Education

学校

2015.07.21 投稿者: ブログチーム

大学向けクラウドで個人情報がダダ漏れ この瞬間にもあなたの情報が盗まれている?

大学向けクラウドで個人情報がダダ漏れ この瞬間にもあなたの情報が盗まれている?

 「パッケージソフトやソリューションサービスを展開する電翔は、大学向けクラウドソリューションにおいて、個人情報が閲覧可能となる事故が2件発生していたことを明らかにした。同社が大学向けに提供しているクラウドソリューションにおいて、利用者が特定の操作を行うことで、本来は閲覧できない個人情報にアクセスできる状態になっていたもの。2月6日に利用している大学の職員から連絡があり問題が判明した。学生の氏名や住所、電話番号、生年月日、メールアドレスなどが閲覧できる状態で、共有フォルダにおけるアクセス権限の設定ミスが原因だったという。また別の学校のケースでは、就職支援システムの権限変更作業を行った際、同社従業員が学生情報の閲覧権限を誤って設定してしまったため、教職員のみ利用できる検索機能が、約6時間にわたり学生が利用できる状態だった。これにより、同システムに登録された氏名や住所、電話番号、学籍番号、メールアドレス、出身高校、帰省先住所などが閲覧可能だったという。大学職員からの指摘を受け、設定の修正を行った。いずれも、個人情報の不正利用は確認されていないとしている」

Security NEXT <大学向けクラウドで設定ミス ? 個人情報が閲覧可能に> 2015/05/12

 この事例は、システムを操作する管理者のアクセス権限の設定ミスが原因で、本来は閲覧できないはずの個人情報が流失する可能性があったというものです。私たちは、そもそも教育機関や一般企業の多くが、未だに「ID」と「パスワード」のみでアクセス権限を管理していること自体が危険であると考えています。
 攻撃者からすれば、「ID」と「パスワード」はパズルのような代物でしかなく、いつかは破ることができます。それにもかかわらず、教育機関や一般企業は各組織の情報資産を、人事情報などに紐付けたアクセス権限(IDとパスワード)だけで制御しているのです。
 アライドテレシスが提供する“Secure Enterprise SDN(SES)”なら、アクセス権限だけでなくOpen Flowによる通信フロー制御が可能となります。具体的には、各端末やサーバー間の通信フローを制限することができます。例えば、サーバー周りには許された端末からの通信フローしか発生できない設定にします。すると攻撃者は、サーバーへログインする「ID」「パスワード」の画面に、たどり着くことすらできません。
 次に攻撃者は、そのサーバーへのアクセス権限を持つ端末にバックドアをつけて、端末を遠隔操作してサーバーへの侵入をはかろうとするでしょう。しかし、その端末からの通信フローが社内に限定されていたら、サーバーから端末へ情報が流れても、端末から外部への通信フローは発生させることができず、情報は流出しません。
 それでも諦めない攻撃者が遠隔操作でメールを起動し、添付ファイルで情報を持ち出そうとしたとします。それはきっと、社員が帰った真夜中に行われます。ところがSESでは、通信フローの条件に時間帯も設定できるため、攻撃者は遠隔操作で端末に入ることすらできません。時間設定をしていない場合でも、トレンドマイクロ社のDDI(Deep Discovery Inspector)とSESを連携させると、夜中の不審な通信のため、「ふるまい検知」により遮断できる可能性が高まります。
 攻撃者の話はここまでにして、少し前向きな話に切り替えます。生徒に教育用のPADを配布する試みが広がっています。そのPADの通信制御にSESを活用すると、授業(時間帯)ごとにインターネットへの接続を許可したり制限したりできます。テストによってウィキペディアの利用を許可したり制限したり、授業におけるネットの活用方法が進化します!
 情報セキュリティーの意識が高い教育現場では、徐々にSDNが浸透してきています。実際に私たちの“2つのSDN”も多くの文教機関からお問い合わせ頂いております。今後は、学校での事例もご紹介したいと思います。

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top