大学ICT推進協議会(AXIES)は、2017年12月13日から15日までの3日間、大学のCIO(最高情報責任者)や情報教育関連の教員などが参加する年次大会を広島県広島市で開催した。3日間の会期中は、eラーニング、ICT(情報通信技術)基盤整備、セキュリティ、認証システム、研究支援など多様なテーマの研究発表やシンポジウムがあった。

 12月14日には、「クラウドファースト時代の大学情報セキュリティ」と題した基調講演が実施された。折しも前日の12月13日に大阪大学が不正アクセスによる最大8万1107件に及ぶ個人情報漏洩の可能性があると発表したこともあり、参加者の関心を集めた。

業務フローの改善でセキュリティ対策を

 講演したのは、立命館大学の上原哲太郎教授。大学でクラウドサービスの利用が進む中、「Office 365を導入している大学は不正アクセス者に狙われやすい。いったん侵入してしまえば、OneDriveにアクセスして効率的に情報を盗めるからではないか」と指摘する。実際、不正アクセスを受けた大阪大学も、職員が利用するOffice 365ベースのグループウエアからさまざまな情報を抜き取られた可能性がある。

全体会の基調講演「クラウドファースト時代の大学情報セキュリティ」では、大学におけるクラウドサービスの活用とセキュリティの難しい関係が取り上げられた
全体会の基調講演「クラウドファースト時代の大学情報セキュリティ」では、大学におけるクラウドサービスの活用とセキュリティの難しい関係が取り上げられた
[画像のクリックで拡大表示]

 最近の不正アクセスは、ランサムウエアのような金銭目的のほかに、情報を盗み出すことが目的の「諜報型」が増えているという。しかも、不正アクセスされたことに組織側が気付かないことが多いことも問題だという。上原教授によると、日本年金機構で起こった情報漏洩で不正アクセスに使われたサーバーを調べると、大学のものもいくつか含まれていた。早稲田大学は1年前から攻撃されていたそうだ。

 大学の組織を狙った標的型攻撃の場合、一般的なマルウエア対策は役に立たないという。セキュリティ対策を厳しくして教職員に義務付けることも可能だが、厳格に守ればメールひとつ開封するだけでも手間になり、業務の負荷が大幅に増える。