企業組織では、情報関連を管理する専門部署によって組織的な情報セキュリティについて一定のガバナンスを効かせることが可能であるものの、大学等の教育・研究機関は、研究を目的として国内外を問わず、多方面からのアクセスが多い特殊性や研究者の自主性を尊重する風潮もあり、組織にとって統一的な情報セキュリティマネジメントが難しい一面をもつのではないだろうか。年々高度化する情報通信機器へのサイバー攻撃に対して、大学は保有する情報資産を守るためにどのような情報管理や体制整備を行っていかなければならないのか。本特集では、大学における組織体制を紹介するとともに、教育啓発を通じたサイバーセキュリティ人材育成の取り組み等を共有し、社会的責務を担う大学のサイバーセキュリティの現状と対応を社会に示す機会としたい。
先行者であるが故の脆弱性への対応
土屋 大洋
学校法人慶應義塾常任理事
慶應義塾大学は、1990年に開設した湘南藤沢キャンパス(SFC)においていち早く、今まで一部の研究者のみが利用していたインターネットを全学生・教職員向けに導入した。特別教室に高性能のワークステーションが並ぶとともに、ラップトップパソコンも割安で入手できるよう手配された。
学生一人一人に電子メールアカウントを付与するという、今では当たり前になった取り組みも先駆的に行った。ほどなく、全学部・研究科、全キャンパスにそうしたインターネット環境は波及した。
今では情報コンセントにつなぐ有線ケーブルではなく、無線LANがどこでも使えるようになり、共用のパソコン教室を徐々に廃止し、自分の端末を持ち込むよう学生に促している。
1 無数に開く脆弱性の窓
大学が用意・管理する端末だけではなく、多種多様な端末が接続されるようになり、それぞれの端末のセキュリティレベルが異なれば、キャンパスや大学全体のセキュリティも、より脆弱になる。また、インターネット導入が早かったために、SFCや、理工学部のある矢上キャンパスなどでは、個人や研究室で立ち上げたサーバーがたくさんあり、事務部門でも独自システムが立ち上げられ、適切なメンテナンスがされないまま放置されているものもあった。
そうしたセキュリティ対策が不十分なコンピュータは外部から狙われやすい。大学にはサイバーセキュリティ上、脆弱な窓が無数に開いていると言って良い。
そのため、2020年11月に、慶應義塾情報セキュリティインシデント対応チーム(CSIRT)を立ち上げた。そのミッションは、慶應義塾において発生した、あるいは発生し得る情報セキュリティインシデント(意図的あるいは偶発的に生じる、義塾規定あるいは法律に反する情報セキュリティ上の事故あるいは事件)に主導的に対応し、影響を最小限に抑制し、情報資産の安全を確保することである。
CSIRTは、学内の他部門から独立し、最高情報責任者(情報基盤担当常任理事)から、インシデント調査に関する一定の権限を委譲されている。また、慶應義塾の情報基盤の運用部門であり、セキュリティオペレーションセンター(SOC)の役割を担う情報技術センター(ITC)と密接に協力をしながらも、中立公平な立場でインシデント対応を行っている。つまり、CSIRTそのものは少人数で運用されており、インシデントが起きた場合に実働部隊として対応するのはITCという組織構成になっている。その分、CSIRTはインシデントの予防措置や、ネットワークやシステムにおける不審な動きの発見に注力するとともに、外部組織との連携を行っている。
2 ウェイクアップコールとなる事案
2020年9月、まもなく入れ替えを予定していたシステムから個人情報が漏洩するという深刻な事案が判明した。
最高情報責任者である情報基盤担当常任理事と関係学部長、および関係教員がすぐにオンライン会議を開き、対応策を練った。新学期の開始が迫っており、残された時間は少なかった。ITCが、後にCSIRTを構成するメンバーを中心に被害状況を確認し、取り得る選択肢を示した。学部の了解を得て、被害を受けたシステムをネットワークから外した。もっと早く古いシステムを置き換えておけば良かったと後悔せざるを得なかった。
この事案は、重要なウェイクアップコールとなった。その後、慶應義塾全体でどのようなシステムがどこで使われているのか、徹底的に洗い出す作業が行われた。セキュリティと利便性は時にトレードオフになる。セキュリティのための監視を強めれば、自由な情報活動はやりにくくなる。しかし、大学には高いセキュリティが要求される個人情報や研究資産が大量にある。もはや、利便性一辺倒ではいられない。
無数のシステムが乱立する中ではCSIRTがその能力を発揮し、セキュリティを維持することは難しい。システムと業務を整理するデジタル・トランスフォーメーション(DX)とセキュリティ対応を連動させながら進めていかなくてはならない。