第642号コラム:石井 徹哉 理事
(独立行政法人大学改革支援・学位授与機構研究開発部 教授)
題:「学術機関におけるサイバーセキュリティ」
大学、とりわけ国立大学がネットワークに関してセキュリティを意識したのは、ソレほど昔ではありません。元々は、第2期中期目標・中期計画期間の後半において、複数の大学で個人情報の紛失・漏えいの事故が多発し、これに対して各大学は、あくまで「個人情報」の保護を求められ、かつその一環として法人評価において情報セキュリティの確保が強くされたことに始まります。ちなみに個人情報等の不適切な取扱いがあると指摘された法人は、平成27年で11法人、平成28年で18法人でした。もちろんそれ以前も情報セキュリティについて相応のことはなされていたかもしれませんが、それらはあくまで情報基盤の運用の一環であり、かつその実施も運用・管理者側の目線からのものであり、一般ユーザをほとんどみていなものでした。極端な例としては、当時、職員証・学生証に磁気ストライプ、ICチップ、QRコード、大学の独自のコードが登載されたものなどをみたことがありますが、それはあまりに管理者の趣味に走っているものとも思えました。
こうしたなか、平成28年(第3期中期計画・中期目標期間の初年度)になり、情報セキュリティ対策の強化が強く打ち出されることになりました。まず6月に三局長通知といわれる「国立大学法人等における情報セキュリティ強化について(通知)」がだされ、大学等における実施すべき対策が示されました。そこには、中長期的な視点により情報セキュリティ対策基本計画の策定とその組織的・計画的な実施、インシデント対応体制及び手順の整備、情報セキュリティに関するポリシー
及び関連規程の周知、研修等の実施、自己点検・監査の実施、情報機器の管理状況の把握及び必要な措置の実施を対策として行うべきことが示されていました。当時、おそらく多くの大学は、どうしていいいかわからない、適当にやっておく等の対応ですすめようとしたのでないかと推測しています。
その直後、富山大学における標的型攻撃による情報漏えい事案が発生することになり、文科省もより強く支持するようになります。官房長官名による「文部科学省関係機関における情報セキュリティ対策の強化について(通知)」(平成28年10月、28文科政第63号)です。ここでは、6月の通知の実施状況の緊急点検を行い、さらに次のような対策の実施を求めています。①リスク評価による情報セキュリティ対策基本計画の策定、②CISOの設置(規程上の明確化)、③CSIRTの設置、④トリアージ、外部との連絡を含めたインシデント対応手順書の策定、⑤教育・訓練の徹底、⑤自己点検の実施、⑥セキュリティ監査の実施、⑦アカウント管理、⑧機密情報の暗号化・パスワード設定、⑨スパムフィルタ・標的型メール攻撃対策装置の導入、⑩プロキシサーバ・ふるまい検知型不正通信対策装置の導入です。⑨⑩は、予算に余裕があるところが導入している程度であり、こういった期間であっても、①から⑦は杜撰なところが多かったといえるでしょう。実際、情報セキュリティ対策基本計画を策定して提出したとしても、こういった通知を適当に並べただけのところも多々見られたようです。
その後、各機関とも①から③までは規程上形を整えたものの、④以降についてはそれほど適切に実施してきたとはいえないでしょう。⑦から⑩が適切に機能するには、CSIRTが実際に活動し、機能するようにしなければならないからです。幸い、私がCISOをしていた大学は、すでに平成27年度の6月の段階でこれらのための第3期における中期的な予算を確保することができ、不備があるとはいえ相応に計画の遂行ができました(三局長通知、学長会議資料等を読めば、言外に3期には大きく予算が減ること、それに反して、セキュリティに予算をつけるべきことがにじみ出ていたからです)。
※各省庁の出す報告書や通知は、なにが書いているかよくわからないものであっても、今後こうして欲しいということがにじみ出ているものであり、それをよくくみ取って中期的に計画を立てることが必要でしょう。法曹コースについても、まだできるかどうかわからない段階で、勝手に法曹コース類似の教育課程を編成したりもできました。
こうした文科省の取組がなされたとしても、一向に大学等へのサイバー攻撃はとどまるところをしりません。一つは、各構成員への周知が不足していること、名ばかりCSIRTでインシデントレスポンスができないし、その手順も決まっていないこと、CSIRT構成員の技術的な能力不足などです。現状のように文科省において各階層別研修があればそれに参加できますが、そうではないと、何もできないままでしょう。その後旧帝大を中心に重要な機密情報に関わりうる漏えい事案が多発します(私の推測ですが、問題が問題だけにおそらく未公表もあるでしょう)。これらの事案では、事案発覚後も各大学で適切な対応ができず、存在しているはずのCSIRTも動いていなかったりしました。
こうした全国的な情勢とは別に、CSIRTが実際に機能しだしている大学もいくつか現れてきます。また、何をすべきかわからないので、その勉強会の要望もいくつかでてきます。そこで、私の所属する大学が中心となり学術系CSIRT協議会を設置し、定期的に会合を開いて、意見交換や悩みや苦労など披露、その解決策の検討等をはじめました。さらに、積極的な攻撃対策として、不知のC2サーバの情報その他セキュリティ上の機微情報(悪意ある者が知ると悪用可能な情報)、防御機器の評価等も意見交換などするにいたっています。これは、各構成員がここでの情報については守秘義務を維持し続けるという信頼関係が構築されたことを意味しています。
なお、国レベルでもこのような場としてサイバーセキュリティ協議会を設けていますが、極めて重要な機微情報は第1類の機関のみで情報交換することになっています。構成員名簿をみればわかりますが、高等教育研究機関としてこの分野で重要なNIIが本来は第1類に入るべきところ、政府その他の他機関からの信頼を得られず第2類にかろうじてとどまっています。
いずれにしても、学術機関CSIRT協議会は、可能な限りすべての大学が参加し、それぞれのCSIRTのレベルに応じて意見交換、研修等を実施できるようにするのが望ましい状況です。
最後に、平成28年の三局長通知「大学等におけるサイバーセキュリティ対策等の強化について」のフォローアップを今年3月末までの時点でNISCが実施しています。その報告内容は、あまりよいものとはいえないとの話です。以前からEMOTETが流行っていますが、感染症流行時期に一時期終息したもののまた再度活発になっています。この対策は、今後ますます困難になりつつあります。
Webサーバとの通信SSL/TSLにより暗号化されることが増えてきており、機関とインターネットとの出入り口でいちいち復号化しないと、不正通信かそうでないかわからない状態になりつつあります。とくに感染後C2サーバとの通信をこれでやられた場合、不知のC2サーバであればファイアウォールで防ぐことができないでしょう。最近デジタル庁設置関係でPPAP、いわゆる暗号化ZIPが問題となっていますが、閲覧可能性よりもふるまい検知、セキュリティソフトの検査を免れることになるため、開封されることによる感染を防ぎきれないことがでてきます。最近のPietxの情報漏えいなどなるだけ最新のメールアドレスとパスワードを入手しようとする動きが盛んであり、管理者だけでなく、ユーザがパスワードを使い回していると、関係機関への侵入を許容しかねず、あるいはEMOTOTETとの合わせ技で侵入ご使用したりする行動が増加することも見込まれます。しかし、大学等は、ごく一部を除いてこうしたことに対応できる状況、能力にないことは意識しておくべきでしょう。いずれにしても、中期的な視点をもって戦略的に対処することが望まれています。
話は変わりますが、先日東大のCISOの方の講演を伺いましたが、さすが文科省のキャリアだけあり、私がやろうとしていたことを東大という大きな組織で見事に実行されており、自分の非力さを身をもって知らされました。先読みして戦略に動くことはできても、まとめる力はありません。
【著作権は、石井氏に属します】