サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

大学の個人情報流出が委託先から発生する理由と企業が取るべき対策

セキュリティニュース

法政大学で1万6542人分の個人情報が流出した可能性があるという衝撃的なニュースが報じられました。しかし、この事件で注目すべきは、大学自体がサイバー攻撃を受けたのではなく、委託先企業への攻撃が原因だった点です。

私たちの個人情報は、思っている以上に多くの企業間で共有されています。そして今回の事件は、現代のビジネス環境におけるサプライチェーン攻撃の典型例といえるでしょう。

なぜ委託先が狙われるのか

今回の法政大学の事案では、情報ネットワーク事業を委託していた日鉄ソリューションズが不正アクセスを受けました。攻撃者は3月7日に侵入し、その後の調査で法政大関係者の個人情報やシステム情報の一部が漏えいした可能性が判明しています。

委託先企業が狙われる理由は明確です。本丸である大手企業や大学よりも、セキュリティ対策が手薄になりがちな関連企業の方が侵入しやすいからです。

攻撃者の視点で考えてみましょう。法政大学のような大規模な教育機関は、当然ながらセキュリティ対策にも相当な投資をしているはずです。しかし、委託先企業のセキュリティレベルは必ずしも同水準とは限りません。攻撃者にとっては「回り道をしてでも確実に侵入できる経路」として、委託先企業は格好の標的になってしまうのです。

実際、今回流出した可能性がある情報は、2000年度から2022年度に入学した学生8363人、2018年度から2022年度に在籍していた教職員7438人、区分不明者741人の計1万6542人分という膨大な数に上ります。氏名、メールアドレス、電話番号、所属、統合認証IDなど、悪用すれば十分に被害を生み出せる情報が含まれていました。

サプライチェーン攻撃の巧妙さ

このようなサプライチェーン攻撃は、近年急速に増加している手法です。直接的な攻撃対象ではなく、そのパートナー企業や関連会社を経由して最終的な標的にアプローチする手法で、従来のセキュリティ対策では防ぎにくいという特徴があります。

なぜこの手法が効果的なのでしょうか。まず、企業は自社のセキュリティには投資するものの、委託先企業のセキュリティレベルまでは完全に把握しきれないという現実があります。契約時にセキュリティ要件を定めても、実際の運用レベルでの監視は困難です。

さらに、委託先企業は複数の顧客を抱えているため、一度侵入に成功すれば複数の組織の情報に同時にアクセスできるという攻撃者にとってのメリットもあります。今回の事件でも、法政大学以外の顧客情報も影響を受けた可能性は否定できません。

対策はどうすべきか

では、このようなリスクに対してどのような対策を講じるべきでしょうか。

契約時のセキュリティ要件定義が最も重要な第一歩となります。委託先企業に対して、自社と同等レベルのセキュリティ対策を求めることは当然ですが、それだけでは不十分です。定期的な監査やペネトレーションテストの実施、インシデント発生時の報告体制の確立など、継続的な関係性の中でセキュリティレベルを維持する仕組みが必要不可欠です。

また、委託する情報の種類と範囲を必要最小限に限定することも重要です。今回の事案では、なぜ20年以上前の学生情報が委託先に保存されていたのかという疑問も生じます。データの保存期間や削除ルールを明確に定め、不要な情報は確実に削除することで、仮に攻撃を受けてもダメージを最小化できるでしょう。

技術的な対策としては、ゼロトラストセキュリティの考え方が有効です。委託先企業も含めて「信頼できない環境」として扱い、常に認証・認可を行いながらアクセスを制御する仕組みです。また、データの暗号化やアクセスログの監視なども、サプライチェーン攻撃に対する有効な防御策となります。

インシデント対応の重要性

今回の法政大学の対応を見ると、いくつか評価できる点があります。3月7日に不審なアクセスが検知され、3月21日には警察への被害届提出、4月には法政大への報告、そして8月の公表まで、段階的で適切な対応が取られています。

特に重要なのは、インターネットやダークウェブ上での情報流出確認を継続的に行っている点です。サイバー攻撃の被害は、攻撃そのものよりもその後の二次被害の方が深刻になることが多いためです。

しかし、一方で気になるのは発覚から公表までの期間の長さです。3月に検知されてから8月の公表まで約5か月を要しており、この間に対象者への適切な注意喚起ができていたかという点は検証が必要でしょう。

現在、メールでの連絡が可能な2892人にはおわびと注意喚起を送付したとのことですが、連絡が取れない卒業生などへの対応は公式Webサイトでの公表のみとなっています。被害の拡大防止という観点から、より積極的な対応が求められるかもしれません。

まとめ

サイバーセキュリティの世界では「完璧な防御は不可能」という前提のもと、いかに被害を最小化するかが重要視されています。今回の事件から私たちが学ぶべきは、委託先企業も含めた包括的なセキュリティ対策の必要性です。そして万が一の際には、迅速で透明性のある対応が、結果的に組織の信頼性を守ることにつながるという点でしょう。

説明

Japan Cyber Security Inc. All Rights Reserved.