MIT、学生が自治体のサイバー防衛を無償支援

クリニックの仕組み

2019年発足の無償支援講座
40件超脆弱性評価実績
New England自治体・医療機関が対象

人こそ最大の防御線

最大の攻撃経路は人間
技術偏重せず組織力を重視
AIが攻撃自体を実行する脅威

広がるモデル

修了生120人超
MOOCに数万人が受講
詳細を読む

MITの都市研究・計画学科(DUSP)は、学生が自治体や医療機関のサイバー防衛を無償で支援する「サイバーセキュリティ・クリニック」を2019年に立ち上げました。講師のJungwoo Chun氏とLawrence Susskind教授が主導し、ほぼ毎学期開講しています。法律や医療のクリニックと同様に、学生の実地訓練と、資金の乏しい地域への無償サービスを兼ねる仕組みで、これまでに40件超の脆弱性評価を提供してきました。

背景には、深刻化する公共機関へのサイバー攻撃があります。2019年にはメリーランド州ボルチモア市がランサムウェアで多くの重要ファイルを凍結され、復旧費用は数百万ドルに膨らみました。FBIの集計では2025年に米国民を狙う攻撃は1日平均2,765件に達し、Comparitechによると2018年から2024年にかけて米政府機関への攻撃は525件、停止に伴う損失は推定10億9,000万ドルに上ります。

小規模な自治体や病院は重要インフラの入り口でありながら、専門人材を自前で抱える余裕がありません。そこでChun氏とSusskind教授が掲げるのが「防御的ソーシャルエンジニアリング」という考え方です。技術対策も重視しつつ、「最大の攻撃経路は依然として人間だ」として、担当者が正しい選択をできる組織づくりを重視します。

生成AIの進化は攻撃側にも新たな武器を与えており、Chun氏は「今やAIは脆弱性を特定するだけでなく、攻撃自体を実行できる」と警戒します。学生はまず4週間で認証試験に備え、23の主要リスク領域や難しい依頼者対応を学んだうえで、チームで顧客を担当し、脆弱性評価と改善提案をまとめた報告書を作成します。

推奨される対策の多くは、機器やソフトの棚卸し、定期的なパッチ適用とバックアップ、多要素認証、従業員教育、攻撃対応計画の準備など、いずれも低コストです。Susskind教授は「どれも高くつかないが、組み合わせれば被害の8割以上を防げるだろう」と話します。

モデルは着実に広がっています。MITでの修了生は120人を超え、認証用のオンライン講座はMITxの公開講座として数万人が受講しました。2021年にはUC Berkeley、Indiana大学、Alabama大学と共同でクリニックの連合組織を設立し、加盟機関は61に増えています。