「 3分でわかる情報セキュリティ 」について
杏林学園の全教職員を対象とした、情報セキュリティ強化のための連載です。患者・学生・教職員の情報を守るため、閲覧の程よろしくお願いいたします。また、周りの教職員への周知にご協力いただければ幸いです。全記事と詳細は こちら から読むことができます。お問い合わせは総合情報センター(井の頭6232)まで。

大学では日々、学生・教職員・研究データなど、多種多様で機微な情報を扱っています。サイバー攻撃の多くは、特別な技術を使わずとも「基本的な対策の不足」を突いて侵入してきます。
ここでは、教職員の皆さまに必ず押さえていただきたい3つの基本対策をご紹介します。

基本こそ最強の防御策

  1. 強力で使い回さないパスワードを使う
  2. 業務・個人情報は原則学外に持ち出さない
  3. ソフトウェア・OSは常に最新に保つ

1. パスワードは推測されない強い設定を

弱いパスワードは攻撃者に狙われやすい典型的な入口です。
強いパスワードを実践するために、以下のポイントを推奨します。

  • 長く・複雑に・そして“使い回さない”
    • 最低でも10文字以上
    • 英大文字・小文字・数字・記号を組み合わせる
    • 他サービスとの使い回しは絶対NG
  • 文部科学省からパスワードポリシーの厳格化を求められており、本学では2026年4月以降、各種システムのパスワード要件をより厳しく設定する予定です。
    詳細については、4月以降に総合情報センターよりあんずNET等を通じてご案内いたしますので、必ずご確認ください。
  • よくある不適切な例
    • 「taro2026」など名前+数字
    • キーボード配列(qwerty, 123456)
    • 誕生日・研究室番号・電話番号

これらは攻撃ツールにより一瞬で突破される可能性があります。

2. 業務・個人情報は原則学外に持ち出さない

学外への業務情報・個人情報の誤った持ち出しや取り扱い不備によるインシデントが、他大学で発生しています。
個人情報320件を記録したUSBメモリ紛失、持ち出し禁止規定に違反|富山大学|サイバーセキュリティ.com
2024年|重要なお知らせ(近畿大学病院産婦人科における個人情報の漏洩について)|近畿大学病院

  • 学外への持ち出し禁止事項
    aaaa以下の情報は、原則として学外への持ち出し(電子・紙・記録媒体を含む)は禁止です。
    • 個人情報(氏名、住所、連絡先、職員番号など)
    • 学生・患者情報(氏名、住所、連絡先、学籍・患者番号など)
    • 機密資料、研究資料、業務計画、設計書、議事録など
  • やむを得ず持ち出す場合
    業務上必要で、やむを得ず学外に持ち出す場合は、事前に所定の申請と上長の承認を必ず取得してください。それが難しい場合は、周囲の教職員と共有する等可能な限りの手段を施してください。
    また、持ち出す場合は、以下の対策を実施するようお願いします。
    • 暗号化された端末・媒体のみ使用する
    • 公共の無線LAN(フリーWi-Fi)は使用しない
    • 移動中の作業(電車・バスなど)は行わない
    • 紛失防止のため、携行物を手に持つ等、常に体から離さないように保管する
  • 特にインシデントが発生しやすいシーン
    • 外部媒体(特にUSBメモリ)・紙資料の持ち出し
    • 私物デバイス(個人PC・私用スマホ等)へのデータ保存

学外に持ち出すと紛失・盗難のリスクが一気に高まります。公共交通機関・飲食店・ホテル等の不特定多数が出入りする施設を利用する際は、特に気をつけてください。他に車上荒らしによる盗難の事例も起こっています。当然ですが、飲酒は絶対に避けるようお願いします。

3. ソフトウェア・OSのバージョンは常に最新へ

サイバー攻撃の多くは、古いバージョンのソフトやOSに存在する既知の脆弱性を悪用します。
繰り返しになりますが、大学では、研究データ、個人情報、システム運用など、さまざまな重要データが日々扱われています。その安全を守る基盤となるのがソフトウェアとOSの最新化です。

  • アップデートには「不具合修正」だけではなく“脆弱性の修正”が含まれる
    多くの人が「アップデート=便利になる、新機能が追加される」と考えがちですが、実際には最も重要なのはセキュリティ修正です。
  • 脆弱性(ぜいじゃくせい)とは?
    ソフトに見つかった“侵入口となる欠陥”のこと。発見されると世界中に情報が共有され、攻撃者はその脆弱性を狙った攻撃ツールをすぐに作成します。
  • アップデートを「後でやる」は危険
    アップデート通知を後回しにすると、脆弱なまま使用する期間が生まれてしまいます。見つけたら可能な限り早く更新してください。
  • アップデートをしないとどうなる?
    • 外部からPCを乗っ取られる
    • 勝手に暗号化され、研究データが使用不能になる(ランサムウェア)
    • 同じネットワーク内の他PCにも被害が波及
    • 大学全体のネットワーク遮断など大規模障害につながる

 特に大学は研究設備や古い機器が混在しやすく、狙われやすい環境になりがちです。

  • アップデートの種類を知ると対応しやすい
    • セキュリティアップデート(最優先)
      脆弱性を修正。最も重要なので「その日中の更新」が望ましい。
    • 機能アップデート
      デザイン変更や新機能追加。急がなくても良いが、長期間放置すると結果的に脆弱な環境に。
    • アプリごとの個別アップデート
      ブラウザ、PDFリーダー、研究用ツールなど。
      特にブラウザ・Java・Adobe関連は攻撃の主要ターゲット。
  • 大学で利用する機器は特に注意
    • 教育・研究・事務用PC(大学ネットワークに接続するので、更新が遅れると大学全体にリスクが及ぶ)
    • 実験装置に接続するPC(「環境が変わると困る」という理由で古いOSのまま動かしているケースも)
    • 共有端末(誰が管理するか曖昧になりがちで、更新が止まりやすい)

特殊環境のため更新を止めていると、想定外の経路から攻撃を受けることがあります。計画的な更新を心がけましょう。

  • 実践的な「更新の習慣化」のコツ
    • OS・Office・ブラウザは自動更新をON
      • 特にブラウザは攻撃されやすいため、常に最新が安全
      • 通知が来たら「後で」ではなく即クリック
      • アップデートを後回しにする癖が最大のリスク
    • 長時間の更新が必要な場合は、昼休み・退勤前に実行
      • 計画的に行えば作業に支障は出にくい
    • 研究室では「更新担当」を決める
      • 誰がやるか曖昧だと放置されやすいため、役割を明確に

以上の対策は、最先端技術を用いた攻撃にも十分有効です。日常の小さな習慣が、大学全体の安全を守ります。
ぜひ今日から、できるところから見直しをお願いいたします。