリューション全体で2日どころか、ベンダーから IP アドレッシングスキームを入手するだけで数週間かかる場合もあります。懸念事項を洗い出し、リスクや漏洩についても考察し対策を立て、対応準備を含めた移行方策を練ることが、あるべき実施計画です。
4. 不完全な侵入テスト
最後に、侵入テストの問題があります。
年に一度、または四半期ごとに侵入テストを実行することは重要であり、侵入テストはぜひとも必要です。ところが、惜しむらくは、一般的に行われている侵入テストは、多くの場合、サイバー攻撃の性質をよく考慮した完全にはテストにはなっていません。時間とリソースを費やして攻撃シミュレーションシナリオを探索する必要があります。データ損失防止シミュレーション、SIEM シミュレーション、脅威管理シミュレーション、関係者連絡シミュレーションなどを行って、攻撃シナリオを実行します。
シミュレートされたサイバー攻撃への対応を実行することが重要です。スコープが制限され、何をすべきで何をすべきでないかが事前に定義されているテストのためのテストとは一線を画して、攻撃のシミュレーションを実行してください。現実世界で起きている攻撃をシミュレーションしなければなりません。
決まったルールはありません。目的を達成するために可能なすべてを行ってください。
たとえば、CEO のラップトップに侵入され、デスクトップに置かれたデータが密かに抽出されるというシナリオが考えられます。シミュレーションには、あらゆる対策、対応を含めることが必要です。
シミュレーションによって、意思決定プロセス、リスク評価、イノベーション、チーム連携、などに関する組織の対応状況が測定できます。このようにして初めて、組織が実際に起こり得る攻撃にどのように反応し、識別し、修正できるのかを客観的に理解し、調整していくことができます。
何事にも準備は不可欠であり、シミュレーションを実行することは、適応して的確に対応するための最良の方法を整備していくのに役立ちます。