第540号コラム:石井 徹哉 理事(千葉大学 副学長、大学院専門法務研究科 教授)
題:「大学におけるサイバーセキュリティの現状」
大学におけるセキュリティインシデントは、総数としては減少傾向にあるとはいえ、国の政策にかかわる情報や先端技術に関する研究情報の窃取を目的とした標的型攻撃が増えつつあります(例えば、日本経済新聞2018年9月18日参照。なおここで取り上げられている18年3月の被害大学には誤りがあります。)。人によっては、大学の教職員が標的型攻撃の一つのなりすましメールの開披率が他の業種と比べて突出して高いと言われたりもしています。また、USBメモリやノートパソコンの紛失・盗難などセキュリティマネジメントの不徹底による事案もそれほど減少しているわけではありません。
他方、7月に閣議決定された政府のサイバーセキュリティ戦略では「4.2.4 大学等における安全・安心な教育・研究環境の確保」が追加され、大学等に対して一定水準のサイバーセキュリティ対策の実施が求められています。しかし、3年程前に文部科学省は、各国立大学に対して、情報セキュリティ対策基本計画の策定とその実施を要請しましたが、その内容は、画餅に等しいものなど、各大学におけるサイバーセキュリティに関する意識は、総じて高いものとはいえません。私立大学では、中小の大学を中心に適切なセキュリティ体制が構築されていないところも見られる状況にあります。日本経済新聞等の調査によれば、国立大学については、予算不足、技術者不足が要因とされていますが、おそらく大学によっては学長、理事等の経営陣が適切な理解をしていないことも原因と考えられます。また一部の大学では、ある程度の予算等を確保し、サンドボックスやログ相関分析装置等の導入を勧めている大学もありますが、実際にそのような装置を使いこなせているかどうかは不明です。私立大学も同様で、セキュリティマネジメントに対する理解が不足し、必要なリソースが割り当てられていないものと推測されます。
おそらく多くの大学のセキュリティ体制における問題は、CISOが職務上の事務分掌等によるあて職となることが多く、CISOとしての必要な知見を有していないことが多いこと、実動部隊となる技術者層も既存のネットワーク基盤の運用にのみ長けていたり、こうした運用と兼務することになり、平時からの予防活動に割くだけのリソースが不足していることなどでしょう。また、国立大学では、数年前から個人情報の漏えい事故に対して国立大学法人評価において厳しく取り上げられたこともあり、個人情報の管理のみに集中し、規程や体制の強化を進めたものの、情報資産全般の管理に無頓着であったことも要因の一つと考えられます。そのため、大学における経営層も教職員も、個人情報以外の要機密情報の存在にまったく意識が及んでいない状況が創出されている可能性が高いでしょう。例えば、先端研究でのスパコンで取り扱うプログラムとその出力結果は、研究者本人しか理解できないから要機密情報ではないという人もいたりします。その研究が軍事転用可能なものであった場合でそういえるのでしょうか。
さらに、大学等における取組は、PDCAサイクルをまわすことが重要とされていますが、その際、書類上でまわっていることが確認されるだけです。それが実質的にサキュリティマネジメントとしてどのような攻撃に対してどの程度有効かは保障されていません。一部の大学では、ISOセキュリティマネジメントシステムの認証を実施していることで満足していたりしますが、情報センター等の大学の一部局しか対象としていないこと、また現実の攻撃に対して有効なサイバーセキュリティを実施していなくとも認証されることなどからみて大学全体のセキュリティマネジメントとして有効なものとなっていません。むしろ、現在のサイバー攻撃等の実態に考えみれば、サイバーセキュリティに関する事実を数多く収集し、それらの事実を適切に分析、評価し、即時に意思決定するといった戦略的な行動(いわばインテリジェンスとしての活動)がCISOをトップとしたセキュリティマネジメントにおいて要求されるのではないかと考えられ、この点でも大学は、かなり後れをとっていると考えられます。
CSIRTを設置している大学も相当数ありますが、結局、インシデント発生時のみに出動するような体制であることが多く、平時からの予防活動に注力しているところはそれほど多くありません。また、外部機関のとの連携体制も乏しく、必要なサイバーセキュリティに関する事実やインシデント対応の方策等の共有もできていないといえるでしょう。
以上のような現状を見ると、大学におけるサイバーセキュリティをより高度なものとして行くには、経営層に対する意識改革を促し、必要なリソース(予算、人材等)を適切に確保していくこと、大学間における連携を図ることなどが必要となります。しかし、こうしたことを適切に実施するために、サイバーセキュリティに関する予算を相当程度割り振る必要があります。国立大学では、毎年、一般的な経営の維持のための予算が相当程度削減される状況であり、経営層が十分に対応しようとしても、予算不足でかなわないおそれが相当程度見込まれます。私立大学でも経営状態からみて適切な予算を割くことは困難なところもあるでしょう。国家戦略として、大学等に対するサイバーセキュリティの高度化が要請されるのであれば、また2020年をめどとしてサイバーセキュリティ戦略を進めるのであれば、国として必要な予算を確保し、大学等の研究機関全体を統括するような体制の整備と各大学等への支援を進めることが必要といえます。短絡的にいえば、研究機関を統合するネットワークとしてのSINETを研究機関の情報基盤としてしかみていないようであれば、いつまでたっても大学におけるサイバーセキュリティは不十分なままでしょう。
【著作権は、石井氏に属します】