大学で相次ぐ｢サイバー被害｣狙われる3つの理由 ｢将来の金づる｣候補の学生情報が闇市場で売買

後藤 厚宏氏（ごとう・あつひろ）情報セキュリティ大学院大学学長 NTT研究所にて並列・分散処理アーキテクチャ、インターネットセキュリティ技術、高信頼クラウドコンピューティグ技術、ID管理技術の研究開発等に従事、NTT情報流通プラットフォーム研究所長などを歴任。 2010年よりNTTサイバースペース研究所長。IEEE Computer SocietyのBoard of Governor、2011年7月より情報セキュリティ大学院大学教授。 2015年11月より内閣府SIP プログラムディレクター。2017年より同学学長（写真は本人提供）

2つ目は、大学が持つ学術的成果です。高度な学術研究を行っている大学は、先進企業の営業秘密と同等かそれ以上に貴重な情報を持っています。特に、産官学で共同研究をしている場合などは、国立の先進研究機関と同レベルの情報を抱えていますから、それらを守る努力や仕組みが必要です。

3つ目は、攻撃による社会的影響が大きいことです。教育機関の重要なミッションは、教育サービスを提供し続けること。この「事業継続性」を妨害して授業や入試を実施できないようにした上で、身の代金を要求するランサムウェア攻撃などが起こり得ます。

被害を防ぐために、大学生にセキュリティ教育を施すのはもちろんですが、小中学生のうちから、大切な情報を守る自己管理能力を高める教育をすることも必要でしょう。ちょっとしたノウハウだけでも対策になるので、ITは便利な分だけリスクがあることを早くから伝えておくとよいと思います。

入学・卒業が重なる春に大量のID登録や破棄が必要

——現状の大学組織のセキュリティ体制には、どのような課題がありますか。

今の大学はほぼITシステムで運営されていて、とても人海戦術で管理できる規模ではありません。セキュリティ専門の教授がいない社会学系や文系の大学でも、クラウドやAIを使って研究・講義をしますから、自組織だけで対策するのは難しいでしょう。リスクの理解と最低限のセキュリティ対策は内部で実施し、具体的な対策は適宜アウトソースして外部の専門家の力を借りるべきです。

とはいえ、外部に仕組みを作ってもらっても、大学が侵入や不正アクセスを見分けるログのチェックなどを怠っているケースはよく聞きます。大学経営に携わる方々には、誰がどこまでやるかの責任を明確にし、ルールを遵守するのはあくまで内部の体制であることを意識してほしいです。

特に大学は毎年多くの入学生と卒業生が出るため、春に大量のID登録と破棄を行わなくてはいけません。この管理は相当負担が大きいのですが、担当者には覚悟を持って取り組んでもらうしかありません。今では一括でID管理ができる便利なツールもあるので、そうしたサポートを活用するのがよいでしょう。

——具体的に大学で情報漏洩が起きやすい状況としては、どのようなものがありますか。

企業でも問題となっている「シャドーIT」です。セキュリティ管理者に許可を得ず、独断でツールやシステムを導入してしまう例は、大学にも山ほどあります。特に、研究室で便利さを優先してしまったり、多忙となる入試前後の時期にシャドーITが増えます。