文・相原 玲二 (AIBARA Reiji) 情報通信・メディア委員会 情報セキュリティWG座長 |
|||
全学生・教職員を電子的にチェックする門番! 全学電子認証システムは、本学全構成員の本人確認(認証)を電子的に行うための情報を一元的に管理し、学生情報システム(もみじ)など、本学で提供される多くのサービスの認証に利用されています(広大フォーラム34期2号(No.371)で紹介済み)。 現在、全学電子認証システムは、学生情報システム(もみじ)、会計支援システム、旅費システム、教員活動状況調査システム、情報メディア教育研究センター、附属図書館などで利用されており、今後、コンピュータ室への入退室管理など利用拡大が検討されています。 全学電子認証システムで使用する、個人を特定する番号の名称を「広大ID」、本人だけが知っているパスワードの名称を「広大パスワード」に、それぞれ統一しました(名称が変更になっただけで、番号やパスワードそのものは変更されていません)。 参考URL:http://auth.hiroshima-u.ac.jp/
情報セキュリティトラブルの実際 全学電子認証システム導入の目的は、「なりすまし」などによる不正利用を防ぐため、電子的に本人確認(認証)を行うことです。確実な認証はシステムのセキュリティを守るために重要な要素のひとつですが、果たしてこれだけで十分でしょうか。情報セキュリティとして問題になっているトラブルはたくさんあります。いくつかのパターンを紹介します。 ○ウィルスメール、ウィルスファイル メールに添付されてきたファイルを開くと、悪さをするプログラムをコンピュータに自動的に組み込んでしまいます。一度感染すると、他のコンピュータへもその被害を広げて行き、病気のウィルスと似た広がりを見せるため、コンピュータウィルスと呼ばれます。メールソフトが持っているアドレス帳の情報を利用して、持ち主に気づかれないように感染メールを送信する場合があるので、知り合いから来たメールが安全とは限りません。自分のコンピュータが感染した場合、まずは被害者となるわけですが、その結果他人にウィルス付きメールを送信することで加害者にもなってしまいます。過去、じつに様々な種類のウィルスメールが流行し、現在も日常的に飛び交っています。ウィルス対策ソフトを正しく導入することで、(完全ではありませんが)おおむね防ぐことができます。 ○不正アクセス 本来利用する権利のないコンピュータを、インターネット経由などで不正に利用することを指します。そのコンピュータ上のデータの盗用や破壊などを行わない場合でも違法行為となります。不正アクセスは、あるコンピュータからさらに別のコンピュータへ不正アクセスするための踏み台として利用される場合や、音楽・映像ソフトを含むソフトウェア等の違法配布の拠点として利用される場合が多いようです。自分が接続しているコンピュータには盗られて困るデータなどないと考え、放置していると、知らない間に大規模な違法行為の片棒をかつがされていることになりかねません。不必要なサーバはネットワーク接続しない、サーバ上の不要な機能は無効にする、最新のセキュリティパッチ(ソフトウェアに対する修正プログラム)をあてる、セキュリティ情報を常にチェックするなどが必要です。 ○サービス妨害 世界各地にあるサーバ上の特定ソフトウェアのセキュリティホール(問題点)を利用して、ホワイトハウスのサーバなど、特定サーバに対して大量の通信を行い、そのサーバの機能を麻痺させることを指します。不正アクセスの一種で、特定サーバがダウンするだけでなく、インターネット上で大規模な性能低下が発生したこともあります。対策は、不正アクセスと同様、最新のセキュリティパッチをあてるなど、セキュリティ情報を常にチェックすることが必要です。 ○SPAMメール 大量に送りつけられる電子メール版のダイレクトメールのことをSPAMメールと呼びます。携帯電話のメール機能を使って、大量のダイレクトメールを送りつける現象もよく見られ、社会問題化しています。メールサーバをネットワークに接続する場合、その設定を正しく行っていないとSPAMメールの不正中継に利用されることがあるため、設定には注意が必要です。 これらは、使用システムに深く関係する情報セキュリティ上のトラブルです。意図的にウィルスメールを送るなど、積極的に加害者となってはいけないことは言うまでもありませんが、不注意により加害者となってしまわないことも重要です。コンピュータをネットワークに接続する場合は、たとえ自分専用のパソコン一台であっても、システム管理者の自覚を持って臨む必要があります。持ち運びできる小さなパソコンであっても、設定しだいでサーバになり得る立派なコンピュータです。その管理を怠ると、前記のそれぞれの項目で挙げたとおり、知らない間に加害者になってしまう危険性があるのです。 セキュリティ対策は万全ですか? トラブルの回避はシステムの利用者ひとりひとりが注意することが肝要ですが、大学としても取り組む必要があります。現在、全学的な情報セキュリティポリシーの策定作業が進められています。情報セキュリティポリシーは、広島大学の情報セキュリティ対策を実効性あるものにするため、組織的に取り組むための方針であり、構成員全員が守るべきルールです。ポリシーを定めるだけでなく、それらが本当に守られているかどうかを定期的に確認する必要もあります。さらに、ポリシーが時代に合った内容となっているか見直すことも重要です。 また、最近は以下に示すような情報化社会特有のトラブルも多数発生しています。 ・ネットワーク上での著作権法に関わる問題(コラム参照) ・ネットワークを利用した通信販売における詐欺行為 ・プライバシーの侵害や名誉毀損 ・自殺サイトや出会い系サイトなどの存在 本学では、これらネットワーク利用上のトラブル対策として、新入生全員への「ネットワーク市民の手引」の配布や、情報関連講義を利用した啓発などを行っています。さらに、随時、広大フォーラムや広大ホームページなどにより注意を呼びかけています。今後は、新入生以外の学生や教職員向け講習会等についても検討する必要があります。 ネットワーク市民の手引にも記載されていますが、不審なメールを受け取ったり、ネットワークを通して嫌がらせをうけたりして、どう対応したらよいか判断に迷ったときは、「学生相談室」または「情報メディア教育研究センター」などに早めに相談して下さい。 |
|||
著作権に注意! 〜知らない間に違法行為を犯さないために〜 情報通信・メディア委員会 楽曲、画像、ソフトウェア等の無断複製、インターネット上での公開、転送、取得などは、違法行為として処罰の対象になります。 |