2019年5月、メリーランド州ボルチモアの政府は混乱に陥りました。サイバー犯罪者が市の重要なファイルの多くをロックし、復号のための身代金を要求したのです。市は身代金の支払いを拒否しました。この攻撃により、不動産取引や料金支払いなど多くのサービスが麻痺し、復旧費用は数百万ドルに上りました。

MIT都市研究・計画学部(DUSP)の授業11.074/11.274(サイバーセキュリティ・クリニック)のシラバスには、自治体やその他の公的機関に対するランサムウェア攻撃の増加例として、ボルチモアの事例が取り上げられています。このような脅威に対抗するため、Jungwoo Chun講師と都市・環境計画のFord教授であるLawrence Susskindは、2019年にMITサイバーセキュリティ・クリニックを立ち上げました。それ以来、ほぼ毎学期この授業を提供しています。

法律や医療のクリニックと同様に、この授業は学生の実践的な訓練と、危機に瀕したコミュニティへのプロボノサービスを兼ねています。指導モジュールを修了し、認定試験に合格した後、学生はチームでクライアントに割り当てられます。学期末までに、各チームはクライアントのサイバー攻撃に対する脆弱性を評価し、防御を強化するための措置を推奨する報告書を作成します。これまでに、クリニックは主にニューイングランドの自治体や医療機関向けに40件以上の評価を、機密保持のもと無償で提供してきました。

2025年、FBIのインターネット犯罪苦情センターは、毎日平均2,765件のサイバー攻撃がアメリカ人を標的にしていることを記録しました。Chun氏は、これらの攻撃が都市や町を襲った場合の影響は金銭面を超えると述べています。「私たちの生活のあらゆる側面に、恐ろしい連鎖反応を引き起こします。」

近年、MITのクリニックが支援するクライアントコミュニティを標的としたサイバー攻撃により、水道供給が脅かされ、911や警察サービスが妨げられ、市民の個人データが漏洩しています。

重要なインフラへの入り口でありながら、多くの小規模自治体や病院には、サイバーセキュリティの訓練を受けた社内スタッフが不足しています。今日の労働市場では、このような専門家の需要が供給を大幅に上回っており、公的機関の予算は、民間企業が有資格者に提供する高額な給与に匹敵することは稀です。

Comparitechによると、2018年から2024年にかけて、米国政府機関に対するランサムウェア攻撃は525件発生しており、約5日に1件の割合で、ダウンタイムによる損失は推定10億900万ドルに上ります。

「資金不足の公的機関や非営利団体は、自助の道を歩む必要があります」とSusskind氏は言います。「無料のサービスクリニックから少し指導を受けることで、これらの組織が実施できる低コストの対策はたくさんあります。」

防御的ソーシャルエンジニアリング

大学内のサイバーセキュリティプログラムがコンピュータサイエンス学部以外に設置されていることに驚く人もいるかもしれません。Chun氏は公共政策と計画を専門とする応用社会科学者であり、Susskind氏は紛争解決と合意形成の第一人者です。彼らがクリニックのために開発したアプローチを「防御的ソーシャルエンジニアリング」と呼ぶのは、サイバーセキュリティが技術的な課題だけではないことを強調するためです。

Chun氏は、人工知能の急速な発展により、犯罪者にとって驚くべき新しいツールが生まれたことを認めています。「今やAIは脆弱性を特定するだけでなく、攻撃自体を実行することもできます。本当に恐ろしいことです」。そして、これらの攻撃から守るためのソフトウェアのメニューも常に進化しています。したがって、授業ではサイバーセキュリティの技術的側面にかなりの時間を費やします。「しかし結局のところ」とChun氏は言います。「最大の攻撃ベクトルは依然として人間を通じてです。」

「ソーシャルエンジニアリング」という用語は、一般的に、サイバー犯罪の被害者がセキュリティを侵害するように操作される方法(例えば、詐欺師にお金を送ったり、悪意のあるコードをダウンロードしたり、機密情報を開示したりすること)を指します。Susskind氏とChun氏の防御的ソーシャルエンジニアリングの概念も、人間の心理に基づいています。このアプローチは、サイバーセキュリティは技術者・非技術者を問わず、すべての人の仕事の一部でなければならないことを強調します。

「人々が何をすべきかを知り、正しい選択をすることです」とChun氏は言います。「最新のウイルス対策ソフトウェアにお金をかけるだけでなく、今あるリソースと予算を長期的に効果のあることに活用する手助けをしています。」

「コンピュータサイエンスの背景を持つ学生は、クライアントの組織力構築を支援することに私たちが重視している重要性に驚きます」とSusskind氏は言います。「学生はクライアントコミュニティのリーダーシップのダイナミクスを理解する必要があります。ITディレクターは、やりたいことをただ実行できるわけではありません。彼らは予算のために地方自治体に依存しています。新規スタッフの採用には承認が必要です。」

一方で、Susskind氏によると、計画や社会科学の背景を持つ学生は、関連するリスクを管理するために必要な技術について学ぶことなく、スマートシティのイノベーションを学ぶことが多いそうです。また、AIや先進的なシステム設計の側面——サイバー法など、サイバーセキュリティに不可欠な他のトピックと同様に——は、工学部の学生が他の授業で学ばない可能性があります。サイバーセキュリティ・クリニックは、あらゆる分野の学生の知識を補完することを目指しています。この授業は、産業界、他の大学、MITの各学部、産業界、関連公的機関から毎学期少なくとも6名のゲストスピーカーを招くことで、これらの学生の知識を広げることも目指しています。

例えば、今年の春学期の講師陣には、エネルギーシステムにおけるリスクモデリングについて予算制約のある環境で語るIndustrial Data Worksの創設者Dan Ricci氏、産業用制御システムの運用技術サイバーセキュリティについて語るI&C Secure Inc.社長のGus Serino氏、マサチューセッツ州および連邦レベルの組織のプログラムとイニシアチブの概要を提供するMassCyberCenterおよびサイバーセキュリティ・インフラストラクチャ・セキュリティ庁の代表者が含まれていました。

「特にAIがサイバーセキュリティをどのように変えているかについて、高度に専門化されたことを学ぶ必要があります。私たちはその指導を手伝ってもらう必要があります」とSusskind氏は言います。「サイバーセキュリティ分野の変化の速さは、ほとんどの研究者が追いつくのが非常に難しいことを意味します。」

改善のためのロードマップ

クリニックの学生は、学期の最初の4週間を実地課題の準備に費やします。一連のオンラインモジュールと授業での議論を通じて、重要な都市インフラに対するサイバー攻撃の範囲と性質を概説し、クライアントのタイプに最も関連する23のリスク領域を確認し、評価プロセスの各ステップに関するガイダンスを提供します。これには、難しいクライアントとのやり取りのシミュレーションが含まれます。クライアントが学生を真剣に受け止めなかったり、必要な情報を提供しなかったりしたらどうしますか?事実が正当化するよりも肯定的な評価を求めるために議論を始めたらどうしますか?

「これほど現実的なシナリオに備える授業は、これまで経験したことがありません」と、今年の春にこの授業を修了したコンピュータサイエンス・エンジニアリング専攻の4年生、Diego Contreras氏は言います。

モジュールは、フィールドアサインメントを受けるために初回で合格しなければならない試験で締めくくられます。学期の残りの期間は、毎週の授業ミーティングを通じて継続的なサポートを受け、ドラフト報告書について教員のフィードバックを得られますが、チームの活動を調整し、クライアントの信頼を築く責任は学生にあります。

「あなたはMITを代表しているので、それはかなりの責任です」とContreras氏は言います。「この授業は、他のどんな状況でも身につけられなかった対人スキルを私に与えてくれました。」

「プロジェクトで最も繊細な点は、評価結果のバランスを取ることでした」と、昨年秋に数理経済学・ファイナンスを専攻するシニアとしてこの授業を受講したZev Moore ’26氏は言います。「私たちのアプローチは、重要なフィードバックを提供すると同時に、クライアントがすでに実施している肯定的なセキュリティ対策を検証することでした。これにより、私たちの報告書は改善のための協力的なロードマップのように感じられるようになりました。」

主要な推奨事項のいくつかは、ほとんどの報告書に登場します。例えば、クライアントはネットワークに接続されているすべてのハードウェアとソフトウェアを棚卸しし、誰がアクセス権を持っているかを追跡すること、ソフトウェアを定期的にパッチし、データをバックアップすること、多要素認証を要求し、パスワードを頻繁に更新すること、従業員に知らない相手からの添付ファイルを開かないよう訓練すること、権限の系統を明確にし、身代金の支払いに対する組織の立場を含む攻撃対応計画を準備すること、サイバーセキュリティの衛生状態の良いベンダーのみを使用すること、などが推奨されます。

「これらの項目はどれも費用がかかりません」とSusskind氏は言います。「これらを組み合わせることで、サイバー攻撃の可能性のあるコストと危険の80%以上を回避できるでしょう。」

モデルの普及

これまでに、120人以上の学生がMITでこのコースを修了しました。認定の準備をするオンラインモジュールは、MITx上で「Cybersecurity for Critical Urban Infrastructure」という大規模公開オンラインコースとして一般に無料で公開されており、数万人の学習者を集めています。このモジュールは、独自のサイバーセキュリティ・クリニックを持つ大学でも使用されており——2021年にMITがカリフォルニア大学バークレー校、インディアナ大学、アラバマ大学と共同で設立したコンソーシアム(61の加盟機関と増加中)のおかげで——その数は増加しています。

ほとんどの学生チームは、推奨事項を最終決定した後、クライアント業務を終了しますが、一部は学期終了後もボランティアで実装に関する助言を続けることを志願しています。いずれの場合も、Susskind氏とChun氏は、各エンゲージメント後少なくとも2年間、定期的にクライアントと連絡を取ります。

「脆弱性評価報告書が、組織の短期・中期・長期の将来の攻撃への備えを強化するためのアジェンダの青写真として機能しているという声をよく耳にします」とChun氏は言います。「主にITディレクターや最高技術責任者と協力しており、彼らの多くはエンゲージメント後に、市や町のリーダーシップとMITの報告書を共有し、追加予算や特定の項目が必要であることを説得できたと私たちに伝えています。彼らは学生の報告書を『私だけが言っているわけではない。信頼できるチームが時間を割いて調査し、これがその結果だ』という説得材料として活用しています。」

「過去のクライアントの中には、しばらくして再び連絡を寄こし、『今は人が変わり、新しい機器を購入したばかりです。もう一度やり直せますか?』と言う人もいます。これは本当に謙虚な経験です」とChun氏は付け加えました。