大学研究室が国家安全保障の標的に？──CMMCとアカデミック・サイバーセキュリティの最前線

2025年、札幌市立大学で、教員が個人管理する教育・研究用サーバが改ざんされる事件が発生した。表面的にはオンラインカジノへの誘導リンクが埋め込まれただけの軽微なSEOスパム型の改ざんに見えるが、実はこのような事例は地政学的にも無視できない深層を持つ。

Table of Contents

なぜ大学が狙われるのか？

大学は学問の自由を尊重する場であると同時に、先端技術や知的資産の集積地でもある。そのため近年では、国家間の競争や諜報活動における「非軍事ターゲット」として注目されている。

「非軍事ターゲット」とは、武力によらない戦略的影響力を行使するために狙われる重要インフラや知的拠点のことであり、政府機関、民間企業、教育機関などが含まれる。特に大学は、攻撃によって直接的な人的・物的被害を出すよりも、知的資産の流出やブランド毀損、国際的信頼の低下を狙う“情報戦の戦場”として位置づけられる。

特に量子コンピューティング、AI、暗号技術などの分野では、大学の研究成果がそのまま軍事利用に転用可能（dual-use）な場合も多く、攻撃者にとっては格好の標的である。

米国における動き：CMMCとは？

米国ではこのような状況を深刻に受け止め、国防総省（DoD）が主導する形でCMMC（Cybersecurity Maturity Model Certification）というセキュリティ認証制度を導入している。これは、国防関連の契約に関わる大学・企業・研究機関が遵守すべきサイバーセキュリティ基準を体系的に定めたもので、以下の3段階の成熟度レベルがある。

Level 1：基本的なサイバーハイジーン（17項目）
Level 2：CUI（Controlled Unclassified Information）に対応（NIST SP800-171に準拠、110項目）
Level 3：国家機密レベルの保護（詳細は非公開）

CMMCは自己評価ではなく、第三者認証（C3PAO：Certified Third-Party Assessor Organization）によって証明されなければならず、大学の研究プロジェクトにも適用され始めている。

C3PAOとは米国国防総省の認可を受けた独立機関として、申請組織のセキュリティ対策の実装状況を客観的に審査・認定する役割を担っている。

たとえば、米国のジョンズ・ホプキンズ応用物理研究所（JHU APL）は、国防総省関連プロジェクトに従事する大学研究機関として早期からCMMC準拠を進めており、特にLevel 2基準に沿った情報管理体制を確立している。また、マサチューセッツ工科大学（MIT）やカーネギーメロン大学（CMU）なども、DARPAや海軍研究局（ONR）と連携するプロジェクトにおいて、サイバーセキュリティ要件への対応が求められている。今回のような教育・研究用サーバの改ざん事案に関連する要件としては、CMMC Level 2における「システムと通信保護（SC）」の管理項目が該当する。具体的には、不正なウェブアクセスやスクリプト挿入を防ぐためのウェブアプリケーションの保護、認証強化、ログの監視と異常検知などが求められる。また、「構成管理（CM）」の要件では、CMSやプラグインのバージョン管理、不要なサービスの無効化なども重要とされている。

学術スパイとサプライチェーンの防衛

米国が大学を国家安全保障の一部として位置づける背景には、いわゆる「学術スパイ」問題がある。中国の「千人計画」などを通じて、大学から研究成果や知的財産が不正に流出する事例が相次いだことが発端だ。また、大学は単に知識の提供者にとどまらず、防衛産業の「知的サプライチェーン」の一部を構成しているため、守るべき重要な拠点とされている。

日本の現状と今後の課題

日本では、大学に対するサイバーセキュリティ評価や認証制度が未整備であり、文部科学省や防衛装備庁、経済産業省からの研究助成金に対しても、CMMCのような厳格なセキュリティ要件は設けられていない。

そのため、大学が海外の研究パートナーから「リスクの高い環境」と見なされ、共同研究の中断や契約の見直しを迫られるリスクが今後高まるだろう。実際、米国が日本の研究機関との提携を見直す動きは、サイバーセキュリティや研究情報保護の観点から進行している。

例えば、米国政府関係者や専門家は、日本のサイバーセキュリティ体制に対して懸念を示している。特に、機密情報の取り扱いや情報共有の体制が不十分であることが指摘されており、これが共同研究や軍事協力の障壁となっている。

「日本の機密情報保護体制の不備が、米国との協力における最大の障害となっている」

— デニス・ブレア元国家情報長官

このような懸念から、米国は日本の研究機関との共同研究や技術開発プロジェクトにおいて、提携の見直しや中断を検討する動きが見られる。これらの動きは、研究機関が国際的な共同研究を継続するためには、サイバーセキュリティ対策や研究情報の保護体制を強化し、信頼性を確保することが不可欠であることを示している。

このような背景から、大学や研究機関は、研究の自由と情報セキュリティのバランスを取る新たな制度設計が急務であり、CMMCに倣った国産フレームワークの策定や、研究者へのセキュリティ教育の義務化など、具体的な対応が求められている。

アカデミアの「国家安全保障化」へ

大学はもはや“象牙の塔”ではなく、国家戦略の中枢として認識されつつある。日本においても、研究の自由と情報セキュリティのバランスを取る新たな制度設計が急務である。CMMCに倣った国産フレームワークの策定、大学・研究機関の認証制度の導入、そして研究者へのセキュリティ教育の義務化など、具体的な対応が求められる。

「サイバーは新たな戦場」であるとするならば、学術界もまたその最前線に立たされていることを、我々は直視する必要がある。

投稿者: 二本松哲也

考えるセキュリティ、伝えるインテリジェンス。能動的サイバー防御 / Security & Privacy by Design ※個人の見解であり、所属組織とは無関係です。二本松哲也のすべての投稿を表示