提言

情報システムとセキュリティに関する雑感

ITC年報の場を借りて、情報システムセキュリティと個人の果たす役割について述べさせていただきます。

2019年度は、重要技術を扱う日本の大手企業への大規模な不正侵入、アクセスが大きな話題となり、機密情報の漏洩などが問題になりました。最先端の技術等を扱っているという意味では、大学も例外ではありません。また、使用終了したハードディスクの不適切な処理による情報漏洩の危険性を再認識させられる事案もあり、これも教育機関における情報システムの維持管理とは無関係ではありません。

自由な情報交換、議論のできる教育研究環境が大切なことは言うまでもありませんが、それは同時に、安心、信頼できる環境でなくてはいけません。教育環境では、学生のレポート、答案、成績評価データなど、機微な情報も多くあります。

また、最先端の「技術」に関する研究は行っていないから、狙われることはなく、無関係だと思われる方もおられるかもしれませんが、踏み台攻撃などの対象にはなりえます。重要技術そのものを扱っている部署を直接狙うのではなく、間接的に踏み台として別の部署が狙われるということもありえます。

義塾のシステムでもたびたび、セキュリティ上の事案が発生したり、不正侵入やアクセスの試み等、ITCが把握しているものも多々あります。少し前ですと、複写機とプリンターの複合機などの不適切な設定による情報漏洩が話題になりました。利用者の利便性を考えると、プリンターなどの設置は、利用者が自由にできたほうが便利ですが、納入業者等による不適切は困りますし、またそれを検収担当者が検収で確認するというのは、手間がかかり非現実的ですから、やはり主体となる利用者がある程度意識していかないといけません。そのため、ITCでも注意すべき事案の積極的な広報などに努める必要があり、また、利用者のみなさんにも協力してもらわないといけません。ネットワークに接続する機器を設置するときは、機器というよりは、部品のような小さなものも最近では多いのですが、外部から不正アクセスされる可能性はないか、初期設定で自由にアクセスできるようになっていないか、今一度、確認していただきたいと思います。

よく言われるように、セキュリティと便利さは、相反する場合も多いことは事実です。また、シングルサインオンと多数のパスワード管理のどちらがいいかという議論も可能です。多数のサイトで同じパスワードを使い回すのは止めましょうというのは、最近では、よく知られていますが、ある意味、シングルサインオンの利便性とそれが破られたときの被害の大きさなど、相反する面もあります。

また、セキュリティリスクを減らすためには、ソフトウェアの継続的な更新が必要ですが、2019年度は、長らく使われてきたWindows 7のサポートが終了した年で、面倒な移行作業が発生したと感じられた方もおられると思います。これにかぎらず、セキュリティ対策のためにソフトウェアを最新のものに保つというは、ある種、意識されていない隠れた費用ともいえ、各種ソフトウェア導入あたっては、そのような手間が必ず発生することを念頭に、検討していただきたいと思います。

以上、よく知られた事項で、お願いばっかりになってしまいましたが、決して他人事だと思わず、身近なこととしてセキュリティをとらえ、日々の利用者のみなさんの心がけが危険性を抑える第一歩だとの認識をお願いします。また、そのための施策、助言など、ITCでも行っていきますので、今以上にご協力をお願いします。