増加率トップは不正アクセス、「学校のセキュリティインシデント」なぜ多発? 後を絶たない書類紛失、誤操作・誤設定も増加
「学生がMicrosoft 365のアカウントを乗っ取られ、スパムメールを大量に送信されてしまった大学の事案では、学生がパスワードの使い回しをしていた、あるいはフィッシングに引っかかり、偽サイトでIDやパスワードを入力してしまった可能性が考えられます。不正アクセスを防ぐには、指紋や顔による生体認証などを含む2要素認証を採用するなど、IDとパスワードだけでは認証が成立しないような対策が必要でしょう」(細谷氏)
サポート詐欺は巧妙なため、誰もが偽の警告画面に出くわす恐れがあるが、個人で対処が可能だ。警告画面が出てきてしまった場合は、慌てずに画面を閉じること。「全画面表示になった際は、エスケープキーを長押しするか、『Ctrl』『Alt』『Del』キーを同時に押せばいいということを覚えておきましょう」と上村氏はアドバイスする。
「昨年、学校のサポート詐欺被害は4件見られたのですが、すべて日曜日に公用パソコンで発生しています。休日出勤、あるいは公用パソコンを持ち帰って作業している状況かと思いますが、疲れている中で誰も周りにいないこともあり、焦って被害に遭われてしまったのかなと。先生方の業務負担はできるだけ減らすべきだと思います」(上村氏)
「誤操作、設定不備」については、前述のように黒塗りの不備が多い。「目に見えない状態=データが消えたというわけではないので、確実にデータを消さなければいけない」と細谷氏は指摘する。
「よくあるのが、PDFでの黒塗りですが、PDFソフトの編集機能を使用すれば黒塗りした文字情報が判読できてしまいます。黒塗りしたとしても、その下にはデータがあるのです。専用ソフトで表示データを完全に削除する、あるいはWordやテキストデータならば、その情報を消してからPDF化するなどの対策が必要となります」(細谷氏)
また、最近ではアンケートなどでGoogle フォームを活用する学校は多いが、その結果が第三者にも閲覧できてしまうケースも増えている。これについて細谷氏は、「共有機能の設定に制限をかけていないミスによるもの。情報は共有されてしまっているという前提で、設定をチェックする必要があります」と助言する。
紛失・盗難やメールの誤送信、防御に有効なツールも
「紛失・盗難」については、今年4月にも、札幌市の中学校教諭が生徒の個人情報や配慮事項が記載された書類を体育館に置き忘れ、その書類を生徒がスマホで撮影してSNSに流出させてしまったと見られる事件が起きた。この手の書類紛失の対策はやはり、アナログからデジタル化への移行が有効だ。ただし、デジタル化したとしてもPC自体を紛失し、そこから情報漏洩してしまう可能性もある。
「その場合は、PCのハードディスクを暗号化する機能を使うことをお勧めします。例えばMicrosoftがWindowsに標準搭載しているBitLocker(ビットロッカー)。これを設定しておけば、ノートPCを外に持ち出して誰かに盗難された場合、ハードディスクを抜き出そうとしても暗号化されているため、情報漏洩を阻止できます。そのほか、ファイル自体を暗号化して閲覧権限を設定するようなサービスを取り入れている自治体もあります。一方で、職員室からの持ち出し禁止をルール化したり、教員の情報リテラシーを高めたりするなど、漏洩を防ぐ体制づくりも重要でしょう」(細谷氏)
「メール誤送信」も年々増えている。よくあるのはBccで一斉送信しなければならないところ、Ccで送信したことで、すべてのメールアドレスが漏れるといったケースだ。
「この対策としては人によるダブルチェックが勧められますが、作業が大変なうえ、完璧なチェックは難しい。CcからBccに自動で変換送信するソフトや、外部ドメインが複数ある場合は上長の承認がなければ送信できないようなソフトは複数の企業から出ていますので、そうしたツールを導入するのが安全かと思います」(細谷氏)
