こんばんは。鹿児島情報高校での情報漏洩が発覚しました。ここ最近のニュースでは小学校・中学校・高校での情報漏洩事件というと、公立学校が多いという印象を受けていました。今回は私立高校です。読売新聞からの記事です。

www.yomiuri.co.jp

　情報漏洩が起きたのが鹿児島情報高校です。「情報高校」と聞くと、一般的なイメージではセキュリティ対策がしっかり出来ているという印象を抱きそうですが、今回はその逆のようです。

　安易なBYOD導入は結果的に高くつくという事実

　記者会見の様子をから推測するに、私物PCを認めているという点に問題の一部がひそんでいるのではないでしょうか。厳格に管理するのであれば、職員全員に公用PCをあてがうのが筋です。OS自体、そしてバージョンを統一することで一元管理がたいへんやりやすくなります。管理者の目が届きやすくなります。

　校長は「私用PCを認めている。私用PCでも校内LANに接続すれば閲覧可能。」と説明しています。個人の私物PCのセキュリティ管理をどこまで信用出来るのかという点についてはどのように考えていたのでしょうか？「学校購入のウイルス対策ソフトのインストールを指示している」と弁明していましたが、実際どの程度徹底されていたのでしょうか。そもそも私物にどこまで強制出来るのかという問題はあります。

　私物PC持ち込みはセキュリティ管理のハードルを大きく上げるという事実

　私物PCを認めているというのは、単なるコスト削減だったのではないかと見ています。「1人1台PC支給は高く付くから持ち込んで貰おう！」という安直な発想だったのだろうという気がしてなりません。個人の持ち物ですから、OSもバラバラでしょう。WindowsもあればMacもあると。同じWindowsでも7や8.1や10が混在していたり。仮にVistaを使っている教員がいたら、「アップデートを指示する」のでしょうか。「指示する」だけであって、金を出さないのであったら、たぶん対応しないでしょうね。当人は。なので、素人が安直にBYODを許可すると、結果的に管理コストが高くついてしまいます。そのへんの発想は校長にはなかったのでしょうか。

「ファイヤーウォールさえあれば大丈夫」と本気で信じていないか!?

　管理の甘さの指摘に対しては、「学校としてはファイヤーウォールをしっかり管理し、外部からの侵入がないよう対策は立てている。」と釈明してました。さて、この釈明を聞いて100%信用出来ますか？

　FW万能論者なところが「なんだかなぁ…」と思いました。「とりあえずファイヤーウォール入れとけば大丈夫だろう」と信じ込んでる感がプンプンしますね。(^^;;

　脅威は外部からの侵入だけではないんですが…。内部PCのウイルス感染によるbot化で情報漏洩を引き起こしているかもしれません。メールやWebからの感染だった場合、単純にFWだけで防ぎきれるものではないということを理解してなさそうに思えました。他には持ち込みPCによる問題も考えられます。校外でどのような使われ方をしているのか分かりませんが、持ち込みPCに個人情報を保存していて、インターネット接続した際に漏洩した…ということもありそうです。他にUSBメモリからの情報漏洩も考えられそうです。FWを入れたことで「大丈夫」と思って慢心していたのかもしれません。

　情報漏洩の原因は外部からの攻撃だけじゃない！

　この校長は「情報漏洩は外部からの攻撃でのみ起こる」と信じている（と思われる）

ところが問題ですね。よく言われている「外部から攻撃されることは仕方ない。仮に侵入されても外に情報を漏らさないような仕組みにする」という発想が欠落していたのはどうやら間違いなさそうです。

　で、最後に「外部からの攻撃にどう対処するのか、しっかり研修しなければならない」という台詞で結んでいましたが、その前に「情報漏洩の原因は外部からの攻撃だけではない。内部からの漏洩やUSBメモリなどの可搬媒体からの漏洩も起き得る。」といったような様々な可能性においても検討し、適切な対策を練るべきであることを校長に理解してほしいものです。

　このままでは、「情報漏洩高校」などと揶揄されかねないという危機感を持ってほしいです。(^^;;