2014年2月21日

大学のセキュリティ事情

　通信会社、セキュリティ会社、ネットワーク機器販売会社など様々な会社を経て、今大学に勤務している。役務は、全国の大学に役立つアカデミッククラウド環境構築を推進すること。1230の大学並びに公的研究所を対象とした、ニーズ調査、現状調査を把握するために、かつてない大規模なアンケートを九州大学が中心となり実施した。多くの大学等から、多忙の中、膨大な設問数にも係わらずご回答を頂き、感謝の念に尽きない。アンケートからは、アカデミッククラウドを推進していくには、イノベーションの創造、コスト削減効果がでること、快適なネットワークインフラ整備の必要性、セキュリティ面の不安払拭をあげる大学が多かった。このあたりは、企業のそれと大きく変わらない。
　それでは、大学における情報セキュリティ対策状況はどうなのであろうか。大学に身を置く身分のため、具体的な説明は控えておくが、情報漏洩が発生すると経営が揺らぐ通信会社やセキュリティ会社よりも高い水準とは言えない気はする。大学は、いろんな意味でオープンな環境であるから教育・研究が進むのだ!!という事を聞くこともあるし、国家的に重要な研究を行っているので、厳重なセキュリティ対策が必要!!と聞くこともある。一般的に情報セキュリティ対策というと、ISMSの取得があげられる。企業では、相手先との取引基本契約を締結する際に、ISMSを取得していることが条件に定められている場合もあり、取得は珍しいことではない。
　さて、大学のISMSへの取り組みは？既に、ISMSを取得している大学に、取得理由を尋ねると、学内での情報の取り扱いの運用が社会的に見て適正であることを第三者に認証してもらうため、大学が何らかの契約をするときに相手方に信頼を認めてもらうため等をあげており、これも企業のそれと大きくは変わらない。それでは、現在のISMS取得校数はいくつぐらいあるのか。大学は、一般的に信頼されている組織で契約時にISMS等の取得が条件になることは殆どないところもあるからか、現在は20校弱である。（因みに日本の高等教育機関は、約1200校）
　私は、よく大学関係者が集まるイベントに参加するが、その中で大学関係者からは、情報セキュリティ対策をどうすればいいかわからない、格付け方法がわからないので誰かにお願いしたい、ISMSを取得した後も監査などがあるので、継続した予算の確保が難しいなどの発言をよく聞く。これも、情報セキュリティ対策で悩む企業からでてくる課題と同じと感じる。多くの企業は、予算や時間がない中、努力してこれらに対処されているので、大学も少し工夫すれば、対応は可能ではないかと個人的には考える。
　そこで提案。大学は、規模の違いはあるが組織構成や業務内容は似たところがあるのでISMSに準拠した認証を与えるコンソーシアムを形成し、お互いが監査し合う環境を構築してみたらどうだろうか。大学には、情報セキュリティに関する研究者の方も多いし、ISMS規格準拠的な実施は可能と考える。研究者の方に取っても、監査する側、監査される側の両面の経験ができ、研究促進にも役に立つのではないかと思う。情報セキュリティの格付けや運用におけるポイントの共有で情報セキュリティ対策が効率化に運用でき、コスト的にも抑えられるのではないかと思う。また、大学の情報セキュリティのレベルが上がれば、私が携わっているアカデミッククラウド環境構築の推進にも弾みがつくと考える。
　それでは、このコンソーシアムは誰が立ち上げる。私？
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。