出典:Steven Jones(Alamy Stock Photo経由)
論説
アメリカの大学や高等教育機関に対するサイバー攻撃の規模は驚くべきものです:2024年には116件のランサムウェア攻撃が報告され、2025年にはわずか第1四半期だけで81件のインシデントが発生し爆発的に増加しました。もし大学がまだ被害に遭っていないとすれば、それは非常に運が良いか、すでに鉄壁のサイバーセキュリティ戦略を導入しているかのどちらかです。
また、英国の高等教育機関を対象としたマイクロソフトの調査では、ほぼ半数が毎週サイバー攻撃を経験していると報告しており、問題は緊急かつ拡大しています。しかし、予算の制約や資金不足が迫る中、経営陣は自分たちや所属機関をどのように、また本当に守ることができるのか疑問を持っています。
さらに、従来の資金調達システムが連邦政府から厳しい監視を受けている現在、高等教育のITチームはサイバーセキュリティ戦略を再評価し、限られたリソースの中で可能な限り強固な防御計画を策定することが重要です。
学校は非常に脆弱である
高等教育機関がハッキングされる理由は、保護者や学生の個人の財務情報の中枢であることに加え、機関自体が生み出す貴重(時には機密)な研究データを多く保有しているためです。
また、学校は特有の脆弱性を抱えています。数百人、場合によっては数千人ものユーザーがコンピューター資源にアクセスするため、たった一度の悪意あるリンクのクリックでハッカーがシステム全体にアクセスできてしまうのです。さらに問題を複雑にしているのは、多くの学校がオープンソースフレンドリーを目指し、コミュニティメンバーに最新の研究やデータへのアクセスを許可していることです。
規模の大小を問わず、データ漏洩や組織的なランサムウェア攻撃などの被害は、学校にとってすぐに数百万ドルの損失となり得ます(2023年の平均被害額は300万ドル超)。ハードウェアの交換が必要になり、時には身代金の支払いも発生し、学校の保険料も上昇します。多くの保険会社は、再発防止策を講じた証拠がない限り、攻撃後の再保険を拒否しますが、これは高額かつ時間のかかる取り組みです。
高等教育機関の財政的な圧力の中で、高額なサイバーセキュリティ対策は、予算のバランスを取りながら情報システムを安全に保つことを一層困難にしています。市場の変動性により基金収益の予測も難しくなり、入学者数の減少は授業料収入にも影響します。連邦レベルでの不確実性は二重の問題であり、連邦政府が学生や家族の財務情報に関するサイバーセキュリティの基準や規制を決定しているからです。
コンプライアンスは必ずしも容易ではない
「家族教育権とプライバシー法」(FERPA)、グラム・リーチ・ブライリー法(GLBA)、サイバーセキュリティ成熟度モデル認証(CMMC)などへのコンプライアンスは複雑(かつ高額)であり、そのため近年では、中央集権型ITシステムから、より分散型で学部ごとに管理するITへと切り替える学校も出てきています。
コスト面から見ると、これは理にかなっています。研究チームは理論上、特定の技術投資が割り当てられた助成金を獲得し、自分たちだけの技術的な「島」を構築し、その島だけでセキュリティコンプライアンスを確保することができます。これにより、学部や教授により多くのITの自律性を与え、学校で意思決定が遅れる政治的障壁の一部を排除しつつ、高度にセキュアなプロジェクトには十分なサイバーセキュリティ支援を提供できます。
しかし、助成金の状況が変化し、研究者がNIHの間接費上限決定の影響に対処する中で、高等教育機関はよりコスト効率の高い解決策を模索しています。学校は自分たちに合った規模のサイバーセキュリティ基盤を整備する必要があり、そのためには大局的なアプローチが求められます。
どれだけお金をかけても、どんなシステムを導入しても、サイバー攻撃から機関を完全に守ることはできません。そのため、サイバーセキュリティ監査が非常に重要になっています。学校は自分たちのITシステムの「何」と「どう」を理解しなければなりません。収集しているデータの機密性、可用性、完全性はどうか、そしてサイバー犯罪者を排除するための予防・防御・検知策はどれだけ効果的か、を把握する必要があります。
これらの問いに答えを持つことで、学校がどこに投資すべきかが明確になります。機密性の高いデータを守るために厳重なシステムを求める学校もあれば、データはオープンで利用可能であるべきだという教育理念を重視する学校もあります。前者の戦略を取る機関は防御システムに重点を置き、後者はレジリエンスや復旧プロセスに重点を置くべきでしょう。
中央集権型モデルへの移行は、必要に応じてより的確かつ効率的な保護を展開できるという利点もあります。例えば、ウイルス研究や原子力研究のような機密性の高いプロジェクトに割り当てられたITチームは、パスワード紛失や電話システムの故障などに足を取られることなく、そうした業務を中央チームに任せることができます。
変化には時間がかかる
こうした変化には時間がかかり、良くも悪くも、しばしば政治的な懸念や学校運営など、サイバーとは直接関係のない要因の影響を大きく受けます。管理者、理事、教授による共同運営は意思決定を大幅に遅らせる可能性があり、これがセキュリティ上の脆弱性をさらに悪化させることもあります。
良いガバナンス体制は移行を円滑にします。行動権限を与えられたIT運営委員会が主導することで、学校はどのシステムが最も必要かについて、法務・コンプライアンスチームの重要な意見を得ながら、より冷静な意思決定が可能となります。
学校が財政的にも規制面でも不確実な時期を迎える中、IT構造やシステム、必要性を再評価することで、今後何が起きても自らを守り続けることができるでしょう。