出典:dbtravel(Alamy Stock Photo経由)
大学や高等教育機関は、情報を盗もうとする犯罪者や政治的動機による攻撃など、ハッカーの標的となることが増えています。コロンビア大学は、アクティビティのログ記録によって全体的なセキュリティ体制を強化しています。
同大学は最近、標的にされてきました。2025年6月には、大学の多様性方針に抗議するハクティビストが学生や職員のデータを盗み、複数のサービスを停止させました。この侵害が公表された際、ハクティビストはBloombergに対し、今回の攻撃の意図は、2023年の画期的な最高裁判決(人種を考慮した入学方針を無効とした判決)後も大学がアファーマティブ・アクションを継続している証拠を集めることだったと語っています。2024年にも、キャンパスでの親パレスチナ派抗議者への取り締まりに抗議するハクティビストによるハッキングが発生しています。
「[サイバー攻撃は]常に目にしています」と、コロンビア大学サイバーセキュリティ部門ディレクターのエリック・バウムガート氏は語ります。
コロンビア大学は2020年代初頭の侵害をきっかけに、ネットフローのログ記録の重要性を学びました。ログ記録ソリューションのおかげで、攻撃の影響を最小限に抑えることができたとバウムガート氏は述べています。
その当時の攻撃者は国家支援型のアクターと特定され、大学の研究室に接続されたシステムを侵害し、価値ある研究を探していました。幸いにも、それらのシステムは廃止予定だったため空でした。そして幸運なことに、攻撃者は発見されました。
「彼らは他のドアをノックして侵入できるか試みましたが、できませんでした」とバウムガート氏。「我々は調査と排除の過程で、彼らの活動を追跡していました。」
不用心なハッカーたちが、守備側が重要なシステムから遠ざけるために設置したハニーポットを移動する中、セキュリティチームは彼らの戦術、悪用したポート、移動経路などの情報を収集していました。
「彼らは自分たちの痕跡をきれいに消していましたが、ネットフローだけで何をしていたか把握できました」とバウムガート氏。「どこから侵入したかを追跡し、その接続を無効化して排除することができました。」
教育分野はトップ3の標的
教育機関は、学生や職員の健康・財務記録から貴重な科学・技術研究まで多様な高価値情報を持っていること、そして多様な技術インフラとセキュリティ意識が異なるユーザーがいることから、魅力的な標的となっています。Microsoftの調査によれば、教育分野はデータ侵害の標的となる業界のトップ3に入り、週平均2,507件の攻撃に直面しています。
この状況は、大学のIT部門の守備側を困難な立場に追い込んでいます。教育機関は予算が厳しく人員も少ないため、自動化は過重労働のスタッフの業務効率を高める貴重なツールとなっています。
バウムガート氏は、大学のシステムのほぼ半分をカバーする10人未満のチームと共に働いています。法学部や工学部など一部の学部は独自のセキュリティスタッフを持っていますが、コロンビア大学ITは彼らと連携し、システムの安全性と最新状態を保つサポートをしていると説明します。
「人々が思っているほど潤沢な資金はありません。少ないリソースで多くを成し遂げています」とバウムガート氏。「効率的に業務を行うために、多くの自動化とログ記録を活用しています。」
コロンビア大学は、バウムガート氏が2022年11月に着任する直前に、SumoLogicのログ分析プラットフォーム、Cloud SIEM、コンプライアンスおよび監査製品を導入していました。これらのソリューションは、当初は大学のサーバーや情報インフラの管理のために導入され、「セキュリティはその副産物となった」とバウムガート氏は語ります。
Sumo Logicは、スケールの柔軟性や学内部門間でのシステム共有が可能であること、サブスクリプションモデルが大学の予算制約に合致していることなど、大学に多くの利点をもたらしています。コロンビア大学のインフラ、ネットワーク、セキュリティチームがこのプラットフォームを共有し、情報の共有が各部門の相互支援のための統一リソースとなっています。
エンドポイントだけでは不十分
教育機関らしく、これらのソリューションが提供するログ記録と可観測性の最大の価値は、攻撃者の戦術を学び、その情報をインシデント対応報告や監査に活用できることです。良質なログは重要であり、エンドポイント情報だけでは攻撃者がどのように侵入し、システム内を移動したかを十分に把握できないとバウムガート氏は説明します。
「最新かつ最高のツールであらゆる事象をアラートできたとしても、それはパズルの一部に過ぎません」と彼は言います。「全体像、つまりどうやって侵入し、どのように移動したのかは分からないのです。」
バウムガート氏は、研究室の侵害後、コロンビア大学がインシデント対応会社に作業の第三者検証を依頼した際、ベンダーがログの品質をチームの対応における重要な要素として特筆したと述べています。
ログによってセキュリティチームはカスタムルールを設定し、「ネットワーク全体で何が起きているかをより正確に把握」し、異常な活動を発見し、その発生源を追跡できるようになります。サイバーセキュリティ部門には、フィッシングやなりすましメールから、保護者が学生の逮捕(またはそれ以上のこと)を装った偽メールを受け取るケースまで、あらゆる報告が定期的に届きます。チームはメールトラフィックの検証やSumo Logicシステムの微調整を行い、「最も関連性の高い情報を抽出できるようにしています。」
時間の経過とともに、メールやネットフロートラフィックの検証によって、月間200万件のインシデントが約50万件に減少したとバウムガート氏は述べています。この月次指標は、大学の経営陣—CEOや学長、理事会—にチームの活動内容を伝えるのに役立っています。これは、学生や職員を守るという点で、サイバーセキュリティがキャンパスポリシーと同等の重要性を持つことを示しています。
「私たちが何をしているかの成長を示し、持っているツールを活用していることを示しています」とバウムガート氏は述べ、こうした可視性が「極めて重要」であると強調します。それは次の攻撃を防ぐため、ネットワーク上の問題を発見するため、または不審なトラフィックを追跡するためです。「ログを素早く見つけて答えにたどり着くことが、私たちにとって非常に重要なのです。」