教育の情報化とインフォメーションテクノロジーの発展によって大学をはじめとする学校現場にネットワークの導入が盛んに行われています。しかしながらネットワーク社会のもたらす光と影はダイナミックな教育研究活動の変革をもたらすとともに、半面において個人情報の漏えいや教育資源の破壊、モラルの未確立による信用の失墜など多岐にわたるトラブルを発生させていることも事実で、全国の私立学校でも三〇％近い学校が不正なメール中継や他の機関を攻撃するための踏み台にされるなどの被害にさらされているといわれています。日本ネットワークセキュリティ協会では、ネットワークの安全性を確保し、ネットワーク技術本来の有用性を高めるための活動に取り組んでいますが、今回ネットワークのセキュリティーを推進する専門家としての立場から学校におけるネットワークセキュリティーの問題点を、「学校に対して外部から加えられる脅威にどう対処するか」という視点と「学校から外部へ接続する際の安全性」という視点から二回にわたって提言を行いたいと思います。

日本ネットワークセキュリティ協会マーケティング部会長マイクロソフト株式会社 熊谷　恒治
インターネットセキュリティシステムズ株式会社 新宮　邦彦

---

侵害が学校にも波及
セキュリティー甘く踏み台に

●セキュリティー管理が甘い日本の学校
　アメリカに対して日本のＩＴ（情報技術）導入は遅れたといわれています。同じように、日本の教育機関もＩＴ化が立ち遅れている部分がありますが、企業で起こっているセキュリティーの侵害が学校にも波及するようになってきました。
　教育機関では学術的なデータやプライバシーに関する情報をたくさん持っているわけですが、その情報が盗難されたからといって、学校が倒産するようなことはないだろうと、高をくくっているところがあります。セキュリティーをどう強化するのかということが、予算面を含めて、後回しにされているのが現状でしょう。
　それでは、学校は本当に情報を盗まれるターゲットにならないのかというと、そんなことはありません。ハッカーの常とう手段はいろいろなサイトに、自分の痕跡を隠しながらとんでいき、最終的なターゲットを攻撃するわけです。その隠れみのに学校がなってしまうことが考えられます。ネットワークシステムのセキュリティーが甘くて侵入しやすい環境であれば、そこが踏み台になるのです。
　これは日本に限らず、世界的に教育機関がそうした踏み台になることが非常に多いのが現状です。現在はネットへの接続の速度が企業ほど速くはないので、不正浸入のターゲットとしては狙われにくいかもしれませんが、高速回線の整備が進むと当然学校も高速接続になっていきます。そうすると、学校が「踏み台」として狙われる可能性がますます高まってしまうことが考えられます。
　もう一つは、こうして踏み台になることで、ハッキング事件が起こった場合、公的機関に追跡調査のために学校にあるマシーンが押収されることもあります。そのような場合にはその時点から、学習活動や研究に使用しているサーバーであっても使えなくなってしまいます。これは教育現場にとっては大きな問題です。
　また、高速なネットワークにつながっていくことで最近、ＤＯＳ攻撃（サービス妨害攻撃）という新手の妨害も現れてきました。これは、一カ所のサーバーに対して、意味のないパケットを大量に投げつけることで、マシーンをダウンさせるものです。
　その発展系として、分散型のものも最近増えています。
　それはハッカーがいろいろなサイトにゾンビと呼ばれる「トロイの木馬」を忍び込ませて、ある指定期日に、どこのＩＰアドレスを一斉に攻撃しろと指令するのです。その際、攻撃を成功させるために必要な帯域幅は攻撃されるサイトにつながっているネットワークの二倍以上あればよいといわれていますので、常時高速接続されたＰＣがたくさんあればあるほどハッカー側にとっては攻撃がより容易なものになります。
　これからはそういうサーバーがどんどん増えますから、当然、学校関係のマシーンでもセキュリティーの甘いところは、第三者を攻撃するための道具にされてしまう可能性が高まるわけです。

ハッカーが侵入しやすい環境
学内ネットワーク監査を定期的に

●セキュリティーポリシー策定の重要性
　学校がインターネットに接続する場合にはメールサーバーやウェブサーバーをたてますが、その際にはファイアーウォールを設定して、その中にＤＭＺと呼ばれる外部アクセスを許すエリアを配置する方法があります。ハッカーが侵入を試みる場合はまずこの部分を攻撃します。こうした外につながる公共的サーバーであるメールサーバーやウェブサーバー、ＤＮＳサーバーなどは常時外からアクセスできる状態にしておかなければなりませんので、攻撃されやすいわけです。
　アプリケーションを作る際、現状ではまだ情報公開程度にとどまっていますが、これが学内のシステムと連携するような機能を持ち始めるようになると、そこのエリアから学内のサーバーにつながるようになります。そのときに、セキュリティーポリシーが策定されており、それに基づいた外部アクセス制限が正しく設定されていれば問題はないのですが、現状はそのようになっていません。つまり、学内の特定人物が外部公開用サーバーから学内ネットワークに過剰な権限で入れるように設定されている場合、それがハッカーに盗まれてしまうと、同様な権限を手に入れられてしまうことになります。
　学内のデーターベースサーバーについても同様で、現状では非常にアクセスしやすいところになっています。それはデータベースサーバーの管理者のセキュリティーについての認識が低いことも原因の一つです。管理者はアプリケーションを開発する人が多く、セキュリティーのことは考えない場合が多いからです。
　そのような状態はハッカーが侵入しやすい環境ですので学校にあるデータの盗難を許したり、データベースの持つ高い特権で学内の他のマシーンにも入りやすくなってしまうのです。
　ファイアーウォールの運用は、必要最低限のサービスのみを通し、可能な場合は、アクセス元やアクセス先のアドレスにも制限を課すような基本的なポリシーを策定し、そのポリシーに従って運用するようにしなければなりません。
　しかし、現実には定められた設定が割合簡単に変えられてしまっています。これはハッカーが変えることもありますが、往々にして学内の利用者が特定のサービスを使いたいといった自分の都合に合わせて制限を解除してしまい、あとで元通りにしておくことを忘れてしまう、といったことが多いのです。そうすると、そこから侵入されてしまうようなことが起こってしまいます。そういう意味でセキュリティーポリシーを確立するとともに、学内ネットワークの監査を定期的に行う必要があります。

被害者である企業に損害賠償
システム上の弱点発見と対策

　セキュリティーに関してはポリシーを策定して設定するだけでなく、定期的に監査と見直しをするといった作業が必要です。そうやってセキュリティーのレベルをキープしていくことが大切なのです。
　学校ではウェブを利用する機会が多いわけですが、ブラウザーに備わっているセキュリティー機能が正しく設定されていないということもあります。
　例えば、ブラウザーのセキュリティーが甘い設定になっていると、利用者の側には何の警告も出さずに、そこから情報を抜き取ったりするプログラムを知らないうちに実行されてしまいます。情報を抜き取られた場合は学生のプライバシー問題もありますので、場合によってはＰＴＡから訴えが起こる可能性もあります。アメリカなどでは踏み台にされた、本来被害者である企業に対しても損害賠償の訴えを起こすケースが出てきています。
　このような事態を防ぐためには、ファイアーウォールの設置やウイルス検知ソフトを導入しておくことは当然ですが、学内の管理者にとって、学内にある情報をどのようにして守るのか、というセキュリティーポリシーの策定や、システム上の弱点（セキュリティーホール）の発見と対策が重要な仕事となります。そしてそれらは定期的に監査されなければなりません。
　インターネットを活用した教育・研究・事務処理を行う場合には、この点を理事長をはじめとする教育機関のトップから教職員、学生に至るまで全学を網羅する視点で確立し、基本的なブロックを行うことがまず第一といえるでしょう。

セキュリティーホールなくし脅威を防ぐには
専門的知識が必要

●セキュリティー対策の実際
　セキュリティーに関する情報は世界中の機関、団体、個人などから発信されています。しかし、すべての管理者がセキュリティーに関する重要性を認識しているかといえば、そうでもありません。インターネットに接続するということは、情報の発信を世界に向けて行うことになりますが、世界中のハッカーからの脅威に備えなければならないことも事実です。
　学校にあるさまざまな情報を外部の脅威から守るために、まず必要なことは不正に侵入されない対策を施しておくことと、攻撃してくるパケットをとらえて遮断する仕組みです。これに有効なのは、いわゆる不正侵入検知ソフトで、ハッキング行為を探知してブロックする機能があります。ハッキング行為では既存のソフトやセキュリティーホールが使われることが多いので、この場合にはかなり有効なものです。このようなソフトは外部に対しても内部に対しても有効で、学外に出ていく不正なパケットも遮断することができます。そのほかに、ハッキングに使用されるセキュリティーホールをデータベース化して、これを一つずつ検証し、各マシーンの問題点を検出するものがあります。こうした脆弱性検査の製品を使うという方法もありますが、このほかに脆弱性検査のサービスを行う企業もありますから、そちらを利用する方法もあるでしょう。
　セキュリティー対策のセオリーとしては、このようにセキュリティーホールをどんどんふさいでいくことが大事なのですが、ある時点でセキュリティーホールを全部つぶしたからといって、それでセキュリティーがずっと維持されるわけではありません。ニューバージョンのソフトを導入したり、新しいシェアウエアを入れた場合、そこにセキュリティーホールが生まれることもあります。そして重要なことは、まだ見つけられていない脆弱性が潜んでいるかもしれないということです。従って、常にチェックしながらアップしていくことが大切です。また、システムを運用するソフトウエアの問題もあります。例えばバージョンが古いＯＳなどは危険性が大きくなります。多くのハッカーが自分で作った攻撃用のプログラムをインターネット上に流布していますから、それさえあれば、素人でもハッカー的行為ができてしまいます。古ければ古いほどそうしたソフトはたくさんあります。ですから、古いバージョンのソフトを使っていること自体に危険性があるともいえるでしょう。
　セキュリティーホールをなくして教育機関を外部の脅威から守るには、専門的な知識がどうしても必要です。多少知識があっても日々最新の情報をキャッチして新しい状況に対応していくのはかなりの困難を伴います。また、学部や部署によってソフトのバージョンも違いますし、ＯＳが異なっている場合もあります。このような管理やセキュリティーポリシーの策定を現場の担当者や教員だけで行うことはなかなか難しいことです。特にセキュリティーポリシーには学校にとってもトップレベルの判断が必要ですから、教育機関に携わるすべての人々の意識改革が必要ではないでしょうか。またアウトソーシングも含めて学外の専門家との協力体制の確立も不可欠の要素といえるでしょう。

---

◇問い合わせ先＝日本ネットワークセキュリティ協会事務局　電話03(5633)6061