サイバー攻撃と大学との間の戦いは、間違いなく攻撃者側が有利です。
大学という高等教育機関には、個人を特定できる情報 (Personally Identifiable Information、PII)、支払い記録、病歴などを含め、学生と保護者の両方に関する大量のデータが保存されます。にもかかわらず、大学は昔からこういった情報の保護に関してあまり熟達してはいません。
この2つの相乗効果で、高等教育機関に対する攻撃は、頻度も重大性も高くなっています。2019年のデータ漏洩調査報告書に記載されている確認された382件の高等教育に対する攻撃のうち、25%以上が情報の紛失または盗難につながりました。
大学の情報管理者なら、何か対策を施す必要性を感じるはずです。このブログでは、学生や教職員の機密データを保護する最善の方法について考察します。
1. 通信回線のセキュリティを確保する
まず最初に触れておきたい点は、コロナ禍により脅威ピラミッドの新しい層として加わった Zoom です。多くの学生が様々なコラボレーションツールを使用してオンラインで授業を受けたり、大学関係者と話したりしますが、Zoom は中でもよく使われるツールであり、2020年の時点で2億人以上のアクティブユーザーがいました。
Zoom には使用上の問題があり、正しく設定されていないと許可されていない人が参加できてしまうことがあります。これは、Zoom 爆撃と呼ばれる現象で、ただのやっかいな迷惑行為のように見えるかもしれませんが、実際には犯罪です。最悪の場合、攻撃者が機密情報を盗聴する可能性もあります。セキュリティを向上させ、コンプライアンスを維持するには、スタッフがどんなコラボレーションツールを使っているのか、また標準化されたセキュリティ対策を行っているか、などについて調査する必要があります。
2. ソーシャルエンジニアリングの防止
高等教育機関は、フィッシング攻撃の標的になりやすい組織です。あまりよく知らない学生たちから大量の電子メールを受け取ることがある大学のスタッフを標的にしてだますのは簡単なことが多く、また、学生自身がセキュリティのためにはどうするべきかという高い認識を持っていないという不安材料があります。2019年、スパムを介して配信されたトロイの木馬マルウェアは、すべての日和見攻撃の71%を占め、その最も標的とされたセクターは教育分野だったことが示されています。
学生や教職員をフィッシング攻撃から保護するには、2 つのアプローチが必要です。1 つ目はセキュリティ意識向上トレーニングで、通常は短いクラスの形をとり、その後にユーザーにフィッシングメールを識別するための定期的なテストを実施します。これは効果的ですが、完全ではなく、攻撃が成功する可能性を15%程度減らすことができるだけだとも言われています。2つ目のアプローチ、強力なメールフィルターと安全なファイル転送方法を利用することが推奨されます。常に電子メール以外の方法でファイルを転送するようにすると、フィッシング詐欺の識別がはるかに簡単になります。
3. 潜在的なリスクの分析
自宅で仕事をしたり、学んだりしているすべての人との安全なネットワークを構築するという課題は、統合されたキャンパスを保護することよりも困難な課題です。古い VPN システムの脆弱性を悪用しようとしたり、 安全でないホームルーターを乗っ取ったり、COVID-19 に関する情報をマルウェアを拡散するチャネルとして使用したりするなど、様々な攻撃が仕掛けられています。
セキュリティ管理者としての仕事は、これらの新しい攻撃ベクトルを分析し、その重大性と可能性に基づいて対策を立てられるよう新しいセキュリティ態勢を確立することです。どこからネットワークにアクセスしているユーザーでも保護できるようなセキュリティソリューションを推進する必要があります。
4. コンプライアンスの徹底
サイバー攻撃そのものの打撃は大きいですが、さらにサイバー攻撃の被害を受けたことへの罰則もあります。例えば、合衆国の場合、家庭教育の権利とプライバシーに関する法律 (Family Educational Rights and Privacy Act、FERPA) が、学生の記録を安全に保つために教育機関が合理的な方法を採用することを義務付けています。FERPA 違反に対する罰則としては 連邦からの基金受給権の喪失も可能性として含まれています。
サイバーセキュリティと同様、環境の変化に伴ってガバナンスやコンプライアンスに関しての重要ポイントも変化していきます。変化する情勢に対応できるよう、ソーシャルディスタンスという制約の下で教育機関が FERPA を遵守するためのウェビナーなどといった時流に即した情報へのアンテナを張っておくことは大切です。コンプライアンスのためには、登録した学生でない誰かがオンライン授業を受けられないようにすることも必要であり、最初のポイントである通信回線のセキュリティにつながります。
5. 適切なツールを使用してデータを保護
この新しい時代において確実に言えることは、データセキュリティという困難な課題を高等教育機関が単独でクリアしようとするのは極めて難しいということです。学生と教職員の情報を保護することだけでも十分に困難ですが、コロナ禍でのリモートアクセス問題は、それに輪をかけます。
プログレスが提供するマネージド・ファイル・トランスファー・ソリューション、MOVEit のようなサービスを利用することで、フィッシング、マルウェア、プライバシー侵害などに対抗できる安全な通信インフラストラクチャを構築できます。