入試など一時的なシステムへのセキュリティ対策とは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」1月31日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・「ダブルチェック」ができる仕組みの導入は効果的
・一時的なシステムへのセキュリティ対策、比重はどう置くか
今回の解説ニュース
ルール違反とメール誤送信が重なり、個人情報が漏洩してしまったということです。メール誤送信で管理者ができる対策や、イベントなど一時的なシステムのセキュリティ対策について説明します。
今回のインシデントは、専用サイトからテストを受験した生徒の成績ファイルをダウンロードしたものを、エクセルファイルとして添付したメールを正担任に送信した際に、誤って別人に送信してしまい、個人情報が漏洩してしまったということです。原因として、添付データにパスワード設定していない状態で、メールアドレスを誤入力したことが挙げられています。なお、学校のセキュリティポリシーでは、生徒の個人情報は原則としてメール送信できず、送信しなければ職務の遂行に支障をきたす場合は、管理責任者の許可を得た上で暗号化やパスワード設定等の措置を講じる必要があったということです。
対策として、誤送信先に連絡し謝罪するとともに添付ファイルの削除を依頼しています。また再発防止策として、教育委員会では当該校に対し、重要度の高い個人情報については校外への持ち出しやメール送信を行わないことと、暗号化やパスワードの設定、個人情報の匿名化、アクセス制限等を実施し厳重に管理するよう指導しているということです。
「ダブルチェック」ができる仕組みの導入は効果的
管理者ができるメール誤送信のセキュリティ対策として、ダブルチェックの仕組みを導入することや、添付ファイルの分離と暗号化の自動化をすることが挙げられます。
メール誤送信をセルフチェックのみで対策していた場合、どうしても抜け漏れが発生します。そこで、メールを外部へ送信する際に、管理者の承認を経てから送信される仕組みが考えられます。ただし、ダブルチェックの工数が追加で発生したり、管理者の承認が得られない場合、急ぎのメールでも送信できなくなる可能性があります。
パスワードのかけ忘れなど、添付ファイルを経由した情報漏洩だけでも防ぎたい場合、メールの添付ファイルを自動で検出して、メールから分離し、添付ファイルを暗号化する仕組みが考えられます。万が一、宛先を間違えてメールを送信しても、気が付いた段階で添付ファイル自体は送信者の権限で削除することができます。また、パスワード付き暗号化ZIPを使う必要がなくなるため、一般的に期待できるセキュリティの効果が低いとされている、PPAPを廃止することにもつながります。
その他のトピック
一時的なシステムへのセキュリティ対策、比重はどう置くか
(全文はこちら)