大学での情報セキュリティ--最大の懸念はフィッシング、ゼロトラスト導入には困難も

　スタンフォード大学とシカゴ大学病院、オハイオ州立大学の最高情報セキュリティ責任者（CISO）は、学生と教授、研究者にとっての最大のセキュリティ脅威として、フィッシングを挙げている。また、ゼロトラストは最良のセキュリティアプローチだが、大学で導入を納得させるのは難しいと考えている。

　これらの大学の最高情報セキュリティ責任者は、新型コロナウイルス感染症（COVID-19）が仕事に及ぼす変化や大学のネットワークおよびデータを保護する方法についてのウェビナーで、Proofpointのサイバーセキュリティ戦略ディレクターのRyan Witt氏と語り合った。

　新しいプラットフォームのセキュリティのベストプラクティスについて学生に教育する方法と並んで、フィッシングも大きな懸念事項である。

　スタンフォード大学のセキュリティチームは月に2回、大学の従業員の間でフィッシングキャンペーンを実施している、と同大学のCISO兼最高プライバシー責任者のMichael Duff氏はウェビナーで述べた。

　3月初旬、スタンフォード大学の「Health Alerts」が送信元であるかのように偽装した新型コロナウイルス感染症情報の電子メールが、悪意ある何者かによって送信された。これは、数回発生したパンデミック関連の活動の1つであり、実際のフィッシングメールの数々を掲載した同大学のウェブサイトで紹介されている。

　スタンフォード大学は3月、ログインとパスワードに取って代わるセキュリティ対策として、「Cardinal Key」の提供を開始した。ユーザーは、大学のネットワークに接続する各デバイスのデジタル証明書を持っている。デジタル証明書を使用するには、コンピューターが「BigFix」か「VLRE」を実行している必要があり、モバイルデバイスはモバイルデバイス管理（MDM）によって管理されている必要がある。Cardinal KeyはLinuxマシンや「Android」スマートフォンをサポートしていない。

　「これにより、ユーザーのデバイスがどこにあろうとセキュリティを確保できる仕組みが実現する」（Duff氏）

　Duff氏は、ユーザーの教育や問題意識向上の取り組みよりも、セキュリティルールの自動適用に依存しているとも述べた。

　大学生はいくつかのプラットフォームを使い慣れているだけで、テクノロジー全体に精通しているわけではないことが問題だ、とオハイオ州立大学のCISOのHelen Patton氏は話す。

　「彼らが学校で新しいテクノロジーを扱う方法は安全ではないので、われわれが提供するテクノロジーを使ってセキュリティを確保する方法を彼らに教える必要がある」（Patton氏）

　Patton氏によると、同氏のチームは問題意識を高める目的で、定期的に学生にフィッシング攻撃を仕掛けているという。

　シカゴ大学病院の最高セキュリティおよびプライバシー責任者のErik Decker氏によると、ソーシャルメディアプラットフォームや動画で多くの人のオンラインプレゼンスが拡大することにより、スピアフィッシング攻撃がさらに容易になるという。

　「標的型攻撃を仕掛けたい人にとって、適切な標的を見つけるのは非常に簡単だ」（Decker氏）

　数年前から、大学がハッカーの標的になることが増えている。5月には、世界最大の教育管理、資金調達、および財務管理ソフトウェアプロバイダーであるBlackbaudがランサムウェア攻撃の被害に遭い、サイバー犯罪者に身代金を支払った。金額は公表されていない。

　ウェビナーの質疑応答で、観衆の1人が討論参加者に対して、どの国民国家から身を守ることを最も心配しているかと尋ねたが、全員が回答を控えた。

ゼロトラストアプローチの導入

　デジタル証明書による認証への移行に加えて、スタンフォード大学の情報セキュリティチームはセキュリティのゼロトラストモデルもテストしている。シカゴ大学病院のDecker氏は、特にリモートワークが当たり前になっている現在では、このアプローチをセキュリティチームの新しい考え方と使命にすべきである、と述べた。

　「われわれはどこで仕事をするときでも、そこの環境は綺麗ではないと仮定しているが、それでも仕事をしなければならない」（Decker氏）

　Patton氏はこの「誰も信頼しないアプローチ」について、大学の運営方針と相反するものなので、オープン性や共有、共同作業を重視する研究者や教授に納得してもらうのは難しいと述べた。

　「COVIDによって、ゼロトラストの必要性がより明確になったが、そこに至るまでの道のりが平坦になったわけではない」（Patton氏）

　Patton氏は、ブレインストーミング、焦点を絞った研究、特許出願、同分野の専門家による論文の査読、会議でのプレゼンテーションなど、研究自体のライフサイクルにもセキュリティレベルの変更が求められていることを説明した。

　「学問の自由が存在し、研究分野には、相手が誰なのかはっきり分からなくても、人々と情報を共有しなければならない本質的な必要性がある。私はそうしたこととゼロトラストのバランスをとる必要がある」（Patton氏）

　大学に戻ってくる学生と教授に対し、登壇したCISOらが推奨したのは、基本的なセキュリティのベストプラクティスである、更新の自動化や複数のプラットフォームでのパスワードの使い分けなどだった。

　Patton氏は教授陣に向けて、人と直に接する時のアプローチをデジタル環境にそのまま移行するのではなく、自分がオンラインでどのようなデータを共有しようとしているのかじっくり考えるようアドバイスした。

　Duff氏は、エンドポイント保護を改善し、セキュリティ戦略の焦点をビデオ会議などのコラボレーションプラットフォームに移したと語った。

　Decker氏は、クラウド戦略を見直しており、冬にCOVID-19の感染が急激に拡大する可能性に備える方法とそれに応じて運用を調整する方法について考えていると述べた。

Proofpointが開催したCISO討論会では、同社の教育分野のサイバーセキュリティ戦略ディレクターであるRyan Witt氏（左上）が司会を務め、オハイオ州立大学のHelen Patton氏、シカゴ大学病院のErik Decker氏、スタンフォード大学のMichael Duff氏が参加した。
提供：TechRepublic