2015年6月22日。早稲田大学構内は朝から騒然としていた。早稲田大学はマルウエア感染による個人情報流出事件を公表。事務用パソコン利用者2310人分の氏名や所属、教職員番号、さらには教職員、派遣社員の884名分のメールアドレス、学生60名分の氏名や学籍番号などの外部流出を発表した。
大学は同日、職員向けに「標的型ウイルスメールに対する対応協力のお願い」と題した通知を発布した。そこには基本的な対策に加え、過去にはなかった対策が書かれていた。
「重要なファイルは共有フォルダーやBoxなどに保存すること。機微な情報が含まれるファイルはパスワードをかけてからBoxに保管すること」。
Boxは米ボックスが提供するクラウドストレージサービスだ。早稲田大学は2014年6月から同サービスの試験的な導入を開始。約1年間のテスト期間を経て、2015年5月から本格的な運用に移行したばかりだった。
早稲田大学が導入しているウイルス対策ソフトは米ピクサーや米フォード、東芝なども採用している米ソフォス製品。だが、今回の標的型攻撃のウイルスメールは検知できなかった。依然として標的型攻撃の脅威にさらされたまま。加えて、早稲田大学はマルウエアに感染した全てのPCをいまだ特定できていない。
取れる対策は一つしかない。それは、「ローカルにあるファイルをとにかくクラウド上に待避させる」(早稲田大学情報企画部)ことだ。早稲田大学には嘱託も含めると1300人弱の職員がいる。これらの職員が様々な種類のデータを一斉に待避させるとなると、膨大なディスク容量が必要になる。企業や団体向けに提供されるBoxのストレージ容量は無制限。1年前からBox導入を進めてきた早稲田大学だからこそ、取れる対策だった。
「クラウドのほうが安全と言われ、時代の変遷を感じた」とある大学職員は漏らした。
この職員だけではない。クラウドストレージサービスにデータを預けるのは危険。この“常識”が崩れつつある。
ボックスの共同創業者兼CEO(最高経営責任者)であるアーロン・レヴィ氏は「米国でも2010年頃に特定業種でクラウドストレージサービスが危険という風潮があったが、今では聞かなくなった」と語る。
理由は、企業のシステム部が求める要件をクラウドストレージサービス事業者が満たしてきたからだ。クラウドストレージサービスは、端末やOSに依存せずにどこからでも利用できる利便性に加え、共同作業しやすい環境を提供する。業務効率を高めるこうした利点は以前から一定の評価はあったものの、企業が定める高いセキュリティやコンプライアンス上、導入を見送る企業が多かった。
だが、こうした不安を払拭する機能やサービスの拡張が相次いだことで、導入する企業や団体が少しずつ増えている。