昨年、KnowBe4が発表したレポート「Exponential Growth in Cyber Attacks Against Higher Education Institutions」では、高等教育機関を狙うサイバー脅威の深刻化が浮き彫りとなりました。
このレポートでは、教育機関が攻撃対象になりやすい背景として、膨大なデータの保有、オープンなネットワーク環境、限られたセキュリティ対策、そして分散型のガバナンス構造などが指摘されています。
そして2025年も折り返し地点を迎える今、英国政府が実施した最新の「Cyber Security Breaches Survey」が示しているのは、この傾向が続いているどころか、さらに加速しているという厳しい現実です。
数字が物語る、拡大する攻撃対象
すべての教育段階の機関において、侵害を検知した割合が大幅に増加しています。高等教育機関に至っては、2024年には97%が侵害を報告しており、前年の85%から大きく上昇しました。かつてリスクが低いとされていた初等教育機関でも、検知率が11%増加するという事態に直面しています。
この状況は、英国全体のデータと比較しても深刻です。2023年から2024年にかけて、すべての英国企業の平均侵害検知率は18%の増加にとどまりましたが、高等教育機関はこの2倍の増加率という結果がでています。
フィッシング:あらゆる攻撃の入口
依然として、フィッシング攻撃は最も一般的な侵入口となっています。高等教育機関の100%がフィッシングの試みを報告しています。さらに懸念されるのは、教育機関へのなりすまし攻撃が増えており、かなり手口が高度になっていることです。
これらは見分けやすい単なる迷惑メールとは違い、ソーシャルエンジニアリングと組織の内部知識を駆使した、かなり巧妙な攻撃が行われています。
DoS攻撃の増加
Denial of Service(DOS)攻撃の発生率も著しく増加しています。高等教育機関では、2023年の30%から40%に増加。中等教育機関でも、8%から14%へとほぼ倍増しました。これらの攻撃は単にデータを盗むだけでなく、業務を停止させ、財務面や評判に大きな損害を与えるリスクがあります。
マルウェアの増加
特に深刻なのが、すべての教育段階におけるマルウェアの大幅な増加です。高等教育機関では、2023年の64%から77%へと13%も上昇しており、攻撃者が教育環境を標的とした高度な技術に投資していることがうかがえます。
人が引き起こす内部リスク
内部者による不正アクセスも増加傾向にあります。高等専門教育機関では、職員による不正アクセスが11%から19%に増加し、高等教育機関では27%の侵害が職員に起因するものでした。これは、KnowBe4のレポートが強調していた「人」に対する対策の重要性を裏付ける結果です。技術的な防御だけでは、人的リスクを完全に排除することはできません。
ヒューマンリスクマネジメント:次なるセキュリティ戦略
2024年のデータは、教育機関においてより強固なサイバーセキュリティ戦略が必要であるというKnowBe4の指摘を改めて裏付けています。たとえば、高等教育機関ではアカウント乗っ取りが16%から20%に増加しており、通常の防御策をすり抜ける手法が横行しています。
最先端のファイアウォールであっても、正規ユーザーの誤操作までは防げません。だからこそ、教育機関には以下のような包括的なヒューマンリスクマネジメントの導入が求められます。
今こそ、教育機関としての決断を
最新の侵害データが示しているのは、サイバーセキュリティがもはやIT部門だけの問題ではないという事実です。教育機関の経営層は、サイバーリスクを経営リスクと捉え、エグゼクティブレベルでの対応と投資を進める必要があります。
対策のための投資は多少お金がかかりますが、そのコストは深刻な侵害によって被る財務、業務、そして評判の損失と比べれば、はるかに小さなものです。
2025年の後半に差しかかる今、教育機関には選択肢があります。人と技術的な脆弱性の両方を見据えたセキュリティ戦略を主体的に構築するのか、それとも次の情報漏洩インシデントの標的になるリスクを受け入れるのか――。
原典:Javvad Malik著 2025年6月3日発信 https://blog.knowbe4.com/the-worsening-landscape-of-educational-cybersecurity