教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由

f:id:PentaSecurity:20180418150142j:plain

 

教育情報セキュリティポリシーに関するガイドライン

 対応しなければならない理由

 

2016年7月、文部科学省では「教育情報セキュリティのための緊急提言」を公表し、公務系や学習システムの分離など、8項目の情報セキュリティ対策を設けることを促しました。そして、約1年後の2017年10月には「教育情報セキュリティポリシーに関するガイドライン」が公表されました。

今までニュースポータルのメインを飾ったサイバー攻撃とこれに対する被害事例をみると、2017年アメリカの信用情報会社エクイファックスからアメリカ全体人口の40%の個人情報が流出された事件や日本最大の暗号通貨取引所のコインチェック不正アクセスを受け、約580億円を盗まれたことなどの金融業界で起きた事件が殆どでした。それで、教育業界において情報セキュリティの必要性に対しては認知していなかったかもしれませんが、実は、教育業界もハッカーたちの目標としてよく狙われる市場です。

 

2016年佐賀県教育委員会不正アクセス*により、情報が流出された事件を覚えていますでしょうか。この事件だけでなく、教育現場でセキュリティ事故は続けて発生しています。大阪大学からの情報流出事故など、大学および高等教育機関においても相変わらずセキュリティ事故が起きている現状を見ては、教育現場の危機意識がまだ希薄という指摘を否定できない状況です。

 

しかし、このような事件・事故が相次いで起き、教育業界のセキュリティについて、多くの人たちが考え方を変え始めました。なぜ、ハッカーは教育業界の情報を奪取するために努力するのか?などについて考えるようになったのです。

果たして、なぜハッカーは教育関連の情報を狙うのでしょうか。そして、教育機関で教育情報のセキュリティ政策ガイドラインに従って、セキュリティ政策を樹立するためには何をすればいいのでしょうか。

 

( *佐賀県不正アクセス事件の詳しい内容は、下のコラムから確認できます)

www.pentasecurity.co.jp

 

1. コンテンツを狙った攻撃

相対的に国・公立学校では、お金をたくさん持っていることではないが、ハッカーは、教育機関を攻撃ターゲットとします。2017年4月、NUS(National University of Singapore)とNanyang Technological University(NTU)は、政府研究データを収集する攻撃を受けました。幸いなことに、ハッカーは、データ収集に失敗しました。
このようなハッキングは、大学が政治的な軍事戦略や技術に関する研究を政府と協力して実行するために、このような情報を得るため、競争国から攻撃するものと推測されます。しかし、思ったより多くの大学がサイバー脅威に対応する準備ができていないという問題点があります。2016年3月には、英国大学の30%以上が毎時間サイバー攻撃を経験していることが明らかになりました。

 

2. メールアドレス取得を狙った攻撃

よくハッカーたちが狙うデータと言えば、クレジットカード番号のようなことを思い出すが、実はダークウェブで最も人気のあるアイテムは学生のメールアドレスです。
2017年3月、デジタル市民連合(Digital Citizens Alliance、DCA)は、犯罪者が大学の資格証を盗んで、これを活用することに対する調査結果を発表しました。2017年現在、ダークウェブには約1千4百万個のメールアカウントがあり、これは、3.50ドルから10ドルに販売されています。 もちろん、規模が大きい大学の方が侵害可能性が高いですが、だからといって規模が小さな大学がサイバー犯罪者から安全なわけではありません。

 

f:id:PentaSecurity:20180419114457p:plain

f:id:PentaSecurity:20180419114501p:plain

(▲イメージ出展:DCA)

 

しかしながら、ウェブで使用できる数十億個のメールアドレスがあるのに、なぜよりによって学生たちのメールアドレスが人気でしょうか。秘密は".edu"にあります。米国に基盤を置いた大学は".edu"を使用します。普通、高価のソフトウェアやその他の製品は学界の人々に大幅に割引された価格で提供されたりします。一部のオンライン小売業者たちは、生徒や教師に無料配達サービスを提供したりもします。

その他にも".edu"のアドレスを得ようとする動機は何でしょうか? ハッカーは、教育機関が保有したさらに敏感なデータへのアクセス権限を得るためにこのアドレスを使用することもできるかもしれません。例えば、ハッカーはIDを盗用し、学校寄付金のリストまたは使用可能な金額に対する情報にアクセスしようとすることもできます。

 

3. ネットワークの活用に向けた攻撃

ハッカーたちは、ゲートウェイ活用のためのハッキング攻撃も頻繁に行います。規模が大きかったり、権威のある大学の場合、膨大なコンピューティングシステム・ネットワークを保有しているために、このようなインフラはフィッシングを通じてさらなる攻撃をために、または教授や学生がよく利用するウェブサイトに悪性コードを挿入するのに使われることができます。サイバー攻撃の場合にはどうしても金融分野が最優先されるターゲットであろうが、教育分野もまたハッカーたちに人気のある対象です。そのため、教育機関ではセキュリティ政策について再度考えて、検討することが必要です。

もちろん、すべての学校のセキュリティアーキテクチャが不足したものではありません。多くの流出事故は大学のシステム上で行われるより、教職員や学生たちが定期的に訪問するウェブサイトやプラットフォームから発生するためです。そのため、それに合わせて教職員や学生にセキュリティ教育を提供したり、外部から悪性コードが挿入されることを予防するためのセキュリティ戦略に対して検討・考慮することが必要です。

 

4. 問題発生の理由?

果たして、問題が起こる原因は何でしょうか。

それは、「これを売っても、お金になるはずがない。」とか「ハッカーが私たちを攻撃するわけがない。」という安易な考え方です。私たちはよくハッキングを過小評価します。しかし、データは私たちの考えよりもいろいろな分野で活用が可能で、このデータの活用可能性は、さらに多い方の価値および革新を追求するため、引き続き範囲が広くなるはずです。一例として、最近、サイバー犯罪者たちは自撮り写真を闇市場で販売しています。写真を活用し、偽の身分を作り、これを利用して詐欺やIDの奪取攻撃をしているのです。

内容に戻って、教育機関のハッキングについて再考してみましょうか。学生たちは大学や学校のメールアドレスが盗まれたり、誤用されたことに対して直接的な被害を経験しないこともあります。そのため、大学ネットワークセキュリティの重要性について考えていない可能性もあるが、ハッキングは機関に対する信頼度を落とし、結局、これは価値のあるパートナーとの共同研究機会を喪失することになるかもしれません。

 

5. 「教育情報セキュリティポリシーに関するガイドライン」とは?

文頭に戻り、文部科学省から公表した「教育情報セキュリティポリシーに関するガイドライン」の話をいたしますと、ハッカーたちは様々な理由で教育産業が狙われていることが分かります。このような背景で、ガイドラインが作成され、公表されたことです。

 

ガイドラインでは、情報セキュリティ対策は、安心して学校においてICT を活用できるようにするために不可欠な条件で説明し、しかしながら、学校、そして教育産業全般においては、児童生徒が日常的に情報システムにアクセスする機会がある等、他の行政事務とは異なる特徴があると説明しました。そこで、地方公共団体においては、学校向けの情報セキュリティポリシーを策定し、学校現場の特徴を踏まえた情報セキュリティ対策を講じる必要があるとしています。

こういう背景の中、教育情報セキュリティポリシーに関するガイドライン情報セキュリティ対策基準、物理的セキュリティ、人的セキュリティ、技術的セキュリティ、運用、外部サービスの利用、評価・見直しなどの内容を含めています。

 

多方面でセキュリティ政策が必要ですが、そのために最も重要なのは、セキュリティをよく知っているセキュリティ人材の確保、そしてシステム上で運用できるセキュリティソリューションですね。

ガイドラインから指定しているセキュリティ要件には何があるのだろうか、また、不足している部分はどこであろうか、などの詳細な内容はガイドラインからご確認できますので、必ず読んでください。

 

関連資料≫≫

「教育情報セキュリティポリシーに関するガイドライン」ハンドブック(平成29年11月) (PDF:4267KB) PDF

「教育情報セキュリティポリシーに関するガイドライン」(平成29年10月18日) (PDF:2471KB) PDF

 

(出典:文部科学省