セキュリティ

大学での情報セキュリティ--最大の懸念はフィッシング、ゼロトラスト導入には困難も

スタンフォード大学とシカゴ大学病院、オハイオ州立大学の最高情報セキュリティ責任者(CISO)は、最大のセキュリティ脅威として、フィッシングを挙げている。また、ゼロトラストは最良のセキュリティアプローチだが導入を納得させるのは難しいと考えている。

 スタンフォード大学とシカゴ大学病院、オハイオ州立大学の最高情報セキュリティ責任者(CISO)は、学生と教授、研究者にとっての最大のセキュリティ脅威として、フィッシングを挙げている。また、ゼロトラストは最良のセキュリティアプローチだが、大学で導入を納得させるのは難しいと考えている。

 これらの大学の最高情報セキュリティ責任者は、新型コロナウイルス感染症(COVID-19)が仕事に及ぼす変化や大学のネットワークおよびデータを保護する方法についてのウェビナーで、Proofpointのサイバーセキュリティ戦略ディレクターのRyan Witt氏と語り合った。

 新しいプラットフォームのセキュリティのベストプラクティスについて学生に教育する方法と並んで、フィッシングも大きな懸念事項である。

 スタンフォード大学のセキュリティチームは月に2回、大学の従業員の間でフィッシングキャンペーンを実施している、と同大学のCISO兼最高プライバシー責任者のMichael Duff氏はウェビナーで述べた。

 「われわれはフィッシングについて、プライバシーとセキュリティに対する最大の脅威だと認識している」(Duff氏)

 3月初旬、スタンフォード大学の「Health Alerts」が送信元であるかのように偽装した新型コロナウイルス感染症情報の電子メールが、悪意ある何者かによって送信された。これは、数回発生したパンデミック関連の活動の1つであり、実際のフィッシングメールの数々を掲載した同大学のウェブサイトで紹介されている。

 スタンフォード大学は3月、ログインとパスワードに取って代わるセキュリティ対策として、「Cardinal Key」の提供を開始した。ユーザーは、大学のネットワークに接続する各デバイスのデジタル証明書を持っている。デジタル証明書を使用するには、コンピューターが「BigFix」か「VLRE」を実行している必要があり、モバイルデバイスはモバイルデバイス管理(MDM)によって管理されている必要がある。Cardinal KeyはLinuxマシンや「Android」スマートフォンをサポートしていない。

 「これにより、ユーザーのデバイスがどこにあろうとセキュリティを確保できる仕組みが実現する」(Duff氏)

 Duff氏は、ユーザーの教育や問題意識向上の取り組みよりも、セキュリティルールの自動適用に依存しているとも述べた。

 大学生はいくつかのプラットフォームを使い慣れているだけで、テクノロジー全体に精通しているわけではないことが問題だ、とオハイオ州立大学のCISOのHelen Patton氏は話す。

 「彼らが学校で新しいテクノロジーを扱う方法は安全ではないので、われわれが提供するテクノロジーを使ってセキュリティを確保する方法を彼らに教える必要がある」(Patton氏)

 Patton氏によると、同氏のチームは問題意識を高める目的で、定期的に学生にフィッシング攻撃を仕掛けているという。

 シカゴ大学病院の最高セキュリティおよびプライバシー責任者のErik Decker氏によると、ソーシャルメディアプラットフォームや動画で多くの人のオンラインプレゼンスが拡大することにより、スピアフィッシング攻撃がさらに容易になるという。

 「標的型攻撃を仕掛けたい人にとって、適切な標的を見つけるのは非常に簡単だ」(Decker氏)

 数年前から、大学がハッカーの標的になることが増えている。5月には、世界最大の教育管理、資金調達、および財務管理ソフトウェアプロバイダーであるBlackbaudがランサムウェア攻撃の被害に遭い、サイバー犯罪者に身代金を支払った。金額は公表されていない。

 ウェビナーの質疑応答で、観衆の1人が討論参加者に対して、どの国民国家から身を守ることを最も心配しているかと尋ねたが、全員が回答を控えた。

ゼロトラストアプローチの導入

 デジタル証明書による認証への移行に加えて、スタンフォード大学の情報セキュリティチームはセキュリティのゼロトラストモデルもテストしている。シカゴ大学病院のDecker氏は、特にリモートワークが当たり前になっている現在では、このアプローチをセキュリティチームの新しい考え方と使命にすべきである、と述べた。

 「われわれはどこで仕事をするときでも、そこの環境は綺麗ではないと仮定しているが、それでも仕事をしなければならない」(Decker氏)

 Patton氏はこの「誰も信頼しないアプローチ」について、大学の運営方針と相反するものなので、オープン性や共有、共同作業を重視する研究者や教授に納得してもらうのは難しいと述べた。

 「COVIDによって、ゼロトラストの必要性がより明確になったが、そこに至るまでの道のりが平坦になったわけではない」(Patton氏)

 Patton氏は、ブレインストーミング、焦点を絞った研究、特許出願、同分野の専門家による論文の査読、会議でのプレゼンテーションなど、研究自体のライフサイクルにもセキュリティレベルの変更が求められていることを説明した。

 「学問の自由が存在し、研究分野には、相手が誰なのかはっきり分からなくても、人々と情報を共有しなければならない本質的な必要性がある。私はそうしたこととゼロトラストのバランスをとる必要がある」(Patton氏)

 大学に戻ってくる学生と教授に対し、登壇したCISOらが推奨したのは、基本的なセキュリティのベストプラクティスである、更新の自動化や複数のプラットフォームでのパスワードの使い分けなどだった。

 Patton氏は教授陣に向けて、人と直に接する時のアプローチをデジタル環境にそのまま移行するのではなく、自分がオンラインでどのようなデータを共有しようとしているのかじっくり考えるようアドバイスした。

 Duff氏は、エンドポイント保護を改善し、セキュリティ戦略の焦点をビデオ会議などのコラボレーションプラットフォームに移したと語った。

 Decker氏は、クラウド戦略を見直しており、冬にCOVID-19の感染が急激に拡大する可能性に備える方法とそれに応じて運用を調整する方法について考えていると述べた。

Proofpointが開催したCISO討論会では、同社の教育分野のサイバーセキュリティ戦略ディレクターであるRyan Witt氏(左上)が司会を務め、オハイオ州立大学のHelen Patton氏、シカゴ大学病院のErik Decker氏、スタンフォード大学のMichael Duff氏が参加した。
Proofpointが開催したCISO討論会では、同社の教育分野のサイバーセキュリティ戦略ディレクターであるRyan Witt氏(左上)が司会を務め、オハイオ州立大学のHelen Patton氏、シカゴ大学病院のErik Decker氏、スタンフォード大学のMichael Duff氏が参加した。
提供:TechRepublic

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]