ブログ

質疑:教員がUSBでデータ流出させる事件、セキュリティの可用性について


今日は、教員がUSBでデータ流出させる事件、セキュリティの可用性について質疑した内容を書いていきます。

質疑の概要

これは、ちょくちょく起きては報道される「個人情報流出」系の事件について、「今後二度とこういうことが起きないように周知徹底してまいります」という言葉を聞かされ続けた結果、「そんなもん、もう無理やん!」と思った僕が、現実的なセキュリティについて教育委員会とバトルした記録です。笑

詳しくは質疑の動画をご確認ください。

質問:そもそもファイルにパスワードかけるルール徹底を

教員がUSBとか外付けHDDの媒体を使ってデータを持ち出して、その媒体を紛失してしまう事件について。

この問題については、宮脇委員も初日で取り上げてましたけど、元IT業界の人間として、セキュリティとは何かというのをテーマに絞り、質疑をしていきます。

そもそも、ヒューマンエラーってなくならないんです。
どんだけ頑張っても、ゼロってのは無理なんです。
だから、ヒューマンエラーが起きた時に「同じことが起きないように周知徹底して参ります」みたいな答弁、よく聞きますし今回もされてましたけど、無理なんです。

だからこれ、抜本的な解決をしようと思えば、ヒューマンエラーが介在するリスクそのものを見直さなきゃいけないわけです。もしくは、ヒューマンエラーが起きたとしても、もう1段階のセキュリティで守るというような手段を取っておくこと。これが大切なんです。

具体的には、この事例の場合、そもそも自分のUSBにデータ入れて持って帰るのやめてくださいよというオペレーションになってるのにも関わらず、それはなくなってないわけです。だったら、そのUSBに入ってるファイルに個人情報が入ってるとしても、そもそもファイル自身にパスワードかけといてくれたら、そう簡単に流出しないよねという話なんです。

だから、まずは流出したらヤバいファイルにはパスワードかけるようにしとこ!というルール徹底が大事なんですけど、それを今やれているのかどうか、お聞かせください。

答弁:そもそもファイルにパスワードかけるルール徹底を

教育委員会といたしましては、学校に対し、USBメモリなどの電磁記録媒体に個人情報を保管することや、それらを校外に持ち出すことそのものを禁止しております。

また校務支援システムでは、許可されたUSBメモリ等に、データを移す必要がある場合、自動的にパスワードの入力がなければデータを移せない仕組みとしております。

教員が、在宅などで作成し、保存するワードやエクセルのデータにパスワードを設定することは、セキュリティの確保の一つの方法であるとは認識しておりますが、やむをえず在宅で作業する場合は、重要な情報はUSBメモリ等に保存し持ち出さず、テレワーク機能の利用を求めているところでございます。

パスワード設定はセキュリティ確保の一つの方法であるとは思ってるけど、テレワーク機能使ってくれたらいいから。という内容。

質問:プライベートクラウドの可用性について

今お聞きいただいた答弁の通りで、結局、テレワーク機能を使ってくれたら大丈夫やから、それでお願いします。ってだけなんです。これは、セキュリティに対する考え方としては、甘いなぁと思うんですね。

実際、テレワーク機能を使わずにUSBにデータを入れて、持ち出して流出してるんです。これが事実であって、これがヒューマンエラーです。これは、無くならないんです。

で、こういったことが起きることを前提として、リスクに対する対策を行うことがリスクマネジメントですよ。だから、漏れたら困るファイルにはパスワードかけるぐらいのことは徹底しておきましょうよと言ってるわけなんですけども、どうもその気がないことに唖然とするわけなんですね。

で、そもそもなぜUSBにデータ入れて持ち出してしまうんだろうと考えると、2つの方向性が見えてくるわけです。

ひとつは、
 ・そもそもテレワーク機能は誰でも使えるシステムなのか?ということ、
もうひとつは、
 ・そもそもUSBを使わなくていい環境を是認できないのか?ということです。

まずは、前者のほうから確認していきたいんですけども、テレワーク機能を使ってもらえればそれでいいんだと。パスワードをいちいちかける必要もないし安全なんだと、おっしゃるわけなんですけれどもね。

じゃあ、テレワーク機能って誰でも使えるシステムになってるんですか?ということなんです。調べていくと、利用できるOSはウィンドウズのみ。Macの人はダメなんですよ。この時点で、僕は使えない側の人間です。更に、セキュリティ対策ソフトのパターンファイルが最新であること、とかですね。こんだけ制約あると、そら使われないケースが出て来るのもわかるよなぁという話なんですよね。

セキュリティって、100点はないんですよ。
突破されないセキュリティなんて、ないと考えたほうがいいですよ。
セキュリティには、可用性が非常に大切なんです。
例えば、10万桁のパスワードを設定したら、めっちゃセキュアですけど、じゃあそれ誰が使うねんっていうのと同じ話でね。

強固なセキュリティをテレワーク機能に求めたのはいいけど、じゃあそれみんなが気軽に使えるシステムなんか?と考えた時、そうとは言えない。

つまり、教員がUSBにデータを入れて持って帰ってしまうというヒューマンエラーが起きる、大きな原因に、この「可用性がない」という状況が当てはまってると思ってます。

だから、この可用性の部分にしっかり目を向けて、誰でも使えるようなシステムにしていくという方向性、とても大事だと思いますがいかがでしょうか。

答弁:プライベートクラウドの可用性について

テレワーク機能は、個人情報が記録されたUSBメモリ等の持ち帰りをなくし、個人情報等の漏えいを防ぐことを目的として、自宅パソコンに認証キーを挿入しPinコードを入力するという、いわゆる二要素認証により、自宅から安全に校務支援システムにアクセスできる仕組みでございます。

平成25年度に、出席管理、通知表作成、ファイル共有など校務支援システムの機能の一部として導入し、現在、半数近い教員が、必要に応じて活用している状況でございます。

校務支援システムは、システム全体がご指摘のOSで動作し、テレワーク機能は、システムの一部であることからアクセスする側のパソコンにも同じOSが必要となります。

また、セキュリティ対策として、自宅のパソコンから教育委員会が管理するクラウドのサーバに直接アクセスすることから、接続するパソコンのウイルス対策が最新であることを必須としております。

委員ご指摘の可用性の点は重要であると認識しておりますが、情報セキュリティの確保や、ICTの進展など総合的な観点から、校務支援システムのより良いあり方を研究してまいりたいと考えております。

半数近い教員が【日常的に】使ってるわけじゃなくて、一度でも接続してみた場合は利用者数にカウントされてるということなので、使いにくかったからやっぱりやめたというような教員がいたとしても、それは数字上あらわれないという状況。実際、アクティブユーザーはどれぐらいなんでしょうね。

質問:パブリッククラウドのリスクについて

現在ご答弁いただいたのは、先ほど2つ方向性が見えてくると言いましたひとつめ、
 ・そもそもテレワーク機能は誰でも使えるシステムなのか?ということ
ですが、そうではないことがわかりましたし、すぐに解決できそうな方向性ではないことが明らかになりました。

さて、もうひとつの方向性は、
 ・そもそもUSBを使わなくていい環境を是認できないのか?ということです。

これは一体どういうことなのかというと、パブリッククラウドを容認しても良いんじゃないかということですね。例えばGoogle Driveであったり、One Driveであったり。
民間がやってるクラウドのサービスを使っても良いですよ!ってことにしてもいいんじゃないだろうか?って意味です。

それ使っていいよってことになったら、単純な話、USBメモリ使う必要がなくなると。つまり、ヒューマンエラーリスクを負う必要がなくなるわけですが、いかがでしょうか?

答弁:パブリッククラウドのリスクについて

校務支援システムのクラウドサービスの活用に関しましては、導入時にパブリッククラウドとプライベートクラウドの検討を行いました。

委員ご指摘のパブリッククラウドは、メリットもございますが、他方、サービス利用を行う当該クラウドを提供する事業者のセキュリティ要件に制約され、本市のセキュリティポリシーを適用できないこと、またセキュリティの面以外でも、システム障害が発生した場合には、本市みずから復旧できず、当該クラウドを提供する事業者の復旧を待たざるを得ず、安定したシステム運用の期待ができないことが考えられました。さらに、国内に限定してデータの保管を行う必要があることなどの課題がございました。

そのような課題から、約15,000人の教員が、日々、約180,000人の児童生徒情報を取り扱うシステムであることを踏まえ、セキュリティ、業務の継続性の観点からプライベートクラウドを活用しているところでございます。

現在、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、職員はウェブで利用できるネットワークストレージサービスの使用禁止が示されており、また文部科学省の「教育情報セキュリティポリシーに関するガイドライン」において、個人情報を蓄積する場合は日本の法令の範囲内で運用できるデータセンターの選択を求めております。

今後、クラウドサービスに関しましては、これらのガイドラインを踏まえながらセキュリティを十分に担保した上で、教員が利用しやすいシステムのより良いあり方を目標に、ICT戦略室とも連携しながら取り組んでまいりたいと考えております。

システム障害・・・むしろ自前の環境のほうが起きる可能性が高そうな気もするし、安定したシステム運用の期待ができないとか、ちょっと言いすぎな気もする。

質問:セキュリティリスクの比較について

これ、是非みなさまも一緒にお考えいただきたいんですが、まず何よりも大事なファーストセキュリティは、冒頭で僕がお願いして、あまり良い回答を得れていない「パスワード設定の義務化」です。

プライベートクラウドの場合も、パブリッククラウドの場合も、変わりません。
重要なファイルにはそもそもパスワードかけるようにしましょうねと。そういうルールを徹底させましょうねと。これがちゃんと出来てるだけで、リスクは相当減ります。

でも、このセキュリティには、ヒューマンエラーがつきまといます。
パスワードかけたつもりが、かけれてませんでしたとか。かけるの忘れてましたとか、そういうのがヒューマンエラーですね。これは、残念ながらゼロにはならないことを頭に入れておいた上で、

2つめ。セカンドセキュリティです。

これは、プライベートクラウドの場合は、可用性の問題が例えば来年4月に解決してるのかと言えば、それは無理でしょうから、USBの持ち出しというヒューマンエラーのリスクが必ず付きまといます。

一方、パブリッククラウドの場合は、例えばGoogle DriveやOne Driveが悪意あるハッカーに攻撃されたらどうするねんというリスクが想定されます。と。

じゃあ、
 ・教員がUSBにデータ入れて持ち出して紛失してしまうリスクと、
 ・GoogleやMicrosoftがアタックされてセキュリティ突破されてしまうリスクと、
どっちのほうが、リスク高いんですか?ということなんです。

そこで、教員がUSBにデータ入れて持ち出して紛失する件数が年間どれぐらいあるのかを教えてもらいたいのと、その上で、GoogleやMicrosoftがアタックされてセキュリティ突破されてしまうリスクと天秤にかけた時、どっちのほうがよりセキュアと考えるのか、見解をお伺いいたします。

答弁:セキュリティリスクの比較について

教員がUSBメモリ等に個人情報に関するデータ入れて持ち出し、紛失した事案につきまして、今年度2件発生しております。

次に、USBメモリ等とパブリッククラウドサービスのセキュリティリスクについてどちらが安全かというご質問についてでございますが、単純に比較することはできませんが、USBメモリ等は紛失のリスクがあり、パブリッククラウドはサービスそのもののセキュリティレベルは高くても、利用者の認証パスワード管理が不十分であればパスワードを共有・紛失することや、パスワードそのものを乗っ取られるなどのリスクがあり、どちらの方式もセキュリティ上のリスクは存在すると考えております。

これも、たしかにパブリッククラウド側のリスクとして答弁されているようなリスクは発生するけど、それってUSBの場合も一緒だよね、と。
ノートPCとかを本体ごと紛失してパスワードかかってないとか、そういうリスクを包含して言うてるんだと思いますが、USBの場合もパブリッククラウドの場合もローカルにデータ落としてたりしたら全く同じリスクを抱えることになる。
でも、ほとんどのPCには多分パスワードかかってると思う。。。

僕が言ってるのは、そういう話じゃなくて、USB記録媒体を物理的に紛失するというリスクの話であり、そことパブリッククラウドのセキュリティ突破リスクとの比較なんだけど。。。
という感じで、この質疑をするにあたって長時間ずっと議論続けてたんですが平行線だったので、要望だけしておきました。

要望

はい、というわけで、まぁこのやり取り、この間ずーっとやってるんですけど、ここが平行線ラインです。

その上で私見ですけども、そんなもんね、教員がUSB紛失してしまうリスクのほうが高いに決まってると思うんですよ。Google DriveとかOne Driveが年間2回のペースでセキュリティ突破されてたら、大事件ですよ。

でも、さすがにそんなことはないんです。あちらはあちらで、サービスの信頼性の根幹を揺るがすようなことですからね。それ相応のセキュリティ投資をやってますよ。

この間、教育委員会と様々議論させていただいてる中で出てきた内容を基に、セキュリティリスクの比較をすれば、パブリッククラウドを使ってもいいよということにしたほうが、現実的にはよっぽどセキュアなんじゃないかと、僕は思うわけなんですね。

せめて、プライベートクラウドの可用性についての課題が解決するまでは、暫定的リスクヘッジとしてパブリッククラウドの容認と、引き続きのUSBメモリ使用禁止、そしてなによりも、重要ファイルへのパスワード設定周知徹底が必要だと僕は思いました。

ただ、もうこれ以上は平行線ってことみたいなので、今回の質疑をキッカケにしていただき、本当に今のセキュリティ対策のあり方はこれでいいのかを考えていただきたいです。大阪市は新たにセキュリティ責任者を採用しようとしてるということですので、是非そこもキッカケにしていただいて、現実的なセキュリティ、実効的なセキュリティとは何かというのをテーマに、より良いセキュリティを追求していっていただくように要望しておきます。

大阪市は現在、CISO(最高情報セキュリティ責任者)を募集しています。
理想を求めるのはいいけど、100点ってない世界だと思います。
現実的かつ実効的なリスクマネジメントができる人に、今の役所の体制を抜本的に見直してほしいと切に願っています。

募集要項はこちら!