大学がサイバー攻撃の対象に?
近年、大学を対象としたサイバー攻撃が増加しており、2023年は、ニュースに取り上げられているだけでも10件を超える大学への不正アクセスや、情報漏えい、Webサイトの改ざんなどが発生しました。こうした状況は、以前から続いており。2019年5月には、「大学等におけるサイバーセキュリティ対策等の強化について」という通知が出されています。今回は、なぜ大学がサイバー攻撃の対象になっているのか、探っていきたいと思います。
1.なぜ大学が?
大学がサイバー攻撃を受けやすい理由をいくつかあげてみます。
・個人情報が多く集まっている
大学は多くの学生や教職員の個人情報を保持してしているため、攻撃者にとっては効率よく情報を収集できる可能性が高いということが考えられます。
・貴重な研究データが存在する
大学は研究プロジェクトを実施し、貴重な研究データを保持しています。攻撃者はこのデータを窃取したり、破壊したりすることで利益を得ようとする可能性もあります。
・インフラの複雑さ
大学のネットワークは通常、複雑で多様なシステムとアプリケーションで構成されています。これには、多くのユーザーが利用するシステムや研究用の特定のサーバーなどが含まれます。この複雑性は、攻撃者が脆弱性を見つけて悪用する可能性を高めます。
・セキュリティへの意識の違い
大学は多くのユーザー(学生、教職員、研究者など)を抱えており、セキュリティ意識の高いユーザーもいれば、そうでないユーザーもいます。セキュリティに関する教育やトレーニングが不足している場合、ユーザーが安全に行動することが難しく、攻撃への脆弱性が高まります。
・予算制約
大学は予算に制約があることが多く、セキュリティ対策に適切な予算を割り当てることが難しい場合があります。セキュリティ予算の不足は、適切なセキュリティ対策を実施する障害となります。
2.考えられる対策について
上記のような理由から、大学はサイバー攻撃の標的とされることがあります。企業と違い様々な要因があるため、確実な施策を講じることは難しい印象があります。ただ、重要な情報を扱っているということを認識し、以下のような対策を講じる必要があります。
・ネットワーク構成やサーバー構成の把握
管理していないネットワークやサーバーが存在していないか確認することで、システム全体を把握する。
・セキュリティポリシーの策定やトレーニングの実施
セキュリティポリシーを策定し、それを全てのスタッフ、教職員、学生に周知徹底します。また、定期的なセキュリティトレーニングを提供し、セキュリティ意識を高めるための教育を行うことも重要です。
・システムの運用
サーバーやソフトウェアのアップデートを定期的に実施し、セキュリティパッチを適用することが大切です。脆弱性スキャンを実施して、セキュリティホールを特定し修正することも重要です。また、ネットワークセキュリティ:ファイアウォールや侵入検知システム(IDS/IPS)を導入して、不正アクセスや攻撃を監視し、阻止することが必要です。
・バックアップと復旧計画
大学のデータを定期的にバックアップし、災害発生時のデータ復旧計画を策定しておくことが重要です。ランサムウェアなどの攻撃に備えて、バックアップデータはオフラインで保管することを検討します。
・セキュリティ監査と脆弱性評価
外部のセキュリティ専門家によるセキュリティ監査や脆弱性評価を定期的に実施し、セキュリティの弱点を特定し改善策を提案してもらいます。
これらの対策を組み合わせて、大学はサイバー攻撃に対して強力な防御策を構築し、攻撃のリスクを最小限に抑えることができます。セキュリティに関する専門家の助けを借りることも重要です。
セキュアブレインでは、「セキュリティ診断サービス(ITインフラ/Webアプリ/ソースコード診断)」(https://www.securebrain.co.jp/products/web_it/index.html )や、「GRED Webセキュリティ診断 Cloud」(https://www.securebrain.co.jp/products/gwsvc/index.html )というWebサイト自動診断ツールを提供しています。「セキュリティ診断サービス」は、セキュリティの専門家が分析し、セキュリティリスクの評価をレポートします。自動診断ツールでは、OWASP TOP10にあるような代表的な脆弱性について定期的に診断することで、より早く脆弱性を見つけることが可能になります。
また、Web改ざん被害を常時監視し、改ざんを検知するとアラートを発報し、改ざん箇所や改ざんの種類などの詳細情報を提供する「GRED Web改ざんチェック Cloud」(https://www.securebrain.co.jp/products/gred/index.html )もございます。
「GRED Webセキュリティ診断 Cloud」と「GRED Web改ざんチェック Cloud」には無料トライアルがございます。両サービスともクラウドサービスなので、検査するWebサイトのURLを登録するだけで、サービスの開始が可能です。お気軽にお申込みください。
脆弱性診断 無料トライアルはこちら https://www.securebrain.co.jp/campaign/form-lite/
改ざんチェック無料トライアルはこちら https://www.securebrain.co.jp/products/gred/trial/index.html