個人情報の入力フォームに注意する
ネットワークへの侵入による情報漏えいのリスク
今月の学校リスクマネジメント通信は、前々回の6月号に続き当機構代表者の宮下賢路と、情報セキュリティ事故発生時の初動対応から事後のセキュリティ対策まで、ワンストップで支援しているP.C.F.FRONTEO株式会社のコンサルタント藤原弘二氏との対談の模様をお届けいたします。
個人情報の入力フォームに注意する
宮下
今回はネットワークへの侵入による情報漏えいのリスクについてのお話を聞きたいと思います。まずは主な手口としてどのような方法があるのか?についてお伺いしたいと思います。
藤原
学校には外部からアクセスできるインターネットの入口があると思います。私学で入学願書の申請等の受付をWEB上の画面で行っている学校は、まさにそこが入口ということになります。こういった入口を作るということはインターネットから学校への玄関を設置するという意味合いになります。
たとえば、学校が設置したWEB上に入学希望者の個人情報を入力するフォームが設置されていると思います。そこには色々な値を入力する項目がありますが、そこを入力するということは、後ろ側にあるデーターベース対して、命令を書き込んでいるということになるので、そのプログラムに脆弱性がある場合には、SQLインジェクションという攻撃によって学校のシステム管理者のアクセス権限が不正に奪われてしまうことがあるのです。
そうすると、サーバーが悪意のある第三者に乗っ取られてしまいます。
宮下
このような入学願書の受付フォームの運用については、学校が別の会社に委託していることもあるのですが、委託先に対しての個人情報の管理責任は通常学校側にありますので、適切な管理が必要となりますね。委託先には個人情報取扱規定等の有無やその内容を確認することが大事だと思います。
藤原
さらに委託先の技術的なセキュリティ水準がどの程度維持されているかについての確認も必要です。例えば有名な基準としては、プライバシーマークやISMSといったものがあるのですが、実はこれらを取得していたとしても、その情報管理の技術水準については自分たちで決めることができてしまうのです。そのため、これらのマークを取得していても脆弱な技術水準の会社もあるということを知っておく必要があります。
一方、我々がやっているPCIDSSというカード情報を守る技術水準があるのですが、この水準が世界的に一番高いので、そのクラスの水準でやっている組織であれば、ある程度信頼できると言ってよいと思います。このようなことから、委託先企業がプライバシーマークやISMSを取得している=大丈夫という事にはならない、ということを頭に入れておく必要があると思います。実際にこれらの認証を取得している企業でも個人情報の漏洩は多数発生しています。
宮下
学校は委託先企業に個人情報の管理を任せっきりにするのではなく、どのように入学希望者の個人情報が管理されているのかということをしっかりと確認し、その確認記録を残しておく必要があると思いますね。
システム担当者のPCこそ慎重に管理する
宮下
他にも侵入という観点で学校に注意してほしい事はありますか?
藤原
他に注意してほしいことは、学校のシステム担当者のPCが乗っ取られないように注意してほしいということです。システム担当者のパソコン自体が乗っ取られてしまうことが結構あるのです。
宮下
それは盲点ですね。その乗っ取られたパソコンを使っているシステム担当者が学校のシステム全般を管理していて、そのことに気が付いていないと。
藤原
そうですね。しかもそのシステム管理者がアドミニストレーターと言う権限を持っているので、その人の権限が悪意ある攻撃者に奪われてしまうと、ほぼ全ての学校内のシステムがその攻撃者の管理下に入ってしまいます。
宮下
アドミニストレーター権限とは学校の全ての情報にアクセスできる管理権限のことで、学校内のほぼすべての情報資産にアクセスできる一番強い権限ですね。そうすると、学校の中の情報が丸見えになって、漏洩し放題みたいなリスクを負ってしまうわけですね。悪意ある攻撃者からすると、まさに『侵入完了』という事ですね。
藤原
つい先日、某組織のシステム管理者が、アンチウイルスソフトを一瞬だけ無効にし、仕事にどうしても必要だったフリーソフトウェアをインストールしてしまい、このことが大きなトラブルを引き起こすきっかけになったということがありました。実はそのソフトウェアの中には悪質なマルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なプログラムの総称)が含まれていたことから、組織内の全てのシステムが止まってしまったのです。
このシステム管理者は、悪意ある攻撃者に管理者権限を奪われてしまったので、損害はかなりのものでした。
宮下
たとえば、入学希望者の募集活動に係わる学校のシステムが上記の様に乗っ取られ、その時期が学校説明会等と重なってしまった場合には、当該システムの停止は相当リスクが高いと思います。
要するにインターネット上での募集活動がストップしてしまうということです。
藤原
システム管理者が全ての教職員のセキュリティに注意することは非常に大切なのですが、システム管理者自体の管理を誰がどのように行うのか?との観点を持つことも極めて重要です。たとえば、一つの方法としては、PCの操作ログ(操作記録)を残しておき、それを管理職がチェックできるようにしておくという方法が考えられます。
これは、通常のけん制機能の他に、トラブルが発生した場合でも、システム管理者が疑われ難いように、そして疑われてしまったときでも、ログを調べれば潔白を証明できるようにするための管理・運用方法だと思います。
この記事は当機構が制作・発行している「学校リスクマネジメント通信」をWEB版として編集したものです。