まずはファイアーウォールで囲おう話はそれから

大学

文科省から各国立大学のCIOに通知が届く案件。当該記事の図を見ればわかるとおり、ネットワークをルータで囲って、外部からのアクセスを弾くようにしていれば被害範囲を抑えられたはず。キャンパスが分散しているからとかいろいろと理由があるとは思うのだけど、まずは囲おう。ルータのお値段高級車1台分〜家1軒分(上ものだけ)だけど。

あと、合わせてネットワークHDDとかもインターネットからアクセスできるか確認すべき。さらには、国や自治体の官公庁も調べるべき。と思ったら、既に同じだった(2つ目の記事)。

以下、記事の転載。

東大など3大学で、ファクスやスキャナーなどの複合機で読み取った学生ら延べ264人の個人情報がインターネット上で誰でも閲覧できる状態になっていたことが6日、読売新聞の調査で分かった。

現在販売されている複合機の大半はネットに接続され、初期設定のままだと情報が外部から閲覧できる状態となるが、大学側は「知らなかった」と説明している。専門家は「メーカーは利用者に十分な説明をすべきだ」と指摘している。

情報が公開状態になっていたのは、リコー(東京)、富士ゼロックス(同)、シャープ(大阪)の複合機を使っている東京大医科学研究所や東北大、琉球大の3国立大。

東大医科研では、付属病院の看護師が、血友病の看護に関して答えたアンケート内容や、研修の受講者名のほか、研究員が非常勤講師として採点した東邦大の学生の試験結果など約120人分の個人情報が見られる状態になっていた。

東北大の場合、約20人が所属する研究室の複合機から出ていたのは、学生らの免許証や住民票、健康診断の問診票など。中には、奨学金申請の書類もあり、学生の名前や携帯電話番号、親の就労状況なども記載されていた。

琉球大では、2013年1、2月に実施した期末試験を受けた学生95人分の答案用紙が見える状態になっており、名前や解答、点数が書かれていた。東大と琉球大は「調査中」、東北大は「答えられない」としている。

スキャナーやファクスなどの機能がある事務用の「コピー複合機」の一部で、セキュリティー対策が不十分な場合、読み込まれた文書のデータがインターネットを通じて外部から見られる状態になることが4日、メーカー大手のリコーとキヤノンへの取材で分かった。

複合機は企業や大学、官公庁で広く使われており、内閣官房情報セキュリティセンター(NISC)は近く、この2社製以外も含め、全府省庁で使用している数万台の調査に乗り出す。

複合機がつながっている組織内ネットワーク(LAN)に外部との通信を制御するファイアウオール(安全隔壁)があり、複合機ごとにIDとパスワードを設定していればデータが丸見えになることはないという。両社は十分な対策をとるよう注意を呼び掛けている。

海外にはデータが見える複合機を検索するサイトが存在する。情報セキュリティーに詳しい会津大学の山崎文明やまさき・ふみあき特任教授によると、このサイトでは日本や海外の企業や大学など少なくとも数十カ所の複合機のデータが見える状態で、日本の大学では契約書や学内で実施した過去の試験問題など、内部文書とみられるデータもあった。

リコーやキヤノンによると、複合機の多くはコピーやスキャンをした文書をデータとして保存し、LANを通じてデータをやりとりしたりできる機能がある。

 ファイアウオールがないと外部から複合機に簡単にアクセスできる状態となる。その場合も機器にIDとパスワードをかけていればデータは見えない。しかし、パスワードを設定しないままインターネット回線に直接接続しているようなケースもあり、データが丸見えになっているようだ。

 リコーとキヤノンは昨年、自社の複合機の一部がこうした状態になっていることを確認した。それぞれホームページに注意を呼び掛ける文書を掲載したほか、顧客を個別に回り、セキュリティー対策を強化するよう求めている。

 該当する台数は「分からない」(リコー)「公表できない」(キヤノン)としている。一方、富士ゼロックスとセイコーエプソンは、同様の事例の報告はないとしている。