お役立ち情報

ブログ

  • 2022.12.23. 大学で発生する情報漏洩の原因と対策、事例についても解説



    昨今、大学においてサイバー攻撃や職員のミスにより情報漏洩が増えています。セキュリティーに関する人材不足や予算も厳しい制約の中で、何か対策を行いたいけど、どうしたら良いかわからないと悩んでいる方もいらっしゃるのではないでしょうか。


    本記事では大学における情報漏洩の原因や対策、事例をご紹介します。最後まで読んで情報漏洩防止に役立ててください。

     

      

     

    1. 大学における情報漏洩の原因とは?

    大学における情報漏洩の原因には、「悪意のあるサイバー攻撃」「システム改修不備」「メールアドレスの設定ミス」「第三者による不正アクセス」などがあります。原因を把握し、自身の大学においてリスクがないか確認してみてください。

     

     

    1-1. 悪意のあるサイバー攻撃による情報漏洩

    悪意のあるランサムウェアなどのサイバー攻撃により、情報漏洩が発生します。ランサムウェアとは、感染したパソコンやファイルロックをすることで、パソコンを使用できなくするウイルスです。


    使用できる状態にするには、身代金代を支払うしかありません。しかし、お金を支払ったとしてもパソコンの情報を盗まれている可能性があり、情報漏洩が発生するリスクがあるでしょう。そのため、感染しないようにパソコンの脆弱性診断や、セキュリティソフトウェアを導入して対策することが重要です。

     

     

    1-2. システム改修不備

    大学にて使用しているシステムの改修不備に伴った情報漏洩のリスクがあります。大学では人事情報や経営情報だけでなく、研究結果など様々なデータをシステム上で管理しています。システムは外部業者に開発依頼をしたり、ソリューション導入をしたりすることが多いでしょう。


    過去にシステム外部発注業者側のシステム改修により、Webページ上に誤って個人情報を公開してしまうインシデントが発生した事例もあります。個人情報に関連するシステム改修の際には、外注先の営業から連絡があるので誤って公開されることがないか確認しましょう。

     

     

    1-3. メールアドレスの設定ミス

    大学職員や教員のメールアドレス設定ミスにより情報漏洩が発生するリスクがあります。教員が業務用のメールを個人で使うメールに転送する設定をした際、「gmail.com」とすべきところを、「gmai.com」と、1文字誤って登録したまま転送し続けていたという事例もあります。


    本人や本来のメール宛先の人は気付かぬうちに、個人情報が漏えいしているため、なかなか気がつきにくい特徴があります。


    詳細は情報漏洩の事例にてご紹介するので、確認してみてくださいね。

     

     

    1-4. 第三者による不正アクセス

    第三者による不正アクセスが原因で情報漏洩が発生するリスクがあります。使用しているメールサービスのアカウントとパスワードが流出してしまうと、過去のメール履歴から個人情報や添付した資料のダウンロードが可能です。


    公開前の研究成果などを本人になりすまして情報取得される可能性もあるため、不正アクセスされた場合の影響は大きいでしょう。


    パスワードを使いまわさない、誰にでも考えつくパスワードにしないなど基本的な対策が重要となります。

     

     

     

    2. 大学で発生した情報漏洩の事例

    実際に大学で発生した情報漏洩の事例についてご紹介します。

    自身の大学において同様のリスクがないか確認してみましょう。

     

    大学

    埼玉大学

    原因

    メールを転送する際のアドレス誤設定

    事例

    詳細

    大学によると、20215月、教員が業務用のメールを個人で使うメールに転送する設定をした際、「gmail.com」とすべきところを、「gmai.com」と、1文字誤って登録したまま、20223月にかけて、およそ10か月にわたりメールを転送し続けていた。

    このため、合わせておよそ5000件のメールが誤送信され、学生や大学の教職員など、およそ2100人分の氏名や電話番号などの個人情報が漏洩。

    別の教員からの指摘で、アドレスの間違いに気付き、大学が学生などに謝罪するとともに、誤った送信先にデータの削除などを依頼するメールを送ったものの、相手からの連絡はない。

    影響

    およそ2100人分の名前や電話番号などの個人情報が漏洩

    再発

    防止策

    電子メールの運用方法見直しや注意喚起等の実施

    参考

    https://www3.nhk.or.jp/news/html/20221122/k10013899411000.html

     

     

    3. 大学における情報漏洩対策

    大学の情報漏洩対策には、セキュリティーに詳しい人材不足やコスト面など多くの課題があるでしょう。ここからは、情報漏洩の中でも漏洩しやすい個人メールやOffice文書における対策をご紹介します。


    「各データの保管場所を集中させる」「ファイルを暗号化する」「関係者への教育」「セキュリティソフトの導入」などがあるので参考にしてくださいね。

     

     

    3‐1. 各データの保管場所を集中させる

    職員や教員が取り扱うデータの保管場所を決めて集中管理しましょう。例えば、各教員の研修室ごとに保管場所を集中させることで、データの整理や管理がしやすくなります。データの保管場所を決めたら、アクセス権限を付与し、不必要にデータを持ち出せないようにしましょう。


    情報漏洩が万が一起こってしまった際に、ユーザーが絞られているため、どのユーザーから調査すれば良いかの判断が早くなります。データの整理・管理がしやすいだけでなく、有事の際には原因特定までの時間を短縮できるメリットもあります。

     

     

    3‐2. ファイルを暗号化する

    ファイルに対して、誰でもアクセスできないよう暗号化を行いましょう。ファイルを暗号化することで、データに対して特定のユーザーしかアクセスできなくなり、情報漏洩のリスクを防げます。


    またメールに添付ファイルとして送付した際の誤送信や、ランサムウェアに感染した際の情報漏洩のリスクも軽減できるでしょう。


    PC内に暗号化されていないファイルを検知するセキュリティソフトウェアもあるので、うっかり暗号化し忘れていた場合の対策におすすめです。

     

     

    3‐3. 関係者への教育

    情報漏洩の発生原因に職員や教員の設定ミスがあったとおり、たった一人のミスで情報漏洩してしまう可能性があります。職員・教員の1人ひとりが普段からセキュリティーに対する意識を持つことが重要です。


    定期的にセキュリティに関連する講義や、他大学での情報漏洩事例の紹介などを行うことで当事者意識を持ってもらいましょう。1人ひとりが意識することで、情報漏洩のリスクを軽減できます。

     

     

    3-4. セキュリティソフトの導入

    情報漏洩を防止するために、セキュリティソフトの導入をしましょう。例えば、導入することでランサムウェアなどのマルウェアからの感染防御や、疑わしいサイトへのアクセスを遮断してくれます。


    人はふとしたときに、怪しいメールのリンクを開いてしまうことがどうしてもあるので、セキュリティソフトを導入すると安心できるでしょう。


    導入する際は、クラウドサービスのソフトをおすすめします。クラウドサービスは機能面が充実しており、サーバーなどの構築費用がかからず、費用面でも安価なことが多いです。また、ITの専門知識がない人でも使いやすいセキュリティソフトを導入することで、より効果的にセキュリティー対策ができるでしょう。

     

     

     

    まとめ

    本記事では大学における情報漏洩について、原因や対策、実際に発生した事例について解説しました。


    原因には、サイバー攻撃からメールアドレスの設定ミスのまま誤送信などがあり、どれも影響範囲が広いです。


    対策として、データの管理場所を集中させ、ファイルを暗号化することで情報漏洩におけるリスク軽減ができます。これらの対策を大学でセキュリティ関連を担当なさっている方を中心に行うには多くの労力と知識が必要でしょう。


    そのため、ランサムウェアとはじめとするマルウェアなどのウイルスから情報を防御してくれるセキュリティソフトを導入することをおすすめします。安価で導入できるソフトもあり、情報漏洩のリスクと導入コストを比較するとコストパフォーマンスが良いです。