重要な2要素認証、黒塗りやアンケート設定も要注意

学校で多いインシデントについて、同課の細谷計介氏は次のように説明する。 「2023年度に前年度から件数が最も増加したのは不正アクセスで、次に誤操作・設定不備、紛失・盗難の順となっています。不正アクセスについては、例えば、メールが侵入されてスパムメールを送信されたり、学校で管理しているサーバーが侵入されたりと、とくに大学での事案が多くなっています。誤操作・設定不備では、マスキング（黒塗り）の不備が目立っています」 紛失・盗難は、年々増加しており、企業に比べて学校のほうが多いという。 「また、企業の紛失・盗難は内部不正が目立つのですが、学校の場合は書類の紛失が最多。2023年度は児童個票や指導要録、就学旅行関連資料、健康診断書などの紛失が多く見られましたが、書類を紙で管理していることに起因していると考えられ、ここは学校特有の課題ではないかと思います」（細谷氏） 学校はこうしたインシデントに対して、どう防衛すればよいのだろうか。まず「不正アクセス」については、強固なアクセス制限が必要だという。 「学生がMicrosoft 365のアカウントを乗っ取られ、スパムメールを大量に送信されてしまった大学の事案では、学生がパスワードの使い回しをしていた、あるいはフィッシングに引っかかり、偽サイトでIDやパスワードを入力してしまった可能性が考えられます。不正アクセスを防ぐには、指紋や顔による生体認証などを含む2要素認証を採用するなど、IDとパスワードだけでは認証が成立しないような対策が必要でしょう」（細谷氏） サポート詐欺は巧妙なため、誰もが偽の警告画面に出くわす恐れがあるが、個人で対処が可能だ。警告画面が出てきてしまった場合は、慌てずに画面を閉じること。「全画面表示になった際は、エスケープキーを長押しするか、『Ctrl』『Alt』『Del』キーを同時に押せばいいということを覚えておきましょう」と上村氏はアドバイスする。 「昨年、学校のサポート詐欺被害は4件見られたのですが、すべて日曜日に公用パソコンで発生しています。休日出勤、あるいは公用パソコンを持ち帰って作業している状況かと思いますが、疲れている中で誰も周りにいないこともあり、焦って被害に遭われてしまったのかなと。先生方の業務負担はできるだけ減らすべきだと思います」（上村氏） 「誤操作、設定不備」については、前述のように黒塗りの不備が多い。「目に見えない状態=データが消えたというわけではないので、確実にデータを消さなければいけない」と細谷氏は指摘する。 「よくあるのが、PDFでの黒塗りですが、PDFソフトの編集機能を使用すれば黒塗りした文字情報が判読できてしまいます。黒塗りしたとしても、その下にはデータがあるのです。専用ソフトで表示データを完全に削除する、あるいはWordやテキストデータならば、その情報を消してからPDF化するなどの対策が必要となります」（細谷氏） また、最近ではアンケートなどでGoogle フォームを活用する学校は多いが、その結果が第三者にも閲覧できてしまうケースも増えている。これについて細谷氏は、「共有機能の設定に制限をかけていないミスによるもの。情報は共有されてしまっているという前提で、設定をチェックする必要があります」と助言する。