大学特有のセキュリティリスクと脆弱性

大学や専門学校は他業界にはないセキュリティリスクをはらんでいます。まずは、大学特有のセキュリティリスクと脆弱性について解説します。

なお、小学校・中学校・高等学校含めた教育機関全体のセキュリティリスクなどについては、以下のコラムで詳しく解説していますので併せてご覧ください。

大学・専門学校は膨大な個人情報を抱えている

大学などの教育・研究機関は他業界・業種と比較して、膨大且つ様々な個人情報を抱えています。例えば学生の氏名・住所などの基本的な個人情報に加え、学籍番号・受験情報・健康状態から卒業・修了状況、進路まで大学ならではのものを多く保有しています。

また、学生だけでなく教職員（在籍している研究者）の個人情報や研究内容、各大学と提携している業者に関する情報など、大学や専門学校が抱える情報は多様且つ膨大です。こうした特徴は攻撃者によるサイバー攻撃の標的になりやすいものといえます。

研究・学習環境の自由度が高くガバナンスを効かせにくい

通常の組織ではセキュリティ対策を固める際に、トップダウンでガバナンスを効かせることが大切です。しかし、大学・専門学校ではフラットな立場で自由な研究環境を目指す風土があり、学長などの経営層から学生・研究者へのガバナンスの徹底が難しくなっています。自由な研究環境・学びの在り様と、セキュリティ・ガバナンスの徹底は両立がしにくく、他業界よりも対策が不十分になってしまうでしょう。

私物端末利用によるセキュリティ上の脆弱性

大学などでは学生が個々人のデバイスで学内のネットワークにアクセスします。これによりデバイス管理が困難であるとともに、セキュリティリスクも増大するため、大学側は堅牢なセキュリティ体制の構築が必要です。

また、近年ではリモート授業なども増えたため、学生や研究者のアクセス方法も様々です。なかには脆弱なネットワークを使用している学生も多く、それをきっかけにして学内のネットワークに不正侵入されてしまう危険性もあるでしょう。

【2025年最新】大学・専門学校を対象にしたサイバー攻撃の事例5選

近年、大学・専門学校などを対象にしたサイバー攻撃が増加しています。ここで2025年に明らかになった直近のサイバー攻撃の一部事例を紹介します。

学生らのメールアドレスを窃取

4月7日、東京都千代田区の私立A大学は「不正にメールアドレスを入手、ショッピングサイトなどに対して正規利用者になりすまして商品購入していた男性のパソコン内に、本学発行の870件のメールアドレス・パスワードが含まれていた」と発表しました。同校の学生のメールアドレス・パスワードが盗まれた経緯については不明です。

マンモス校で大規模なランサムウェア被害

4月17日、私立B大学のWEBサーバーが不正アクセスを受けたことで、ランサムウェアに感染しました。攻撃により、システムにログインするための情報が暗号化されたため、一部の大学関連サイトが利用できなくなり、完全な復旧宣言は3か月を要しました。

東京をはじめ全国にキャンパスを構えるマンモス校であり、感染拡大してしまうとそれ相応のセキュリティリスクを伴うため、リスクを防ぐためにも最新の堅牢な体制の構築が必要です。

全国有数の国公立大学でフィッシングメール送信被害

大学に対するサイバー攻撃は私立だけでなく国公立大学にも及んでいます。例えば東京都府中市にある国立C大学では、複数のメールアカウントがフィッシングによる不正アクセスを受けました。1月27日の大学発表の情報によると、昨年から3回に分けて400件以上のフィッシングメールが送信されているそうです。

断続的な不正アプリインストール

5月12日、地方国立大学の教員がパソコンに表示された偽の警告画面経由で、不正アプリをインストールする被害にあったことで、一部の学部と大学院のおよそ2,300人分の個人情報が流出した恐れがあると発表しました。また、5月26日には附属中学校教員の同様のサポート詐欺被害により、附属中学校の学生、教職員、同窓会員の名簿2200名以上の情報の流出の恐れを発表しています。「情報セキュリティに関する研修を徹底するなど再発の防止に努めたい」というコメントを出した直後の類似事案でした。

同校では2023年にも研究室ホームページが不正アクセスを受け、改ざんされたプログラムが書き込まれるという事案が発生していました。近年では大都市圏だけでなく全国規模でサイバー攻撃が実施され、大学の地域・規模問わず徹底したセキュリティ対策を講じる必要が出ています。

医療系専門学校のサイバー攻撃被害

専門学校もサイバー攻撃を受ける機会が増えています。埼玉県の医療系専門学校では一部のWebページにて、学校説明会の申込み情報などの個人情報の漏えいの可能性を2月20日に発表しました。医療関係の施設は福祉社会への影響度が高く、ランサムウェアなどのサイバー攻撃の対象になりやすく、本件もその一例として挙げられるかもしれません。

また、全国的に有名な大学だけでなく、小規模かつローカルな教育機関も攻撃の対象になっていることの証拠でもあり、大学・専門学校のITセキュリティ担当者は各ケースを自分事として捉えることが大切です。

大学・専門学校の実践的なセキュリティ対策とは？

続いて、大学・専門学校の実践的なセキュリティ対策を紹介します。大切な学生や研究者を守るためにも、実践的なセキュリティ対策を覚えていきましょう。

情報セキュリティポリシーの策定

まずは、具体的なセキュリティ体制を構築する前に、情報セキュリティポリシーを策定しましょう。組織のセキュリティポリシーやガバナンスについてより深く知りたい方は、本記事と併せて以下のコラムもお読みください。

情報セキュリティポリシーの基本構成

情報セキュリティポリシーの構成は、一般的に下記の要素で作られていることが多いです。

基本方針	経営者（学長など）が取り組むことの意思表明
対策基準	組織的にどのような対策を講じるのかのルールを明記。分野ごとに分けて記載されるのが一般的
実施手順	対策基準をやや粒度細かく手順に落とし込んだもの

情報セキュリティポリシーは「組織内外に情報セキュリティに取り組む姿勢をアピール」する事ができます。、基本的に最大10箇条ほどで簡潔にまとめておくのが望ましいでしょう。各企業で独自のセキュリティポリシーが策定されていることが多いので、同じような規模の大学・専門学校のセキュリティポリシーを確認してみるのも良いでしょう。

情報セキュリティポリシー策定とCISOの選任

一般企業では情報セキュリティポリシーを策定するにあたって、CISO（Chief Information Security Officer）を選任することが増えています。情報セキュリティポリシー策定に必要な人材の確保、チーム体制の整備などを、CISOを筆頭に推進していきます。特定の人物がCISOとほかの業務を兼任することもありますが、可能であれば着実に策定を進めるためにセキュリティ対策の最高責任者として必要な権限を付与された専任の担当者を確保するのがおすすめです。

なお、セキュリティの専門家を外注してコンサルティングしてもらう方法もありますが、その際は教育業界に詳しい人物を選び、より実践的なポリシー策定につなげるように気を付けてください。

部局の情報セキュリティと情報システム担当者の連携

情報セキュリティとは「組織の各部局が保有する情報資産を守るための取り組み」を指します。学内の情報システムとその中にある情報を保護するために、各部局の情報資産の対策を講じるのが一般的です。

保有情報の確認後、セキュリティポリシーに沿って具体的にセキュリティ体制を構築しましょう。その際に学内に情報システム担当者がいるのであれば連携を強めておけば、サイバー攻撃からの的確な対応やインシデント後の迅速なフォローアップにもつながります。

情報セキュリティセンターの設置

情報セキュリティセンターは、情報資産の保護や情報システムの健全な運用を目的としています。情報セキュリティセンターを設置することで、継続的にリスクの把握・対策を実施し、サイバー攻撃への対応と緊急時の対応などもスムーズに行えます。また、学生・教職員などへの教育・啓蒙活動、あらゆる情報発信の基地にもなる存在です。

生徒・教職員へ情報セキュリティ教育実施

セキュリティ体制を構築し、情報セキュリティセンターを継続的に運営する一方で、学生・教職員などに情報セキュリティの教育を実施するのも大切です。情報セキュリティセンター経由の情報発信に加えて、下記のような施策を行っていきましょう。

大学・専門学校内に安心安全なインターネット通信網の構築

各大学や専門学校には様々な情報システムやメディアがあり、それぞれにアクセスする属性も多岐にわたります。従来のVPN（境界型セキュリティシステム）では、細かなアクセス制御ができず不正アクセスもされやすいです。

一度侵入を許すと、学内のすべてのネットワークを回遊できることも多く、学生の個人情報や機密性の高い研究成果などにも攻撃者がアクセスできる可能性があります。学生や研究を守るためにもセキュアな学内ネットワークを構築しましょう。

大学・専門学校向けのセキュリティソリューションの特徴

最後に大学・専門学校向けのセキュリティソリューションの特徴をまとめます。セキュリティポリシーに沿った体制にするためにも、下記で紹介しているような大学・専門学校の課題を解消できるセキュリティソリューションを選びましょう。

ZTNAなどのように認証レベルが高い

前提として、VPNよりも細かくアクセス制御・監視できるセキュリティが構築できるサービスがおすすめです。そこで重要なキーワードとして「ZTNA」を覚えておきましょう。ZTNAとは「あらゆるアクセスを組織内外問わず“信頼”せず、システムごとに細かなアクセス制御を加える」というセキュリティ概念の一つです。

ZTNAをベースにしたセキュリティが構築できれば、たとえ学生が私物の端末でオープンなネットワークから学内にアクセスしても、ZTNAのセキュリティシステムによって細かく制御できます。学内のネットワークを強固にしたい場合はZTNAに移行するのがおすすめです。

定期的な自動更新と監視

サイバー攻撃は日進月歩で進化し続けているため、セキュリティシステムも定期的にアップデートしていく必要があります。例えば、ある大学病院では適切なセキュリティシステムの更新を放置した結果、ランサムウェアによって患者の個人情報を人質に多額の身代金を取られる被害に遭いました。

そうした攻撃に効果的なのが、随時システムをアップデートし、不正アクセス時のログ追跡・監視できるセキュリティサービスです。特にリソースやコストの課題からITセキュリティの専任担当者がいない大学・専門学校は、自動更新や監視ができるセキュリティサービスの検討をおすすめします。

IIJ Safousシリーズで学内を守ろう

今回は大学や専門学校のセキュリティ担当の方に向けて、近年の教育・研究機関を取り囲むサイバー攻撃の実情を解説しました。サイバー攻撃の対象は施設の規模や地域性・知名度を問わず、様々な大学に被害をもたらしています。もしこれまでインシデントが起きていなかったとしても、数あるサイバー攻撃被害はけっして対岸の火事ではありません。

IIJでは教育機関でも安心且つ手軽に導入できるリモート保守サービス「Safousシリーズ」を展開しています。学生や研究者、提携先の業者などのアクセスを、細かく制御するので安心です。もちろん、運用に関するサポート体制も整っていますので、セキュリティ専任者が不在でも安心です。一度お気軽にお問い合わせください。