対策

【関連項目】

セキュリティポリシーセキュリティソフトファイアウォール
セキュリティホールセキュリティパッチ脆弱性SSL

【学校事務での具体例】

学校におけるネット利用のルール作りはなされているか。また、導入されているPCについてウィルスやスパイウェア、OSの脆弱性に対してどんな対策を立てているか。個人情報の漏洩に対する対策はどうか。

【ポイントと解説】

☆ 校内での情報管理体制について説明することができる

・情報管理部(係)の設置と校内の情報管理規定(電磁的情報取扱要領)に則った処理を行う。セキュリティポリシー(情報セキュリ ティに関する基本方針)を明示にする。児童生徒がインターネットを利用する際の方針についても整備する。

☆☆ セキュリティホールとは何か、その対策方法を説明することができる

・セキュリティホール(ソフトウェア上の欠陥)を放置しておくと、悪意のあるユーザに不正にコンピュータを操作されてしまう可能性 がある。使用しているOSやブラウザのバージョンを確認し、修正プログラムがインストールされているか確認する。

セキュリティーソフト

セキュリティ対策ソフトとは、コンピュータウィルスの除去・ウィルスの侵入を予防・感染前のメッセージ表示をしてくれるソフトです。

最近は、このウィルスに関する対応以外にも、パッケージにより、迷惑メール対策・有害サイト対策・不正アクセス対策・フィッシング詐欺対策などにも対応できるよう、多種機能を含めた総合的なセキュリティ対策機能を兼ね備えているのが特徴です。 また、多機能性を求めた結果、動作が重くなる傾向があったため、動作の軽快さを売りにしたソフトを導入する傾向があります。

ファイアーウォール

ファイアウォールの基本機能は、自分のパソコン発の通信と、それに対する返信以外は遮断するというもの。一般的なブロードパンドルータ、セキュリティ対策ソフト、Windows XP Service Pack 2(SP2)にこの機能が備わっています。

ルータがあれば安全度はかなり高くなりますが、ルータにはセキュリティ対策ソフトのファイアウォールのように、新種のウイルスに応じて設定を自動更新するなどの機能がありません。セキュリティをより強固にしたいのなら、ルータに加えてセキュリティ対策ソフトのファイアウォールを使うのが有効です。これを導入しておけば、モデム経由や、外出先でノートパソコンを使ってインターネットにアクセスする朋など、ルータがないためインタ一ネットからの攻撃に対して無防備になってしまう場合も、セキュリティを確保できます。

セキュリティーホール

セキュリティホール(security hole)とは、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)のひとつで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。

このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴い、セキュリティホールがネットワークを介して容易に攻撃されうる状態になっているからである。

原因は、プログラムのコーディングミスや、システムの設定ミス、システム設計上の考慮不足などによる。

セキュリティーパッチ

セキュリティパッチ【security patch】とは、ソフトウェアに保安上の弱点(セキュリティホール)が発覚した時に配布される修正プログラム。通常はインターネットや雑誌の付録CD-ROMなどを通じて無償で配布される。

 セキュリティパッチは、ソフトウェア内でセキュリティホールの原因となっているファイルを、問題のないファイルに置き換える。同時期に複数のセキュリティホールが発覚したり、同じファイルに複数のセキュリティホールが存在していた場合は、1つのセキュリティパッチが複数のセキュリティホールを修正することもある。

 大規模なソフトウェアでは、発売から長期間が経過すると多数のセキュリティホールが発見されるため、セキュリティパッチの数も膨大になる。このため、こうしたソフトウェアのメーカーは、多くのセキュリティパッチを順次インストールする手間を省くために、定期的に多数のセキュリティパッチを1つのプログラムにまとめて配布している。

脆弱性

脆弱性(ぜいじゃくせい、vulnerability)という用語は、セキュリティホールと類似している。 セキュリティホールがより具体的な欠陥そのものを指す傾向があるのに対して、脆弱性は欠陥だけには限定せず、たとえ意図した(要求仕様どおりの)動作であっても、攻撃に対して脆く弱い、つまり弱点があれば用いるという点が異なる。たとえば、災害、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃(ソーシャルエンジニアリング)といった、コンピュータシステムだけに収まらない弱さに対しても用いられる。また、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については脆弱性の方が好まれる。

OSやアプリケーションのぜい弱性を悪用する攻撃やウイルスが相次いでいる。この攻撃に最も効果的な対策は、修正プログラムの適用や、ぜい弱性を修正した最新バージョンへのアップグレードだ。

脅威と脆弱性の関係

脅威 脆弱性
技術的 不正プログラム セキュリティーホール
不正アクセス アクセス設定の不備
物理的 故障・災害 バックアップなし
停電 UPSの導入なし
泥棒 入出管理不備
人的 不注意・認識不足 啓発活動不足
ルール違反 職員管理不足

ブロードバンドルータのすすめ

ルータがなくパソコンが直接インターネットに接続する構成では、パソコンにセキュリティホール(ぜい弱性)がある場合、外部からの感染攻撃により、数分で感染してしまう恐れがあります。 ブロードバンドルータを介して接続することにより、ルータのNAT機能が外部からの感染攻撃を防いでくれるため、感染しにくい環境を構築することができます。

安心しないで!

ボットなどのコンピュータウイルスは、ウイルス対策ソフトをインストールし常に最新のウイルス定義ファイルを適用しておくことが最も重要ですが、ウイルス対策ソフトと言えど、感染を100%ブロックできるわけではありません。新種のウイルスへの対応は数日~数週間のタイムラグが生じることもあります。ウイルス感染のリスクをできる限り抑えボットに感染しないために、以下の対策を並行して行うことが重要です。 また、ルータが攻撃を防いでくれると思いこんで、ウイルス対策ソフトを導入しないのは誤りです。メールやファイルのダウンロードからウイルスに感染することは充分考えられますし、不注意からウイルスに感染することが多いからです。

基本的なセキュリティ対策

安全にパソコンを利用して頂くため以下の事項を守って頂く事を強く推奨します。

ウイルス対策ソフトを入れる

日々ウイルス感染が発生していますが、多くはウイルス対策ソフトを導入していない事が原因です。 ウイルスの感染を防ぐため必ず導入しましょう。

ファイアウォールを有効にする

外部からの不正な通信を防ぐため Windows XP や Vista では標準でファイアウォールがインストールされています。 コントロールパネルからWindowsファイアウォールが有効になっているか確認しましょう。

Windows Updateの実施

Windows XP, Vista では自動的に Windows Update を行う機能がありますので必ず有効にしましょう。 パソコンをあまり使わない方は、パソコンの利用前に必ず手動で Windows Updateを実行してください。

パスワードの管理

パスワードはわかりにくく、個人情報(誕生日・記念日等)から推測できないものに設定しましょう。 もし忘れないようメモ書きをする場合は必ず使用するパソコンから物理的に遠い場所に保管するようにしましょう。

 最近,非常に増えているのが車上荒らしなどによるパソコンの盗難です。しかし,パソコンにパスワードを設定しておけば,盗難にあっても重要なファイルを見られる可能性を低くできます。最近のパソコンは、最初のセットアップの際にパスワードを設定するようになっていますが、パスワードは定期的に変更するようにしましょう。

ファイルにもパスワードを設定できます。成績や住所録などの個人情報、その他の部外秘の重要情報のファイルには、それぞれパスワードを設定するようにしましょう。これにより、万が一パソコン本体を盗まれたり、USB メモリを紛失したりしても,盗み見することが難しくなります。

・コンピュータウイルス対策基準

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.ipa.go.jp/security/antivirus/kijun952.html

不正プログラムと闘う10ヶ条

  1. OSやアプリケーションを最新状態に
  2. 不正プログラム対策ソフトを最新状態に
  3. 不正プログラムの定期的なフルスキャン
  4. 見知らぬメール(特に添付ファイル)は無視
  5. メールのURLを安易にクリックしない
  6. 安易にプログラムをダウンロードしない
  7. 見知らぬ(不信な)HPには近づかない
  8. 管理不備のパソコンで機密情報を扱わない
  9. 万一に備えてバックアップを定期的に行う
  10. 情報流出に備え、重要なデータは暗号化する

・情報処理推進機構:ウイルス対策7箇条

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.ipa.go.jp/security/antivirus/7kajonew.html

迷惑メール(スパムメール)対策、7つの心得

  1. 迷惑メールには返信しない
  2. アドレスはネットに公開しない
  3. 普段使っているアドレスは登録しない
  4. HTMLメールはできれぽ使わない
  5. 添付ファイルやメールの本文中にあるURLはなるべく開かない
  6. Windows Update、ウイルス対策を怠らない
  7. プロバイダー、メールソフトなどのフィルタリング機能を必ず活用する

情報管理係のセキュリティー対策

  • ウィルス対策ソフトによる端末状況管理 
  • 学校代表アドレスのメール管理 
  • 学校ホームページの情報発信内容確認 
  • 職員へのセキュリティー意識啓発 
  • トラブル発生時の初期対応 
  • 情報システムの業者メンテナンス確認 
  • ファイルサーバーのバックアップ確認 
  • 各種設定関係の確実な引き継ぎ 

セキュリティー面から見た、学校という職場環境の特徴

▼自宅への持ち帰り仕事が多い

▼担当者不足によるシステム管理の手薄さ

▼公用端末不足による個人端末の使用

▼セキュリティーに対する共通理解不足

▼児童生徒が身近にいる

▼守るべき個人情報が大量にある

ユーザーの不注意対策

セキュリティ対策の中で一番やっかいなのはユーザーの不注意対策!

組織の情報セキュリティを考える際によく登場する「桶の理論」

セキュリティーポリシー

ルールの必要性

学校内で情報セキュリティに関するルールがない場合、個人情報が漏洩したとき、何が問題になるのでしょうか? ルールがない場合、職員はよりどころがないまま、庁内システムを利用したり個人情報を扱ったりすることになります。

ルール作りには、

第一に、学校における「個人情報」や「重要な情報」とは何か、そしてそれぞれどこに保管するのかといった分類と整理から始まります。 次に、私物パソコンの持ち込みに関するルールである。「持ち込むな」では仕事にならないなら、児童・生徒の個人情報データは秘密フォルダー(フォルダーを見えなくするソフトが市販されている)に保存することを条件に認めるという方法もあります。

ほかにも、USBメモリーやフロッピーの扱い、共有データの扱い、サーバーの管理、不正アクセスの防止、コンピューターウイルス対策などが取り急ぎ必要になります。

ルールを作るポイント!

先進的な自治体の意見を総合すると、情報セキュリティに関するルールを作るポイントは3つある。

①実効性を伴った内容であること、

②職員に対してその内容を周知徹底すること、

③ルールが庁内で有効に機能しているかテェックすること

「原則は持ち帰らないが、やむを得ず持ち帰る場合は管理職に許可を得た上で、どこにも寄らずに自宅に直行する、電車内では手から離さない」というようなルールの方が守ろうとする意識は高まります。

実効性を伴った体系的なルールを策定するには、セキュリティポリシーをきちんと定めることが肝心です。 総務省は、自治体に対して、根本的な考え方をまとめた「基本方針」と、基本方針に沿って具体的な運用管理手順を記述した「実施手順」からなるセキュリティポリシーを定めることを求めています。

万が一個人情報を漏えいさせてしまった場合に備え、漏えい時の対策を実施手順に盛り込んでおくことも大切です。情報漏えいに気づいた職員はすぐさま報告する義務があると定めていますし、報告を受けた庁内の情報化を担う担当課は、あらかじめ定めたレベル区分に当てはめ、漏えいの影響度を判断することになります。

ルールは研修で周知する

続いてルールの周知徹底です。定めたルールを形骸化させないためには、研修を通じて職員のセキュリティ意識を高める必要があります。悪意を持って個人情報を持ち出すことは防げなくても、認識不足による情報漏えいはかなり防げることになりますはずです。セキュリティポリシーの順守は全職員の義務であり、すべての職員を対象にできるだけ多くの研修を実施すべきでしょう。

研修で意識を底上げ監査で問題を洗い出す

まずは、役所・役場が組織として取り組むべき方針(セキュリティポリシー)が制定され、ルールを定めることから始まります。セキュリティポリシーの制定率は総務省の後押しで上がっていますが、その内容はまだ十分とは言えないようです。基本方針はほとんどが制定しているが、職員が実践することになる具体的な作業手順などをまとめた「実施手順」は約半数しか制定していません。 次に、職員への周知徹底。パソコンの持ち帰りを禁止していたとしても、職員がその危険度を認識しておらず、持ち帰っていれば、ルールがあっても意味がありません。セキュリティ研修で職貝の意識を高め、「監査」により、現状の不備を調査、できれば抜き打ちで調査して、各部署に問題点を改善させることが有効になります。

パソコンからの情報漏えいを防ぐため、クライアントにハードディスク(HDD)を内蔵しない端末「シンクライアント」の導入を進める自治体も登場し始めています。 端末にデータがなければ盗難や紛失でもデータは漏えいしませんが、市町村立学校は、市町村の自治体と県全体との両方とネットワーク接続を求められることがあるため、複数の自治体のセキュリティポリシーを侵さないようにシステム設計などを考慮していく必要があります。


情報管理に関する3つの規程

情報管理には、対象範囲により、3つの規程(ルール)が考えられる

「情報セキュリティポリシー」

組織の情報セキュリティに関する方針を示した文書である。情報セキュリティマネジメントを実践するための様々な取り組みを、包括的に規定する。

「文書管理規程」

文書管理台帳の作成等、文書の適正管理を規定する。業務効率の向上や情報保全を目的とする。

「個人情報保護規程」

個人情報に特化した取扱いを規定する。また、個人情報保護法への対応をする規程。


情報資産を洗い出そう

学校には、様々な情報があります。児童・生徒の学籍、成績、生徒指導、保健、進路指導等に関する情報や、学校を運営するために欠かせない校務に関する文書等の情報が数多く存在しています。特に、個人情報を含んでいる情報が多く、「学校は個人情報の宝庫とまでいわれている」。また、紙媒体の文書か電子化された文書かで管理の方法は違うとされている。したがって、このような様々な情報を学校でどのように取り扱うかという情報管理が重要な問題である。 こういった情報は、誰が、どこに、どのような形で所有しているのでしょうか。まず、学校内における情報資産を洗い出し、整理しましょう。

学校内の文書や書類を洗い出し,分類・整理しよう

学校には、児童・生徒・保護者の個人情報や、学校を運営するために欠かせない情報が数多くあります。 洗い出す対象には、紙の資料や電子媒体のデータなどさまざまな種類があります。主に次のような文書や書類、データに着目し、洗い出しましょう。

 ・公的な文書

 ・先生が個人的に持っているデータ(私的に所有している情報にも着目)

 ・資料を作成する過程のデータ(下書きデータ)

これらから、セキュリティ対策を考える際には、まず学校にある「情報セキュリティの中で保護されるべき対象」の洗い出しが必要になります。 → 情報資産

情報資産を洗い出せたら、管理部署(管理者、作成者)、保存形態、保存場所、公開対象者、主な記載内容などを、「学校内の情報資産リスト」に整理します。

?470

?470

考慮すべき項目

  • 物理的セキュリティー(災害等)
  • 人的セキュリティー(訓練・ミス)
  • 技術的セキュリティー(危機管理方法)

洗い出した情報資産の重要度を評価しよう

グルーピング

情報資産リストを,保存形態,保存場所,公開対象者などでグルーピングし,セキュリティポリシーの対象とするものを絞り込みます。

学校内の情報資産のうち、情報システムや記憶媒体に保存・管理されている情報(保存形態が「電子媒体」の情報資産)をセキュリティポリシーの対象とします。

・情報システム:コンピュータ,ネットワーク,ソフトウェアなど

・記憶媒体:フロッピーディスク,USBメモリ,メモリーカード,MOディスク,CD,DVDなど

重要度の評価

重要度は、その情報が外部に漏れた場合や、消失した場合の影響度を考慮し、情報資産としての重要性を評価します。大中小の3段階で評価するのも有効です。

情報資産の種類、性格などを考慮して決めてください。


リスク対応策を検討しよう

情報資産の重要度、情報資産がさらされている脅威、脅威に対する脆弱性の観点からリスクの大きさを評価し、リスクに対する具体的な対応策を検討します。

脅威を洗い出そう

脅威とは、自然災害や機器障害、悪意のある行為などのように、情報資産に損害をもたらす要因のことを指します。例えば、USBメモリに保存されている情報資産は、「盗難や紛失によるデータ漏洩」「メディアの損傷による情報喪失」といった脅威にさらされています。

まず重要度の高い情報資産を取り上げ、

・その情報資産がどのような脅威にさらされているのか?

・その脅威に対して校内はどのような状況にあるのか?

といったことを分析し,「学校内の脅威の評価表」に整理します。

?470

「生徒(児童)名簿」以外の電子媒体の情報資産についても検討し、同表に内容を追加します。こうすることにより、学校全体の情報資産に関する脅威を網羅できます。

脅威を評価しよう

脅威の大きさを3段階(大中小)に評価します。

・大:非常に危ない

・中:危険はある

・小:ほとんど危険はない

評価の仕方には、次の方法があります。

脅威の評価 = 脅威の発生頻度 × 実際に発生した場合の被害の大きさ

脅威が頻繁に発生し、実際に発生したときの被害が大きいほど、脅威が大きくなります。

脆弱性を評価しよう

脆弱性とは、学校が情報資産の脅威に対してどのくらい弱いかということを指します。 まず脅威内容を明確にし、その脅威内容に対して自校の環境や体制がどのくらい弱いかを考えます。 校内の状況が脆弱であるほど、脅威が大きくなります。

リスクの評価にはいくつかの方法がありますが、情報資産の重要度・脅威・脆弱性の大きさから、3段階に評価してみましょう。

リスクの評価 = 情報資産の重要度 × 脅威の評価 × 脆弱性の評価

例えば、重要性「大」の情報資産は、脅威が「大」、脆弱性が「大」であれば、リスクも「大」になります。

リスク対応策を検討しよう

「学校内の脅威の評価表」の中で,リスクの評価が「大」になった脅威について具体的な対応策を考えましょう。

<運用面&環境面での対策>

リスク対応策には,運用面と環境面の両面から対応策を考える必要があります。

・運用面での対策:情報資産を扱うにあたって教員が守るべきルールなど ・環境面での対策:業務で使用するパソコンやネットワークなどの機器に対する対策 (ウイルス対策など)

<対応策の考え方>

リスク対応策には,「低減」「回避」「移転」「保有」といった考え方があります。これらは、情報資産に与える損害規模と脅威の発生頻度から、対応策を決定する考え方です。対応策を検討する際の参考にしてください。

?470 ?470

<対応策検討メンバー>

具体的な対応策を検討するには、ネットワーク構成などを意識しながら考えることが望ましいため、ITに関する知見があり、かつ関心のある教員を巻き込んで議論するのが有効です。また、学校内の業務に精通した管理職、または管理職経験者を加える必要があります。

検討する際は、必要に応じて教育委員会(または教育庁)の情報関連セクションとの意見交換を行い、策定する対応策が教育委員会(または教育庁)の対応策と不整合を起こさないように注意しましょう。

 具体的なリスク対応策を決定しよう

リスクの対応策をリストアップできたら、その中から実際に採用する対応策を決定しましょう。すべてのリスクに対して完璧な対策をとる必要はありません。校内の状況と対応策の実効性や効果などを考えて,採用する対応策を決定します。

?470

リスクを気にして、全てを禁止してしまうと、業務の効率は低下するため、どこまでを認め、どこまでを禁止するかを検討することになります。

実際には、ある程度、リスクを認めた中で、職員の情報漏洩に対する危機意識に頼る運用になるでしょう。


セキュリティポリシーを作成しよう

いよいよセキュリティポリシーの作成段階に入ります。セキュリティポリシーには,基本方針,対策基準,実施手順書があります。実際には、自治体・教育委員会のセキュリティーポリシーと学校のネットワークの設定とは、合わないことが多い。自治体のセキュリティーポリシーを考慮においた上で、学校に特化したセキュリティーポリシーを策定する必要がある。


基本的なセキュリティーポリシーの例

<必要項目>

 ・目的

 ・学校の責務(管理責任の明確化,規程の整備,リスク分析・評価,条例・規則等の遵守)

 ・管理職および各情報管理者の責務

 ・教職員の責務など

<内容>

 ・情報セキュリティ管理体制の整備(管理責任の明確化,義務および責任)

 ・対策の規程整備(組織的な取り組みの明文化,対策実効化のしくみ)

 ・評価および見直しなど

基本方針ができたら、次は対策基準、そして、具体的な実施手順書を作成していきます。

実施手順書は、具体的には、ネットワークの設定ルール、個人パソコンを繋ぐときのきまり、USBなど外部記憶装置の利用に対する規則、メール送受信に関するきまり、ウイルス対策、パソコンのアップデートの確認、ファイルにもパスワードをかける、リース返却時による情報の廃棄についての確認、ファイル共有ソフトを入れないために、信用できないソフトのインストール禁止、機器管理(バックアップ方法、故障時の対応等)に対するきまり、事故処理時の記録方法など・・・

所属にそった形で、実施手順書を作成できるといいでしょう。

セキュリティーポリシーの運用

セキュリティーポリシーを策定しただけではダメ!

逸脱した人がひとりいるだけで、セキュリティーポリシーの意味がなくなります!

(全職員で共通意識が必要)

参考:学校情報セキュリティ・ハンドブック ~今日から始められるセキュリティポリシーの作り方~

・国民のための情報セキュリティサイト

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm

情報モラルとセキュリティ/対策.txt · 最終更新: 2010/06/09 12:17 (外部編集)
CC Attribution-Noncommercial-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0