Eラーニングサイトの脆弱性が狙われる日

呉井嬢次(Johji Kurei) 2007-01-22 19:06:00

 自分が勉強している教育機関から成績や自宅の電話番号が外部に漏れた事を考えたことがあるだろうか。試験問題が試験日前に漏れたら公平性が失われるだけではない。成績が改ざんされ、志望校に落ちることだってありえる。卒業すれば終わりではない。卒業生の情報を長期間保存しているからだ。卒業証明書、成績証明書は、その後の資格取得、転職等で必要になる。そこで、最近の教育機関は、自らの情報システムに対して、どんなセキュリティ対策を設けているのだろうか。そして、今後はEラーニングサイトが問題になってくる可能性が大きい。

既存のセキュリティ対策

 教育機関のネットワーク設計、構築した経験から、現状のセキュリティ対策について幾つか紹介していこうと思う。

ネットワークのサブネット化

 生徒が利用する端末から成績を管理するサーバーに直接できない仕組みとして、ネットワークを区分けするサブネットという方法が導入されている。この方法を使えばネットワークを経由してのアクセスは制限されるため、サーバー名、IPアドレスが知られても接続できないので安全性を保つことができる。

管理者権限の分離

 情報システムの管理者権限として、rootやAdministratorといった権限が付与され、アカウント、アプリケーションの追加削除が可能となっている。そこで、生徒用の管理者権限と事務システム用の管理者権限を同じシステム管理者には与えない方法をとっている。これにより、たとえ生徒が利用できる端末やサーバーの管理者権限を奪っても、成績データを書き換えることはできない。

事後対策の整備

 色々な対策を講じても、OSやアプリケーションには次々と脆弱性が発見されている。そこで新たなセキュリティホールの登場と同時に攻撃を加えれば、不正行為はできてしまう。そこで、教育機関では、事後対策を導入している。例えば、追跡ソフトの導入、ログの保管、罰則規定、定期的なペネトレーションテストによる脆弱性検査などがある。

 このような対策を講じても、教育機関のネットワークには幾つかの弱点が見つかることがある。また、サブネットで分離しても、物理的には接続されている。サブネットを管理しているネットワーク機器の管理者パスワードが、システム管理者間で共有されている。幾つかの脆弱性が重なると、セキュリティ事故が発生する可能性が高まる。それでも、座学を中心とした教育機関の情報システムでは、生徒数が少ないので儲けは低く、逆にリスクが高いため、狙われることは少なかった。

利用者が増加しつつあるEラーニング

 ところが座学からインターネットを使った教育、つまりEラーニングが普及すると、生徒数は急増する。すると、全体的な個人情報の価値が高まる。情報価値が高まれば、狙われる確率も高まる。教育機関は、情報価値の増加に対応したセキュリティ対策の追加が求められる。

 教育は、座学中心から、ネットワーク対応、Eラーニングへと移行しつつある。一部では、教育コンテンツを共有化させる動きがある(MITに代表されるコースウエアが有名だ)。それだけなら、生徒の学習情報の管理は無縁だろう。しかし、その次に教育機関は、間違いなくEラーニングの導入を進めていく。その時、膨大な生徒数の情報をどのように管理していくのか、問われていくことになる。

現在のEラーニングの問題点

 これまでに国内外のEラーニングを受講した経験から、Eラーニングのサイトには幾つかの脆弱性が発見されている(既に発見されたサイトには指摘、対応済み)。しかし、Eラーニングのサイトは膨大にあり、以下の点については十分に配慮する必要があるので、列挙する。

・クロスサイトスクリプティング
 ウェブでは典型的な脆弱性だが、忘れた頃に脆弱性が潜在するサイトが登場する。

・管理データベースへのセキュリティ修正プログラムの未適用
 データベース(DB)に個人情報が格納されているが、Eラーニングのサイトでは、このセキュリティ修正プログラムの適用されるタイミングが遅い傾向があるように思う。対策が遅すぎると、情報漏えいの問題を引き起こす可能性がある。

・受講者情報の取り扱いに関する管理ルール、情報セキュリティ指針における情報不足
 Eラーニングの生徒の中で、自分の成績がシステムに保管される期間を知っている人は、非常に少ない。また、問合せ先がEメールのみ開示し、電話番号を非公開するケース、責任者が不明なサイトもある。

 学校を卒業して、更に自らの技能を向上させるために、Eラーニングを利用する人は増えていく。その時、Eラーニング業者をきちんと選ぶこと、しっかりしたセキュリティ対策を講じることができるEラーニングのサイトが増えることが望まれる。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR