教育業界の情報セキュリティ対策

教育業界も、サイバー攻撃者にとっては魅力的な業界です。業界の持つ情報の価値が高いことと、ネットワーク構成の特殊さが大きな要因です。

「子供の個人情報」が持つ意味

まず、情報の価値について考えてみましょう。教育業界の情報と言ってすぐ思いつくのは、大量の子供の個人情報です。2014 年に発覚した子供の個人情報を含む 3,500 万件を超える個人情報漏洩事件は、記憶に新しいところです。なぜ 3500 万件もの数に膨れ上がったのかと言えば、退会している人とその家族の個人情報も保管していたからでした。

入学式や卒業式など子供の成長に伴うイベントは数多くあり、個人情報を悪用する業者にしてみれば、子供の成長に合った効率の良いマーケティングを行なえることになります。
しかしながら逆の立場からすると「価値が高い」ということは「問題発生時の被害が大きい」ということでもあります。

個人情報保護法の視点では、子供と大人の個人情報に大きな差はありません。しかし、リスクマネジメントの視点からは、子供の個人情報は、漏えい時の心理的・社会的な影響も含め、賠償単価も含め要配慮個人情報に準じた対策が必要と言えるでしょう。

教育機関のネットワーク

一方、教育機関のネットワークにも特徴があります。学校のネットワークは外部に接続する場所が多く、かつネットワークを利用する人間も多いのです。

例えば 2016 年、陸上自衛隊のネットワークが侵入された、と言われる事件がありました。「と言われる事件」という書き方をしたのは、陸上自衛隊が侵入を公式に認めていないからです。国防に関することなので個別案件には具体的に答えられないというのがその理由です。
平成 28 年 11 月 29 日防衛大臣記者会見概要(２.質疑応答の二つ目)

報道を基にすると、陸上自衛隊への不正アクセスは防衛医科大の PC から SINET（学術情報ネットワーク）経由で侵入されコントロールされたと推測されています。
日経 XTECH：「防衛省へのサイバー攻撃」報道、有識者はこう見る
大学の情報セキュリティ対策不足が、国防を脅かす程の問題になってしまったのです。

学校等、教育機関のネットワークは教師や生徒等不特定多数が利用することが大前提になります。さらに、教育委員会や研究機関ネットワーク等外部との接続も不可欠という特徴があります。
大学や研究施設は早くからそのリスクを認識し、2007 年には「高等教育機関の情報セキュリティ対策のためのサンプル規程集」を発表していました。それでも不正アクセスは起きてしまいます。

一方、ネットワークや学内システムの管理に対して専門的な知識のある者を確保できない、高等教育を含む義務教育の分野はどうでしょう。文部科学省は 2017 年、「教育情報セキュリティポリシーに関するガイドライン 」を発表して、情報セキュリティ対策を促しました。ただし、その効果は浸透しているとは言い難く、例えば学校の Web サイトにしても、いまだに SSL/TLS（暗号化通信）への対応をしていないサイトを数多く発見できます。

学校の Web サイトは、校内ネットワークとは切り離しているのでしょうが、サイバー攻撃者視点では、今時常時 SSL/TLS 対応もしていないのは、「ここはセキュリティ体制が甘い学校だ」との証拠に見えてしまうのです。自らサイバー攻撃のリスクを上げていることになります。

学内にセキュリティリの専門家を置くのは難しいにしても、刻々と変わるネットワーク脅威に対しての情報収集は、自発的なセキュリティ対策として行う必要があります。第三者的な視点を活用し、定期的な情報セキュリティ監査を実施する等、専門的な知識をアウトソースすることで、効率的かつ効果的なセキュリティ対策と維持が可能になります。