大学における基本的なサイバーセキュリティ対策

大学においてサイバーセキュリティ対策を講じる際に必要となるステップや、関連するガイドラインから見て取れる対策の在り方を解説します。

要点

• 大学に求められるサイバーセキュリティ対策の基本および参照すべきガイドラインについて解説します。

1. 大学におけるサイバーセキュリティの重要性

大学は、教育と研究の拠点として膨大なデータを扱っています。学生や教職員の個人情報、成績データ、学費情報に加え、研究活動に伴う知的財産や共同研究先との機密データも存在します。これらは攻撃者にとって高価値な情報であり、標的型攻撃やランサムウェアの被害報告は後を絶ちません。

特に近年は、学術機関が国家レベルのサイバー攻撃の対象となる事例も報告されておいます。さらにサイバー攻撃は年々巧妙化しており、ランサムウェア、フィッシング攻撃、DDoS攻撃などさまざまな手法が用いられています。そのため、大学は強固なサイバーセキュリティ対策を講じる必要があります。

このように、サイバーセキュリティ対策は大学の信頼性と継続性を担保するための基盤となっています。

しかし、多くの大学では、限られた予算・人員・専門的知見という課題があります。

その中でどのような基本的対策を講じるべきかを考えることが、本稿の目的です。

2. 大学特有のリスク

大学は、一般企業と比べて以下のような特徴的リスクを抱えています。

① 予算の制約
専門人材の確保や高度なセキュリティ製品の導入が難しいケースが多い。

② ITガバナンスの不均一性
学部や研究室ごとに独自のIT管理を行っており、セキュリティレベルにばらつきがある。

③ 多様なユーザー層
教員、外部講師、職員、学生など、ITリテラシーの差が大きく、統一的なルールの徹底が困難である場合がある。

④ クラウド活用の増加
学習管理システム（LMS）、オンライン授業、クラウドストレージなど、外部サービスへの依存が高まっている。

こうした背景を踏まえると、コストを抑えつつ、大学全体のセキュリティ水準を底上げすることが重要と言えます。

3. 基本的な対策の枠組み

サイバーセキュリティ対策は、大きく技術的対策・人的対策・組織的対策の3つに分類できます。

特に大学では、この3要素をバランスよく整備することが鍵となります。

① 技術的対策：システムやネットワークを守る仕組み（ファイアウォール、認証強化など）

② 人的対策：利用者の意識と行動の改善（教育・訓練・啓発）

③ 組織的対策：ルール・体制・インシデント対応計画の整備

4. 技術的対策

4-1. アクセス制御と認証強化

大学の情報システムは、キャンパス内外からのアクセスが想定されるため、以下の施策が重要です。

① 多要素認証（MFA）の導入
2つ以上の認証要素を使ってサービスにログインする認証方法です。ログイン時にIDとパスワードだけでなく、さらにもう１つの認証要素（例：SMS認証、認証アプリ）を必要とすることで、アカウントへの不正アクセスを防止します。

② パスワードポリシーの徹底
長く複雑なパスワードを推奨し、複数サービスにおける同一パスワードの使い回しを避けることにより漏えい時のリスクを低減します。

4-2. ネットワークのセグメンテーション

研究室ネットワーク、事務ネットワーク、学生用Wi-Fiを明確に分離し、重要情報へのアクセスを最小限に制御します。また、ゲスト用ネットワークと内部ネットワークは物理的・論理的に分離します。

4-3. エンドポイントのセキュリティ

学生・教職員のPCやスマートフォンは攻撃の入り口になりやすいため、以下を徹底します。

① OS・アプリ・セキュリティソフトの最新化（パッチ適用）
常時最新バージョンへ更新することにより、既に検出されているソフトウェアの脆弱（ぜいじゃく）性を利用した攻撃を防止することができます。日常的に利用している端末の他、学内ネットワークに接続する全ての端末について最新化することが必要です。

② 紛失時のリモートワイプ機能
端末を紛失したことが発覚した際に速やかに端末内のデータを遠隔で削除することにより、重要情報の流出を防止することができます。

4-4. データ保護

① 個人情報・研究データは暗号化して保存。

② クラウド利用時は提供事業者のセキュリティレベルを確認。

③ バックアップ体制を構築し、ランサムウェア攻撃に備える。

5. 人的対策

サイバーセキュリティは技術的な対策だけでなく、教職員・学生の意識向上が非常に重要です。多くのサイバー攻撃は、不注意や誤操作によって発生します。以下の方法で教育を強化することが求められます。

① 定期的なセキュリティ研修：サイバーセキュリティの基本的な知識や、フィッシングメールの見分け方、パスワード管理の重要性などを学ぶ研修を実施します。

② インシデント対応訓練：サイバー攻撃が発生した場合にどのように対応するかを訓練し、実際のインシデントをシミュレーションしておくことが有効です。

③ セキュリティ文化の醸成：サイバーセキュリティを日常的に意識する文化を浸透させ、教職員・学生が自発的にセキュリティ対策を行うよう促します。

6. 組織的対策

6-1. 情報セキュリティポリシーの策定

大学がサイバーセキュリティ対策を強化するためには、まず全体的な方針を定めることが重要です。情報セキュリティポリシーは、情報資産を脅威から守るための方針や行動指針を明文化した文書です。ポリシーは組織全体を対象とするものであり、教職員等および学生全員がその内容を理解し順守することが求められます。全学的に統一したポリシーについて、学部や研究室でも順守を義務付ける必要があります。ポリシーには、一般的に次の内容が含まれます。

① セキュリティの目標設定：目指すべきセキュリティ水準を明確にし、達成のための方針を定める。

② リスク管理：サイバーリスクの評価とその軽減策の実施方法を決定する。

③ 役割分担：サイバーセキュリティ担当者やチームを設置し、それぞれの役割と責任を明確にする。

④ 監査と評価：サイバーセキュリティ対策が実施されているか定期的に監査し、その効果を評価する。

6-2. インシデント対応体制の整備

① 専門チームの設置：サイバーセキュリティの専門家で構成されたインシデント対応チーム（CSIRT: Computer Security Incident Response Team）を設置し、学内のインシデント発生時に必要な対応を迅速に行えるようにします。

② 情報のバックアップ：データが破損または消失した場合に備えて、定期的にバックアップを行い、迅速に復旧できる体制を整えておきます。サイバー攻撃を受けた場合にバックアップデータも同時に被害に遭わないよう外部媒体や遠隔地への保管を検討することが重要です。

6-3. 外部連携

① 政府機関との連携：サイバーセキュリティを強化するために、文部科学省や警察庁などの政府機関と連携し、情報共有を行います。

② 民間企業や他大学との協力：サイバーセキュリティ対策において、民間企業が提供するセキュリティツールや専門的なサービスを活用することも有効です。また対策状況について他大学と情報交換することにより現状の対策水準を把握することができます。

③ 外部監査の実施：外部の専門家によりサイバーセキュリティ対策の効果を定期的に監査し、改善点を見つけて実行することがセキュリティ対策の強化につながります。

7. 参考となるガイドライン等

国の行政機関等のサイバーセキュリティに関する対策の基準として、国家サイバー統括室（NCO）より「政府機関等のサイバーセキュリティ対策のための統一基準群(令和７年度版)」が公表されています。当基準は大学が準拠するよう要求しているものではありませんが、政府機関以外でもサイバーセキュリティ対策として広く活用されています。また大学共同利用機関法人 情報・システム研究機構 国立情報学研究所（NII）より「高等教育機関の情報セキュリティ対策のためのサンプル規程集（2024年版）」が公表されています。当規程集は大学組織を想定した構成となっており、規程策定実務において活用されています。

8. まとめと今後の展望

サイバー攻撃は日々高度化し、大学を狙った攻撃も今後ますます増えると予想されます。大学は、限られたリソースの中で最も効果的な対策を優先的に導入する必要があります。サイバーセキュリティは、大学のブランドと社会的信頼を守るための必須条件です。技術・人・組織の三位一体で対策を講じ、持続可能なセキュリティ体制を構築することが求められます。

【共同執筆者】

EY新日本有限責任監査法人　Technology Risk事業部　
シニアマネージャー　岡部 覚