高等教育機関は、サイバー攻撃の絶え間ない大洪水に直面しています。 2015年の事件の後、ペンシルバニア州立大学の元情報技術担当副学長であるKevin Morooney – ニューヨークタイムズに語った ペンシルベニア州立大学は、1日あたり平均2,000万件の攻撃に直面しました。これは、「研究大学では一般的」な量です。
このような脅威がもたらす可能性のある経済的影響の小さなサンプルから始めて、デジタルフォレンジックおよびサイバーセキュリティ会社のLIFARSは 2016年のレポート そのスピアフィッシング攻撃は、組織に侵入し、機密情報を盗むように設計されており、多くの場合電子メールを介して、インシデントごとに平均180万ドルのコストがかかります。に 2017年のレポート 、Cybersecurity Venturesは、ランサムウェアが関与する攻撃(身代金が支払われない限り被害者のデータを盗んだり、ブロックしたり、公開したりする恐れがある)が、2015年の3億2500万ドルから、2017年には約50億ドルの損害をもたらすと予測しました。
高等教育は、調査対象のすべての業界の中でランサムウェア攻撃の割合が最も高かった BitSightが発行した2016年のレポート (サイバーリスク管理会社)、そして2番目に高い率 BitSightの2017年のレポート 。したがって、大学はこれらの急激な潜在的損失に対する防御を強化するために24時間体制で取り組んでいます。インディアナ大学の研究教育ネットワーキング情報共有および分析センターの事務局長であるキム・ミルフォードは、次のように述べています。 2016年の作品 Center for Digital Educationによって書かれた大学は、現在の攻撃と戦うことと、これからの攻撃の一歩先を行くことの両方の新しい方法を模索しているため、現在「高価な軍拡競争に閉じ込められています」。サイバー攻撃が成功したかどうかに関係なく、それらは大学が取り組むことを余儀なくされている費用がかかり、常に存在する問題を表しているとミルフォードは言います。
おそらく潜在的な経済的損失よりもさらに重大なサイバー攻撃は、大学の評判と学生の安全に重大な脅威をもたらします。
しかし、サイバー攻撃によってもたらされるリスクは、高等教育の世界の経済的損失を超えています。実際、大学には、学生の社会保障番号から貴重な知的財産まで、膨大な量の機密データが保管されており、盗まれたり侵害されたりすると、アカデミーの壁をはるかに超えて重大な損害を引き起こす可能性があります。おそらく前述の潜在的な経済的損失よりもさらに重大なサイバー攻撃は、大学の評判と学生の安全に重大な脅威をもたらします。
脅威は絶えず進化していますが、大学は今後もサイバーセキュリティの課題に対応するために必要な人材とインフラストラクチャの両方に投資し続ける必要があります。この記事では、高等教育機関向けのサイバーセキュリティの専門知識を開発することの重要性をさらに明らかにし、これらの課題に対処するための戦略を提供します。大学がサイバー攻撃に対して独自に脆弱である理由の調査から始めて、攻撃者がこれらの脆弱性を悪用するために使用する戦略を理解し、将来のサイバー脅威に対処するために大学をより良く装備するように設計された一連の推奨事項に到達します。
事実上すべての主要産業が重大なサイバーセキュリティの課題に直面していますが、高等教育はいくつかの重要な理由から特に脆弱です。
1つは、ほとんどの業界に欠けているある程度の開放性と透明性を誇る学界の独自の文化と関係があります。インディアナ大学応用サイバーセキュリティ研究センターの所長であるフレッド・ケイトは、 2013年のUniversityBusinessの記事 、大学は歴史的に、「私たちの教職員と学生、そして私たちの一般市民と私たちのドナーが私たちと非常に簡単につながることができる」ことを確実にすることに力を注いできました。これにより、大学や大学のコンピュータネットワークが「キャンパスと同じくらいオープンで魅力的な」ものになりました。
もう1つの理由は、歴史に関連しています。具体的には、大学がオンラインになっている期間です。 SecurityScorecard(サードパーティのリスク管理会社)の最高研究責任者であるAlex Heidは、次のように述べています。 2016年のEducationDIVEの記事 大学は常にサイバー攻撃の主な標的でした。「大学はインターネットにアクセスできる最初の場所の1つであり、インターネットにアクセスできると、どこまで行けるかを調べようとする人々がいるからです。」比較的長い間インターネットにアクセスしていたおかげで、大学は長い間目に見える標的であり、したがってそれらの弱点はサイバー攻撃者によって非常によく知られており、理解されている可能性があります。
サイバー攻撃者は、最先端のテクノロジーと手法を使用して、場合によってはひどく時代遅れで他に類を見ない大学システムを悪用します。
大学はデジタルツールとインターフェースの採用が非常に早いため(そして財政的およびその他の実際的な懸念の結果として)、高等教育機関の多くは依然として攻撃に対して特に脆弱なレガシーシステムに依存しています。 「多くの大学は何年も前に書かれたものを使用しています」とハイドは前述の記事で述べています。簡単に言えば、サイバー攻撃者は最先端のテクノロジーと手法を使用して、場合によってはひどく時代遅れで他に類を見ない大学システムを悪用します。
人工知能はどのように人間に利益をもたらすことができますか
より具体的には、大学のITシステムは、攻撃者が簡単に悪用できる分散型の、そしてハイドの見解では無計画な構造を特徴とすることがよくあります。で 2017年のブログ投稿 データリスク管理およびソフトウェア会社Code42の場合、Ashley Jaroschは、個々の部門が独自のIT構造の下で運用することは運用の観点からは理にかなっているかもしれないが、大学の天体物理学部門は大学とは異なる技術的ニーズを持っている可能性が高いと述べています。たとえば、文学部)、この種の断片的な設定は、明確な情報セキュリティの脆弱性を生み出します。 「12(または数十)の部門にわたって、少なくとも1つが古いデバイスとパッチが適用されていないOSの組み合わせ、不十分な電子メールフィルタリングとAV、欠陥のあるデータバックアップ、または不十分なユーザートレーニングとポリシーを持っている可能性があります」とJaroschは書いています。
高等教育に固有の問題ではありませんが、サイバーセキュリティの人材の不足は、上記の問題に対処するために大学が克服しなければならない重大な障害を表しています。 A 最近の研究 コンサルティング会社Frost&Sullivanが実施したプロジェクトでは、2020年までに180万人の未就職のサイバーセキュリティの仕事があり、この人材不足は世界規模で存在し、世界中の専門家の70%近くがスタッフのサイバーセキュリティワーカーが少なすぎると述べています。サイバーセキュリティの人材に対する需要が供給をはるかに上回っているため、企業はサイバーセキュリティの専門知識に最高額を支払うことがよくあります。これは、アルファベットやフェイスブックなどでの高給の民間部門の仕事からそのような才能を引き離そうとするときに、大学を深刻な不利益にさらす可能性があります。
高等教育のサイバーセキュリティの脆弱性の根底にある理由を理解することで、これらの脆弱性が悪用される方法を探ることができます。
悪意のある攻撃者は、サイバー攻撃を開始するときにさまざまな戦術とツールを使用します。最も一般的なそのような方法の2つを以下に概説します。このリストは完全なものではなく、大学に固有のものでもありませんが、ハッカーがサイバーセキュリティのギャップを悪用する方法を正確に理解し、そのような攻撃を今後阻止する最善の方法を検討するのに役立ちます。
SQLインジェクション: 一部の人が説明 「おそらくWebアプリケーションが直面する最も深刻な問題」として、SQLインジェクション(SQLi)は、簡単に言えば、特定のアプリケーションの基盤となるデータベースを悪用することでパスワード保護を回避するように設計された攻撃です。 SQL(標準クエリ言語)は、データベースを管理および通信する言語です。 SQLインジェクションは、入力ページ(ユーザー名やパスワードのログインページなど)の基礎となるコードの弱点を悪用し、特定のデータベースに機密情報を返すように強制することで機能します。たとえば、ユーザー名とパスワードのログインページが表示された場合、攻撃者はSQLコードの一部をパスワードセクションに入力(「挿入」)できます。基盤となるデータベースのコードが脆弱である場合、このSQLコードは基盤となるデータベースを変更し、データベースが制御するアプリケーションにハッカーのアクセスを許可するように強制する可能性があります。
大学には、学生の成績レポートから教職員の雇用情報まで、パスワードで保護された無数のオンラインアプリケーションがあり、理論的にはSQLインジェクションの使用に割り込むことができます。 そのような攻撃の1つ ロシアのハッカーまたはハッカーグループがSQLインジェクションを使用して、コーネル大学やニューヨーク大学を含む数十の米国の大学からデータを盗んだとき、高等教育に関する研究が行われました。高等教育機関が基盤となるデータベースに弱点を書き込んでいる限り、SQLインジェクションは一般的であり、ハッカーが採用するのは非常に簡単です。
フィッシング: この記事の冒頭で述べたように、フィッシング攻撃は、ユーザーをだましてパスワードやクレジットカード情報などの機密データを入力させるように設計された電子メールまたはWebページを特徴としています。プリンストン大学の情報セキュリティオフィスは 便利な概要 そのような攻撃が通常どのように現れるかについて:
「通常、フィッシング詐欺師は、インターネット上の名簿やWebサイトからアドレスを取得した多数の個人グループに電子メールメッセージを送信します。メッセージは、通常、巧妙に作成され、公式に見えるものであり、金融機関、サービスプロバイダー、または受信者が知っているその他の組織からのものであると主張する場合があります。多くの場合、受信者は、のWebサイトリンクをクリックして情報を提供するよう求められます。 Eメール。しかし、ウェブサイトへのリンクは正当に見えるかもしれませんが、表示されるリンクは、クリックしたときに実際にアクセスしたサイトであるとは限りません。」
昨年、教育業界のユーザーの30%が、一般人口の2倍の企業コミュニケーションを装ったフィッシング詐欺に見舞われました。
フィッシング攻撃には、ユーザーデータの盗用から、被害者のコンピューターへのランサムウェアのインストール、金銭的支払いの引き出しまで、さまざまな最終目標があります。これらの攻撃は明白で回避しやすいように見えるかもしれませんが、 研究は示しています 大多数の企業がフィッシング詐欺の被害者であるということです。教育業界は特に影響を受けやすいことが証明されています。WombatSecurity(企業がフィッシング攻撃と戦うのを支援することに専念するソフトウェア会社)は、 2017年のレポート 昨年、教育業界のユーザーの30%が、企業のコミュニケーションを装ったフィッシング詐欺をクリックしました。これは、一般人口の2倍の割合です。
上記の戦術は効果的であることが証明されていますが、それらを防ぐことができることがわかります。
上記のサイバー攻撃に対抗するための戦略はいくつかあります。高等教育のIT専門家が自ら採用しなければならない戦略を含むものもあれば、エンドユーザーを含む高等教育コミュニティの全員が実装しなければならない戦略を含むものもあります。
SQLインジェクション攻撃を防ぐ方法については多くのことが書かれており、そうすることは実際には特に難しいことではないかもしれないというコンセンサスがあります。 Open Web Application Security Project(OWASP)は、 SQLi攻撃を回避する方法の概要 。 OWASPは、そうするための3つの主要な戦略を引用しています。
プリペアドステートメント :大学は、準備されたステートメントを使用して、基礎となるデータベースを構築する必要があります。 OWASPが言うように、「プリペアドステートメントは、SQLコマンドが攻撃者によって挿入された場合でも、攻撃者がクエリの意図を変更できないことを保証します。」基本的に、プリペアドステートメントは、ユーザー入力データ(ユーザー名とパスワード)を装ったSQLコマンドを無力にする可能性があります。
ストアドプロシージャ :OWASPによると、ストアドプロシージャは、プリペアドステートメントと同じ効果があります。主な違いは、「ストアドプロシージャのSQLコードが定義され、データベース自体に格納されてから、アプリケーションから呼び出される」ことです。 OWASPおよび その他 記述されたストアドプロシージャは、SQLi攻撃に対する防御に常に適切であるとは限りませんが、適切に記述および実装された場合、大学にとって実行可能なオプションとして機能します。
入力検証 :SQLインジェクション攻撃は、入力されたデータを相互参照および検証しないアプリケーションとデータベースを悪用します。したがって、これらの攻撃を防ぐための論理的な手順は、構築中のデータベースに入力の検証が必要であることを確認することです。 マイクロソフトも引用しています ASP.netWeb開発モデル内でSQLi攻撃を回避するための重要な手法としての入力検証。
内部の技術的な修正を通じて実行できるSQLi攻撃の防止とは異なり、フィッシング詐欺の防止は、主にエンドユーザー(教職員、スタッフ、学生)に依存しています。すべてのエンドユーザーが警戒を怠らないようにするために、大学が取るべきいくつかのステップがあります。
メールフィルター: 最初の簡単な手順として、大学は、大学以外の疑わしいメールをユーザーのスパムフォルダに送信するメールフィルタを設定する必要があります。これは絶対確実な修正にはほど遠いですが、悪意のある電子メールがターゲットに到達するのを防ぐことができる重要な最初のステップです。
トレーニングと意識向上キャンペーン: カレッジや大学は、エンドユーザーにフィッシングとは何か、そしてそれを認識する方法をカバーするトレーニングを受けることを要求する必要があります。このサービスを提供することに専念している企業があり、高等教育機関は、教員やスタッフを適切に教育するために必要な時間とリソースを積極的に投資する必要があります。なので InfosecurityMagazineの記事 このトレーニングは比較的定期的に繰り返され、ユーザーをさまざまなフィッシング攻撃にさらす必要があると指摘しています。プリンストン大学が行ったように、実際の攻撃の例を提供し、そのような攻撃のリポジトリを作成します。 フィッシュボウル 」も意識を高めることができます。
「安全なコンピューティングの観点からお客様を教育することは、最大の見返りの1つをもたらします。」
ワシントン州立大学の情報技術サービス担当副社長兼最高情報責任者であるSasiPillay氏は、彼と彼のチームは毎年サイバーセキュリティ意識月間を開催し、フィッシングと戦うための一般的な「サイバー意識文化」の構築を目指してきたと述べています。 1つのサイバーセキュリティの問題。 「安全なコンピューティングの観点からお客様を教育することは、最大の見返りの1つをもたらします」とPillay氏は言います。
上記の戦略は包括的ではなく、すべての攻撃を防ぐことはできないかもしれませんが、サイバー脅威となる可能性のある高等教育の戦いに大きな利益をもたらすことができる比較的単純なステップを表しています。
脆弱性、一般的なサイバー攻撃のしくみ、およびそのような攻撃を防ぐ方法を理解することは、高等教育のより安全で経済的に安定した未来を築くための基本です。しかし、サイバー脅威は絶えず進化しており、今日直面している脅威(およびそれらを軽減するための戦略)が今後の脅威に類似するという保証はありません。
Sasi Pillayの場合、サイバーセキュリティの長期的なソリューションには、ソフトウェアの作成方法と設計方法に対する根本的な変更を含める必要があります。
「私の夢である長期的なビジョンは、危険にさらされた環境で安全なコンピューティングを実行できるようにすることです」とPillay氏は言います。 「私たちがしなければならないことは、今日のソフトウェアの書き方を大きく変えることです。人々がセキュリティリスクとエクスポージャーを考慮に入れるように、ソフトウェア開発を強化する必要があります。」
この記事で簡単に説明した、将来のサイバーセキュリティの課題に対処するためのもう1つの鍵は、この分野の専門家の堅牢で安定したチームを採用することです。もちろん、大学の予算は厳しく、才能が不足しているため、これは言うよりも簡単です。それでも、この問題を回避する方法はいくつかあります。たとえば、専門家のフリーランサーを雇ったり、リモートで仕事をしたりする方法があります。
高等教育が直面しているサイバーセキュリティの課題は大きく、それらを解決するためのコストは高額ですが、不十分な防御に伴う潜在的な経済的および評判のリスクはさらに高くなる可能性があります。高等教育機関全体の教育機関は、効果的なサイバーセキュリティソリューションが最終的には自分たちの利益になると感じるかもしれません。