「 3分でわかる情報セキュリティ 」について
杏林学園の全教職員を対象とした、情報セキュリティ強化のための連載です。患者・学生・教職員の情報を守るため、閲覧の程よろしくお願いいたします。また、周りの教職員への周知にご協力いただければ幸いです。全記事と詳細は こちら から読むことができます。お問い合わせは総合情報センター(井の頭6232)まで。

1件当たりの被害総額は、平均で2.2億円 !?

今年度に入ってから、国内の複数の大学においてサイバー攻撃による被害が発生し、ホームページの公開を停止する・授業運営に影響が生じる等の多大な影響が発生しています。
昨今の攻撃の主流であるランサムウェア(※1)は 1件当たりの被害総額が平均で2.2億円(※2) にものぼり、復旧まで 2週間~1ケ月程度の業務停止 になることも多いです。

※1 ランサムウェアとは、組織の情報資産を暗号化し、元に戻すための金銭を要求する悪質なソフトウェアです。個人へのメール攻撃・不正アクセス等を通じて組織のネットワークに侵入します。
※2 ランサムウェアの被害金額は平均2.2億円~最新調査から被害傾向を読み解く~ | トレンドマイクロ (JP) より

サイバー攻撃には様々な種類がありますが、きっかけとなる手口は似通っており、基本的な情報セキュリティ対策を徹底することが最も効果的です。
今までの繰り返しにはなりますが、今回の記事では、そんな ”基本的な情報セキュリティ対策” を改めてご紹介します。

標的型メール攻撃を警戒する(フィッシングメール・迷惑メール・詐欺メール)

サイバー攻撃を仕掛ける際、一番よく使われるのがメールです。
近年は、標的を一部に絞り効果的に騙す「 標的型メール攻撃 」が主流で、受信者が騙されやすそうな文面・差出人にカスタマイズしてメール送信します。
差出人を偽装するのは技術的に簡単で、実際に、本学の部署や教職員になりすましたメールの相談も寄せられています。

メール本文中にあるリンクをクリックしたり、添付ファイルをクリックしたりすることで、操作した端末がウイルス感染し、遠隔操作される危険があります。
次の特徴のあるメールのリンク・添付ファイルは、絶対にクリックしないようにしてください。

  • ファイルの実行を指示される
  • リンク先が変
  • 日本語が変
  • 急かしてくる/脅してくる
  • 署名に連絡先がない
  • 差出人メールアドレスのドメインが変

詳細は、 3分でわかる情報セキュリティ ― 本当に知り合いからのメールですか?編 ・ 3分でわかる情報セキュリティ ― 進化する迷惑メール編 ・ 3分でわかる情報セキュリティ ― 2023年度標的型メール訓練の振り返り編 等の記事で紹介しています。

IDとパスワードの取り扱いに注意する

本学のID( 職員番号・KSメール等 )を、業務外で利用するサービスに使わないでください。

パスワードは、数字・英大小文字・記号を含む13文字以上を推奨しています。また、パスワードの使いまわしは非常に危険です。
長く複雑なパスワードは管理が難しい……という場合は、おススメの管理方法を紹介しておりますので 3分でわかる情報セキュリティ ― パスワード編 をご参照ください。
次に当てはまるパスワードは今すぐ変更してください。各種アカウントのパスワード変更は パスワード - 杏林大学 総合情報センター をご参照ください。

  • 同じパスワードを使いまわしている
  • 初期パスワードのまま使用している
  • 8文字以下のパスワードを利用している 
  • 名前・誕生日・組織名(kyorin等)を入れている

OS・ソフトは日々アップデートし、サポートが終了したら使用しない

OS・ソフトは、バージョンを更新せずに利用し続けたり、サポート終了したものを利用し続けたりすると非常に危険です。
新たに発見される脆弱性( = セキュリティ上の弱点 )の対策がされず、サイバー攻撃によるウイルス感染や不正アクセス等のセキュリティリスクが非常に高くなります。
詳しくは 3分でわかる情報セキュリティ ― OS・ソフトを更新しない危険性編 をご参照ください。

Windows10・Office2019・Office2016は2025年10月にサポート終了です。お知らせ「 2025年10月までにWindows11・Office2021以上への移行が必要です 」を参照のうえ対応をお願いします。
それ以前の製品を利用している方も、早急に新しい製品を購入してください。その他のソフトウェアも日々バージョンを更新し、最新のものを利用してください。

ウイルス警告等、普段と違う挙動は総合情報センターへ

下記のように、PC利用中の異変があれば、すぐにインターネット接続を切り( 有線LANケーブルを抜く or Wi-Fiをオフにする )、総合情報センターへお電話ください。
総合情報センターの対応時間外の場合は、端末の電源ボタンを長押しし、強制的に電源をオフにしてください。直近の対応時間に連絡し、指示があるまで起動しないでください。
連絡先・対応時間については 杏林学園で働く全ての方のための情報セキュリティまとめ の「 こんなときには、総合情報センターへ 」をご参照ください。

  • ウイルス警告が出る
  • アラーム音が鳴り続ける
  • 画面に心当たりのないメッセージが表示される
  • 何もしていないのに勝手に起動した
  • 見知らぬファイルを見つけた

情報セキュリティ関連規程を読んでみよう

杏林の情報に関わる全員が対象のルールとして、情報セキュリティ関連規程があります。今ある規程は こちら からアクセスできます。
毎回3分セキュリティ記事の最後に、情報セキュリティ関連規程のちょっとした紹介文を記載していきます。
今回は 「 普段の業務で、情報セキュリティ関連規程を守れているか? 」 という観点から2つの確認事項をご紹介します。

確認1 業務の目的外で情報資産の持出しをしないようにしていますか?

情報資産とは、組織や個人が保有する「ヒト・モノ・カネ」に関する情報やデータ、それに関連する資源のことです。
教職員による情報の不正持ち出しは、本学に多大な損害をもたらす可能性があります。
不正な持ち出しは、データの流出や外部への漏えいに繋がるだけでなく、本学の信用を失墜させる深刻な事態を招く可能性があります。
特に個人情報の漏えいが起こると、経済的損失を引き起こすだけでなく、本学の社会的信用を失わせ、事後処理及び信用回復に多大な労力を費やすことになります。

【該当する箇所】 目的外の持出禁止(情報セキュリティ対策基準第5条第3項)

確認2 業務の目的外で情報、情報システム、Web閲覧、電子メールを利用しないようにしていますか?

Web サイトからダウンロードしたり、外から持ち込んだりしたプログラムそのものに、ウイルスが含まれている可能性があります。
業務に関係のないプログラムの利用は厳に慎んでください。
どうしても、業務に必要なプログラムであるならば、事前に安全な環境で動作確認を行って、管理者の許可・管理のもとで利用してください。
KSメールを私的なサービスに登録している例が見受けられます。
電子メールを私用で使うと誤って大切な業務情報を流出させる可能性がありますので、KSメールは業務での利用に留めてください。
最近ではWebサイトの改ざん、検索結果で表示されるリンク、広告バナーにより、利用者が意図していなくとも悪意のある Web サイトに誘導される場合もあります。
Web閲覧の際は、細心の注意を払ってください。

【該当する箇所】 目的外利用の禁止(情報セキュリティ対策基準第5条第3項、情報システム利用規程第2条他)