高等教育機関のCIOは、開放性とイノベーションが育まれる独特の環境で業務を行っていますが、一流機関で相次いだ最近の注目度の高い侵害は、システムを安全に保つうえで彼らが直面する課題を浮き彫りにしています。
2025年、ハーバードやプリンストンを含む複数のアイビーリーグ大学が、未パッチのエンタープライズソフトウェアや高度なソーシャルエンジニアリング・キャンペーンを通じてハッキング被害を受け、国内で最も資金力のある大学でさえ脆弱であることが示されました。
こうした脅威の高まりに対抗するため、大学のCIOは運用モデル、ガバナンス、そしてITの所有構造を見直す必要があると、EYのサイバーセキュリティ・コンサルタントであるロブ・ベルク氏は述べました。
「これは、おそらく“AI”という言葉を含まないサイバーの話題としては最も興味深いものです」とベルク氏は言います。「そして、驚くほど報じられていません。」
この転換は、高等教育を取り巻く環境そのものの変化によって後押しされています。従来の資金源が流動化し、もともと高度に分散したエコシステムに不確実性が生まれています。大学のインフラは、従来型の企業エコシステムというより都市に近いものです。各大学には、さまざまな学部・部局、研究機関、病院、運動施設、住居、書店、さらにはホテルまで含まれることがあります。学生、教員、職員、研究者、来訪者が毎年出入りするため、構成員は常に入れ替わります。
課題は、これらのグループの多くが自分たちのIT環境をそれぞれ管理している可能性があるという事実によって、さらに複雑になります。
「多くの点で、CIOはそこにあるITをコントロールできていません。時には、その大半すらコントロールできていないのです」とベルク氏は述べました。
大学のCIOにとって、こうした広大で異質なネットワーク全体にわたるサイバー攻撃は、より速いスピードで進行しています。ベルク氏は、攻撃者の「侵害までの速度(speed to compromise)」が低下し、被害を抑えるための猶予時間が短くなっていると指摘しました。2019年には、組織は侵入を検知して封じ込めるまでにおよそ9時間ありました。現在、その猶予は約48分にまで圧縮されています。
「驚くほど速いです」とベルク氏は言います。
大学にとってもう一つのリスク領域は研究用コンピューティングです。歴史的に、研究システムは助成金を用いて個々の学部や主任研究者が購入・運用・保守してきており、多くの研究者はこれらのシステムを個人資産のように捉えています。
CIOはしばしば変化への反発に直面します。「それは私のシステムだ。私の研究なのだから、あなたは関わるべきではない」とベルク氏は述べました。
しかし、大学が研究をより明確な収益源として捉えるようになるにつれ、CIOは、企業システムと同様に保護されなければならない研究インフラに対して、ますます責任を負うようになっているとベルク氏は言います。
「研究というビジネスは変わるでしょう」と同氏は述べました。「そして変われば、より企業のように運営されるようになります。それを支えるセキュリティとITも、その現実に合わせなければなりません。」
セキュリティの基盤要素に注力する
複雑な高等教育環境を乗り切るために、CIOは基本に注力する必要があるとベルク氏は述べました。
「基本を徹底的に強くすることです」と同氏は言います。「自分たちの環境を監視することやアクセスを制御することといった基礎の一部で、いまだに苦戦している組織を多く見ます。そこは対処しなければなりません。基本でつまずいているなら、そもそも自らを危険にさらしているのです。」
サイバーの基本には、環境の可視化、一貫した監視とパッチ適用、そして厳格なアクセス制御が含まれると同氏は述べました。
Mandiantの調査によれば、侵害の33%はソフトウェアの欠陥の悪用に起因しており、大学のインターネットに面したシステムは特に脆弱だとベルク氏は述べました。すべてのシステムにパッチを適用することは、システムとデータを保護するうえで「非常に大きな効果がある」と同氏は言います。
しかし、最近の高等教育機関へのハッキングの多くは、未パッチのシステムから侵入したわけではありません。電話をかけ、ソーシャルエンジニアリングを用いて重要システムへのアクセスを得ており、これはIDおよびアクセス管理の重要性、そしてパスワードレスシステムへの移行の重要性を強調するものだとベルク氏は述べました。この課題は、多くの大学システムが複数のActive Directoryと断片化したIAMシステムを管理していることで、さらに複雑になります。
ID管理の課題
環境を簡素化し近代化するために、同氏は段階的なアプローチを推奨しています。まず事務系職員から始め、エンタープライズレベルでパスワードレスの方針を策定します。次のステップは学生体験の変更で、新入生から開始し、新しいIDモデルが時間とともにデフォルトになるようにします。レガシーシステムを扱う教員や研究スタッフが、パスワードレスシステムへ移行する最後の対象になります。
「ちなみに、そのどちらについても分かっています」とベルク氏は言います。「高等教育では、言うは易く行うは難しいのです。」
ベルク氏は、人工知能を大学CIOにとっての機会領域と見ており、とりわけ人員不足とサイバーセキュリティへの対応において有望だと述べています。
生成AIおよびエージェント型AIの技術は、契約、調達、コンプライアンス、法務レビューといった領域で、資金制約によって生じる人員不足への対処に役立ちます。「人が少なくなっても、仕事がなくなるわけではありません」と同氏は言います。「AIはそのギャップを埋める手段になります。」
同氏はまた、自組織内でサイバーセキュリティ研究に取り組む研究者や教員と連携することも検討すべきだとCIOに助言しています。
「彼らは通常、自分たちの研究で何ができるかを示したいという意欲が十分にありますし、それは彼らや学生にとって、自分たちがやっていることを現実の世界で試す機会にもなります」とベルク氏は述べました。
翻訳元: https://www.databreachtoday.com/higher-ed-cios-must-rethink-cybersecurity-a-30579
