オープン性と透明性を維持しながらサイバーリスクを低減することは、教育機関の IT の至高の目標であり、大きなチャレンジです。
ITセキュリティ会社 Mimecast が発表した2019年のレポートによると、大学が受けるユーザーあたりの攻撃数の割合は、他産業の平均よりも9倍多いと報告されています。大学などの高等教育機関(Higher Education Institutions、HEI)は、迷惑メールのターゲットとしても、2番目に多く狙われています。驚く人がいるかもしれませんが、HEI には、サイバー犯罪者にとって垂涎の的となるような1つの拠点に統合された豊富なデータが存在します。例えば、次のようなデータです。
- 学生と職員の名簿情報 – 名簿には様々な情報が記載され、金融関係情報、健康、学歴のほか、社会保障番号、運転免許証番号、パスポート情報など、個人を特定できる情報(Personally Identifiable Information、PII)も含まれることがあります。
- 学術データ – 授業で使われる資料や有料オンラインコースの資料など
- 研究データ – いわゆる「ならず者国家」や金銭目的のサイバー犯罪者は、研究データを主要なターゲットにしています。大学で行われている研究は何らかの資金提供が行われているものが多く、非常に機密性が高いものもあります。
ハッカーにとってこのようなデータセットが魅力的なのは明らかで、攻撃のターゲットに HEI を選択することはまったく理に適っているわけです。
なのに HEI ではデータ侵害への対策が十分にとられていないように見えるのはなぜでしょうか。まず、学術世界はビジネス世界ほどには先鋭的ではないことと、おそらくキャンパスをエミュレートする意図があって、できるだけ排斥せずオープンにしていこうという意識が働いていることがあると思います。また、独自ネットワークに関連する問題や教育機関の目的に固有の問題もあるかもしれません。
高等教育機関の脆弱性
ネットワークと高等教育機関の歴史をたどると、HEI は、今日のインターネットブラウザを介してではなくテキストのみのソリューションを使用してではありましたが、オンライン化の先駆者的存在でした。そのため、ハッキングのパイオニアからは目に見えるターゲットであり、自分の成績を変更しようとアクセスを試みられたり、さらにはもっと悪質な動機でデータを獲得しようとされてきました。オンライン化初期の時代を経て、テクノロジー的には少し遅れを取った感がある現在(最近のイノベーションと脅威は急速に進化しています)まで、たいていの HEI は、最新のツールや手法を使用するハッカーたちに対してかなり脆弱であると言えます。
HEI には様々な学部や学科があります。物理学やコンピュータ関連の部門は文学部などといった部門よりも多くのリソースを必要とするなどの違いが大きく、IT インフラストラクチャは各学部ごとに個別に(おそらく建物も別々で)持つことになるのが普通です。こういった状況は、キャンパス全体のサポートを担当する IT 部門にとっては、対処すべき問題が複雑であることを意味します。
HEI は、何千人にも及ぶユーザー(学生や職員)をサポートするため、高速ブロードバンドを持ちます。そのインフラストラクチャは他のターゲットに大規模な攻撃を仕掛けるために使用することもできるので、ハッカーにとっては格好のターゲットになります。
加えて、大学では BYOD がデファクトのようになっており、学生や職員は自分のデバイスからキャンパスのリソースに簡単にアクセスできます。このことだけでもセキュリティ上のリスクになり得ます。
HEI では大企業が提供できるような給与や福利厚生を用意できないので、世界的なサイバーセキュリティ業務担当者の不足は、問題に追い打ちをかけます。
学術的な目標を維持しつつ、リスクを低減
大学のように大規模な共有やコラボレーションが必要な環境において、セキュリティ強化を行うための最初のステップは、全員が1つの目標に向かってまとまるようなチームを編成することです。そのチームにはすべての部門の代表者が加わるべきですが、特に IT 部門の代表者はリーダーとしてチームを牽引することが求められます。全員にフィードバックを求め、以下の各項目を特定していきます。
- 収集されるデータと保存されるデータ。
- 各データにアクセスする必要がある人とその理由。
- クラウドベースのアクティビティ。
- 地域の教育機関が従うべきデータガバナンスやプライバシーの規制。HEI では授業料を取り、学生寮や学生食堂を備え、健康管理システムなども導入していることがあるので、幅広い規制が適用される可能性があります。
これらの情報が明瞭になったら、役割やポリシーなどを考慮し、必要なアクセス許可に従ってデータを分離します。要件、必要なソフトウェア、そして使用されているその他のリソースについて、すべて IT 部門に通知するようにします。重要な研究データの存在とその保存場所が知らされていなければ、当然ながら、IT 部門ではそれを保護することができないことを、十分認識しておいてもらう必要があります。
各データセットに対する潜在的な脅威を明確化します。教育機関としての学術的な目標を補完する、共有、コラボレーション、透明性に関するサイバーセキュリティ戦略は、専門家である IT 部門から草案を提案するのが妥当でしょう。
広範な産業に共通する最大の脅威は、SQL インジェクション、ランサムウェア、フィッシング攻撃によるものです。SQL インジェクションは、適切なコードを記述してデータベースをロックすることで防止することができます。他の2つは、ユーザーが、リンクをクリックするか、銀行や政府機関、送金が必要な親類、利用しているサービスや製品のプロバイダなどからの「納得できるように思える」電子メールに含まれるドキュメントや添付ファイルなどを開くかすることによって成功するので、ユーザーへの教育が重要になります。
ユーザーへの教育
自分ではわかっていたつもりだったのに、ついつい犯してしまう「うっかりミス」を完全に防ぐ手立てはないと言っても過言ではないでしょう。ですが、だからと言ってセキュリティ意識向上のトレーニングを実施する必要がないということはあり得ません。そうでないとデータ侵害は野放しに広がってしまいます。人的ミスを極力抑えるためには、やはり、地道にユーザー教育を実施する必要があります。学生や職員に対して、セキュリティ意識向上のトレーニングコースを用意し、終了しなければ HEI インフラストラクチャへのアクセスが許可されないような仕組みを検討してください。受験予定の学生は、誰もがアクセスできる「オープン」になっているリソース以外のリソースにはアクセスできないようにするべきです。
脅威の検出と防止
利用可能なツールを使用してインフラストラクチャを保護します。プライバシー重視の検索エンジンを選択して、教育機関で利用可能なソリューションを調査してください。教育機関関係で問い合わせられるところがあれば、他の HEI では何がうまくいっているのか、確認してみるといいでしょう。そういったつながりの中では、もちろん、自分たちが特定した新しい脅威があれば共有するようにしてください。
教育とコラボレーションは切り離せない関係にあります。教育機関で、データ侵害のリスクを軽減するためにセキュリティチームを編成して対策を講じることは理に適っています。また、実績のある企業と連携して、HEI に最適なソリューションを探すことも検討してください。魔法のような手段は存在せず、どれほど優れた対処ができるかは、予算内でどのようなツールが利用できるかにかかっています。
どういった法律に対してコンプライアンスの義務があるのか、どのような対策をすべきなのか、といった点が明瞭に把握できていない場合は、管轄地域の教育機関を支援する組織に問い合わせてみてください。アメリカの場合は、The Readiness and Emergency Management for Schools Technical Assistance Center (REMS) が、価値が高い情報を提供しています。どこにでも、同様の教育機関支援組織はあるはずです。
最後に、データ侵害に関しては、一般の企業の場合と同様、組織の規模は無関係なことを強調しておきます。小規模な学校だから誰も狙わないだろうというのはまったく根拠のない楽観的な推論です。セキュリティ侵害が発生してデータを損失することのないよう、データを保護するためのツールをしっかり準備しておく必要があります。