本学の教職員を対象とした情報セキュリティe-learningを受講しました。Moodle上のオンライン教材で自習する形態になっています。教材は、日本データパシフィック株式会社による教職員のための情報倫理とセキュリティ2021年度版~速習版(国公立学校向け)(以下、「本教材」)です。
まあまあよくできているコンテンツだと思いました(上から目線)が、古い知見に基づいた記述が散見されました。ここでは3点ピックアップします。
1. パスワードの定期変更
本教材のコンテンツ内では、パスワードを定期的に変更することを推奨しています。
実際に、大昔はパスワードを定期的に変更することが推奨されていました。しかし2017~2018年あたりを境に、定期変更を推奨しないのがコモンセンスとしての地位を確立しています。
たとえば、総務省による国民のためのサイバーセキュリティサイト(2022-06-14リンク先を更新)にも、定期的な変更が不要であることが明示されていますし、本学の情報セキュリティポリシーにおける「弘前大学利用者パスワードガイドライン」(学内限定)でも、定期変更に関する記述はありません。
定期変更を要求することで、(人間行動として)パスワードが簡単なものになったり使い回しをされたりする傾向があり、そうなってしまっては本末転倒である、ということなのでしょう。
ここで述べているのは、システム利用者に対してパスワードの定期変更を要求しないということです。それとは別に、システム利用者が(自主的に)定期的にパスワードを変更することは、それが使い回しではなく十分な強度をもったものである限りにおいては、そうしないよりセキュアであるとは思います。
2. PPAP
PPAPというのは、「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略称だそうです。すなわち、電子メールでファイルを送るのにあたっての以下のような手続きのことです。
- 送り手が、送信対象のファイルからパスワード付きzipファイルを作成する。(※MS Officeの[パスワードを使用して暗号化]を使用するのも同等だと認識しているのですが、違いはあるのでしょうか?)。
- 送り手は、1で暗号化したものを電子メールの添付ファイルとして送信する。
- 送り手は、1の暗号化に使用したパスワードを別の電子メールで送信する。
- 受け手は、2で受け取ったファイルを3で受け取ったパスワードで復号する。
大昔はこれがセキュリティ対策であるかのような迷信が一般に広がっていましたが、実のところこれは単なるバッドノウハウの域を出ておらず、今の時代にはもう通用する物ではありません(問題点を解説したWebサイトは星の数ほどありますので、ここでの解説は割愛します)。しかしながら、本教材にはPPAPを推奨するような記述が見られました。上記の教材サイトの参考画面からも、その記述が見てとれます!
●PPAPの代替案
PPAPによるファイル送信の代替として挙げられるのは、オンラインストレージの使用です。オンラインストレージには一般的なものもたくさんありますが、弘前大学の構成員はさらに以下のようなものが利用可能です。
- 弘大クラウド(教職員のみ;国内からのアクセスのみ)
- OneDrive(Office365)
- NII FileSender
(以下余談)たまたま知ったのですが、文部科学省においても2022年1月から電子メールの添付ファイルによる送付を廃止して、クラウドストレージからダウンロードしてもらう運用になるようです(通知)。
文部科学省は、令和4年1月4日以降のすべてのメール送受信において、ファイルを添付する際にはクラウドストレージサービスBoxに添付ファイルを自動保存し、送信先からダウンロードしていただく仕組みを導入します。
これは、昨今セキュリティ上の観点から疑問視されているパスワード付きZIPファイルの添付により、Emotet(エモテット)などのマルウェアがセキュリティチェックを潜り抜け、感染させるなどの事案を踏まえ、セキュリティ強化策として導入するものです。
3. 無線LANのMACアドレス制限
無線LANのアクセスポイントへのアクセスを特定のMACアドレスからの通信に限定する、というセキュリティ対策が謳われており、これは本教材でも無線LANルータに設定すべき事項として挙げられています。しかし「しないよりはマシである」程度の対策であり、セキュリティ対策と呼ぶほどのものではないことに注意が必要です。
IT用語辞典e-WordsのMACアドレスフィルタリングの項の記述が、本質的な部分を的確に述べていると思います。
本格的なセキュリティ対策や利用者認証のつもりでMACアドレスフィルタリングを用いるのは危険であり、あくまでもWi-Fiアクセスポイントの「ただ乗り」、内部ネットワークの覗き見といったカジュアルな不正を防止する簡易な対策であるとの認識が必要である。
最近はプライバシー保護への機運の高まりによって、ポータブルなデバイス(特にスマートフォン)ではランダムなMACアドレスが用いられるようになっていることも、押さえておくといいでしょう(ほとんどのOSでは、それをネットワークごとに無効化することができます)。