多くの情報を扱う教育期間では、組織的・計画的にセキュリティ対策を講じる必要があります。
特に大学では職員や学生が端末を自由にネットワーク接続できる環境にあるため、管理が難しく細心の注意が求められています。
本記事では学校法人で過去に発生した事例をもとに、備えておくべき対策とサイバー保険について解説していきます。
教育期間がサイバー攻撃に狙われる理由
大学などの教育機関には学生名簿といった個人情報のほか、特許等知的財産権を含む先端技術の研究成果、研究データ、学術情報などの適切な在り管理・活用についてが課題となっています。そういった研究データの中には、臨床試験の個人情報や特に要配慮個人情報(病歴・犯歴などのセンシティブな情報)に分類されるデータが含まれる場合、民間企業や官公庁と連携した研究内容が含まれる場合もあり得ます。
そして、こうしたセンシティブな情報は資産価値が高く、ダークウェブ上で高値で取り引きされるため、金銭目当てのハッカーによるサイバー攻撃のターゲットになりやすいと言われています。
また、昨今の大学や教育機関では自由に出入りする学生や職員が、個人の端末を自由に学内のネットワークに接続できるという特殊なシステム環境が当たり前となり、セキュリティポリシーやルールを徹底付けていても浸透せず、学生が気軽に機密データをクラウドサーバにアップロードしてしまったり、情報システム部門に知らされていない研究室ごとの独自ルールの策定がされてしまっている等、足並みが揃わないことがあるようです。
実際、年間の不正プログラム検出台数を、他の業界と比較してみるとは「政府」「製造」「ヘルスケア」に次いで「教育」は4番目に、日本においては「製造」に次いで2番目に位置づけられています。(トレンドマイクロ調査)
こちらのことから、やはりサイバー攻撃の被害が出やすい傾向があると考えてよさそうです。
全世界/日本における業種別の年間不正プログラム検出台数(2022年)
出典:トレンドマイクロのクラウド型技術基盤「Trend Micro Smart Protection Network」 より
情報漏えい事故はヒューマンエラーによるものが多い
前述の通り、教育機関へのサイバー攻撃によりWebサイトへの不正アクセスや悪意のあるメールによりウイルスに感染してしまい、個人情報が流出してしまう事例が多発していますが、実際の調査では情報漏えい事故のうち約72%はヒューマンエラーにより発生しています。事故の要因はUSBメモリやPCの紛失、メールの誤送信など、ヒューマンエラーによるものがほとんどのようです。情報漏えい事故の原因比率
出典:特定非営利活動法人日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」速報版
サイバー攻撃を防ぐためにセキュリティ対策を行うことはもちろん重要ですが、書類の紛失やメールの誤送信等のヒューマンエラーが起こりにくい仕組みを構築していく必要があります。
学校法人で発生した情報漏えい事故の事例紹介
ここからは、学校法人で発生した情報漏えい事故の事例をご紹介していきます。| 原因 | 概要 | |
|---|---|---|
| N大学の事例 | 不正アクセス | N大学の情報連携推進本部で運用しているQ&Aシステムが、第三者により不正にアクセス(SQLインジェクション攻撃)され、メールアドレス2,086件が漏えいした可能性のあることが判明した。 |
| K大学の事例 | 不正アクセス(サイトのぜい弱性が原因) | K大学の大学院棟会議室予約システムがサイバー攻撃を受け、学生や教職員の氏名や電話番号、メールアドレスなど6,507件の情報が漏えいした可能性のあることが判明した。情報漏えいの原因は、運営していたサイトのセキュリティぜい弱性にあったとしている。 |
| N学園の事例 | アクセス制限ミス | 元K大学の職員が機密情報を無断で持ち出し、転職先のN学園のWebサーバに保存した。しかし外部からのアクセス制限が設定されていなかったため、外部から情報が閲覧可能な状態となっており、個人情報2,235件が流出した。 |
| S大学の事例 | メールの誤送信 | S大学教員の転送先メールアドレス設定ミスにより、本来意図しない宛先に学内の職員や学生、学外関係者の個人情報4,890件が流出した。 |
| H大学の事例 | 職員の操作ミス | 職員の操作ミスにより、構成員の情報を含んだファイルが外部サイトにアップロードされてしまい、一時的に外部サイトの運用者ならびに関係者から閲覧・ダウンロード可能な状態となった。そのため教職員および学生の氏名、メールアドレスなど、1,725件の個人情報が流出した。 |
| N小学校の事例 | USBメモリの紛失 | N小学校の校長が在宅ワークのため、USBメモリを外部に持ち出した際に紛失が発生。児童らの情報が含まれたUSBメモリ3本を紛失し、3,083件の個人情報が流出した。 |
| T大学の事例 | 盗難 | T大学に所属する医師が海外出張中に盗難の被害にあい、ノートパソコンおよび業務用携帯電話の入ったカバンが盗まれた。これにより、患者個人情報3,217件およびT大学の教職員情報約1,000件の情報が流出した。 |
| O医科大学の事例 | 学生による不正持ち出し | O医科大学の学生が講義データの収集などを目的に教職員のPCを不正に利用。PCにUSBメモリを使用したところ、メモリ内の「バックアップソフト」が起動し患者データなども自動転送していた。これにより、患者カルテなど合計46万件の個人情報が学外へ流出した。 |
| T大学の事例 | フィッシングメールによるパスワード窃取 | T大学の教職員および学生らに対し、偽サイトに誘導するフィッシングメールが届き、教員4名と学生4名のパスワードが窃取された。これにより、メールが届いたアカウントに保存されていた計3,727通のメールが不正に外部へ転送され、個人情報が流出した。 |
個人情報を外部へ持ち出している事故も問題ですが、それらが容易に持ち出せる環境にあることも課題にあるようです。冒頭でも記載しましたが、ルールや仕組みが一人ひとりに浸透しておらず、機能していない状況なのではないかと考えられます。
各教育機関のセキュリティ対策は?
近年では、各大学においてセキュリティ対策の専門組織「CSIRT(シーサート)」の設立し、CISO(最高情報セキュリティ責任者)の設置が増えています。CSIRTはインシデントが発生した際、被害を最小限に食い止める体制作りや、早期警戒情報の共有やインシデント対応の共同演習の実施など、セキュリティインシデントを未然に防ぐ活動に注力するチームです。
サイバーセキュリティ対策の第一歩として、CSIRTやCISOを設置するということは、学内へセキュリティ対策が理解が進んでいる証とも言えるでしょう。
しかしながら、地方公共団体が設置する学校(小・中学校、高等学校等の教育機関)においては、 各都道府県と文部科学省の管轄ですが、私立の学校法人においては各法人の課題に留まっています。
学校法人のセキュリティ対策は、社会的に求められるものであり、経営上の重要課題となっていますが、経営陣の危機意識が薄いと考えられるデータがあります。
なんと6割超の学校HPが、SSL化非対応!
PLANEdの調査によると、全国の私立学校2,350校のサイトのうち、6割超もの学校が有効なセキュリティ対策の一部であるSSL化に対応をしていない(常時SSL非対応含む)実態が明らかになりました。(出典:株式会社PLANEd)SSL(Secure Sockets Layer)とは、インターネット上のウェブラウザとサーバー間の通信を暗号化し、データをやりとりする仕組みのことです。
SSLが対応されているサイトは、サーバ証明書が発行されているため、クレジットカード番号や個人情報などを盗み取られるのを防止し、個人情報漏洩のリスクを大幅に下げる役割があります。
また、SSL非対応のままのウェブサイトは、不正アクセスにより第三者にサイトのデータを改ざんされてしまったり、犯罪のターゲットにされてしまう可能性が高まります。
ウェブサイトがSSL暗号化通信されているかの確認方法
ウェブブラウザのURL(ホームページアドレス)欄に「https:~」から始まるホームページアドレスが表示され、鍵マークが表示されていれば、そのウェブサイトはSSLによる暗号化が行われています。
下記のように鍵マークをクリックすることで、暗号化の電子証明書を確認することができます。
※お使いのウェブブラウザによってはURL欄の表示が緑色になったり、鍵マークが表示される場所が異なります。
Microsoft Edgeの場合
Google Chromeの場合
上記の確認は誰でもできる確認のため、SSL化に対応をしていないということは誰にでもわかってしまいます。
SSL非対応ということは、セキュリティ対策が杜撰である証明をといえるため、学校法人を経営されるご担当者様は早急にご確認をお願いいたします。
サイバー攻撃により想定される学校法人の費用損害額
サイバー攻撃により想定される費用損害額は以下のとおりです。■大規模なマルウェア感染の事例
被害額(損失額):3億7,600万円
| 費用損害(事故対応損害) | ■事故原因・被害範囲調査費用 | 1億円 |
| ・ 複数台の端末・サーバの調査 | ||
| ・ネットワーク全体を一定期間監視 | ||
| ■端末の入れ替え費用 | 1.42億円 | |
| ・マルウェア感染したサーバー10台と従業員端末900台の入れ替え | ||
| サーバー 10台×70万円=0.07億円 | ||
| 端末:900台×15万円=1.35億円 | ||
| ■再発防止費用 | 0.5億円 | |
| 利益損害 | ■サーバ停止期間の売上損失 | 0.84億円 |
サイバー攻撃に備えてセキュリティ対策を行うことはもちろん重要ですが、現在の技術では悪意のあるウイルスやサイバー攻撃を完全に防ぐことはできないといわれています。
対策を万全にしていたとしても情報漏えい事故が発生するリスクは少なからずあるとして、事後対策に備えた補償を準備しておくとよいのではないでしょうか。
学校法人がサイバー保険に加入することで備えられる補償とは
学校法人がサイバー保険に加入することで備えられる補償には以下のようなものがあります。・事故対応にかかる費用
・事故の原因を調査するための費用
・ 事故の再発防止策定費用
・ システムの復旧作業費用
・ 見舞品の購入費用
・ コールセンターの設置費用
・ 弁護士・コンサルティング会社への相談費用
・ イメージ回復に伴う広告宣伝費
・ 損害賠償責任に伴う費用
・ 損害賠償費用
・ 訴訟費用
※補償範囲は保険会社やプランによって異なるため、詳しい内容は弊社までお問い合わせください。
学校法人では上記のような補償を備えることにより、サイバー攻撃を受けた場合の事後対策にかかる金銭的負担を軽減することができます。
予想される被害額が大きい場合はサイバー保険をご検討ください。
当サイトの運営会社ファーストプレイスでは、IT事業者向けのサイバー保険を含み、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱うメガ損保大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
まとめ
本記事では学校法人で発生した情報漏えい事故の事例や、備えておくべき補償について解説しました。学校法人は通常の企業と異なる特殊なネットワーク環境となっているため、セキュリティ対策が難しく、情報漏えい事故のリスクが高くなっています。教員だけでなく生徒も1人1台PCを保有している時代だからこそ、サイバー攻撃やヒューマンエラーで発生する情報漏えい事故に備えて、補償を準備しておく必要があるのではないでしょうか。
サイバー保険では、サイバー攻撃だけでなく、ヒューマンエラーによる情報漏えい事故についても補償の対象となります。保険の内容について気になることがある場合は、当社までお問い合わせください。
