セキュリティ匠対談 二回目
~DMARCをめぐるその後の動き、、 急務となってきた、教育情報セキュリティ対策~

 セキュリティ匠対談 第二回

 ~DMARCをめぐるその後の動き、、 急務となってきた、教育情報セキュリティ対策~

執筆者プロフィール

山崎 文明 山崎 文明:市場開発本部 エグゼクティブエキスパート
国内のセキュリティ第一人者として、今まで数多くの役職を歴任。著書多数。
官公庁に対しても、積極的なセキュリティ提言を行っている。
栗田 晴彦 栗田 晴彦:ビジネス推進本部 シニアエキスパート
CISSP/CCSP/CISA//PCI DSS QSA/PMP
セキュリティのコンサルティングや監査に長年従事。
現在は、後進の育成にも力を入れている。セキュリティ匠の会事務局。

日本でもDMARCが普及へ

栗田 二回目の今回のテーマは、前回のテーマであったDMARC(Domain-based Message Authentication, Reporting, and Conformance)の日本での最新情報と、それに関連して、今対応が急務となっている教育情報セキュリティの話です。山崎さん、海外ではDMARC導入がかなり本格化していますが日本ではどうなのでしょうか?
山崎 ようやく、日本の官公庁でも、セキュリティポリシーやガイドラインなどに記載が見られるようになりました。例えば、この10月18日に発表となった、「教育情報セキュリティポリシーに関するガイドライン」では、対策例としてですがDMARCをなりすましに対する効果的な電子メールセキュリティ対策として挙げています。
今後は、各省庁が定める具体的なガイドラインでも、このように電子メールセキュリティを意識する動きが加速するでしょう。
栗田 日本でも、ようやく社会インフラとして電子メールのセキュリティを協力して高めていこうという動きが出てきたのですね。

教育情報セキュリティの現状

栗田 教育情報セキュリティと言えば、最近いろいろ話題になっています。最近発表されたこのガイドラインの背景はどのようなものなのでしょうか?
山崎 IT立国を目指す日本にとって、学校教育の場でのICTの活用は、急務の課題です。総務省でも「教育ICT」として、教育の現場への積極的なICT導入を推進しています。
栗田 子供達にプログラミング教育を行うということで、最近話題になっていますよね。
山崎 また、近年の教育現場での過重労働問題で、教える側の教員に対する事務負担の軽減をICT導入による効率化で実現しようという動きも加速しています。
栗田 生徒に対しても、日本の将来を担う人財としてICTへの理解と活用が必要ですし、教員側もそれを十二分に活用できなくてはいけないのですね。
山崎 まさにそうです。 そのために、教育現場でICT導入が積極的に図られてきています。PCだけではなく、無線LAN(Wi-Fi)、校内LAN、教育クラウドなども導入が進んでいます。ただし、おわかりのように、そうなると今まで以上に重要となってくるのは情報セキュリティの問題です。

残念ながら、その対応は十分なものではありませんでした。

その問題を顕在化させたのが、昨年6月に公になってしまった、佐賀県の学校教育ネットワークにおける個人情報漏洩事件です。

佐賀県学校教育ネットワーク不正アクセス事件

栗田 私もお客様先でセキュリティコンサルティングをしているのですが、この事件は大量の個人情報漏洩があったということで関心を持たれ、事例調査をしました。
山崎 そこの事件の経緯や原因、対策などの詳細は、以下の提言にまとめられていますが、以下の点がポイントと考えています。
-生徒及びその知合いの少年が絡んだ犯行
-運用上のセキュリティの不備への攻撃
-個人情報の大量漏洩

佐賀県学校教育ネットワークセキュリティ対策検討委員会 提言書
栗田 それぞれのポイントと、セキュリティ対策上の意味合いは何なのでしょうか?

佐賀県

山崎 まず、主犯格の少年は学校関係者ではありませんでしたが、協力者として複数の在校生が絡んでいました。その点では、いわゆる「セキュリティ専門家による」外部犯行ではなく、内部犯行という色彩が強いものです。また、犯行の手口も高度なハッキング手法を駆使しての侵入といったものではなく、運用の不備や利用者のセキュリティの理解不足を突くものでした。

そのため、アカウント管理やログ管理など、基本的なセキュリティ管理を確実に実行することが必要です。

栗田 報告書によると、①偽のログオン画面を教員に見せIDやパスワードを入力させて窃取するというフィッシングサイトと同等の攻撃 や、②奪った管理権限を悪用し無線LANの設定されているMACアドレス情報を盗み、それを自分のPCで偽装設定してWi-Fiアクセスするなどの手口が使われたようですが、

どれも初歩的な攻撃ですね。

本来ならそれらの攻撃を想定した対策が講じられていてもおかしくありません。

山崎 また、校内LANに侵入した後、内部資料をいろいろ盗み見るのですが、その中にサーバやネットワーク機器の管理者アカウントの情報が残されていました。
結果的にはそれを基に、さらに内部に侵入して重要情報を得たことになります。
栗田 その結果、一万件を超える大量の個人情報の漏洩となってしまったのですね。
山崎 そうです。教育情報システムには、校務系と学習系、2つに分けられます。
校務系には成績や指導情報など、機微な個人情報があるのですが、今回はそれまでもが漏洩の対象となっています。
それらは、生徒の個人情報の中で一番守るべき情報です。
対策として、ネットワーク分離や暗号化など、多層防御で守る必要があります。
栗田 今回の事件を見ると、大前提として教育現場でのセキュリティ意識の向上が必須ですね。
最低限のルールが守れていれば、侵入は防げたし、侵入された後でも気づいて情報漏洩の拡大は防げた気がします。

文部科学省の教育情報セキュリティのための緊急提言

山崎 まさにそうです。ICTを正しく伝えるものとして、教育の現場にいるすべての人が情報セキュリティの重要性を理解し実践できていなくてはいけません。
更に、それに対応して各種セキュリティ対策に万全を期さなくてはいけないのです。
栗田 文部科学省は、この事件の発覚後すぐに、緊急提言を発表しましたね。
この内容はどのようなものでしょうか?
山崎 8つの提言内容は、システムの脆弱性に関する事項を中心に記載しています。
よくありがちな総花的な話ではなく、教育現場でのシステム環境や運用環境に沿った、具体的な対策が記載されています。
例えば、先ほど述べた校務系、学習系システムの分離、個人情報の暗号化、二要素認証の導入、アクセスログの半年以上の保存などであり、とても明確です。
栗田 セキュリティ対策を議論する時、しばしば「認証の強化」や「ログの取得や分析」などが「一般論として」書かれているケースが多いですが、それだと、どこまでやればよいか不明確で、結果的にやりすぎてしまったり、全くやらずにすましてしまったりなど、問題が出やすいですよね。

教育情報

対策推進チームの設置とポリシーガイドラインの制定

山崎 この緊急提言と同時に、これを具体化するための対策推進チームが有識者によって設置され、その中で教育版の情報セキュリティポリシーガイドラインを策定することとなりました。
1年近くの活動が行われているわけですが、その結果、冒頭お話しした「教育情報セキュリティポリシーに関するガイドライン」が策定されました。
栗田 具体的にはどのような特徴があるのでしょうか?
山崎 このガイドラインは、緊急提言を受けてそれをより具体化したものですが、幾つかの特長があります。
地方公共団体へは、基本的には「地方公共団体における情報セキュリティポリシーに関するガイドライン」(総務庁)があるのですが、それをさらに踏み込んで検討した箇所が多くあります。
栗田 DMARCの記載は、まさにその一つなのですね。
山崎 その他にも、システム/ネットワークの分離や二要素認証の導入などがあります。
次回からは、これらについて、その経緯や目的、その特徴などを述べていきたいと思います。

 

guideline

 

栗田 とても楽しみです。次回をお待ちしております。

イベント/レポート

pagetop