◆講 演:

  演題: 「教育現場で必要とされる情報セキュリティとは?」

         
−個人情報保護法完全施行を控えて−
午後の内容

13:00〜

   講師:
       日置 慎治 教授
                  (帝塚山大学経営情報学部 情報教育研究センター長)

   講演の資料 (PowerPointファイル 約6MB)

   講演にありました NPO 日本ネットワークセキュリティ協会のアドレスは http://www.jnsa.org/ です。
   ここでお願いすれば,「インターネット安全教室」のCDや資料を送って頂けるそうです。


・刑務所の情報漏洩
  FAXのあて先を間違えた事による漏洩
・携帯ウイルス日本上陸
  Cabir(カービル)、 Bluetoohからウイルスが侵入する
 「これが広がっていくのも仕方がないのかなと思うが、教育者として学生に教えることで広がりを食い止める必要がある」
・狙われる子供の個人情報
 「生まれた子供にDMが来たことには驚いた」
・6〜17歳の子供の個人情報のトラブルの9割はネットワーク
 無料につられ、安易に登録してしまう
 「同級生が同級生の情報を漏洩してしまう。子供は大人より個人情報に対する危機意識が低い。親や教師が目配りが必要がある。」

 「今日は2つの切り口で話をします」
・教師(学校)としての情報セキュリティ問題
  個人情報、機密情報、情報改ざん、学内ネットワーク、ウイルス
・教育内容としての情報セキュリティ
  情報倫理、被害者・加害者にならないために
  ウイルス被害、ネット詐欺などに対する正しい知識

「正しい知識を教えることは大変困難。学生たちは先生のいうことは信用しない。友達のいうことはどんな安易なことも信用する傾向がある。」

・自己紹介
 帝塚山大学経営情報学部「情報ネットワーク」担当
 情報教育研究センター長
 NPO法人「なら情報セキュリティ総合研究所」
 「一般の人に情報セキュリティを啓発している。」

・大学の授業
 「授業をビデオでとって、翌日には、映像とPPTがアップされる。TIESという組織がある。立ち上げのときは大変だったが、今は学生のアルバイトが撮影、映像のアップやってくれる。」
 「欠席者(さぼりだけでなく公欠もある)のフォローのために使う。学生は休んだら自宅からでも見ることができる。目的は、厳格な出席管理と授業内容の理解を確認すること。休んでもかまわないが、オンデマンドの授業を見てレポートを出せば出席としている。全回出席を義務付けている。」
 「システム出席管理を厳格にする必要がある、学生証バーコード読み取りシステムの利用している。出席率は下がるといわれたが、実際は上がった。質問も、授業をみたが、わからないという、教師冥利につきる質問がくる」

・CCNAの授業
 「社会人、他大学の学生(単位互換)、高校生も授業を受けてくる。普通に受けると数万〜十数万かかるが、聴講生は安い。」

・NPO
 「一般の人にインターネットの安全について啓発活動を行っている。HPの危険性や個人情報の漏洩など、『インターネット安全教室』なら情報セキュリティ総合研究所(JNSAで検索すればでてくる)に連絡をすると送ってもらえる。」

・データ漏洩犯罪
 「ハードディスクを復元することは簡単、物理的に壊す必要がある。学校全体で統一したセキュリティポリシーが必要。家庭内無線LANがセキュリティホールになっている。64%が無防備。無線LANは匿名アクセスの温床、掲示板への書き込み、オークション詐欺、ウイルスの送付などがある。無線LANを初期設定で使うことはいけない。」
 「生徒に友達にパスワードを教えてはだめだといっても、なかなかわかってくれない。学生が出席のために、友達にパスワードを教えてログインして出席をしている。」
 「フィッシングは大きく広がっている。あたかも信頼できるような文言でくる。メールでくるはずのないことでも、くると信じてしまう。アドレスバーも偽装できるので、お気に入りから飛ぶ、電話で確認する必要がある。教師の立場として教えていく必要がある。生徒たちの携帯にくる可能性もある。」
 「ファーミングというものもある。偽サイトへの誘導、ウイルス、ワームなど。問題があるようなら警察に相談してください。」
 「@police(セキュリティポータルサイト)が面白い。」



個人情報保護法とは
・個人情報は、「組織」のものではなく、「本人」のもの
 「本人に個人情報をコントロールする必要がある」
・本人からの開示要求を答える必要がある
 「しっかり対応するために窓口を作る必要がある。本人確認を厳密にする必要がある。データの消去の方法も考える必要がある。」
・利用目的を本人に通知
・情報漏洩があれば、行政処分
・5000名以下の組織は適用外
 「学校は規模の少ないところは当てはまらないと安心するのではなく。本人の身になって対処する必要、組織としてのモラルが必要。」

・個人情報漏洩事故
 「プロバイダ、消費者金融、石油会社、私鉄、旅行代理店などがある。これだけあれば、自分の個人情報もあるのではと思ってしまう。」
 「情報漏洩事故データベース(MIS月間情報セキュリティ)というものがある。さまざまな情報漏洩の事故について詳しくのっている、こういうページを使って生徒たちと一緒に考えていくことが必要なのではないか?」
 「個人情報保護法にむけて私たちはどうすべきか?セキュリティポリシーを軸に考える必要がある。しかし完全な対策はない。3つの対策がある」
○物理的対策
・機密情報は別室に保管
 「例えば、機密情報の入っているコンピュータはネットワークにつながない。」
・PCはケーブル等で机と固定
・USBなど外部メディアの口を塞ぐ
・使用時以外はロッカーに保管
・PC等持ち出しは厳禁とする
○人的対策
・教育、啓発
 「内部犯行は教育、啓発でしか防ぐことができない。知らないではすまない問題である。」
・記録
 「入退室記録記録、アクセス記録は抑止力になる」
・相互監視 
○ソフト的対策
・認証
 「パスワードはもちろん、最近では指紋認証もよくある」
・ウイルス対策ソフト
 「導入だけではだめ、更新・保守が必要。」
・不正アクセス対策
 「ウイルス対策ソフトと合わせて3ついるといわれている。他に「ファイヤーウオール:不正なアクセスを防ぐ」、「不正見地システム:Dos攻撃を防ぐ」これらを統合的にいれる必要がある。」


・セキュリティポリシーの必要性
 「技術的対策以外に、セキュリティポリシーが必要。PDCAサイクルで運用する必要がある。実際に動くシステムを作る事が重要。」

参照WEBSITE 『IT保険.com』

 「情報セキュリティの問題には、正しい情報が必要。例えば@policeを活用する。仕組みを理解するだけでは頭デッカチである、実習を通した体験学習が必要である。」
 「データ消去はゴミ箱に入れただけでは消えない。磁気情報は完全にはなくならない。データ消去は、アメリカ空軍では4回、陸海軍は3回同じ場所に上書きをすることで消している。」
 「暗号化の方法として、アタッシュケースというフリーソフトがある。乱数で暗号化。復元にはアタッシュケースは必要ない。ダブルクリックでパスワードを入れるだけ。」

・ウイルス
 カビール:携帯電話に感染
 ダッツ:PocketPCに感染
 アムス:話をするウイルス
 9割のPCにスパウウェア
 差出人詐称ウイルス

 「ウイルスについて、学生にも同じことをいっているが3つのポイントがある。」
1、どこからでも感染する
2、ウイルスはどんなことでもできる
3、彫っておくと、自分が加害者になってしまう

 「拡張子詐称ウイルスがはやっている、危ない。」
 例) readme.txt .exe という風に空白を入れて、アイコンを代えている場合がある

・暗号化の授業
 日置先生のWebSiteを参照

・まとめ
 「学校におけるセキュリティポリシーを策定し、PDCAサイクルが必要」

・個人情報保護法クイズを実施


◎質疑応答
>長尾先生
 「図書室の貸し出しカード、出席簿なども個人情報ですよね」

>奥田先生
 「親と子の問題、成績を親だけに伝えるか、両方に伝えるか、生活指導上の問題がある。」

>日置先生
 「大学でもある。原則は本人にしか通知してはいけないと思う。最初に契約しておけば問題はない。生徒の成績が本人のプライバシーなのか、親が監督するべきなのか?」


BACK