「 3分でわかる情報セキュリティ 」について
杏林学園で働く全員を対象とした、情報セキュリティ強化のための連載です。患者・学生・教職員の情報を守るため、ご閲覧ください。また、周りの教職員への周知にご協力いただければ幸いです。全記事と詳細は こちら から読むことができます。お問い合わせは総合情報センター(井の頭6232)まで。

OS・ソフトを更新せずに利用し続けるのは非常に危険です

OS・ソフトは、バージョンを更新せずに利用し続けたり、サポート終了したものを利用し続けたりすると非常に危険です。
新たに発見される脆弱性( =セキュリティ上の弱点 )の対策がされず、サイバー攻撃によるウイルス感染や不正アクセス等のセキュリティリスクが非常に高くなります。

サイバー攻撃により個人情報や機密データが漏洩した場合、杏林学園に対する社会的信頼の失墜・金銭的負担の発生等、学園全体に与える被害は甚大です。
更に、ネットワークを通じて、学園内にある他のPCへもウイルス感染が広がり、被害が拡大する恐れもあります。

今回の記事では、上記の内容をもっと掘り下げて、なぜ危険なのか説明したいと思います。

サイバー攻撃と開発会社との闘い

そもそも、一度購入したらそのまま利用できれば便利なのに、なぜアップデートをしたり、新しい製品に買い替えたりする必要があるのでしょうか?
それは、脆弱性を巡るサイバー攻撃と開発会社との闘いが一因です。

OSやソフトウェアには、必ず脆弱性というセキュリティ上の弱点が伴います。
脆弱性とは、例えば「○○というソフトウェアがインストールされているPCは、△△すると、ログインパスワードが盗めるぞ」というものです。

この脆弱性にサイバー犯罪者が気づいてしまったら、悪用し、パスワードを次々と盗んでいくかもしれません。
盗んだパスワードを利用して不正アクセスをすることもできますし、実は、パスワードを販売すると利益にもなります。( もちろん犯罪です )

そんな悪用を防ぐため、開発会社はOSやソフトウェアに脆弱性がないか、日々調査を行っています。
調査の結果、脆弱性を解決したバージョンを、ユーザーに配信します。ユーザーはアップデートすることで、新しいバージョンを利用できるようになります。

そして「サポートが終了する」ということは、この脆弱性の調査を打ち切ることも意味します。
サポート終了後、脆弱性はそのまま放置され続けます。サイバー犯罪者からすると有難い状況です。そのためサイバー攻撃に合いやすくなるということです。

サイバー攻撃にあって、学生や患者から預かった個人情報が漏洩した場合、杏林学園に対する信頼を失う他、
更に、ネットワークを通じて、学園内にある他のPCへもウイルス感染が広がるため、自分だけの問題ではないという点をご留意ください。

杏林の情報に関わる全員が対象のルールとして、情報セキュリティ関連規程があります。今ある規程は こちら からアクセスできます。
今回から3分セキュリティ記事の最後に、情報セキュリティ関連規程のちょっとした紹介文を記載していきます。是非ご一読ください。


初回となる今回は「杏林学園情報セキュリティ基本規程」の紹介です。

杏林学園情報セキュリティ基本規程」は、杏林学園の情報セキュリティに関する基本的な事項を定めています。情報資産・情報システムの定義、文書体系の定義の他、CISO(Chief Information Security Officer)と統括情報セキュリティ責任者についても定義しています。CISOは、学園全体の情報セキュリティの最高責任者で、学長がその役割を担います。統括情報セキュリティ責任者は、CISOのもと実施責任を持つ役職として、本部・大学では総合情報センター長が、付属病院では各病院長がその役割を担います。また、情報セキュリティ委員会を年に1回または必要に応じて随時開催し、情報システムや個人情報保護のための決定を行うことも定めています。

  • 組織における情報セキュリティの最高責任者 CISO は、Chief Information Security Officerの略で、 ”シーソー”  ”シーアイエスオー” と読みます。