英国在住約40年のフリーランス・コンサルタント山田直氏が、新しい大学の生き方を求め、イノべーション創出、技術移転などに積極的に取り組む英国の大学と、大学を取り囲む英国社会の最新の動きをレポートします。(毎月初めに更新)
2013年11月、英国大学協会(Universities UK)は「Cyber security and universities:managing the risk」PDFと題する報告書を発表した。この報告書は、技術的な対処方法ではなく、サイバー・セキュリティーに対する大学の運営・管理に重点が置かれている。今月号では、この24ページの報告書の中から一部を抜粋して紹介する。
【1. 大学が直面するサイバー・セキュリティーの問題 】
デジタル・インフォメーションはすべての大学の活動の根幹に関わっており、以下のような理由からも、その安全性とセキュリティーは非常に重要である。
- 大学は知的資産としての膨大なデータを創出しており、それらのデータは学問的、商業的な価値を生み出すために保存、アクセス、利用される必要がある。これらのデータの中には、商業的な契約者のためのデータや、経済または天候のモデリングなどの政治的に注意を要するデータも含まれている。
- 大学は、医療機関から提供された患者のデータなどの取り扱いに注意を要するデータや、産業界から提供された機密を要するデータにもアクセスできる立場にある。
- 大学は、学生、スタッフおよび大学の財務状況などの大学自身に関わる内部情報を蓄積している。これらのデータの中には、法律上、取り扱いに注意を要するものもある。
【サイバー・セキュリティーへの脅威】
- 国家や企業からの脅威
大学の持つ、取り扱いに注意を要する機関データの窃盗、研究や研究データの窃盗や妨害など - ハッカーや犯罪者からの脅威 ウェブサイトのオーバーロードなどの情報インフラへの妨害、取り扱いに注意を要する個人データの窃盗(詐欺や政治的目的)など
【サイバー・セキュリティーが破られた場合の影響】
- 大学の評判
学生、大学のパートナー、企業および政府の大学に対する評判は著しく悪化する可能性がある。 - 法律面
法律や契約への違反により、大学が告訴、罰金または助成金の引き上げなどに直面する可能性もある。 - 経済面
大学や研究者の持つ知的所有権の活用を阻害する可能性がある。 - 法律面
大学内のネットワークやインフラにダメージを与え、復旧のための多大な経費が発生する可能性がある。
【2. 大学へのリスクの評価 】
【情報資産の識別】
大学の持つ情報資産を識別することが第一歩である。そのためには、以下のような3つのプロセスが考えられる。
- 倫理的な承認が必要な研究に関するデータ
- データ保護法か契約によって保護されているデータ
- 経済的か政治的に価値のあると思われる情報
【大学資産への外部からの脅威の評価】
外部からの脅威にさらされる可能性が最も高いカテゴリーには、以下のようなものが考えられる。
- 経済的価値のある研究
エネルギー技術(原子力、再生エネルギー、エネルギー効率化など)
バイオテクノロジー(薬品、治療、医療機器など)、新材料(希土類、半導体など)
IT(セキュリティー、インフラ技術など)、先端工学(宇宙・航空、通信など) - 政治的、商業的に取り扱いに注意を要する情報
気候モデリング、経済データおよび経済見通し、生きている動物の研究
製品開発と試験データ、専門家による証言に利用された情報 - 取り扱いに注意を要する大学のデータ
スタッフ・データ(特に、議論を呼ぶ研究や重要な研究に従事しているスタッフ)
学生の修学履歴データ、財務データ、採用およびマーケティングのデータ
*このほかに、「運営上の優先度の設定」や「サイバー・セキュリティーと公開性のバランス」も重要となろう。
*The Centre for the Protection of National Infrastructure
- 政府のNational Cyber Security Programmeの一環として、2007年に設立された公的機関であるThe Centre for the Protection of National Infrastructure(CPNI)は、英国の経済に最も重要な企業群といくつかの大学と共同で、サイバー上の脅威への関心をより高めるための活動と共に、セキュリティーに関するさまざまな助言を行っている。
- 最もサイバー・セキュリティーのリスクにさらされていると評価された大学に対して、CPNIはその大学がリスクを評価するための助言をする。この助言には、特に経済的、政治的興味を引く研究の種類、情報収集に利用される手法、当該大学のサイバー・セキュリティーに対する脆弱性の指摘などが含まれる。
【3. サイバー面で安全なインフォメーション・ガバナンスの推進 】
大学は既存の運営機構の一部として、サイバー・セキュリティーの管理に対して組織だったアプローチをすべきである。また、大学理事会は大学が直面するセキュリティー・リスクに対して、当事者意識をもって当たるべきである。
3-1) コーポレート・ガバナンス
【提言】
- 大学のデータ管理やサイバー・セキュリティー・リスクを監督するガバナンス・コミッティーを設置すべきである。
- サイバー・セキュリティー・リスクおよび既存または新規のデータ資産をカバーするデータ管理の優先度について、全学的な評価を実施すべきである。
- データ管理者とリスクや管理優先度に関するコーポレート・ガバナンスとの間に明確な伝達・報告方法を確立しておくべきである。
- コーポレート・ガバナンスとサイバー・セキュリティー管理を評価するために、大学内部による監査のほかに、外部の第三者による監査も考えるべきである。
【オックスフォード大学の事例】
- 多くの大学では、データ・リスク管理を監督するガバナンス・コミッティーの設置を検討している。
- オックスフォード大学では、2007年にOxford Digital Repositories Steering Groupという運営グループを設置して、全学を横断するデータ管理プログラムを監督している。
- この運営グループは全学からの主要な関係者で構成され、研究データの管理戦略の責任を負っている。その役割の中には、研究データの管理やセキュリティーへの支援やガイダンスが含まれている。
3-2) 研究データの管理
【提言】
- 既存データへのリスクとデータ管理手段を評価するため、軽度の監査と評価の枠組みを開発すべきである。
- 倫理的見直しの一環として、データ管理計画を見直すとともにセキュリティー・リスクと運営上の優先度を評価するための現行のリサーチ・ガバナンス・プロセスを見直すべきである。
- すべての新規研究プロポーザルに対して、セキュリティーへの配慮をデータ管理計画に含めるように要求すべきである。
【エディンバラ大学の事例】
- エディンバラ大学では、デジタル・データ管理へのアプローチをより組織だったものに改善する取り組みの一環として、現行のデータ管理方法とデータの保存ニーズを評価するためにデータに関する監査を実施した。
- これは、大学の研究者へのインフラと支援を改善することを目的とする組織化されたデータ管理計画と実施に向けた第一歩でもあった。
- その監査で実施されたサンプリング・アプローチは、最もリスクの高いと思われる研究分野をターゲットとするのにも適用できよう。
3-3) ネットワーク・セキュリティー
【提言】
- ネットワークやインフォメーション・サービスの担当部署は、取り扱いに注意を要する情報に関する政策や管理方法への支援や開発に関わるべきである。
- Secure Network AreasやVirtual Private Networksのような技術を利用して、管理の分割と集中をバランスよく行うべきである。
- The Centre for the Protection of National Infrastructure(CPNI)に参加し、進化する脅威やセキュリティー・スタンダードに対応するため、重要な管理項目について常に見直すべきである。
- 大学のネットワーク・セキュリティーに関するグループであるJanetやUniversities and Colleges Information Systems Association(UCISA)との連携を通じて、進化するネットワーク・セキュリティーの問題点やプラクティスを常に最新の状態に保つ必要がある。
【UCLの事例】
- ユニバーシティー・カレッジ・ロンドン(UCL)は、患者を特定できるために取り扱いに注意を要するデータのセキュリティー確保のために専用システムを導入した。
- そのシステムであるThe Identifiable Data Handling Solution(IDHS)は、研究者がデータを認証された場所に保存できる、集中管理されたデータ・ストアであり、各研究者チームが独自でシステムを構築する必要がない。
- このシステムは主に生命科学分野をターゲットにしており、病院やその他の医療関係者らの外部パートナーが持っているデータにアクセスするために設計された。そのため、IOS規格やNational Health Service(NHS)の規定にも適合している。
- 当システムは、データの利用や保存に関する認識およびカルチャー・チェンジを確実にするために、各学科長との緊密な連携の下に構築され、データの管理とセキュリティーへの助言・訓練サービスと連携して運営されている。
※ The Cyber Security Information Sharing Partnership(CISP)
- 政府もサイバー・セキュリティーのイニシアティブを立ち上げており、このCISPはサイバー上の脅威と脆弱性に関する情報を共有するための、産業界と政府による共同プロジェクトである。
- CISPにより、政府と産業界のメンバーがサイバー上の脅威と脆弱性に関する情報を専用のオンラインを利用して共有できるようになった。ただし、共有された情報には守秘義務が課せられている。英国の大学もCISPに参加できる。
3-4) カルチャーと行動の変革
【提言】
- リスクと解決策への理解を共有するため、学科長、主任研究員およびネットワーク・サービス部門との間の連携を密にすべきである。
- データへの脅威の理解を深めるために、学科や学部内に熱心な推進者を配置すべきである。
- 研究スタッフに対して、コミュニケーションと訓練のプログラムを提供すべきである。データ管理の訓練を博士課程のプログラムに組み込むことも含む。
【サイバー・セキュリティー訓練の事例】
- 大学はサイバー・セキュリティーの実践と責任に関する知識を、いかにして学内に浸透させられるかをよく考えるべきである。
- これには、ネットワークの利用に際して年度ごとに利用条件の承諾を要求することや訓練・教育プログラムの導入などが考えられるであろう。
- Universities and Colleges Information Systems Association が実施している2011年度の「UCISA Award for Excellence」はレスター大学に与えられた。その授賞理由は、大学のための「オンライン・インフォメーション・セキュリティートレーニング」を開発した大学コンソーシアムを主導したことによる。また前述のJanetも、ITスタッフ向けにサイバー・セキュリティー関連のいくつかの訓練コースを提供している。
【4. 結論 】
最終的には、効果的なサイバー・セキュリティー対策は大学全体の責任である。効果的なセキュリティー対策は、政府機関、データ管理者、ネットワーク保護者およびネットワーク利用者の間の活発な連携によってもたらされる。
さらに、大学、政府および企業の間の緊密な連携活動は、急速に進化している脅威に対して遅れることなく対策をとるのを可能にする。
サイバー・セキュリティー管理に対する効果的でバランスのとれたアプローチによって、大学は大学内外の信用を維持することができる。研究と教育という大学本来のミッションを発展させていくことができるだろう。
【5. 筆者コメント 】
英国政府の資料 によると、2012年に英国の大企業の93%および中小企業の87%がサイバー・セキュリティーへの不法侵害を受けたとしている。
英国政府機関のサイバー・セキュリティーを守るGateway to the Government Secure Intranetは、毎月平均で33,000通以上の非常に洗練されかつ悪意を持った破壊工作ソフトを組み込んだEメールをブロックしている。
サイバー・セキュリティーへの不法侵害による大企業の被害額は年間450,000ポンド(7,200万円(*))から850,000ポンド(約1億4,000万円)、中小企業では35,000ポンド(約600万円)から65,000ポンド(約1,000万円)に上ると推定される。
*1ポンドを160円にて換算
英国政府はサイバー・セキュリティーを強化するため、2010年のStrategic Defence and Security Review pdfによって提言された、新たな「National Cyber Security Programme」に4年間で6億5,000万ポンド(1,040億円)の投資を決定した。
このようなサイバー・セキュリティーへの脅威は大学へも及んでおり、各大学がそれぞれ対応しているほか、大学間のネットワーク・セキュリティーに関するネットワーク・グループであるJanet やUniversities and Colleges Information Systems Association(UCISA)などのグループに参加して、情報収集やベスト・プラクティスの共有活動を行っている。
サイバー・セキュリティーの脅威への対策は、一大学では対応できない問題もあり、大学の専門グループ間の連携活動が必要であろう。
筆者は最近、日本のいくつかの大学とオックスフォード大学や欧州大陸の大学の間の会合に出席する機会を得た。その席上、オックスフォード大学の総長による「大事なのは、大学間の競争と連携である」とのコメントが印象に残った。
(参考資料:英国大学協会)