サイバー攻撃というと、個人情報を多数持っている企業や官公庁向けのサイバー攻撃、または2017年に大流行した「ランサムウェア」による無差別攻撃がすぐに連想されます。しかし、サイバー攻撃の目的は「金銭目当ての個人情報狙い」だけではなく、より価値のある情報を狙った攻撃も多く行われています。そんな中、企業や官公庁に比べて、相対的にセキュリティが低い「大学」が狙われています。
年々増加する大学へのサイバー攻撃
イギリスの高級紙 The Times が、イギリスの大学に対するサイバー攻撃について報じています。記事によると、2017年は前年の2倍のペースで大学に対する攻撃が増加しており、特に「自然科学」「工学」「医学」の分野の情報が狙われています。この中には、ミサイルに関する研究といった軍事的な研究も含まれています。狙われている分野はいずれも、多くの富を生み出す研究情報であったり、他国の攻撃から自国を守るための軍事・防衛・兵器に関する研究情報でもあります。
こうしたサイバー攻撃は、「外国政府からの依頼を受けたハッカー集団による攻撃」、もしくは「外国政府に情報を売却する目的でハッカー集団が行っている攻撃」と推測されています。多くのサイバー攻撃が撃退される中で、攻撃が成功した例(情報が持ちされれた例)も報告されていることから、国家の人命と財産への影響が懸念されています。The Timesによると、1つの大学に対して1カ月で1,000回から1万回もの攻撃が行われたことが確認されています。
もちろん、このようなサイバー攻撃はイギリスに限った話ではありません。「盗む価値のある高度な研究が行われている大学」、つまりは日本を含む先進国のほとんどの大学は攻撃にターゲットになっていると言って過言ではありません。では、日本の大学はこうしたサイバー攻撃に対する対処が十分に行われているか、というと、かなり心許ないのが実際の所です
日本の大学の情報セキュリティは脆弱
日本の大学には、「情報基盤センター」といった名称の組織があり、大学内の情報システムインフラの整備や情報セキュリティ基盤の構築を行っています。スタッフの多くは、情報システム関連の修士課程や博士課程の学位を取得した人員で、彼らの上には情報基盤センター専任の教授や准教授がいるという組織になっています。
情報システムや情報セキュリティのプロ中のプロが、大学の情報セキュリティを担っているというと非常に堅牢な体制であるように見えます。しかしながら、日本の大学の情報セキュリティ体制には多くの落とし穴があります。
情報システム分野の用語に「シャドウIT (Shadow IT)」という言葉があります。これは、情報システムを担当する組織が管理していないシステム、デバイス、ネットワークなどを指します。例えば、企業のマーケティング部門が情報システム部門に断りを入れずに、マーケティング用の顧客システムを勝手に構築・運用するようなものです。そして、このシャドウITが最も多い組織の一つが大学なのです。
大学の共通インフラ基盤は、情報基盤センターにより整備されます。しかしながら、大学の各研究室は個別に研究費を獲得し、研究室で独自にデバイスを購入したり、システムを導入しています。こうした研究室独自のデバイス購入やシステム導入などは、情報基盤センターに報告されずに行われることも多いため、情報基盤センターとしては「いったい大学の中にどのようなデバイスがあって、誰が何のシステムを使っているのか把握ができていない」のです。ちなみに大学の研究室において、外部から最も研究費を獲得しやすい分野は、簡単に言うと「お金を生む分野」、つまり自然科学や工学や医学といった分野です。これらは全て、ハッカーに狙われやすい分野でもあります。
企業であれば「情報システム部門が決めたルール違反は一切許さない」「シャドウITの利用を全て遮断する」といった強硬策を取ることも可能です。しかしながら、大学における力関係では「研究室」のほうが「情報基盤センター」より強いため、情報基盤センターの管理が徹底しないのが現状です。
セキュリティ管理の一元化を諦めない
情報基盤センターが主導的に管理を行うにも、そもそも各研究室の中がブラックボックスになっていては、管理のしようがありません。これまでと同じように「研究室のほうが力関係が強いから、情報セキュリティが徹底できない」という現状をそのままにしていては、サイバー攻撃により各研究室の研究成果が不当に持ち去られてしまいます。攻撃を防ぐためには、「大学で利用するデバイスについては、全て学内のネットワークを利用する」「学内のネットワークに接続するデバイスは全て、情報基盤センターの管理下に置かれる」といった一元管理を徹底する必要があります。また、こうした管理に違反した場合のペナルティも合わせて設ける必要があります。
「情報基盤センターが一元管理すると、各研究室の利便性が低下する」といった声に対しては、セキュリティと利便性をできるだけ両立させる方法を提供すべきです。例えば、ID・パスワードの一元管理サービスである IDaaS [Identity as a Service: クラウド型ID・パスワード管理サービス] を導入し、セキュリティと利便性を同時に高めるという方法もあります。なお弊社では、国産IDaaSである「トラスト・ログイン」を開発・運用しております。
全てのデバイスを管理下におくまでには、大学内での議論や調整が必要になりますが、徐々に情報基盤センターの管理範囲を広げていく努力を怠ってはいけません。大学には国から多くの助成金が支給されています。大学における研究成果は、大学と研究者だけのものではないからです。