情報セキュリティ 一人1台PC体制に向けて

情報セキュリティ
講習会
2014年7月・8月 校内研修用資料
沖縄市立 教育研究所
二宮寛和
1
はじめに
 この校内研も今年の夏で8回目になります。
2007年5月後半から実際に授業支援で小中学校
を回っていて質問があった内容や、知っておくと、
よりICTを利活用する上で効果的と考えられる情報も
含めながら、さらに少しづつレベルアップできれば
と考えています。今年は、NASデータの取り扱い、
スマートフォン、パスワード、LINEについて時
間を取りたいと考えています。
 解らない所、解りにくい所、質問など気軽にお願い
致します。
 即答できない場合は出来る限り、持ち帰り、返答で
きるように致しますのでよろしくお願い致します。
2
メニュー
6.
沖縄市立学校コンタクト業務について
沖縄市のイントラネット
NASとUSBメモリ(外部メディア)について
スマートフォンについて
パスワードの話
LINEについて
7.
付録:NEE2014大阪会場の様子
1.
2.
3.
4.
5.
3
1.沖縄市立学校コンタクト業務について
年間契約していますので、基本無料です。学校でコンピューターについて困ったこ
と全般について、まず最初に電話してみて下さい。電話、FAX、メール対応。必要
に応じて訪問対応。機器破損が原因の場合での修理対応は有償の場合あり。その場
合は必ず連絡がありますのでご心配なく。2013年からは2名が24校を巡回していま
すので12日に一度サポート担当員が
午後常駐する予定です。
4
コンタクト業務内容について
 サポートは無料です。有料になる部分は説明があります
ので安心して下さい。
 情報機器全般、ソフト、ネットワーク、操作方法など、
すべてについてサポートします。コンピュータ沖縄さん
で購入したものだけが対象ということではありません。
 作業依頼ではありません。作業や対策方法、操作方法な
どをサポート(教えてもらいながら一緒にやっていく)
です。
 今まで通り、電話サポートもやっていますので、後回し
(来た時に教えてもらおう)にせず、早めに解決して下
さい
5
インターネットとイントラネットとは?
 インターネットとは、全体を統括するコンピュータの存在しな
い分散型のネットワークであり、全世界に無数に散らばった
サーバコンピュータが相互に接続され、少しずつサービスを提
供することで成り立っている。機種の違いを超えて様々なコン
ピュータが通信を行うことができる。
<親分がいない>
インターネット・プロトコル(規定)にTCP/IP 、HTTP、 HTML、ブラウザ、URL 、
FTP、SMTPとPOPなどがある
 イントラネットとは、インターネットと同じ規定(プロトコ
ル)を用いた、外部と遮断された閉じたネットワーク
<親分がいる(沖縄市)>
 インターネットにデータが飛び出してしまうと沖縄市はその
データをコントロールできなくなる。
6
ネットワークパソコンをつなぐ仕組
みのまとめ
 PC単体<LAN<イントラネット<インターネット
インターネット
イントラネット
校内LAN
家庭内LAN
PC単体
7
2.沖縄市のイントラネット
ここまですべてを守らないといけなくなり、
自宅PCもセキュリティポリシーの対象となる。
インターネットへ
出入り口は一つ
校費PC
沖縄市のイントラネット
たまごの中は守られている
出入り口が
増えて
しまう
インターネットへ
先生の自宅
校費USB
メモリー
先生の自宅
8
個人USB
メモリー
USBメモリの紛失から
インターネットへ
インターネットへ
パソコンのオーナーが管理すべきこと
(学校のPC、家の個人用PC)
1. ウインドウズアップデートを常に最新にする。
2.
ウイルス対策ソフトを導入し、常にウイルスパター
ンファイルを最新にする。
3. 自分でインストールしたソフト、メーカーパソコン
で最初から入っているソフトのアップデートがあれ
ば、最新にする。再インストールできるソフトにつ
いては、不要ソフトはアンインストールしておき、
必要な時には再インストールする。

9
安全安心に使用するために必要なことです。現在は
パソコンを守る為には、インターネット接続して使
用する方が簡単です。
3.NASとは?
 NASとは、ネットワークアタッチトストレージ
(Network Attached Storage)ネットワークに直
接接続して使用するファイルサーバ専用機。ハー
ドディスクとネットワークインターフェース、
OS、管理用ユーティリティなどを一体化した単
機能サーバ(アプライアンスサーバ)
 皆さんが自分のパソコンやUSBメモリーに分散
して保存していたデータを、まとめて保存し、
バックアップを取り、紛失、盗難されにくくし、
共有することで、学校内LANの複数のパソコン
より取り出して活用できるようにする仕組み。
10
NASの活用でセキュリティ面で意
識する事…その1
 データは大切な資産である。
 資産には大きく分けて、学校や教員の資産と
児童生徒からお預かりしている資産がある。
 データ≒お金
 NAS≒金庫
 USBメモリ
≒プリペイドカード(QUOカード、WAONなど)
≒クレジットカード(JCB、VISAなど)
 個人情報を含むデータと、教材や問題集などそれ以
外のデータを分けて保存することを検討すると良い
のではないでしょうか。
11
NASの活用でセキュリティ面で意
識する事…その2
 データはすべてNASに集め保管。
 データを持ち出す時は校長の許可を取る。
 データを持ち出す時は移動ではなくコピーする事。
 必要最小限のデータのみを持ち出す。
 校内の仕事ではUSBメモリを使用しない。
 USBメモリばかり話題になるが、SDカードや
フロッピー、CD、DVDディスクも同じ扱いで
ある。
≒メールでデータ添付して家に送る。
(紛失の危険は減るが、誤送信等の危険有)
12
NASの活用でセキュリティ面で意
識する事…その3
 NASのデータを守らなければならない。壊さな
い、盗られない、壊れた時でもデータだけは守る
仕組みを作る→バックアップや二重化など、冗長
性(冗長性とは、必要最低限のものに加えて、余
分や重複がある状態。)を持たせる
 部外者から見えにくいところに設置
 なるべく温度を一定にし、熱くならない、埃の少な
い環境に設置
 定期的にメンテナンスを行う(埃を吸い取るなど)
 故障したときにいち早く気づくことができる体制作
り(メールでお知らせアラートが来るなど)
13
4.スマートフォンについて
 実はパソコンより高機能な情報端末である。
データ保持、通信機能、アプリによりいろんな機
能追加可能である。等
 充電でパソコンに繋ぐと、実はデータ通信もでき
る状態になってしまう。(つまりUSBメモリを
つないだと同じ状態になる)つながないこと。

14
ちなみに、ベネッセの個人情報流出事件の犯人は
ノートパソコンに最新のスマートフォンをつない
でデータを故意に盗んだ。
5.パスワードの話
 パスワードは忘れると大変なので、わかりやすいもの、覚え
やすいものにしたい。
 色々なところに登録するたび、IDとパスワードが必要なの
で同じものにしている。
 結論
自分だけには覚えやすくて、すべての登録先ごとに違うパス
ワード、さらに解析されにくい必要がある。
 パスワードがどれぐらいの時間で破られるかを見られるサイ
ト
「How Strong is Your Password」これはインテルなので少し安心
How Secure Is My Passwordこれは仕組みや安全性が不明。
日本語版 How Secure Is My Password?上記を元に日本語化
(上記のサイトには、もちろん本当のパスワードは入れない方
が安心ですよね。)
 パスワードは、誰にも気付かれないように静かに対策をする。
 「強い」パスワードの作り方
15
パスワードの設定や使用上のヒント
•できるだけ長くする。強固なパスワードには8文字以上が理想。
•更に強固にするは、14文字以上を設定する。
•英大文字、英小文字、数字、記号の内、最低3つを組み合わせる。
•名前、誕生日、電話番号、メールアドレスなど情報元が類推できる文字を使わ
ない。
•設定方法に例示されているパスワードをそのまま使わない。
•誰でも知っている単語や頭文字を使わない。
•連続した数字(0123)や、キーボードの連続した文字列(asdf)などを使わない。
•同じ文字を連続して使わない。
•パスワードを書き留めない。どうしても書き留める場合でも、絶対に ID やサー
ビス名と一緒にしない。
•パスワードをメールで送信しない。
•定期的にチェックし、時々新しいものに変更する。
•Googleのパスワード設定のページには次のような表記があり、「オウム」にも教
えないよう注意を呼びかけています。 『パスワードを他人に教えない (パート
ナー、ルームメイト、ペットのオウムなど)。』 •オウムを飼っている方はどうぞ
ご注意を...
16
6.LINEについて
 LINEは携帯電話、スマートフォン、パ
ソコン向けのインターネット電話やチャッ
トなどリアルタイムコミュニケーションが
できるインスタントメッセンジャー
 LINE安心安全ガイド
http://officialblog.line.me/ja/archives/25038799.html
17
LINEについて
 LINEは2013年5月1日、「LINE」の全世界の登録ユーザー数が4月
30日時点で1億5000万人を突破したと発表した。
 .
18
LINEについて
 LINEは2014年4月1日、LINEの登録ユーザー数が世界で4億人
19
LINEについて
 日本の登録ユーザー数
2013年4月10日時点で4500万人を超えていた。
2014年4月01日時点で5000万人以上日本の人口の37%以上
20
LINEについて
21
LINE関連事例紹介1
 2013/09/16に、NAAリテイリングが経営する成田空港のお土産店
(免税店)で働く23歳の女性派遣社員が、玉木宏が来店し、クレジッ
トカードで買い物をした後に、玉木宏のカード伝票をスマホ(ス
マートフォン)で撮影して同僚8人にLINEを使って公開。
その画像を受け取った19歳の同僚の女性アルバイトが、その日
(2013/09/16)の深夜にツイッターで、「バイト先に玉木宏が来た」と
いう内容を画像と共に公開した。
その後、ファンの指摘で20分後に削除された。
参考までに・・・この送信したカード伝票には、玉木宏のサイン(署
名)や16桁の内下3桁を除いたカード番号などが写っていた。発覚
後、玉木宏はカードの利用を停止した。
また、NAAリテイリングは、このカード伝票の内容を漏らした2人
について解雇した。
22
LINE関連事例紹介2
 LINE乗っ取り事件の真相
今回アカウント乗っ取り被害を受けたAさんによると、犯人は次
のようなメッセージを親友のBさんに対して勝手に送ったという。
「忙しくて外出できないのでコンビニでウェブマネーを購入して
くれない?」。ウェブマネーは電子マネーの一種で、コンビニエ
ンスストアでプリペイドカードを入手し、そこに書かれた番号を
使って電子商取引(EC)サイトで買い物ができるもの。Bさん
はすっかりだまされてしまい、数万円分のウェブマネーを購入し
番号を犯人に知らせてしまったという。
 「LINE乗っ取り」って?
23
「LINE乗っ取り」とは、その名のとおり自分のLINEを誰かに乗っ
取られる事。これは他社サービスから流出したと思われるメール
アドレス・パスワードが利用されている可能性が高く、他サービ
スとLINEのメールアドレス・パスワードを同じにしている人は誰
でも狙われる可能性があるという事です。覚えるのが面倒くさく
てつい一緒にしちゃいますよね……。
LINE関連事例紹介3
 3月に、奈良県橿原(かしはら)市の女子中学生(13)が自殺。
同級生は、女子生徒が読めないようにLINEのグループを設定、女
生徒は「うざい」と書き込まれるなど、いじめを受けていたと見
られている。
 また、7月には、広島県呉市の山中で16歳の少女の遺体が発見さ
れ、遺体を遺棄した16歳の無職少女が逮捕された。少女は「LINE
で悪口を書かれ腹が立った」と母親に話していたという。
 同月、山形県鶴岡市の中学生の野球部員が、男子生徒の服を脱が
せて写真を撮り、LINEを使って部内に写真を広めた。
 8月には、岐阜県土岐市でLINEで知り合った女子高生にみだらな
行為をしたとして27歳の男性が逮捕された。
24
LINE関連事例紹介4
 ケーエス 「ks」は「既読スルー」の略
既読スルーとは、LINEにおいてにおいてメッセージを読みな
がら返答をしないことである。
 LINE外しとは本人ではなく、自分以外のグループメン
バーが本人の承諾なしにグループから退会させること
「アイツ退会させてやろうぜ」LINEグループの強制退会機能
とその利用実態ここにわかりやすく記入されていました。
「LINEイジメ」とは…!? “はるかぜちゃん”が教える完全犯罪
的イジメの実態
http://buzznews.asia/?p=47150
完全犯罪 ♔はるかぜちゃん ♔ 2014/06/17 21:21
https://note.mu/harukazechan/n/n5c933e7f9901
25
子どもの「LINE使いたい!」要求に
応えられる親になる
LINEに限らず、ネット上のサービス全般に
ついて、子どもが新しい世界に踏み込むことに対して、その可否を判断する場合、自分のスキ
ルレベルと寛容度が大きく影響する。これを簡単に図式化したものが以下だ。
http://internet.watch.impress.co.jp/docs/column/shimizu/20130226_589329.html
26
付録:NEW EDUCATION
EXPO 2014 に参加して
 2014年6月20日と21日に開催された大阪会場に参加
して、セミナーやメーカーの展示物を見てきまし
た。
27
遠隔授業x協働学習の体験コーナー
28
職員室のセキュリティ・ゾーニング
ゾーニングできていないと、教員の机の上にある資料やPCのデス
クトップにある情報が見られてしまう。持っていかれることも…
外来者はこのゾーン
までしか入れない。
29
ありがとうございました
貴重なお時間を頂きありがとうございました。
休憩後、各学校ごと、希望いただいた内容に合わせて進めます。
よろしくお願い致します。
30