大学を狙った標的型攻撃や、校務システムの機微情報を狙うネットワーク侵害、ランサムウェアへの感染など、国内でのサイバー攻撃被害が目立っている。ウイルスに感染すると機微情報の漏えいやデータの破損など甚大な損害が発生することから、現在検討が進んでいる、文部科学省「教育版の情報セキュリティポリシー」では、校務系・学習系のネットワーク分離など総務省ガイドラインや自治体情報システム強靱性向上モデルに則った方向が求められる方向だ。今後、教育現場ではどのような準備を行っていかなければならないのか。
菰田貴行専務取締役 |
坂田英彦取締役 |
標的型攻撃などに対応できるセキュリティソリューションを各種提案しているプロット(大阪市・津島裕代表取締役社長)の菰田貴行専務取締役と坂田英彦取締役に製品の特長を聞いた。
ネットワーク分離が求められるであろう校務系・学習系の両ネットワーク間で安全にファイルをやり取りでき、ファイル無害化にも対応できるシステムが「Smooth Fileネットワーク分離モデル」です。
基本機能は「ファイルを外部へ持ち出す際や外部から持ち込む際、上長に自動でメールを送付。承認を受けてやりとりが可能になる」、「全操作のログを記録、不審行為を監視・後追いする」など。地方自治体でマイナンバーが運用されることでセキュリティの対策が必要になってきたこともあり、昨年9月のリリース以来、急速に導入が進み、北海道深川市や沖縄県北谷町を始め140以上の自治体に導入されています。
ファイルを無害化悪用を防ぐ
オプションで多くの自治体が導入しているのが「ファイル無害化」機能です。様々な方法で入手したファイルに「無害化処理」ができ、Zipファイルの内部に格納されたファイルも無害化します。「無害化」に対応したソリューションは海外製品や高価なものが多いようですが、国内メーカーとして自社開発しており、コストパフォーマンスの良い点、日本のシステムに適合したニーズに迅速に対応できる点がメリットです。
学校では、例えば児童生徒が撮影した画像を含んだファイルを学習系で加工した後に校務系に持ち込む可能性があります。スマートフォンで撮影した写真には個人の位置情報が含まれており、悪用されやすいデータといわれています。この情報を削除、安全なファイルとしてやり取りができます。
原本保持性能の高い「マクロ除去モード」も選択できます。現在はOffice系ファイル、画像、PDFファイル、Zipファイルに対応しており、今後は更に対応ファイル形式を増やす予定です。
単体でも提供可能に
当初、「Smooth File」のオプションとして提供していた「ファイル無害化」機能ですが、既存システムに無害化機能を追加したい、というニーズに対応したものが国産ファイル無害化エンジン「Fast Sanitizer」です。この6月から提供を開始したばかりで、さらに柔軟な対応が可能になりました。
システムの脆弱性を突いたマルウェアは、サンドボックス(安全な領域)内でファイルを確認してウィルスを検知する方式やパターンマッチングが一般的でしたが、ゼロデイ攻撃や、最新のマルウェア等には対応が遅れがちです。そこで、悪意を仕込みやすい「スクリプト機能」などの領域を除去することで、安全なものだけを持ち込めるようにしました。これは国産としては初の仕組みではないでしょうか。
「Fast Sanitizer」にはファイルを置くだけで無害化できる「ファイル共有モデル」、既存システムと連携できる「Web-APIモデル」があります。
メールを無害化
送信メールの添付ファイルを自動的にパスワード付ファイルに暗号化(圧縮)を行い、情報漏えいを防ぐものが「Temp Box」です。
ネットワーク分離環境ではインターネット系ネットワーク上でメールを管理する必要がありますが、業務効率は大幅に落ちてしまいます。標的型攻撃の多くは、メールの添付ファイルやURLをクリックするなどの行為により悪意のコードが実行されますから、HTMLメールのテキスト化やURLリンクの無効化、添付ファイルの剥離などにより「無害化」することで、安全に内部へ持ち込みができ、業務系ネットワークでもメールを効率よく運用できます。剥離された添付ファイルはSmooth Fileに格納されて無害化されます。
送信メールの添付ファイルを暗号化(圧縮)して自動的にパスワード付ファイルにすることもできます。宛先を間違えた場合は、Webブラウザから保留されたメールの配信を停止でき、オプション機能で大容量ファイルの添付も可能です。既存のネットワーク接続のまま導入でき、クラウド版も提供しています。
メールを無害化すると本来、オリジナルメールは保持できませんが、すべての送受信メールを保存・監視できるメールアーカイブが「Mail Gazer」です。これにより個人情報や内部機密情報の外部への流出を防ぐ強力な抑止効果が期待できます。誤ってメールを削除した場合も復旧できます。
リテラシー向上に
情報漏えいで必ず問題になるのが人的ミスです。ネットワーク分離により業務系ネットワークを強固にしても、インターネット系ネットワークにはウイルス感染のリスクが残留します。人の心のスキを突く「悪意あるメール」にも工夫が凝らされていますから、人的ミスをゼロにすることは極めて難しいものです。
そこで弊社では、標的型攻撃に対応できる訓練メールを定期的に送るクラウドサービス「CYAS」を提供しています。
リリースしてまだ1年ですが、現在400社・官公庁に導入されています。無料で月にランダムな10人に「訓練メール」を送ることができ、クリックしてはいけないURLや添付ファイルを開いた場合には教育用コンテンツが表示されるので、個人のリテラシー向上に役立ちます。開封率などのデータ化で学校全体のリテラシーレベルの見える化ができ、研修レベルの設定にも役立ちます。
テンプレートメールの「スタンダードプラン」、教育現場の実情に合わせて文面をカスタマイズできる「エンタープライズプラン」があり、現在人気があるのが後者の月50~100通ラインです。年間600通の訓練メールで月5000円程度と従来型サービスの約20分の1(当社比)でコストパフォーマンスの高さも特長です。
【2017年6月5日】
1.教育情報セキュリティポリシーガイドライン <豊島区 高橋邦夫課長>
2.セキュリティ確保と利便性を両立する <ジャパンシステム 山本勝彦マネージャ>
3.ネットワーク分離間で安全にファイルを交換<プロット 菰田貴行専務取締役・坂田英彦取締役>
4.「ダブルブラウザ」でWebを無害化<アシスト 高木季一室長>
5.教育ICT環境整備指針
関連記事