特集 情報セキュリティ
本協会セキュリティ研究講習会運営委員長
浜 正樹(文京学院大学・教授)
本協会では、加盟校に情報セキュリティベンチマーク評価をお願いしています。本稿では、2017年度の結果から課題を示します。この評価では、回答校を大規模大学(定員3,000人以上)、中規模大学(定員2,000人〜3,000人)、中小規模大学(定員200人未満)、単科大学と分けて集計しています。今年度は52%の回答校が中小規模大学です。
法人・大学の執行部が率先して危機意識の共有化を推進しているか調べると、図1の通り大学の規模に拠らず50〜60%が情報センター部門中心で推進されていることが分かります。
図1 経営執行部による危機意識共有
一方、図2の通りセキュリティポリシー等の策定・周知についての経営執行部の積極的関与は、大規模大学でその比率が高くなっています。
図2 経営執行部による学内ルール周知
また、ICT予算に対するセキュリティ予算の比率については、半数以上(55%)の大学が3%以下しか配分していません。10%以上の予算配分と回答した大学は全体の10%に過ぎませんでした。一般企業ではセキュリティ予算配分比率が10〜12%と言われていますので、大学でも伸びを期待したいところです。回答校のセキュリティ予算の具体的内容は、事務局ファイアウォール、ネットワーク監視装置、システムセキュリティ監査などで、500〜700万円の実績です。セキュリティ予算の対前年度増減について回答頂いた48校のうち63%が「増額なし」でしたが、これらの他校事例は予算要求の際に参考にできるでしょう。
セキュリティ対策は、何を守るか明確にすることがスタート地点です。
図3によると、約70%の大学が情報資産目録作成を未実施ですが、アクセス制御を行っていると回答している大学も70%を越えています。回答校の状況を調査したところ、守るべき情報資産が不明確でもアクセス制御していると主張する大学が40%も存在していることが判明しました。これでは対策自体が無意味です。情報資産目録の作成を最優先課題にすべきです。重要度を2〜3段階に抑えて選別しても充分です。
図3 重要情報資産の把握とアクセス制御
本協会でもセキュリティの組織的対応を訴えていますが、図4によると、セキュリティへの対応組織は約80%の大学が有し、その位置づけは大学規模に依存しない状況が伺えます。位置づけとしては、情報センター部門中心ではなく、横断的な組織体制が望ましいところです。
図4 情報セキュリティ組織の有無と位置づけ
一方、実際のインシデントへの対応手順の整備状況ですが、図5によると、規模によらずほぼ半分以上の大学で遅れが認められます。
図5 インシデント連絡体制、対応手順の整備
まずできる範囲の手順作成を目標設定し、少しずつでも進めることが大事です。
次に、図6で、学内ルールの周知徹底・遵守の確認の方法の調査結果を示します。
図6 学内ルールの周知徹底・遵守の確認の方法
図のようにWeb告知が主になっています。学内の危機意識の共有化についても同様の結果でした。しかし、Web告知だけで安心してはいけません。e-Learningで「動画+ルール」の方が訴求できます。また、教授会での告知は議事録が残るので、インシデントが発生した場合の事後対応の際に大変有効です。
セキュリティ対策は、機器の設置だけでは完全ではありません。図7によると、ファイアウォールを設置しているものの、そのログ解析を行っていない大学が56%にも上ります。監視に携わる人的コストの確保も含め早急な対応が必須です。
図7 ファイアウォールの設置と運用
さて、セキュリティ対策の最も基本的な位置づけである利用者IDの管理について図8を見てみましょう。ここで、問題視されるのは共有IDの利用を認めている大学が多いことです。外部からの侵入の際、非常に高い頻度で共有IDが狙われます。個人IDのみとする運用が望ましいでしょう。
図8 利用者IDの管理
以上、ベンチマーク評価から問題点を指摘したきましたが、今後急がれる対策をあげれば、技術的には重要データの暗号化、人的には事故対応体制・手順の整備などということになると思われます。本稿がその根拠となることを祈っております。
なお、本稿を記すにあたり、東京大学情報学環の満永拓邦氏、松田亘氏、藤本万里子氏にご協力いただきました。