IPA(情報処理推進機構)は2月27日、学術組織を狙ったWebサイト改竄に対し注意を喚起した。

昨年12月から今年1月にかけて、大学の研究室などのWebサイトが多数改竄されたという報道があったが、その主な原因は、大学など学術組織特有のWebサイトの管理・運用の事情にあると考えられるという。

例えば、学術組織では公式サイトのほか、研究室やサークルで独自に開設・運営しているWebサイトが多数あり、それらは役割が終了しても、閉鎖されないことがある。

一方、組織側はセキュリティ対策の実施体制が十分でなく、個々のWebサイトを確実に把握・管理できていないと考えられ、その結果、多くの学術組織において、セキュリティ対策が不十分なWebサイトが相当数放置されたままであるという状況が多数のWebサイト改竄を招いている主な原因とIPAは分析している。

IPAは、組織による集中管理を前提とした体制の構築と管理方法として、ソフトウェアの更新や脆弱性解消などのセキュリティ対策は個々のページの管理者(研究室やサークル単位)に極力任せず、組織のシステム管理部門による集中管理とすることを挙げている。

また、「公開しているページにセキュリティ上の問題が確認された場合、組織のシステム管理部門が公開停止などを実施できるよう、あらかじめ周知しておく」「組織内に散在するWebサイトをアンケート実施により把握する」といったことも推奨している。

そのほか、CMSについては、自組織での導入、あるいは外部クラウドサービス等によるCMS利用を検討することを挙げている。

特有の事情により、学術組織におけるウェブサイトのセキュリティレベルは決して高いとは言えないが、同様の問題が潜在しているのは学術組織だけではないことを認識する必要があるとしている。