高等教育におけるサイバーセキュリティ：問題と解決策

高等教育機関は、サイバー攻撃の絶え間ない大洪水に直面しています。 2015年の事件の後、ペンシルバニア州立大学の元情報技術担当副学長であるKevin Morooneyは、ペンシルベニア州立大学が1日あたり平均2,000万件の攻撃に直面したと語った。これは、「研究大学では一般的」な量である。

このような脅威がもたらす可能性のある経済的影響の小さなサンプルから始めて、デジタルフォレンジックおよびサイバーセキュリティ会社のLIFARSは、2016年のレポートで、スピアフィッシング攻撃（多くの場合電子メールを介して組織に侵入し、機密情報を盗むように設計されている）が企業に平均してインシデントごとに180万ドル。 2017年のレポートでは、Cyber​​security Venturesは、身代金が支払われない限り被害者のデータを盗んだり、ブロックしたり、公開したりする恐れのあるランサムウェアを含む攻撃により、2015年の3億2500万ドルから、2017年には約50億ドルの損害が発生すると予測しました。

高等教育は、BitSight（サイバーリスク管理会社）が発行した2016年のレポートで調査されたすべての業界の中でランサムウェア攻撃の割合が最も高く、BitSightの2017年のレポートで2番目に高い割合でした。 したがって、大学はこれらの急激な潜在的損失に対する防御を強化するために24時間体制で取り組んでいます。 インディアナ大学の研究教育ネットワーキング情報共有および分析センターのエグゼクティブディレクターであるキムミルフォードがデジタル教育センターによって書かれた2016年の記事で述べたように、大学は現在、新しい方法を模索しているため、「高価な軍拡競争に閉じ込められています」。現在の攻撃と戦うことと、これからの攻撃の一歩先を行くことの両方を試みます。 サイバー攻撃が成功したかどうかに関係なく、それらは大学が取り組むことを余儀なくされている費用がかかり、常に存在する問題を表しているとミルフォードは言います。

おそらく潜在的な経済的損失よりもさらに重大なサイバー攻撃は、大学の評判と学生の安全に重大な脅威をもたらします。

しかし、サイバー攻撃によってもたらされるリスクは、高等教育の世界の経済的損失を超えています。 実際、大学には、学生の社会保障番号から貴重な知的財産まで、膨大な量の機密データが保管されており、盗まれたり侵害されたりすると、アカデミーの壁をはるかに超えて重大な損害を引き起こす可能性があります。 おそらく前述の潜在的な経済的損失よりもさらに重大なサイバー攻撃は、大学の評判と学生の安全に重大な脅威をもたらします。

脅威は絶えず進化していますが、大学は今後もサイバーセキュリティの課題に対応するために必要な人材とインフラストラクチャの両方に投資し続ける必要があります。 この記事では、高等教育機関向けのサイバーセキュリティの専門知識を開発することの重要性をさらに明らかにし、これらの課題に対処するための戦略を提供します。 大学がサイバー攻撃に対して独自に脆弱である理由の調査から始めて、攻撃者がこれらの脆弱性を悪用するために使用する戦略を理解し、将来のサイバー脅威に対処するために大学をより良く装備するように設計された一連の推奨事項に到達します。

高等教育はなぜ脆弱なのですか？

事実上すべての主要産業が重大なサイバーセキュリティの課題に直面していますが、高等教育はいくつかの重要な理由から特に脆弱です。

1つは、ほとんどの業界に欠けているある程度の開放性と透明性を誇る学界のユニークな文化と関係があります。 インディアナ大学応用サイバーセキュリティ研究センターのディレクターであるFredCateが、2013年のUniversityBusinessの記事で明確に述べているように、大学は歴史的に、「私たちの教員と学生、一般市民とドナーがきれいにつながることができるようにすることに注力してきました。簡単に私たちに。」 これにより、大学のコンピュータネットワークが「キャンパスと同じくらいオープンで魅力的な」ものになりました。

もう1つの理由は、歴史に関連しています。具体的には、大学がオンラインになっている期間です。 SecurityScorecard（サードパーティのリスク管理会社）のチーフリサーチオフィサーであるAlex Heidは、2016年のEducationDIVEの記事で、大学は常にサイバー攻撃の主な標的であると述べています。インターネットアクセスには、それがどこまで進むことができるかを見ようとする人々がいます。」 比較的長い間インターネットにアクセスしてきたおかげで、大学は長い間目に見える標的であり、したがってそれらの弱点はサイバー攻撃者によって非常によく知られており、理解されている可能性があります。

サイバー攻撃者は、最先端のテクノロジーと手法を使用して、場合によってはひどく時代遅れで他に類を見ない大学システムを悪用します。

大学はデジタルツールとインターフェースを採用するのが非常に早いため（そして財政的およびその他の実際的な懸念の結果として）、高等教育機関の多くは依然として攻撃に対して特に脆弱なレガシーシステムに依存しています。 「多くの大学は何年も前に書かれたものを使用しています」とハイドは前述の記事で述べています。 簡単に言えば、サイバー攻撃者は最先端のテクノロジーと手法を使用して、場合によってはひどく時代遅れで他に類を見ない大学システムを悪用します。

より具体的には、大学のITシステムは、分散型であり、Heidの見解では、攻撃者が簡単に悪用できる無計画な構造を特徴とすることがよくあります。 データリスク管理およびソフトウェア会社Code42の2017年のブログ投稿で、Ashley Jaroschは、個々の部門が独自のIT構造の下で運用することは運用の観点からは理にかなっているかもしれないが、大学の天体物理学部門は異なる可能性があると述べています。たとえば、大学の文学部よりも技術的なニーズがある場合、この種の断片的な設定は、明確な情報セキュリティの脆弱性を生み出します。 「12（または数十）の部門にわたって、少なくとも1つが古いデバイスとパッチが適用されていないOSの組み合わせ、不十分な電子メールフィルタリングとAV、欠陥のあるデータバックアップ、または不十分なユーザートレーニングとポリシーを持っている可能性があります」とJaroschは書いています。

高等教育に固有の問題ではありませんが、サイバーセキュリティの人材の不足は、上記の問題に対処するために大学が克服しなければならない重大な障害を表しています。 コンサルティング会社Frost＆Sullivanが実施した最近の調査によると、2020年までに未充足のサイバーセキュリティの仕事は180万人に上り、この人材不足は世界規模で存在し、世界中の専門家の70％近くがスタッフのサイバーセキュリティワーカーが少なすぎると述べています。 。 サイバーセキュリティの人材に対する需要が供給をはるかに上回っているため、企業はサイバーセキュリティの専門知識に最高額を支払うことがよくあります。 これは、AlphabetやFacebookなどでの高給の民間部門の仕事からそのような才能を引き離そうとするときに、大学を深刻な不利益にさらす可能性があります。

高等教育のサイバーセキュリティの脆弱性の根底にある理由を理解することで、これらの脆弱性が悪用される方法を探ることができます。

攻撃者が脆弱性を悪用する方法

悪意のある攻撃者は、サイバー攻撃を開始するときにさまざまな戦術とツールを使用します。 最も一般的なそのような方法の2つを以下に概説します。 このリストは完全なものではなく、大学に固有のものでもありませんが、ハッカーがサイバーセキュリティのギャップを悪用することをどのように目指しているかをより深く理解し、今後そのような攻撃を阻止する最善の方法を検討するのに役立ちます。

SQLインジェクション： 「おそらくWebアプリケーションが直面する最も深刻な問題」と言われるSQLインジェクション（SQLi）は、簡単に言えば、特定のアプリケーションの基盤となるデータベースを悪用してパスワード保護を回避するように設計された攻撃です。 SQL（標準クエリ言語）は、データベースを管理および通信する言語です。 SQLインジェクションは、入力ページ（ユーザー名やパスワードのログインページなど）の基礎となるコードの弱点を悪用し、特定のデータベースに機密情報を返すように強制することで機能します。 たとえば、ユーザー名とパスワードのログインページが表示された場合、攻撃者はSQLコードの一部をパスワードセクションに入力（「挿入」）する可能性があります。 基盤となるデータベースのコードが脆弱である場合、このSQLコードは基盤となるデータベースを変更し、データベースが制御するアプリケーションにハッカーのアクセスを許可するように強制する可能性があります。

大学には、学生の成績レポートから教員の雇用情報まで、パスワードで保護された無数のオンラインアプリケーションがあり、理論的にはSQLインジェクションの使用に割り込むことができます。 高等教育に対するそのような攻撃の1つは、ロシアのハッカーまたはハッカーグループがSQLインジェクションを使用して、コーネル大学やニューヨーク大学を含む数十の米国の大学からデータを盗んだときに発生しました。 高等教育機関が基盤となるデータベースに弱点を書き続けている限り、SQLインジェクションは一般的であり、ハッカーが採用するのは非常に簡単です。

フィッシング：この記事の冒頭で述べたように、フィッシング攻撃は、ユーザーをだましてパスワードやクレジットカード情報などの機密データを入力させるように設計された電子メールまたはWebページを特徴としています。 プリンストン大学の情報セキュリティオフィスは、そのような攻撃が通常どのように現れるかについての有用な概要を提供します。

「通常、フィッシング詐欺師は、インターネット上の名簿やWebサイトからアドレスを取得した多数の個人グループに電子メールメッセージを送信します。 メッセージは、通常、巧妙に作成され、公式に見えるものであり、金融​​機関、サービスプロバイダー、または受信者が知っているその他の組織からのものであると主張する場合があります。多くの場合、受信者は、次のWebサイトのリンクをクリックして情報を提供するよう求められます。 Eメール。 しかし、ウェブサイトへのリンクは正当に見えるかもしれませんが、表示されるリンクは、クリックしたときに実際にアクセスしたサイトであるとは限りません。」

昨年、教育業界のユーザーの30％が、企業のコミュニケーションを装ったフィッシング詐欺に堕ちており、一般人口の2倍の割合を占めています。

フィッシング攻撃には、ユーザーデータの盗用から、被害者のコンピューターへのランサムウェアのインストール、金銭的支払いの引き出しまで、さまざまな最終的な目標があります。 これらの攻撃は明白で回避しやすいように思われるかもしれませんが、調査によると、企業の大多数がフィッシング詐欺の被害者でした。 教育業界は特に影響を受けやすいことが証明されています。WombatSecurity（企業がフィッシング攻撃と戦うのを支援することに専念しているソフトウェア会社）は、2017年のレポートで、教育業界のユーザーの30％が企業コミュニケーションを装ったフィッシング詐欺をクリックしたことを発見しました。昨年の一般人口の割合。

上記の戦術は効果的であることが証明されていますが、それらを防ぐことができることがわかります。

攻撃を防ぐ方法：より良いコードとより優れた警戒

上記のサイバー攻撃に対抗するための戦略はいくつかあります。 高等教育のIT専門家が自ら採用しなければならない戦略を含むものもあれば、エンドユーザーを含む高等教育コミュニティの全員が実装しなければならない戦略を含むものもあります。

プリペアドステートメント、ストアドプロシージャ、および入力検証によるSQLi攻撃の阻止

SQLインジェクション攻撃を防ぐ方法については多くのことが書かれており、そうすることは実際には特に難しいことではないかもしれないというコンセンサスがあります。 Open Web Application Security Project（OWASP）は、SQLi攻撃を回避する方法の概要を提供します。 OWASPは、そうするための3つの主要な戦略を引用しています。

プリペアドステートメント：カレッジと大学は、プリペアドステートメントを使用して基礎となるデータベースを構築する必要があります。 OWASPが言うように、「プリペアドステートメントは、SQLコマンドが攻撃者によって挿入された場合でも、攻撃者がクエリの意図を変更できないようにします。」 基本的に、プリペアドステートメントは、ユーザー入力データ（ユーザー名とパスワード）を装ったSQLコマンドを無力にする可能性があります。

ストアドプロシージャ：OWASPによると、ストアドプロシージャは、プリペアドステートメントと同じ効果があります。主な違いは、「ストアドプロシージャのSQLコードが定義され、データベース自体に格納されてから、アプリケーションから呼び出される」ことです。 OWASPや他の人が書いたように、ストアドプロシージャは、SQLi攻撃に対する防御に常に適切であるとは限りませんが、適切に記述および実装された場合、大学にとって実行可能なオプションとして機能します。

入力検証：SQLインジェクション攻撃は、入力データを相互参照および検証しないアプリケーションとデータベースを悪用します。 したがって、これらの攻撃を防ぐための論理的な手順は、構築中のデータベースに入力検証が必要であることを確認することです。 Microsoftはまた、ASP.netWeb開発モデル内でSQLi攻撃を回避するための重要な手法として入力検証を挙げています。

トレーニングと疑惑の高まりによるフィッシングの防止

内部の技術的な修正を通じて実行できるSQLi攻撃の防止とは異なり、フィッシング詐欺の防止は、主にエンドユーザー（教員、スタッフ、学生）に依存しています。 すべてのエンドユーザーが警戒を怠らないようにするために、大学が取るべきいくつかのステップがあります。

電子メールフィルター：最初の簡単な手順として、大学は疑わしい非大学の電子メールをユーザーのスパムフォルダーに送信する電子メールフィルターを設定する必要があります。 これは絶対確実な修正にはほど遠いですが、悪意のある電子メールがターゲットに到達するのを防ぐことができる重要な最初のステップです。

トレーニングと意識向上キャンペーン：大学は、エンドユーザーにフィッシングとは何かとそれを認識する方法をカバーするトレーニングを受けることを要求する必要があります。 このサービスを提供することに専念している企業があり、高等教育機関は、教員やスタッフを適切に教育するために必要な時間とリソースを積極的に投資する必要があります。 Infosecurity Magazineの記事が指摘しているように、このトレーニングは比較的定期的に繰り返され、ユーザーをさまざまなフィッシング攻撃にさらす必要があります。 プリンストン大学が「フィッシュボウル」で行ったように、実際の攻撃の例を提供し、そのような攻撃のリポジトリを作成することも、意識を高めることができます。

「安全なコンピューティングの観点からお客様を教育することは、最大の見返りの1つをもたらします。」

ワシントン州立大学の情報技術サービス担当副社長兼最高情報責任者であるSasiPillay氏は、彼と彼のチームは毎年サイバーセキュリティ意識月間を開催し、フィッシングと戦うための一般的な「サイバー意識文化」の構築を目指してきたと述べています。 1つのサイバーセキュリティの問題。 「安全なコンピューティングの観点からお客様を教育することは、最大の見返りの1つをもたらします」とPillay氏は言います。

上記の戦略は包括的ではなく、すべての攻撃を防ぐことはできないかもしれませんが、サイバー脅威となる可能性のある高等教育の戦いに大きな利益をもたらすことができる比較的単純なステップを表しています。

安全な未来への鍵

脆弱性、一般的なサイバー攻撃のしくみ、およびそのような攻撃を防ぐ方法を理解することは、高等教育のより安全で経済的に安定した未来を築くための基本です。 しかし、サイバー脅威は絶えず進化しており、今日直面している脅威（およびそれらを軽減するための戦略）が今後の脅威に類似するという保証はありません。

Sasi Pillayの場合、サイバーセキュリティの長期的なソリューションには、ソフトウェアの作成方法と設計方法に対する根本的な変更を含める必要があります。

「私の夢である長期的なビジョンは、危険にさらされた環境で安全なコンピューティングを実行できるようにすることです」とPillay氏は言います。 「私たちがしなければならないことは、今日のソフトウェアの書き方を大きく変えることです。 人々がセキュリティリスクとエクスポージャーを考慮に入れるように、ソフトウェア開発を強化する必要があります。」

この記事で簡単に説明した、将来のサイバーセキュリティの課題に対処するためのもう1つの鍵は、この分野の専門家の堅牢で安定したチームを採用することです。 もちろん、大学の予算は厳しく、才能は乏しいので、これは言うよりも簡単です。 それでも、この問題を回避する方法はいくつかあります。たとえば、専門家のフリーランサーを雇ったり、リモートで仕事をしたりする方法があります。

高等教育が直面しているサイバーセキュリティの課題は大きく、それらを解決するためのコストは高額ですが、不十分な防御に伴う潜在的な経済的および評判上のリスクはさらに高くなる可能性があります。 高等教育機関全体の教育機関は、効果的なサイバーセキュリティソリューションが最終的には自分たちの利益になると感じるかもしれません。