真のセキュリティコスト：2025年、高等教育機関のIT部門におけるデータ保護

年末は立ち止まって一年を振り返る時期です。高等教育機関のITおよびセキュリティ担当者にとって、2025年は真のセキュリティコストが浮き彫りになった年でした。この影響は予算だけでなく、チームの在り方やデータの保存場所に関するあらゆる意思決定にも及んでいます。

こうした背景を踏まえ、高等教育におけるサイバーレジリエンスについて、この1年間で明らかになったことを見ていきましょう。

より巧妙化し、頻繁になるサイバー攻撃

2025年は大学や高等教育機関に対する攻撃が増加し、平均して、教育機関は1組織あたり毎週4,388件のサイバー攻撃を受けました。これは世界平均の2倍以上であり、前年と比べて31%増加しています（DeepStrike）。もし、大学キャンパスが常に標的にされているように感じている方がいる場合、それは気のせいではありません。

ランサムウェアの主な原因は、人為的ミス（PEBKAC: Problem Exists Between Keyboard and Chair）であることは以前から変わっていません。また、主な攻撃手段としてはソーシャルエンジニアリングが挙げられます。送信者がネイティブスピーカーではないことが一目瞭然な、不自然な文章のフィッシングメールやテキストメッセージは誰もがご存じでしょう。

しかし、この状態は急速に変化しています。攻撃者はAIを活用し、より洗練かつパーソナライズされた、一目で見破ることが困難なメッセージを作成するようになりました。毎日大量に届くメッセージの一つ一つを精査する時間的な余裕がない場合、これは大きな問題となります。AI以外にも、RaaS（Ransomware as a Service）といったものも存在します。これはいわばサブスクリプション型のサイバー犯罪であり、攻撃者に新たな手段を提供しながら攻撃のハードルを下げています。

特に高等教育機関は標的となる要素が非常に多いため、こうした状況を深刻にとらえる必要があります。教育機関には学生の記録だけでなく、応募者の財務情報、教職員のデータ、寄付者や卒業生のリストなど、詐欺行為の温床となりうる情報が豊富に存在します。さらに、高度な研究、特に医薬品や軍事用途に関連する研究などが加われば、機密性の高い知的財産の宝庫となります。

さらに、サイバー犯罪者の目的はもはや身代金だけに留まりません。政治的・社会的・学術的な理由で大学を攻撃するハクティビストも増えています。この場合、入学データ、研究プロジェクト、さらには入学選考の結果までもが標的になり得ます。高い知名度と資金力のある名門大学は特に魅力的なターゲットであり、脅威の状況は一般的なランサムウェア以上に複雑になっています。

IT予算の縮小とスキル不足によるセキュリティリスクの上昇

高等教育には、低コストで幅広いセキュリティを実現するというプレッシャーが存在します。EDUCAUSEによると、高等教育機関の42%が2025～2026年度にIT予算の減少を見込んでいます。同時に、大学キャンパスでは学期ごとに新しいユーザーが大量に追加され、IT職の離職率も比較的高いため、環境のパッチ適用、監視、セキュリティ維持がより難しくなっています。

Dellと共同で作成したeBook「The Hybrid Cloud Advantage for Higher Education」(英語)では、セキュリティ計画における財務的な課題について説明しています。ここには、夏季休暇後の進学辞退（サマーメルト）や将来的な入学者数の減少などの問題も含まれています。こうした状況のなか、攻撃者はより高度化し、AI、クラウド、遠隔学習プラットフォームなどの新技術を利用して攻撃の対象領域を拡大しています。

ESGのレポート「Life and Times of Cybersecurity Professionals」（英語）によると、組織の59%はスキル不足が原因で既存スタッフに過重な負担をかけており、40%が既に導入済みのセキュリティ技術を十分に活用できていないことがわかりました。つまり、セキュリティ対策にかかるコストには、単なる購入費用だけではなく、チームがセキュリティ対策を維持するための時間も含まれるということです。

事態が悪化した場合、金銭的な損失は甚大なものになります。EDUCAUSEによると、教育機関におけるデータ侵害の平均コストは386万ドルです。これには、データ損失、罰金のほか、システムの復旧、当局への報告、フォレンジック調査に費やす時間など、しばしば見落とされがちなコストも含まれています。

高等教育機関のITチームを混乱させるクラウドストレージコスト

クラウドストレージの真のコストを把握するのは、見た目よりも簡単ではありません。まず、ホット、クール、コールド、アーカイブと階層が多いため、データを適切な階層に割り当てる作業は複雑になりがちです。そもそも、データへのアクセス頻度を十分に把握し、自信を持って階層化できるほど正確な情報を持ち合わせている機関はどれくらい存在するでしょうか。大抵の場合において、その答えはNOです。

理論上は、コールドストレージは研究資料、バックアップ、古いファイルなどを保管するのに最適な場所のように思われます。しかし、問題は、そうしたデータのほとんどは実際には「コールドデータ」ではないということです。Wasabi 2025 Cloud Storage Index(英語)によると、教育関係者の89%が少なくとも月に一度はアーカイブデータにアクセスすると回答しており、これは世界平均の83%を上回っています。また、回答者の約3分の1が、データ検索の遅さが仕事に悪影響を与えていると回答しました。また、56%がインシデント対応の際にアーカイブデータへの迅速なアクセスが必要だとしており、遅延はリスクの上昇につながることを示唆しています。

しかし、クラウドストレージにおける真のコストは、請求書に記載されている容量から計算できるものだけではありません。クラウドに保存されたデータをダウンロードする際の下り転送料や、データの検索・移動・不変性の維持を目的としてアクセスするたびに発生するAPI料金もあります。Wasabi 2025 Cloud Storage Indexでは、教育分野の関係者から以下のような回答が述べられました。

• クラウドストレージ料金の最大50％は、容量ではなく手数料に充てられている

• アップロードとダウンロードのリクエスト料金は、GB単位では少額でも規模が大きくなるとあっという間に高額になる

• コールドストレージからのデータ取得には数時間、場合によっては数日かかることもあり、結果的にほかのストレージよりも費用がかさむ

• 教育機関の4分の3が2024年にクラウドストレージの予算支出を超過したが、その主な原因は手数料

つまり、クラウドにおけるセキュリティコストを把握するには、保存するデータの容量以外も考慮する必要があるということです。特にインシデント発生時のように迅速なアクセスが求められる場面では、データを利用するたびにコストが発生し、大きな負担となります。

2026年に向けて、データ保護を再考する

データを保護するという、重要な課題に直面しています。そこで、個々の制御と同じくらい重要になるのが、アーキテクチャ、特にバックアップとアーカイブ戦略です。データの保存と保持の方法によって、コストと複雑さがさらに増えるか、それとも減るかが左右されます。

Dellと共同で作成したeBook「The Hybrid Cloud Advantage for Higher Education」（英語）ではこの課題に取り組み、レジリエンス、復旧性、コストの予測可能性を同時に改善するストレージ戦略を提案しています。そのアプローチの中核となるのが、DellとWasabiの統合です。

DellとWasabiによるシンプルかつ低コストな保護

Dell PowerProtect Data Manager、PowerProtect Data DomainとWasabi Hot Cloud Storageの統合によって、より高速でシンプルかつ予測可能なバックアップと復旧を実現します。これにより、以下のようなメリットが得られます。

• 予測可能なコスト：下り転送料やAPI料金が無料で、データの復元、復旧テスト、インシデント発生時のデータ取得に追加料金が課されない

• 復元の高速化：Hot Cloud Storageによって、遅延やデータ取得の手間など、コールドストレージ特有のデメリットを解消

• 組み込みのレジリエンス：複数の階層やポリシーを管理せずとも必要なデータを保持し、複雑さと無縁な長期保存を実現

• オブジェクトとしてのアーカイブ：重複排除なしの完全なセカンドコピーをWasabiに保存することで、PowerProtect Data Managerからの復元を迅速に行い、階層化による遅延を解消

高等教育機関のITにおける意義

予算の超過やチームの疲弊を招くことなくサイバーレジリエンスを強化することは、不可能ではありません。DellとWasabiを組み合わせることで、大学はより迅速な復旧、シンプルなコンプライアンス遵守、予測可能なストレージ料金を実現できます。その結果、IT部門は隠れたコストやストレージ管理に追われる時間を減らし、本来の保護業務に集中できるようになります。