2019年度大学情報セキュリティ研究講習会開催結果の概要
1.開催日時 : 令和元年8月29日、30日
2.開催場所 : 立正大学品川キャンパス
3.参加者 : 42名(35大学)、前年度66名(54大学)
4.概要
サイバー攻撃は、巧妙・大規模になっており、大学の教育・研究現場でも入試・成績情報、個人情報、その他機密情報がネットワーク経由で窃取されるなどの事例が頻発化してきており、情報セキュリティ管理の甘さが問題視されている。文部科学省においても「大学等におけるサイバーセキュリティ対策等の強化について(通知)」が行われ、一歩踏み込んだ対策としてサイバーセキュリティ対策など組織・体制の整備、情報セキュリティポリシー及び実施手順書の策定が求められている。
そこで本協会では、構成員全員がサイバー攻撃の脅威を理解し、防御行動を意識して実践するなどのリスクマネジメント対策の強化が必要なことから、防御行動が組織的に進展するように、CISO(最高情報セキュリティ責任者)を含む経営執行部による対応、構成員一人ひとりによる注意と行動、情報担当部門としてのベンチマークリストを用いた自己点検・評価・改善を通じて、大学の対応力に応じた情報セキュリティ対策の考察を目指して、研究講習会を令和元年8月27日(火)〜28日(水)に立正大学品川キャンパスにて開催した。本協会の加盟・非加盟の大学・短期大学及び賛助会員から参加を募集し、42名(35大学)の参加があった。
研究講習会の進め方としては、最初、サイバー攻撃の最新動向、大学における情報セキュリティ対策、インシデントとその対応事例、ベンチマークリストにもとづく大学の対応を共有する「全体会」を通じて情報セキュリティリスクとその対策の確認を行った。次に、ペアワーク、グループワークでは、大学構成員を対象とした予防と事後対応手順の事例を踏まえて、セキュリティポリシーなど学内ルールの周知徹底、構成員一人ひとりの防御行動の促進する対策を考察した。
また、セキュリティ関係の知識・技能の獲得を目指して演習を交えながら習得する「セキュリティインシデント分析コース」とリスクに応じた最適な情報セキュリティ対策と構成員全員及び情報センター等部門で注意喚起を呼びかける防御対策について認識を共有し、大学の実状に対応策を考察する「セキュリティ政策・運営コース」を設けた。その上で、最後の個人ワークでは、セキュリティ対策課題の解決に向けた計画・提言を行った。
5.全体会
「情報セキュリティリスクの理解とその対応策」
今年度は、サイバー攻撃の最新動向と大学において求められるセキュリティ対策、インシデント対応体制を理解した上で、「大学情報セキュリティベンチマークリスト」によって明らかになったセキュリティ対策・対応の成果を紹介し、さらにインシデント予防・事後対応手順の事例を詳細に知ることで、大学構成員一人ひとりの防御行動を促進する対応策を策定することを目的とし、5件の講演とグループワークを行った。
(1)「情報セキュリティ10大脅威 2019」
渡邉 祥樹 氏(独立行政法人情報処理推進機構セキュリティセンター)
独立行政法人情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威2019」をもとにサイバー攻撃の最新動向の紹介がされた。とりわけ、組織向け脅威の上位にランクされている「標的型攻撃による被害」、「ビジネスメール詐欺による被害」、および今回再びランクされた「不注意による情報漏えい」における攻撃手口、被害事例、対策について具体的に紹介がされ、「情報セキュリティ10大脅威2019」を活用するなどサイバー攻撃の最新動向を踏まえ、特に注意すべき脅威を網羅的に把握し、組織の構成員や役割に応じ、必要な対策を講じていくことの重要性が強調された。
(2)「大学等におけるサイバーセキュリティ対策について」
下地 邦寿 氏(文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室サイバーセキュリティ係長)
令和元年5月に文部科学省より通知された「大学等におけるサイバーセキュリティ対策の強化について(通知)」に関して、その背景とそれを踏まえ大学等で策定する中期的(2019年10月から2022年3月まで)対策の目標及び実施方針「サイバーセキュリティ対策等基本計画」の基本的考え方および対策の方向性が紹介された。大学等のサイバーセキュリティ対策の強化については、平成28年に国・公・私立大学それぞれに通知されて2年〜2年半が経過し、この間、大学等におけるセキュリティ対策の進展はみられるものの、インシデントは多く発生していること、大学・研究機関を標的とした先端技術情報等を狙った標的型攻撃事例が発生していること、また、2020年オリンピック・パラリンピックに関連した攻撃が今後予想されることからも、平成28年の通知に代わる新たなセキュリティ対策強化を大学等へ示す必要がある。このような背景のもと、大学等で策定する「サイバーセキュリティ対策等基本計画」の基本的な考え方、対策の方向性の詳細な解説とともに、文部科学省による大学等へのセキュリティ対策支援の内容が紹介された。
(3)「サイバー攻撃によるリスクと大学等で発生したインシデントの振り返り」
洞田 慎一 氏(JPCERTコーディネーションセンター早期警戒グループマネージャー)
大学で発生する情報セキュリティインシデントへの課題とインシデント対応におけるポイントについて紹介された。大学は、多様な構成員が国際的なつながりを持ち、教育研究等の諸活動を通して多様な情報を組織や個人が保有していることから、組織だけでなく個人も標的型攻撃のターゲットとなる可能性があり、その被害は極めて広範囲に及ぶ可能性があり、このような大学環境において、インシデント発生初動時のエスカレーションやトリアージ、CSIRT(Computer Security Incident Response Team)の対応範囲等が課題として指摘された。特に、インシデント対応体制の実効性をより高めるためには、攻撃・被害の認知(受け取り窓口)、初動対応(調査する術、意思決定)、原因調査(被害の全容調査に向けた関係者間の認識)、事後対応(効果的な対策を提案する上での事前の認識)の一連の流れの中で、誰が、いつ、どのように対応するのかといったアクションとルートの交通整理を事前に準備しておくこと、大学という特殊な環境下でCSIRTが正しく業務を遂行する上で、経営層の関与は不可欠であることの重要性が示された。
(4)「ベンチマークリスト結果に見るセキュリティ課題」
宮川 裕之 氏(青山学院大学社会情報学部長、情報セキュリティ研究講習会委員長)
私情協の加盟校は、中小規模大学(入学定員2,000人未満)が多くを占めるが、今回の調査結果も回答校の約52%が中小規模大学であった。情報セキュリティの脅威に対する危機意識の共有やポリシー策定・運用における大学経営層のリーダーシップ、セキュリティ対策予算、情報資産目録の作成、CSIRT(Computer Security Incident Response Team)設置状況、具体的な対策状況などの項目について紹介・講評された。
(5)「大学構成員全員を対象とした予防と事後対応手順の紹介」
武藏 泰雄 氏(熊本大学総合情報統括センター情報セキュリティ室長、教授)
先進的事例として、熊本大学の情報セキュリティ室における構成員全体等対象とした予防と事後対応手順について紹介があった。具体的には、トップダウンでのセキュリティ対策を実現するために、役割・権限を持った情報セキュリティ担当責任者が段階的に全学に置かれている。そして、各責任者をとおして、教育・啓発活動が実施されている。教育は、多くの大学と同様にeラーニングで行われていて、コンテンツは、教材、および自己点検項目とアンケートから構成されている。そして、実施後には自己点検の各質問事項について理解度を計算して、次年度以降の行動計画などに反映されていると紹介された。この後、講演内容の重要事項をグループワークとして簡単に確認した。つづけて、順守の確認方法の紹介がされた。具体的には、監査計画書に基づいて、学内で監査人研修・監査が実施され、報告書は、監査室と共同で作成して、監査室用命で監査対象へ監査調書が送付されると紹介された。この後、前半同様にグループワークが行われた。
(6)グループワーク「構成員一人ひとりの防御行動を促進する対応策」
まず、初めに鈴木運営委員(東洋大学情報システム部情報システム課長)、および向井運営委員(金沢工業大学工学部情報工学科教授)から、構成員一人ひとりの防御行動を促進する対応策の具体的な事例をヒントとして紹介した。その後、ペアワークで具体的なアイディア出しを行い、その成果からグループで具体的な有効案を決定した。その成果は、2日目のセキュリティ政策・運営コースの最初のグループワークにて共有された。
6.セキュリティインシデント分析コース
IPA発行「情報セキュリティ10大脅威2019」によると、標的型攻撃やランサムウェア等によるセキュリティインシデントが後を絶たない。ところが攻撃者の手口を詳細に分析すると、システムの脆弱性を悪用しているケースもまだまだ多いことがわかる。巧妙な偽メール等で受信者をだまし、マルウェアに感染させるなど、標的型攻撃への対策は困難である一方で、システムの脆弱性については、事前の対処や備えを行うことが可能である。
本コースは「システムの脆弱性」をキーワードに、サイバー攻撃を受けた場合の対処方法を身に付けるとともに、自組織におけるシステムの脆弱性検査などを通じ、サイバー攻撃への事前の備えができることを目標とした。
(1)サイバー攻撃および防御演習
本セッションでは、サイバー攻撃の手法や痕跡の調査を理解するために、サイバーレンジ −サイバー攻撃および防御の訓練を行う目的で作られた仮想的な演習場− を使用した。今回、サイバーレンジシステムには、産業技術大学院大学で開発されたCyExecを活用し、受講生はCyExecの仮想環境上で攻撃側、防御側それぞれの立場から操作を行った。
まず攻撃フェーズでは、SQLインジェクションによる認証の回避と、Webサーバのファイルアップロード機能の不備を悪用したバックドアの設置により、企業のWebサーバから不正に機密情報を搾取するところまでの演習を行い、システムの脆弱性やサイバー攻撃の手法について理解を深めた。
次に防御フェーズでは、Webサーバのログからサイバー攻撃を検知し、さらに攻撃内容を分析、被害を特定するまでの演習を行い、サイバー攻撃の検知や調査手法について理解を深めた。
(2)インシデント対応演習
本セッションでは、防御フェーズで明らかになった攻撃の手法、被害の状況をまとめ、インシデント報告書を作成する演習を行った。インシデント報告書はCISOに提出することを想定して記述し、受講生どうしのペアワークで相互に内容を説明してフィードバックを受け、インシデント報告書としての完成度を高めた。
(3)サイバー攻撃への対策
OSやアプリケーションソフトウェアの不具合、あるいは、本来できるはずのない操作や、アクセス権限がないデータへのアクセスや書き換えができてしまう欠陥のことをシステムの脆弱性と言う。本セッションでは、公開されている脆弱性情報や、脆弱性検査ツール等を活用することで、サイバー攻撃を受ける前に脆弱性対策を行い、サイバー攻撃への対策とすることを目標とした。
最初にシステムの脆弱性をついたインシデントの事例や脆弱性情報の所在、脆弱性検査ツールを紹介した後、無償で利用することができる脆弱性検査ツールOpenVASを用いて演習を行い、脆弱性の検知についての理解を深めた。
さらに、事例として明治大学内で実施した脆弱性検査を取り上げ、検査にかかる人的な負担や技術的な課題、検査の効果について紹介した。
7.セキュリティ政策・運営コース
本コースでは、情報の重要度に応じた段階的な対応ができるようにするための構成員一人ひとりへの危機管理意識の醸成、および自律的な防御活動ができるようにするための組織的対応のヒントとして、次の2つを題材とした。
・ 先進的取り組みを行っている大学の事例を参考にして自大学で整備できる方策の検討と、その実現のための課題と推進体制整備方法の検討
・ 経営層を含めて組織的に対応できる体制整備を推進するための企画、および推進体制整備方法とその課題の検討
(1)グループワーク「構成員一人ひとりの防御行動を促進する対応策」
1日目のグループワークの成果を参考にして、「教員向けに構成員一人ひとりの防御行動を促進する対応策」について、グループ内で企画書としてのまとめと発表を行い、全体の成果を共有した。
(2)講演・グループワーク「守るべき情報資産の把握及びそれに基づいたバランスのとれたセキュリティ対策」
具体的事例として、元文科高第59号 令和元年5月24日付けの「大学等におけるサイバーセキュリティ対策等の強化について(通知)」について取り上げた。まず、守るべき情報資産の把握、およびそれに対応した防御策について、具体的には、中小企業の『情報セキュリティ対策ガイドライン 第3版』に沿って、情報資産を把握について、トレンドマイクロ株式会社の岩本真人様の講演が行われた。つづけて、先進的な具体事例の紹介と解説が、高橋運営委員(早稲田大学情報企画部事務副部長)から行われた。
講演後に、事前課題の情報資産台帳にグループワークにより評価値を入力し、現状の課題・解決したい問題について議論し、その後、令和4年3月までの計画期間に「サーバーセキュリティ対策等基本計画」の策定に向けて、組織的に対応できる体制整備を推進するための企画書としてまとめ、発表することで、全体の成果を共有した。最後に、まとめとして、中嶋運営副委員長(東海大学 学長補佐、情報教育センター所長)より講評が行われた。
(3)グループワーク「セキュリティ対策としての攻撃に対する防御対策の注意喚起(経営執行部または部門単位での実施)」
2日間の成果を基に、セキュリティ対策として構成員一人ひとりへの危機管理意識の醸成、および自律的な防御活動ができるようにするための攻撃に対する防御対策の注意喚起を、経営執行部または部門単位で実施すると想定して、グループ内で企画書としてまとめ、発表することで、全体の成果を共有した。あわせて、発表成果物の掲示と投票をすることで、セキュリティインシデント分析コースの参加者とも共有をした。
8.参加者からのアンケート結果について
参加者からのアンケート結果では、セキュリティインシデント分析コースの理解度は「理解できた3割、概ね理解できた7割」、セキュリティ政策・運営コースは「理解できた6割、概ね理解できた4割」となっていた。また、参加者からの感想として、「大学はセキュリティへの対応ができていないことを改めて認識した」、「私立大学が置かれた状況、リスク、国の政策、他大学での具体的な方策等、非常に勉強になった」、「攻撃側の手法を体験したことでセキュリティの脆弱性を減らす設計・運用の理解が深まった」、「実施できていない内部監査、情報資産の洗い出し、文部科学省通知の対応など参考になった」、「しっかりとした年間計画があれば上層部にも理解を得られるかもしれないと感じた」などが寄せられた。