Mar. 2017No.75

サイバーセキュリティ人材を育てる脅威から学術ネットワークを守るために

Article

今、大学に求められる 情報セキュリティ対策とは

実践的データを用いたプログラムで、人材の底上げを図る

SINET を活用したNII の「サイバーセキュリティ人材育成プログラム」は、平成29 (2017)年3 月から試行運用が始まり、試行運用時には国立大学法人86 校のうち60 校余の参加が予定されている。参加する国立大学を代表し、北海道大学の南弘征教授に、大学の情報セキュリティの現状と課題、それらを踏まえた人材育成プログラムへの期待を聞いた。

南 弘征

Minami Hiroyuki

北海道大学 情報基盤センター 教授/サイバーセキュリティ研究部門 サイバーセキュリティセンター長/ 情報環境推進本部 CIO補佐役/情報セキュリティ対策室長/国立情報学研究所 客員教授

北海道大学文学部卒、北海道大学大学院工学研究科情報工学専攻博士後期課程修了(博士(工学))。小樽商科大学商学部社会情報学科、北海道大学情報メディア教育研究総合センターを経て、平成27年10月より現職。

大学が直面する課題

 近年、大学などの研究機関は常にサイバー攻撃の脅威にさらされ、情報漏洩の疑いなどのインシデント報告も増えている。北海道大学もその例に漏れず、平成27(2015)年12月末には不正アクセスと個人情報の漏洩の疑いが生じている。その後、第三者委員会の調査の結果、情報漏洩は確認されなかったと結論づけられたが、セキュリティに対応する部署がありながら、なぜそのようなことが起こるのかという声も数多く上がったという。北大でサイバーセキュリティセンター長を務める南弘征教授は、これには一般企業とは異なる大学特有の事情も関係していると話す。「企業には情報関連の専門部署があり、トップダウンでコンプライアンス・ポリシーを徹底することが可能です。しかし研究者が多い大学では、各人の自主性をある程度重んじる必要もあり、画一的な運用が難しいのです」
 その北大も、先の事件以降はトップダウンで厳しい制限をかけたため、不正アクセスや攻撃数は減ったという。しかし、一方で攻撃はますます高度化し、防衛側とのいたちごっこが続いている。これはどこの大学や研究所も同様に抱えている問題である。大学ならではの課題はほかにもある。
 「まず、国内外を問わず、ビジターが多 いこと。研究などで数週間以上滞在する海外の研究者に対しては、インターネット環境も提供する必要がありますが、持ち込まれたデバイスがウイルス感染している可能性はゼロではありません」
 また、情報セキュリティやコンプライアンスに対する意識レベルが、個々の構成員によってまちまちである点も課題の一つだ。実際に起きた情報漏洩事件をみても、「個人情報をUSB メモリに保存して持ち出して落とした」、「不審なメールの添付ファイルを不用意に開いた」など、不注意が原因のケースは少なくない。 現在、北大では情報リテラシーを高めるために、教職員に対してe-learningによる情報セキュリティの研修を行っている。受講率は毎年度ほぼ100%を達成しているが、それでもインシデントは起こるという。

ネットワーク全体を俯瞰し 事例を共有する

 最近はマルウェアのように、内部から情報を送り出す方式のウイルスも増えているため、攻撃に対する防御に加え、外部に送信されるデータも監視しなくてはならない。また、不正アクセスは外部からの指摘で発見されることが多いが、現在は自主的に対策をとり、いかに異常を早く見つけて他機関に迷惑をかけないようにするかが求められているという。
 「セキュリティ人材が不足する中、大学内部のセキュリティ人材の底上げを行うことは急務になっています」
 情報セキュリティを担う国立大学法人の技術職員を対象としたNIIのサイバーセキュリティ人材育成プログラムは、まさにそのような状況を踏まえて提供されるものだ。このプログラムでは、NIIが開発したツールを通じて、SINET のネットワーク上で実際に起きた攻撃事例など、生きたデータを用いながら、サイバーセキュリティ技術や、アクシデントやインシデントへの対応、経営層への説明など、実情に即したスキルを身につけることを目指す。「大学職員は通常、自組織のサイトしか見ることがありませんが、ここではネットワーク全体のデータを活用するなど、他大学で実際に起きた情報漏洩などの事例も共有できます。現場の職員は切迫感をもってスキルアップに臨めるはずです」と南教授は語る。

img75-4.png

大学の事情に詳しい 内部人材の底上げが重要

 情報セキュリティ対策としては、民間の教育プログラムの活用やセキュリティベンダーへの外注という方法も考えられる。NII の人材育成プログラムを用いて、大学内部の人材を育成することには、どのようなメリットがあるのだろうか。
 「民間のプログラムは主に企業向けで、大学ならではの事情が考慮されていないことが問題です」と、南教授は言う。「もちろんそれでも一通りの知識は得られますが、大学の実情に即しているとは限らないのです」
 例えば、北大の場合は地理的に離れたところにキャンパスが点在しているうえ、水産学部の練習船とのネットワークを有するなど、特殊な事情もある。海外の専門機関から送られてくる暗号化されていないデータなど、企業では受け入れられないようなデータを扱うこともある。研究機関ならではの秘匿性が高いデータも流れているし、近年は画像や動画データも増えている。つまり、大学の場合、一般企業とは明らかにデータの質や量が異なるのだ。
 「民間の専門家が派遣で来ても、そういった特殊事情を把握できたころには企業に戻ってしまいます。また、大学では日常のオペレーションとセキュリティが一体化していることが多く、セキュリティ面では有意義でも、日常のオペレーションとが生じる方法論は適用できません。だからこそ、事情を理解している内部の人材に、大学の情報セキュリティに特化したプログラムで技術を磨いてもらうことが重要ですし、その方が結果的にはコスト面でのメリットもあると考えます」

トータルな知識・技術をもつ "橋渡し人材"の育成を

 セキュリティの最後の砦は、ネットワークの末端に連なる個々のサイトである。そのサイトを運営し、守っている現場の担当者たちが、実際のネットワーク上の情報を用いて学ぶことにより、ネットワーク全体を俯瞰する意識が生まれてくる。同規模の大学の通信状況も把握できるし、現場の職員同士の横のつながりが生まれ、情報交換もできるようになる。ここから新しい地域コミュニティが生まれてくる可能性さえある。これらはセキュリティを強固にするうえで、非常に役立つことだ。
 「情報セキュリティ人材全体の底上げをするべきこの時期に、NII が先導してスキルアップの機会をつくっていただけるのはとてもありがたいことです。しかも、現在求められているのは、専門分野しか知らない人材ではなく、現場と内部の幹部や外部関係者との橋渡しもできるような、セキュリティ全般を扱える人材です。この実践的なプログラムにより、そのような人材が育つことを大いに期待しています」

(取材・文=桜井裕子 写真=佐藤祐介)

第75号の記事一覧