パスワード設定・管理の大切さについて 後編

前回は、パスワードの設定・管理の重要性についてご説明させていただきました。

今回は、実際に起こったセキュリティインシデントの具体例の紹介や近年見直されてきているパスワードの運用、情報セキュリティについて詳しく解説されている資料、サイトについてご説明させていただきます。

それではまずパスワードの漏洩によるインシデント発生の具体例を見てみましょう。

2019年に新潟市で、中学校の生徒が教員用のサーバーに不正アクセスし、成績を改ざんしたことが事件となりました。

この時に生徒がなぜ教員用サーバーに不正アクセスできたのかというと、教員が生徒にパソコンを使わせ、数分間離席している間にサーバーへのログインIDを入手し、生徒自身がインターネット上から入手した解析用のプラグラムを使ってパスワードを入手、生徒自身の端末の遠隔操作用アプリケーションを使って学校のタブレットを使うことで、サーバーへ不正アクセスしていたとのことです。*1

詳しくは、以下のサイト様にて紹介されています。
<にいがた経済新聞 様>
https://www.niikei.jp/27666/(クリックすると外部リンクが開きます。)

このように、パスワード漏洩のリスクは身近に潜んでいます。

学校で起こったセキュリティインシデントの発生状況に関しては、「学校情報セキュリティお役立ち Web「今日もワンステップ!」」様のHPにて、学校現場で、実際にどの程度、どのようなセキュリティインシデントが起こったかが詳しく紹介・解説されています。

特に、「令和2年度 個人情報漏えい事故の発生状況」に掲載されている「「令和2年度 学校・教育機関における個人情報漏えい事故の発生状況」調査報告書(第1.1版)」では、詳しくインシデントの発生件数、個人情報漏えい人数などがご紹介されておりますので、是非ご覧になっていただければと思います。個人情報漏えいの件数の多さに驚かれる先生も大勢いらっしゃるのではないかと思います。

学校情報セキュリティお役立ち Web「今日もワンステップ!」 様>
事故情報のまとめ(クリックすると外部リンクが開きます。)


次に、パスワードの運用に関してですが、近年見直されている考え方がいくつかあります。

その一つとして、定期的なパスワードの変更が挙げられます。

定期的なパスワード変更を必要と考えられている先生がいらっしゃると思います。情報セキュリティポリシーガイドラインでは、「内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。」*2とされています。

一方で、NISCの公表している「インターネットの安全・安心ハンドブックVer 4.10(令和2年4月20日)」では、「むしろ、パスワードの基準を定めず、定期的な変更のみを要求することで、パスワードが単純化したり、ワンパターン化したり、サービス間で使い回しするようになることの方が問題となります。」*3と書かれています。

つまり、「パスワードを定期的に変更さえしていれば安全!どんなパスワードでも大丈夫!」と思っていると非常に危険だということです。変更するパスワードに他のサービスで使っているパスワードを使ったり、脆弱なパスワードを使う、パスワードの作り方がパターン化してしまう、等のことを行うと、パスワードを変更しても、情報セキュリティ上での安全を確保できなくなってしまいます。

ずっと同じパスワードを使用することはせず、パスワードを変更することで情報セキュリティ上の安全性は高まると考えられますが、その際には「パスワードの基準を満たした、十分な強度の、そのサービス専用のパスワード」に変更するようにすることが大切だと考えられます。

その他にも、見直された方法として、メールにファイルを添付して送信する際に1通目でパスワード付きの添付ファイルを送り、2通目に解除用のパスワードのメールを送る方法があります。

近年、この方法はパスワード付き添付ファイルを送付することによりウイルス対策ソフトによるスキャンがなされないなど、セキュリティリスクの増大につながることが指摘されています。*2また、今後は教育現場においても多様な端末を使用することを考えると、タブレット端末では暗号化したファイルを開くことができなかったり、この方法でセキュリティ対策をしたつもりが実は有効な対策になっていなかった、となってしまう危険性を含んでいます。*2

その他にも、最近では、生体認証を利用した多要素認証などのより本人確認載の精度の高いログイン方法が増加しています。

情報セキュリティポリシーガイドラインにおいても、「特に成績評価につながるCBT(Computer Based Testing:試験における工程を全てコンピュータ上で行う事)など、本人確認を厳格に行う必要がある場合においては児童生徒のID/パスワードに加えて多要素認証を設定することが有効」*4とされており、今後はより精度の高い認証方法が増えていくと思われます。

秘密の質問にはまじめに答えない。答えは使い回さない
<参考資料 NISC(内閣サイバーセキュリティセンター)
インターネットの安全・安心ハンドブックVer 4.10(令和2年4月20日)全体版 P32
https://www.nisc.go.jp/security-site/files/handbook-all.pdf
(最終閲覧日 2021年9月16日)>

このように、パスワードを含む本人認証は年々精度が高くなり、それに伴い技術についていくために必要な知識の量も少しずつ増えてきています。情報セキュリティから取り残されないためにも、情報セキュリティへの意識を高め、少しずつスキルを高めていく必要があるかと思います。

ここまでお読みくださいまして、ありがとうございました。パスワードの管理・運用はとても大切なことで、一人のパスワードが流出すると、組織全体の問題になってしまうことは前回ご説明させていただいた通りです。

そのため、もしも周囲にパスワードを書いた付箋をパソコンに張り付けている人がいたり、パスワードを人に教えてログインしておいて!というような人がいた場合、情報セキュリティの意識を向上してもらう必要があります。

とはいっても、情報セキュリティの重要性を認識していない人に、それを理解していただくのはとても難しいことだと思います。

ですので、そういった先生方にもパスワード運用・管理の大切さや、情報セキュリティインシデントの危険性を知ってもらうために、実際に起こったセキュリティインシデント事例を見ていただいたり、学校現場でセキュリティインシデントが現在進行形でどの位起こっているのかを知っていただくことが効果的なのではないかと思います。

以下に、おすすめのWEBサイト、資料をご紹介いたします。

<学校情報セキュリティお役立ち Web「今日もワンステップ!」様>
トップページ

こちらのサイトでは、学校現場でつい見落としがちな、日常で起こりうる危険について、シチュエーションごとにまとめられております。

また、学校で起こった様々の情報インシデントの発生状況の解説などや、全国の公立学校(小学校・中学校)で働く教職員、教育委員会の方を対象とした、学校様や、教育委員会の方が研修で使用可能な資料を公開されています。
(※企業、その他の団体が関与する場合にはコンテンツを研修等に利用する場合には有償とされています。詳しくはリンク先サイトに掲載されている「コンテンツの利用条件について」をお読みください。)

NISC(内閣サイバーセキュリティセンター) 「インターネットの安全・安心ハンドブック」
https://www.nisc.go.jp/security-site/handbook/index.html

こちらの資料は、

「サイバーセキュリティの普及啓発活動に利用する限りにおいては、改変しないことを条件に、多様な形でご活用いただくことができます。」*5

とありますので、研修などに利用していただくことも可能な資料となっております。(詳しくは上記リンクページの【活用例】をご確認ください。)

情報セキュリティの基礎から詳しく、分野ごとに複数の資料に分けて網羅的な説明・解説がされています。また、分野ごとに資料が分割されており、それぞれをダウンロード可能なので、研修等では非常に使いやすい資料となっています。

ここまでお読みくださいまして、ありがとうございました。今回は、情報セキュリティインシデントの実例と、年々見直されている情報セキュリティの考え方、情報セキュリティについて詳しく解説されている資料、サイトについてご説明させていただきました。

先生方の情報セキュリティの意識や知識を高める一助となることができれば幸いです。

<参考文献>

*1 にいがた経済新聞 「長岡市の中学生による教員用サーバー不正アクセス・成績表改ざんについて学校が会見」/https://www.niikei.jp/27666/(最終閲覧日2021年9月16日)

*2 文部科学省 教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)P10
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf(最終閲覧日2021年9月14日)

*3  NISC(内閣サイバーセキュリティセンター)「インターネットの安全・安心ハンドブック」P57
https://www.nisc.go.jp/security-site/files/handbook-all.pdf(最終閲覧日2021年9月16日)

*4 文部科学省 教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)P24
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf(最終閲覧日2021年9月14日)

*5  NISC(内閣サイバーセキュリティセンター)「インターネットの安全・安心ハンドブック」について
https://www.nisc.go.jp/security-site/handbook/index.html(最終閲覧日2021年9月16日)