大学で相次ぐ｢サイバー被害｣狙われる3つの理由｢将来の金づる｣候補の学生情報が闇市場で売買

東洋経済オンライン / 2024年3月26日 8時0分

ほとんどの大学が教職員より多くの学生を抱える中、大学生のセキュリティマネジメントは困難なのが実情だ（画像：ペイレスイメージズ 2 / PIXTA）

大学や研究機関における情報漏洩などのサイバーセキュリティ・インシデントが、度々発生している。こうした組織に対するサイバー攻撃は、一般企業への攻撃とどう異なるのか。大学が持つ情報の特殊性や狙われやすいポイント、そして、セキュリティ人材を確保しづらい大学はいかにセキュリティを確保すればよいのか、情報セキュリティ大学院大学教授の後藤厚宏氏に聞いた。

大学生は「お客様」だから対策を強制できない

——大学におけるサイバー被害や情報漏洩のニュースがしばしば報道されています。最近の動向を教えてください。

【画像で見る】2022年には21件の大学法人がセキュリティインシデントを公表した

ここ数年、学生情報が漏洩したという報道が続いています。学生は大学にとって、授業料を支払ってくれる「お客様」です。企業が自社の社員にセキュリティ管理を強いるのと異なり、顧客にセキュリティ管理を徹底させるのはなかなか難しい。さらに、ほとんどの大学は教職員よりはるかに多い学生を抱えています。こうした観点から、学生のセキュリティマネジメントは困難なのです。

——特に大学が狙われる理由として、どのようなものがありますか。

大きく3つあります。1つ目は、学生の個人情報です。学生時代のアドレスは、多くの人が就職後も使い回します。学生の情報は狙いやすいだけでなく、将来よい「金づる」になり得る個人情報でもあるのです。VIPやセレブの情報と比べれば単価は安いものの、学生の個人情報は実際にブラックマーケットで売買されています。企業であれば統制を利かせて情報管理を強制できますが、学生にはなかなかできません。情報は学生からもある程度漏れるものだと覚悟し、その前提で対策を講じる必要があります。

2つ目は、大学が持つ学術的成果です。高度な学術研究を行っている大学は、先進企業の営業秘密と同等かそれ以上に貴重な情報を持っています。特に、産官学で共同研究をしている場合などは、国立の先進研究機関と同レベルの情報を抱えていますから、それらを守る努力や仕組みが必要です。

3つ目は、攻撃による社会的影響が大きいことです。教育機関の重要なミッションは、教育サービスを提供し続けること。この「事業継続性」を妨害して授業や入試を実施できないようにした上で、身の代金を要求するランサムウェア攻撃などが起こり得ます。

被害を防ぐために、大学生にセキュリティ教育を施すのはもちろんですが、小中学生のうちから、大切な情報を守る自己管理能力を高める教育をすることも必要でしょう。ちょっとしたノウハウだけでも対策になるので、ITは便利な分だけリスクがあることを早くから伝えておくとよいと思います。