組織内部における情報セキュリティの重要性

2021年8月3日 2022年5月20日田代雄太

田代雄太

前回の記事では、何を守るか、について書かせていただきました。今回は何からその情報資産を守るか、特に組織内部のどのようなことが情報セキュリティを脅かすかについて書かせていただきます。

何から守るかの具体例として、情報セキュリティポリシーに関するガイドラインハンドブックでは、「機密情報の漏洩」、「不正アクセス」、「データの改ざん」、「情報の滅失」が具体例として挙げられています。^＊1

これらの起こる原因として、悪意のある第三者による不正アクセスの他に、内部の人間によるヒューマンエラー等が考えられます。また、「情報の滅失」に関しては、自然災害によるデータの消失なども含まれます。

脅威の原因と想定される脅威（具体例） — <参考資料文部科学省教育情報セキュリティポリシーに関するガイドラインハンドブック（令和3年5月） p8
(最終閲覧日 2021年7月29日)>

また、意外に思われる方もいらっしゃるかもしれませんが、組織における情報セキュリティ上の脅威は組織内部にも多く存在します。^＊2

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威2021」の６位には「内部不正による情報漏洩」、９位には「不注意による情報漏えい等の被害」がランクインしています。
内部不正による情報漏洩はアクセス権の悪用や内部情報の不正な持ち出し、不注意による情報漏えい等の被害には重要情報を保存した情報端末の紛失等が挙げられます。

内部からの情報漏洩の例を挙げてみましょう。例えば情報資産の取り扱いが適切でない場合、悪用する気が無くとも、校務上の機微情報を見る権限のない先生が何かのはずみに情報を見てしまい、口を滑らせて情報が洩れる、というようなことが起こりえます。

また、過去には実際に児童生徒が先生のID・パスワードを不正に入手し、成績を改ざんするという事件も起こっています。
その他にも、例えば授業中に先生がID・パスワードを入力する際に手元が児童生徒に見えていると、そこからID・パスワードを類推することが出来てしまう可能性もあります。

今後、一人一台端末を用いて授業を行うようになれば、ID・パスワードの入力機会も増えて、そういったことが起こる可能性も増えていくと考えられます。

そのような事態を防ぐためには、ID・パスワードを入力するところを児童生徒に見せないことや、権限のない人がID・パスワードを知ることができない仕組みを作ること、また、前回ご説明したように情報資産の分類を行い、分類に応じた適切な取り扱いをすることで、権限のない人が情報を閲覧できない仕組みを作ることが必要です。

学校では性善説の元に日々の授業、校務が行われているかと思いますが、情報インシデントが発生してしまった場合には、情報インシデント発生可能性の疑いのあるところは全て疑われます。

大多数の児童生徒からしても、情報インシデントの発生で身に覚えのない疑いをかけられたら、学校に対して不信感を抱くことに繋がってしまうのではないでしょうか。
そんな時に、児童生徒がID・パスワードを見ることができない仕組みを作っておけば、情報インシデントを防ぐと同時に、無用な疑いから児童生徒を守ることになります。

その他にも、上記図表にもあるように、端末の紛失による情報インシデント等も起こりえます。先生方は成績処理をするために端末を自宅へ持ち帰る必要がある時があるかと思います。
その様な場合には、定めらせたセキュリティポリシーに従い、組織に管理された電子媒体のみを使う、置忘れ、紛失、盗難などには特に気を付ける、そもそも盗難されても情報が漏洩しないように情報にロックや暗号化を施しておく等の対処が有効です。^＊3*4

紛失時の対策として暗号化が重要 — <参考資料文部科学省教育情報セキュリティポリシーに関するガイドラインハンドブック（令和3年5月） p37
(最終閲覧日 2021年7月29日)>

また、万が一に端末を紛失してしまった場合にも、どこへ最初に連絡するのかを事前に把握しておくことで、素早く情報インシデントへ対処ができるようになります。

端末の紛失や置忘れに関しては、職員の端末だけでなく、児童生徒の使用している端末おいても同様の事が言えます。

児童生徒が端末を持ち帰って家庭学習に利用する際などには、万が一端末を紛失、置忘れや盗難にあった場合に、情報が漏洩しないよう遠隔からのロック・初期化を行えるようにしておくことが重要です。^＊5

また、端末の盗難の場合はOSを上書きし転売する目的で行われることが多いため、簡単に端末を初期化ができないような仕組みや、万が一初期化された場合でも強制的に管理下に戻せるような仕組みの構築が必要です。^＊5

これまで例に挙げたような情報インシデントを起こさない、起こった場合には素早く対処するためには、児童生徒を含め、情報機器を扱う人の情報セキュリティに対する意識を醸成することがとても大切です。

日々の業務や端末の使用でID・パスワードを漏らさないことを徹底する意識を身につけることや、自治体の行う情報セキュリティに関する研修への参加、自治体の作成した情報セキュリティポリシーをよく読んで、上記のような情報インシデントが起こらないよう、情報セキュリティに対する知識、意識を高めていただければと思います。

ここまでお読みくださり、ありがとうございました。
次回は、外部からの脅威に対してどのように情報資産を守るかについてご説明させていただきます。

<参考文献>
*1 「教育情報セキュリティポリシーに関するガイドライン」３−３情報資産を「何から」守るのか？（令和3年5月版）ハンドブック P8 (最終閲覧日20201年7月29日)
*2 IPA 情報処理推進機構情報セキュリティ10大脅威 2021 (最終閲覧日2021年7月29日)
*3 総務省国民のための情報セキュリティサイト外出先で業務用端末を利用する場合の対策 (最終閲覧日2021年7月29日)
*4 「教育情報セキュリティポリシーに関するガイドライン」（５）外部への情報資産持ち出しリスクへの対応（令和３年５月版）ハンドブック P38 (最終閲覧日20201年7月29日)
*5「教育情報セキュリティポリシーに関するガイドライン」（３）学校外での利用（持ち帰り）を前提とした際の技術的ポイント（令和3年5月版）ハンドブック P25 (最終閲覧日2021年７月29日)