このページの本文へ

時事セキュリティが5分でわかる 第13回

のべ約5万人の個人情報が漏えいした可能性も

NASの設定ミスで、学校関係者の個人情報が丸見えに!?

2015年01月29日 18時30分更新

文● まかふぃーぶ

  • この記事をはてなブックマークに追加
  • 本文印刷

 最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。連載一覧はこちら

大学で個人情報漏えい、ネットワーク機器の設定にご注意?

 今月、都内の大学が管理するNAS(ネットワーク対応ストレージ)に適切な設定がなされておらず、のべ約5万1000人分の個人情報が外部から閲覧可能な状態になっていた出来事が報道された。

 昨今、個人でサーバーを運用する人やネットワークに接続する機器が増えており、こうした事件が起きる確率は今後ますます高まっていく可能性がある。この事件と対策について、ITジャーナリストの三上洋氏に訊いた。

就職活動などに影響するであろう、成績情報まで丸見えだった可能性も……

三上 「事件の内容については、かなり驚いています。おそらく、NASを管理する部署が持っていたすべての情報が、外部から閲覧できる状態になっていたのでは」

 保管されていたデータには、学校在籍者の住所や氏名、生年月日などの個人情報が含まれるが、氏名や生年月日よりも重要な、大学ならではの情報があると三上氏は指摘する。

三上 「より深刻なのは、個人の成績情報です。各科目のスコアやGPA(成績評価値)は、その人の能力の価値をそのまま表わす数値なので、それが閲覧可能になっていたのなら、相当な問題があると思います。もともと成績情報というのは厳格に守っていかなくてはいけないものですから、管理体制には気を付けるのが当たり前なのですが……。

 さらに、教員免許の更新情報や入学予定者の情報など、学校の在籍者ではない人のものも含まれているとされています。これは、たとえば試験を受けただけの人の情報まで閲覧できたかもしれないことを示します」

「おそらくNASを管理する部署が持っていたすべての情報が、外部から閲覧できる状態になっていたのでは」(ITジャーナリストの三上洋氏)

ネットワーク接続機器はシステム部門が管理すべき

三上 「今回の出来事は、NASが誰でもアクセスできる設定のまま放置されていたことが原因です。FTPという通信プロトコルの設定で、外部の一般ユーザーが認証抜きで接続できるanonymousログインが可能な状態になっていたのですが、日頃からNASを運用している人であれば、こんな設定にするわけがないんです。

 報道から推測する限り、教務課に該当する部署がNASを独立して管理していたようです。おそらく、NASやFTPについてきちんとした知識を持っていなかったのではないでしょうか。インターネットに接続する機器は、システム部門がきちんと管理するべきだということは言えます。そこも含めて、管理体制に問題があったということです」

ハードウェアの管理は盲点になりやすい

 とはいえ、設定ミスで個人情報が筒抜けになっていたという事例は意外に多い。三上氏は、過去の代表的な例を2つ挙げてくれた。

三上 「1つは、サーバーとしても機能するコピー機。過去のコピー情報が外部から誰でも閲覧できる設定になっていた、という事例が過去にありました。もう1つは監視カメラです。ネットワークに接続できるIPカメラで、モニタリング用のURLを入力すれば、誰でも直接カメラの映像が見られるようになっていた事例があります。

 要するに、ネットワークに接続する機器に、しっかりしたセキュリティ設定をしていない例がすごく多いんです。PCやスマホなどは、乗っ取られたら危険という認識がある程度は浸透していますが、独立したコピー機やカメラなどは意外と盲点になるんですね。NASに限らず、外部からネットワーク接続できる機器に関しては、しっかりとセキュリティ対策を取るべきです」

家庭のNASには仕事のファイルを置かない!
企業では導入前に必ずシステム管理部門と相談を

三上 「最後にNASを家庭や企業で使う場合の注意点ですが、まずは導入時に設定をしっかり確認し、FTPを無効にするか、FTPにアクセスできるユーザーを限定してID・パスワードを設定することが大切です。

 もしFTPを有効にする際には、不正アクセスに備えて、プライバシーに関するファイルや業務上の書類などはNASに保存しないように注意して下さい。

 企業の場合は、導入前に必ずシステム管理部門と話をして、NASを置いていいのかどうか、そして管理は誰がするのかをハッキリさせましょう」

カテゴリートップへ

この連載の記事