2.4 校内LANのセキュリティ
TCP/IPの通信は標準で平文(プレーンテキスト)で行われる。あるホストからインターネット上の別 のホストへの通信はパケットと呼ばれる情報のかたまりの転送によるが、その際パケットは暗号化されているわけではないので、途中で傍受されたり改ざんされたりする可能性がある(図1参照)。校内 LANをインターネットへ接続した場合、校内のホストから世界中の他のホストへアクセスすることが可能となる。このことは、逆に世界中のコンピュータから校内のコンピュータへ接続が可能であることを 意味する。WWWのサーバであれば、情報を提供しなければならないのであるから、外部から接続できなければならないし、外部からやってくる電子メールも常に受け付けられる状態にしておかなけれ ばならない。しかし、校内LANへのアクセスを許すと、校内の情報システムが漏洩、改竄、破壊といった被害を受ける危険性にさらされることになる。こういった被害にあうと学校であれば信用を失い、その管理責任を責められることとなる。場合によっては児童生徒の個人情報の流出といった事態をまねき、システム全体の運用に支障をきたす可能性すらある。また、不正侵入によって、そのシステ ムを足がかりに別のシステムへ不正侵入を試みる踏み台アタックと呼ばれる攻撃も多い。この方法では攻撃を受ける側からは、不正侵入された組織からの攻撃と見えるので学校の管理能力を問われる こととなる(図2参照)。一般に、大学をはじめとして教育関係機関の運用体制は十分とは言えず、このような攻撃にさらされやすい対象であることを自覚しなければならない。
 |
図1. インターネットから脅威インターネット上の情報は盗聴される危険がある。パスワードが盗聴されると不正侵入をまねく。通信路上の情報が改竄されたり、破壊される可能性もある。 |
そこで一般に、校内LANをインターネットへ接続する場合、インターネットとの接続部分にファイアウォール(Firewall:防火壁)システムを設置し、外部からの接続を限定し、内部からは円滑に利用できるという形式を取る。専用のファイアウォールを用いなくても、比較的高機能なルータを用いてインターネット接続できる場合には、ルータ部分でパケットフィルタリングという機能を使うことでも一定のセキュリティを実現することが可能である。いずれの場合にも、「セキュリティと利便性は相反する」ものであることを十分に利用者にも理解してもらう必要がある。交流学習でよく用いられるテレビ会議型のアプリケーションのほとんどは、ファイアウォールを導入することによって使えなくなるか、使い勝手が著しく低下することを覚悟しなければならない。例え、ファイアウォールがあっても、これらを円滑に利用する場合には一定のリスクが発生するということを意識しなければならない。
 |
図2. 踏み台アタック本来の攻撃目標が直接攻撃されることは少ない。事前に、踏み台となる組織に侵入した後に攻撃が行われる。単に不正侵入だけではなく、 |
また、ファイアウォールを導入したからといって安全になったと錯覚してはならない点に留意しなければならない。ファイアウォールがあるので、「セキュリティ管理が省略できました」などということは絶対にない。また、「うちは技術が無いのでファイアウォールを使っています」ということにもならない。ファイアウォールがあれば、セキュリティポリシーを表現しやすく、簡単に実装できるだけであって、管理が楽になるわけではない。利用者の要求を実現しつつ、一定のセキュリティ水準を維持し、ログの監視 など細かく行なうことをしなければ宝の持ち腐れとなる。
一般に校内にメールサーバなどがあると、教員が出先や自宅などプロバイダーを経由して、このメールサーバへアクセスすることを希望する。平文で通信が行われるPOP等の利用を外部から許すとパケットキャプチャによって、内容ばかりでなくパスワードなど簡単に流出することになる。これを制限すると、今度は校内のメールサーバへ着信したものをすべてプロバイダー側へ転送しようとする。この場合にはプロバイダー側のメールサーバへPOPで校内からアクセスするのでパスワードが流出しても、そのユーザとプロバイダーのサーバが危険にさらされることになるので都合がよいように思われがちだが、メール本文は平文のままであれば、校内で業務に使うメール上で個人情報を扱うことが困難になる。つまり、LANの中で使っていると思っていても、正規のルートで外部のプロバイダーへインターネットを経由して到達することになるわけである。これに技術的に対応しようとすると、校内に電話回線によるアクセスポイントを作ったり(それとて回線番号が分かればバックドアとなりかねないので危険ではあるが)、VPN(Virtual Private Network)技術を用いて通信路を暗号化したうえ、アドレス変換によって内部ネットワークのホストとして扱うような設備が必要になる。多少、技術的に進んだ担当者がいればフリーのソフトウェアでも暗号化された通信路等は実現可能な部分もあるが、特定の教員への依存が大きくなりかねない。
また、最近ではPCのOSレベルで簡単にディスク共有やプリンタ共有などが可能になっているが、安易に設定すると外部から閲覧されたり、改竄される原因となりかねない。外部からでなくても、コンピュータ教室などのPCから簡単に表示できてしまうことの無いように注意しなければならない。このような人為的ミスによる情報流出を防ぐために、校内ネットワークを適切なサブネットワークに分割して利用することが望ましい。十分に予算があるのであればスイッチングハブを用いてVLAN(仮想LAN)によりネットワークを分割することで、利便性やセキュリティが向上する。予算が十分に得られない場合でも、ルータを用いてネットワーク分割を行うことを推奨する。ルータの購入費用が得られないよう な場合には、安価なPCや一世代前のPCであっても、PCIのネットワークカードが2枚あれば実用レベルのルータとして構築可能である。
このようネットワークを安全に運用していくためには、設計段階からしっかりとした運用ポリシーとセキュリティポリシーを校内で議論して確立する必要がある。校内での運用ポリシーの確立に際しては、県や市町村の教育委員会の担当者との協議が必要な場合があるかもしれないし、適切な支援を受 けなければ策定が難しい場合があるかもしれない。県や市町村の教育委員会に担当する部署が無い場合や手にあまる場合には信頼できるボランティア団体の支援を受けることも考えられよう。また、インターネット上のコミュニティにメールで相談することもできる。
2.4.1 外部からのアクセスに対する保護
校内LANをインターネットに接続すると、Webサーバがあれば自校のホームページを公開することも可能となる。メールも校内のメールサーバで着信できる。通常、校内LANがプライベートアドレスで構成されており、ファイアウォールが置かれている環境では、ファイアウォールの外側にWebサーバを置く。中央センターなど中間の接続拠点が無い場合には、このWebサーバへアクセスしたり、電子メールを受けるためにDNSをファイアウォールの外側に置く必要がある。WebサーバやDNSサーバは1台のホストで構築することも可能であるが、限られたサービスのみを提供するように設定を行わなければならない。このホストへの内部からのアクセスを確保すると同時に、外部からこのホストへのアク セスを制限するために、校内ネットワーク内にDMZ(demilitarizedzone:非武装地帯)を置くケースが多い。これはファイアウォールの3番目のインターフェースとして提供されることがことが多いが、複数台のルータを用いて構成することも可能である。ここでファイアウォールは、外部からのリクエストで正当なもの(例えばWebページへのアクセスだったり、Webサーバのアドレスを知るためのDNSへのアクセスなど)は通過させるが、それ以外のサービス(内部のホスト向けの仮想端末による接続など)は排除するという機能を持ち、アクセスの記録をログとして残す。指定してあるサービスへのアクセスがあれば電子メールで管理者へ通知するというような機能を付加することもできる。実際には、さらに複数のサービスを利用するため設定は複雑になるが、基本的な動作はこのようなものである。設定は難しくなるが、性能の高いルータを使えばほぼ同様の機能をパケットフィルタリングという技術で実現することもできる。また、ルータとPC-UNIXなどで実現することもできる。
 |
図3. MRTGによるトラフィックログの採取日常のトラフィックログの観察はネットワークの需要予測を行う際に非常に有効である。しかし、毎日の利用傾向を知ることでセキュリティ上の問題を発見するために用いることもできる。 |
ファイアウォールやパケットフィルタリングが出来なくても、外部へサービスを提供するサーバを限定し、そのホストへのアクセスを制限し、十分な監視体制が取れるのであれば、安全に運用することも可能である。実際に、そのように運用している学校も多い。また、MRTG(http://ee- staff.ethz.ch/~oetiker/webtools/mrtg/mrtg.html)などによりトラフィックのログを採取することは有効である。外部から攻撃を受けると通常と異なるパターンが記録されることが多い。
いずれにしても、これらのセキュリティポリシーの実装と運用管理には比較的技術を要するため、校内だけで解決することが難しい場合が多い。市町村レベルの教育委員会でも手にあまるかもしれないが、適切なポリシーを確立すれば設定自体はシステム構築業者に依頼することが可能となる。十分に議論・検討を行いたい部分である。繰り返しになるが、信頼のおけるボランティア団体(信頼というのは団体の技術の有無ではなく、校内情報に接する機会があるため)やインターネット上のコミュニティの支援も検討する価値がある。なお、技術力のあるプロバイダーに相談するのもよい。多少通信 経費が高くても、プロバイダーによっては細かく技術相談に乗ってくれるところと、そうでないところがあるので注意されたい。
2.4.2 受け入れ情報の制御
校内LANをインターネットへ接続すると学校にポルノ・暴力・薬物など学校に不要な情報情報の流入について検討する必要がある。そもそも、これらの情報をカテゴリーに分けて選別すること自体、インターネット利用になじむかという問題、選別自体が技術的に実現可能かという問題があり、完全な解は得ることは難しい。しかし、それが障壁となってインターネットへの接続が遅れることのデメリットもまた大きい。
このような情報をフィルタする場所としては、ファイアウォールなど外部ネットワークとの接続点、Webなどを中継する内部のプロキシーサーバ、それぞれのクライアントPC自体、と複数の実装点が考えられる。また、フィルタする方策として「必要なものをリスト化する」ホワイトリスト方式と「不要なものをリスト化する」ブラックリスト方式があり、この他キーワードをブロックするなどの方式やこれらの混合によるフィルタ方式もみられる。また、Webに限定されるが外部にあるレイティングサーバに問い合わせ を出してURL毎にチェックする方式もある。
クライアントPCに実装する方法では、主に文脈によるフィルタリングが行われ、文字列などが評価されて設定するカテゴリーに一致するものが排除される。この方法は、学校のように多数のPCがあるような環境では、設定変更などの管理コストが増大し機動的な運用には馴染まない。また、外部にあるレイテリングサーバに問い合わせる方法もサーバまでの通信帯域が十分でなかったり、サーバの負荷分散が十分でない場合には遅延が大きくなり、授業などでの一斉利用での不都合は多い。プロキシーサーバやファイアウォールに実装するタイプでは、一定期間毎にフィルタするべきブラックリストが配信されるが、このリストにもれたものについては手作業で追加しなければならず、ブラックリストの性能に依存する部分が大きい。いずれの方法でも長所と短所を持つが、完全ではないにせよ制御の方法持つことには一定の意義があると思われる。
 |
図3. コンテンツフィルタにによるURLフロックの例この例ではhttp://www.xxxx.co.jp/がブロックされている。 |
どのような情報を学校で有用・不要と考えるかは学校や地域によっても異なるところである。そのような制御点にどのようなフィルタポリシーを実装するか(またはしないか)の判断を学校独自で行うことについては、担当者の負担を考えれば問題も多い。一般的にプロバイダは通信業者の立場から流通情報の検閲にあたるフィルタをおこなうことは行わない。仮にサービスとして行ったとしても、フィルタの効果について保証することができないのが現実である。共通に利用できるフィルタがあれば運用負担も少なく効果的ではあるが、複数の校種や地域を越えてフィルタポリシーの合意形成を行うことは難しい。例えば、テレビゲームについてある教育委員会は許可したとしても、別の教育委員会は禁止したいと考えるかもしれないためである。従って、教育委員会や学校単位でポリシーを策定することになるが、高等学校レベルでなければ独自に運用することは難しい。従って教育委員会レベル(つまり市町村レベル)でルールを決めることができれば、運用は比較的容易になる。しかしながら、そのような制御点を持つためには物理的に接続されたネットワークを構成するか、共通のルールを持つサーバにのみアクセス可能な論理的アクセス経路を作る必要が出てくる。仮に物理的に接続されたネットワークを構成した場合には、そのクラスター規模が重要となる。県域、市町村域で校内LANを整備する際にはアクセスラインとともに教育ネットワークをどのように構成するかが重要な鍵となってくる。
2.4.3 必要とされる内部アクセス制御
校内LANを整備すると、露出の情報コンセントが校内随所に設置されることになる。一般に学校は、外部の人間が自由に立ち入ることは難しいが、学校行事があれば比較的容易に外部に人間が情報コンセントへアクセスすることが可能となる。校内での利用の利便性を考えればDHCPなどにより動的にIPアドレスを付与する仕組みが用いられるが、このような情報コンセントへの配慮が必要となる。例えばネットワークカード毎にユニークに付与されているMACアドレス(物理アドレス)を登録して、登録されたカード以外にはIPアドレスを付与しないという認証メカニズムを導入する必要もある。シェアードHUBと呼ばれる通常のHUBを用いた場合には、他の通信を用意にキャプチャして内容を知ることができるため、IDやパスワードの流出の危険がある。無線LANを用いた場合にも、認証を設定しないと、同一の装置を用いることで容易に通信内容へアクセスが可能となる。このように校内LANを整備した場合には、内部からのアクセスにも配慮する必要がある。とりわけ情報コンセントの扱いには留意する必要がある。
また、職員室で情報共有のためにディスクやプリンタの共有設定を行なうと、校内が単一のLANとなっている場合には、そのディスクフォルダがコンピュータ教室のPCから見えてしまう。例え、そのフォルダに認証機構を付けていてもフォルダ名だけは表示してしまう。「校内事故処理」とか「期末試験問題」、「成績簿」などというフォルダ名が児童・生徒の目に触れることになる。これを回避するためには、ネットワーク的に教室系のLANと職員室系のLANをルータなどで分離する必要がある。もちろん、多少の工夫をすれば、児童・生徒でもアクセスできるので、安全とは言えないが情報の所在を漏らさないという点で効果はある。LANを分割するためには複数のイーサネットのインターフェースを持つローカルルータが用いられるが、今のところまだ高価である。簡単にこれを実施するには、PC-UNIXなどを用いればよい。最近では、サーバ機能を持ち、かつ操作の容易な専用の製品も出ている。また、CATVなどの普及に伴って安価なローカルルータも登場し始めているので、校内LANの整備の際には検討するべきである(墨田中学校の事例参照)。
PCのOSによっては、非常に簡単にWebサーバを構成できるものがある。セキュリティを気にせずにうっかり設定すると、インターネット側から参照可能になってしまう場合も多い。このような設定ミスや善意によるミスからの情報流出を防ぐためには、外部ネットワークと接続する部分で内部に非公式なWebサーバが設定されても外部からアクセスできないようにルータ部分で制限しなければならない。
2.4.5 セキュリティと利便性・セキュリティの認識と啓蒙
すでに述べたが、セキュリティと利便性は両立することはない。セキュリティを追求すると、利便性は犠牲になると考えなければならない。例えば、校内のメールサーバにアカウントを持ちノートPCで作業している教員が、これを自宅に持って帰り近所のプロバイダーに接続して学校のサーバにアクセスしたいとする。これは確かに便利ではあるが、これを許すためには、校内のメールサーバにインターネット側からのアクセスを許すことになるので、セキュリティはまったく無いに等しい。通常POPと呼ばれるメール取得のためのプロトコルではパスワードは平文で送受されるため、パスワードが流出する原因となる。仮にパスワードを知られることが無くても、外部からPOPアクセスができてしまうので、攻撃するための足がかりとなる。パスワードが暗号化されて転送される場合でも同様に足がかりとなる。これの危険を避けるために、校内ネットワークに電話回線などで直接接続できるアクセス点を設ける方法が考えられるが、これも電話番号さえ分かれば同様の攻撃対象となる。ひとたび、このような裏口(バックドア)が破られると内部ネットワークに直接接続しているだけに被害が大きくなる場合もある。従って、自宅などからのアクセスを厳に制限したくなるが、あまり制限すると校内サーバに到達したメールを外部のプロバイダーに転送して、通常時プロバイダーのメールサーバでメールの読み書きを行うというような利用が見られる。これなど、前者に比較すれば安全かもしれないが、普通にメールを転送すれば平文の送られることになりセキュリティ上好ましい状態ではない。
このような状態でさらに利便性を追求すれば、VPNを用いてプロバイダ側からのアクセス時に仮想のイントラネットへ接続するような装置と仕組みが必要となる。費用面では相当額の投資となる。もっとも、この方法を使えば一時的に保護者を校内ネットワークへ安全にアクセスさせることも出来るので、使い方によっては過剰設備とは言い難い。
従って、セキュリティポリシーを策定して、それにみあった利用ルールを作り、同時に利用者教育を行うということが重要になる。
2.5 校内LANと個人情報の保護
2.5.1 個人情報保護の必要性、その対策と運用
個人情報の保護はプライバシー権の尊重に基くものであり、1980年代に国の行政機関における個人情報保護法は制定された前後から、地方自治体においても個人情報保護条例が制定されてきた。今日、全国の地方自治体において個人情報保護条例が制定されている割合は46.1%(平成11年4月1日現在)に達している。コンピュータの利用の普及によって、個人情報がコンピュータシステムの処理対象となり、システム内に保存されることは。今や当たり前のことになっている。しかしながら、コンピュータ内に保存されている個人情報は、そこへのアクセスが可能であれば、きわめて迅速に読み出すことが可能であり、コンピュータネットワークを介して、迅速、大量、かつ広範囲にばらまかれる危険がある。このため、コンピュータや情報ネットワークの利用においては、以下のような原則の下での利用に限定されている。
| a.収集の制限・・・・ |
目的に照らして必要な情報のみを収集する。 |
| b.利用の制限・・・・ |
目的外利用の禁止 |
| c.個人参加の原則・・ |
収集された個人情報への当人のアクセス権の保証 |
| d.適正管理・・・・・ |
収集された個人情報の不正改竄、システム外遺漏がないよう適正に管理される |
一般に学校においては、生徒の個人情報として、成績、健康、校籍に関する情報や生徒指導に関する情報(これらを「校務情報」と呼ぶ。)が扱われており、最近はこれらがコンピュータに保存せる場合が多くなっている。校籍に関する情報には、生徒本人の情報以外に保護者の情報が含まれる。更に私立学校等では、授業料納入に関する情報も含まれる。これらの個人情報が厳正に保護されるべきことは明白であり、それに対する異論は見当たらない。多くの公立学校の場合、その学校が属する地方(都道府県市町村)自治体が制定する個人情報保護条例に則して、これらの情報が管理されているはずであるし、校内での不注意及び不正意図による漏洩や情報ネットワークによる校外からのアクセスによる漏洩を防がなければならないことは明らかである。
校内で個人情報にアクセスできる(参照できる)人を限定し、守秘義務及び責任の範囲が規定されなければならない。この場合、自治体の条例がそのまま適用される場合もあるし、校内での取り扱い規則が必要になる場合もある。特に、所属する自治体が未だ該当条例を制定していない場合や私立学校の場合には校内での取り扱い規則が必要であることは言うまでもない。更に、このような条例・規則の他に、コンピュータシステム及びコンピュータネットワークシステム上でも、上記の条例や規則に促した安全措置が講じられる必要がある。具体的な措置としては、校内LANの入り口部分に外部からのアクセスを通さないファイヤーウォールシステムの設置や、特に遠隔ログイン・アクセスを 禁止すため、入り口のIPルータに対し、TCP wrapperの設定がある。一方、校内LANの内部にも個人情報の安全確保の措置は必要である。現状では、このことがおろそかにされている場合が多い。例えば、校内LANを構築する場合、予算不足、設計経験の不足、データ保護への理解の不足等により、成績処理を行っていた教員のスタンドアロンPCが校内LANに接続されとき、生徒・児童が使用する教室のPCも同一のLANに接続され、教室のPCから成績等の個人情報収めたファイルの存在が分かってしまうことがあるし、このような校内LANと外部との間に、外部からのアクセスを不可能にする設定や装置が欠けている場合もみかけられる。個人情報を収めたファイルに対する関係者以外のアクセスを禁止するプロテクションを施せば、とりあえずは十分という主張もあるが、このようなプロテクションの施行はしばしば忘れがちになるし、安全システムの考え方としては、人間はミスを起すものであるとすることが前提になる。上記の職員室に設置されているPCと教室に配備されているPCを校内LANにともに接続する場合には、職員室のLANと教室のLANが互いに独立なネットワークシステムとして機能するように設計すればよい。校外との接続口が同一である複数の校内ネットワーク部分を互いに独立なLANとして運用するには、通信プロトコル(規定)の物理層で独立にする方法として、LAN間にIPルータを配置する方法がある。また、論理的に独立にする方法としては、第3層において独立にする仮想LAN(VLAN)の設定による方法がある。前者の方法ではIPルータ(複数のLANポートの装着が必要)が必要になるため、予算上で制約があると懸念されるが、UNIXのfree BSD版を搭載し、複数のEther portのボードを装着したPC(中古でも可)をIPルータとして使用しても、必要な性能が確保される例もある。後者の方法では、各ネットワーク部分の出口にあるIPルータまたは第3層スイッチにおいてVLANの設定を行うが、一般には、様々な変更に対しての対応が複雑になるため、できれば避けたい方法でもある。
インターネットに学校が接続されるようになってから、学校から発信される情報の中に、生徒の氏名、学年、場合によっては個人が特定できる写真等のデータがwebページに掲載される場合が多く出てきて、このような個人情報が公開されてしまうことが問題になっている。例えば、児童の名前と写真や家庭の電話番号がともに分かれば、児童誘拐の情報を提供することになるという危惧があるとか、ある程度年長の生徒の場合は男女交際の無理強いに使われるといった懸念である。また、このような犯罪または著しく不適切な目的でなくても、ネットワークを通して、このようなやや詳細にわたる個人情報が流れることに対する懸念や嫌悪感は当然ありうる。
一方、ネットワークを介して、互に隔たった学校の児童同士が電子メールを交換したり、協同授業の中で、双方の学級に写る画像を見ながら、会話をしながら交流する場合には、相手の名前がはっきり分かることが、近親感、連帯感や信頼感を増し、学習意欲の向上や授業の活気をもたらす効果を生ずる。これが、顔はみえても名前が不明だったり、偽名であることが分かっていたりすると、信頼感が大きくそがれてしまい、結局は協同授業の効果がそがれてしまうし、電子メールの場合にも、信頼感とともに、責任感の希薄化を生じかねないことが分かっている。教育利用においては実名性が重要であるという主張は、ここにある。ネットワークの向こうには、たとえ顔が見えない場合でも、人はいて、直接対面していると同様に、その人に対して、こちらの意見を伝えて理解してもらう努力をすれば、遠隔地にいる相手と協力できることを体験として身につける教育こそが情報化社会を生きてゆく人間教育であろう。したがって、このような場合には、かぎられた範囲であるが、個人情報の公開と保護が両立するような運用が必要になる。
この具体的な運用の例としては、ある学校では、wwwのページに児童の写真が出る場合、個人のクローズアップの度合いを制御したり、個人名を表示する場合は、姓あるいは名前だけ(山田君とか、良子ちゃん等)にしたり、家庭の住所や電話番号は絶対に表示しないで、連絡先の表示が必要な場合は必ず学校宛てにするような運用を行っている。また、他の学校の児童との電子メールの交換では、実践を始める前に相手校の教員と教育計画、運用方針と措置について詳細に打ち合わせを行った上で、児童達に利用目的をはっきりと指示し、当初はCcに担任教員のメールアドレスを指定するよう指示を与えるようにしている実践例もある。
この場合にも、家庭に関する情報はメールに書かないこと、相手に失礼なことを書いたり、汚い言葉を書かないこと等の指示も必要である。
2.5.2 個人情報の保護と認識
これまでの学校における個人情報の扱いとしては、個人情報は紙に書かれていて、冊子の中に保存されていた。この冊子を覗かない限り、情報は漏洩しない。また、各教員は職業的倫理感の自覚があり、みだりに個人情報の漏洩が生じないような努力が払われている。この場合、情報メディアに変更がどのような効果をもたらすかの理解と認識があれば、個人情報を格納し伝達する媒体が、コンピュータファイルやネットワークに変わった場合への対応は問題なくうまくゆくと想像できるのであるが、実際はそうでないのが現状である。その原因はコンピュータやそれを接続するコンピュータネットワークの特徴の理解が十分でないためである。理解と認識ができるためには、当人がコンピュータ及びネットワークを利用できるようになり、その経験の上に理解と認識を向上のための学習が必要である。情報機器の利用に自信のない間は、その効果を真剣に考えることは後回しにされ勝ちである。
したがって、個人情報保護の必要性や安全措置に対する理解と認識の向上を促す啓蒙活動が必要である。特に、校内LANの構築を機にして、このような啓蒙活動が必要である。前節で述べたように、実際の授業の現場では、個人情報の提示と保護を両立させる運用が必要な場合があるため、理解と認識は表面的なもの、硬直した知識だけのものではならず、具体的な運用をも示唆するものでなければならない。
2.5.3 ガイドラインの意義と限界
学校がインターネットに接続する事態になったとき、教育委員会等の指導機関が、学校のインターネット利用のおける個人情報保護のガイドラインを作り、その遵守の指示を行う例がでてきている。ガイドラインの制定は、個人情報保護に必要な措置や運用を明示する意義があり、前述の「校内での取り扱い規則」と同じ効果をもたらし得る。多くの場合、所属する自治体の個人情報保護条例に則した運用を具体的に示す場合が多いが、その場合、個人情報の流出を警戒するあまり、インターネット利用の自由度を著しく狭く指定する場合が見られる。その遠因は、その自治体の条例における規定内容にある場合もあるし、教育委員会の関係者のコンピュータやネットワークの教育利用の内容と効果についての経験が浅いため、個人情報の漏洩による問題が起きないため、利用の自由度を押え気味にしておく方が無難であると考えたことによる。
自治体の個人情報保護条例に問題がある場合の例としては、すべてではないが、それでも多くの条例では、「個人情報システムのオンライン接続の一律禁止」条項がある。個人情報を保有したり、個人情報データの処理を行うコンピュータシステムを他のコンピュータとオンラインでつなぐことはまかりならない、というのである。過去には、コンピュータや情報通信のシステムには、個人情報の漏洩に対する保護機能が十分備わっていなかったり、システム操作の要員の認識も低く、管理規則も徹底していなかった時期があり、その時代にはともかくオンラインで繋がないと規定した方がよいという判断はおかしくないという共通認識があった。上記の規定内容は、その時代の名残りである。その時 代は汎用コンピュータの集中処理の時代であり、当時の運用形態としては、ネットワークによる分散処理がなくてもあらゆる情報が閉じたコンピュータシステム内で処理可能であった。しかし、現在の分散システムでは、情報処理は本来的にネットワークコンピューティングによる処理が標準的なものなっている。このような状況のもとでは、情報の保護の手段も大きく改良され、秘密保持の用途にも十分耐えるもにになっている。元々この規定の精神は、個人情報の漏洩や不正使用の禁止であるから、適切な安全保護及び秘密保持の措置を講じるなら、個人情報といえどもネットワークコンピュティングによる処理を行っても不都合はない(注1)。したがって、この規定は現状に合うように改訂されるべきである。wwwのページに名前があるだけで、上記規定に違反するというのは非現実的な指摘である。勿論、このような状況の考慮も含む条例も多々ある。
学校におけるインターネットの教育利用の有効性と、その場合の個人情報保護の現状と将来を見通した個人情報保護条例にする見直しが必要である。一般に、自治体の条例改正を進める手続として、住民請求が必要であるといわれる。早晩、そのような事例が出てくるであろう。
そのような改正が実施されるまでの間は、教育委員会の努力により、インターネットの教育利用の有効性を生かし、かつ個人情報保護の目的を果たすことができるガイドラインの作成は望まれる。現にこのような内容にほぼ近いガイドラインの例もある。
注1: 「地方公共団体のコンピュータを団体外部と通信回線等により結合することを禁止する例があるが、十分な個人情報の保護措置を講じた上で、通信回線による情報の伝達の機能を活用すべきである」という指摘は、1987-88年に明らかにされている。(山崎一樹:地方公共団体における個人情報保護対策について、ジュリスト増刊(1988-6),277頁、有斐閣.自治大臣官房情報管理室監修:個人情報保護対策研究会報告「地方公共団体における個人情報保護対策」、46頁,ぎょうせい 昭和 62年11月、有斐閣.
2.6 校内LANシステムの利用と運用
2.6.1 利用の普及活動
利用の普及は環境の整備と並行して行われなければならない。通常、利用環境だけ整備しても利用は進まないし、利用の普及を図るためには一定の環境が整備されていなければならない。校内の情報担当者がネットワーク管理を行う場合、その負担は無視できるものではない。従って、ネットワーク管理の担当者が、普及の全てを任されるような体制であってはならい。複数の担当者を置き、将来のネットワーク利用のビジョンを策定し、それに向かって環境整備を行うと同時に利用促進のための活動に取り組む必要がある。利用のための「手引き」の作成や、校内の講習会の実施、利用規則の整備、不明点や問題点が発生した場合の支援体制などについて同時に取り組む必要がある。これを怠ると、利用されないネットワークシステムになったり、特定の個人への負担が増大することにより全体の生産性が上がらなかったり、後継者不在というような悪循環に陥る。これらの体制を学校単位で実施するには無理がある場合には、教育委員会がこれらの活動を支援する仕組みを作ることが必要になる。「利用の手引き」、「利用ガイドライン」などは教育委員会で整備するべきであろう。また、利用のための入門講習会やセキュリティ意識をたかめる講習会なども学校単位での実施には無理がある。その場合でも、学校毎に複数の担当者を配置できるように工夫するべきである。そのためには、校内LANの整備に先立って教育委員会内でLANを構築し、ネットワークの利用をすぐに始めるべきである。数校の実験指定校にこれらの取り組みを押し付けるのではなく、教育委員会自体がノウハウを早急に確立するべきである。実験指定校に期待することは、教育利用への応用ノウハウの開発であって、基盤の運用ノウハウの確立や普及活動のノウハウの蓄積を期待するべきではない。
普及に効果のあるアプリケーションとしてはメーリングリストと校内用のWebである。いずれも情報共有を容易にするためのアプリケーションであるが、先進的な利用を行っている学校では成功している事例は多い。このための環境整備にかかるコストは決して大きくはない。
2.6.2 日常的運用と運用体制
(1)サーバ管理の基本
設計段階からインターネット接続のためのアクセスラインを引き込む場所やネットワークの基幹装置、サーバ装置を収容する場所を検討しておく必要がある。少なくても簡単な空調設備を持ち、機器類はラックに収容できるように配慮する必要がある。真夏でも温度調節が可能な能力が必要である。機器を設置する部屋は施錠可能で児童生徒が容易に立ち入ることの無いように配慮しなければならない。可能であれば機器は専用のラックに収容し、耐震対策を施すことが望ましい。管理に必要なマニュアルや参考図書が同じ部屋に収容できるようにしておくと作業効率は高くなる。サーバを設置する場所には電話機も必要となる。電話で支援を受けられる場合には必須である。できれば、コードレスホンにして電話しながらでもラック背面などに回れるようになっているとよい。電源設備および停電対策も施す必要がある。また、落雷対策への配慮も必要となる。屋外にUTPケーブルなどで配線した場合には付近に落雷しただけで、校内LAN全体に被害がおよぶ場合がある。これは校内LAN設計時から配慮する必要がある。無停電装置があれば瞬断による機器の故障やサーバの障害を防止できるので計画に含めたい点である。
(2)ソフトウェアのアップデート
サーバコンピュータ日常的な運用管理には、ソフトウェアのバージョンアップとバックアップがある。サーバプログラムにバグがあり、セキュリティホールとなるような場合には適切にアップデートを行ったり、サービスの変更を行う必要がある。これを怠ると重大な危機に陥る可能性があると思わなければならない。主な情報源には、JEPG/IP が運営するip-connection@jepg-ip.ad.jpメーリングリストがある。JEPG/IPは、インターネットの円滑な運用と順調な発展のため、中立な立場から技術的な調査検討を行ない、必要な事項を勧告するグループで、ネットワーク管理者であれば参加することが可能である。参加方法は、Majordomo@jepg-ip.ad.jp に subscribe ip-connection <電子メールアドレス>の形式でメールを送ればよい。このリストは日本のインターネット全体への重要なアナウンスのために用いられるため、議論も質問もしてはならない。国内でセキュリティ問題を扱うJPCERT/CC(コンピュータ緊急対応センター)から重要な情報が流れることがあるので注意しておきたいリストである。JPCERTからはセキュリティホールに関する情報や不正侵入などの動向が流れるので、必要に応じてサーバプログラムのバージョンアップなどを行うことになる。また、セキュリティ対策のための情報も公開されている。とりわけ、http://www.jpcert.or.jp/magazine/beginners/などは校内の啓蒙活動にも有用である。校内で複数の担当者を決めていれば、担当の心理的負担は相当量軽減される。理想的には校内LANの管理者として3名以上の担当者を決め、常に2名以上が対応可能にしてあればよい だろう。特にバージョンアップの際には1名で対応するのではなく、複数で作業するようにしておくと、技術移転や後継者育成という面で都合がよい。
(3)バックアップ
Webサーバ、電子メールサーバ、DNSサーバ、ファイルサーバなどネットワークの運用に欠かせないサーバ群は欠かさず定期的にバックアップを取る必要がある。バックアップ作業の負荷とファイルを失った場合の損失を勘案して、バックアップの間隔を決めることになる。ネットワークを維持するためのサーバは24時間稼動があたりまえなので、通常のパソコンなどよりディスク装置の故障間隔が短くなると考える。メモリやCPU,マザーボードなども突然故障すると回復するのに時間がかかる。従って、バックアップは安定的に運用するためには必須の管理となる。
バックアップの種類にはシステム全体をバックアップするフルバックアップと直前のバックアップとの差分または当日変更だけを保存する日次バックアップなどがある。バックアップメディアには8mm,DAT,DLTなどのテープメディアやMOやCD-RW等のメディアが使われる。十分な容量を持つテ ープ装置があれば、夜間自動的にバックアップを行い、朝メディアの交換を行うという方法で比較的容易に運用することが可能である。バックアップメディアに保存された内容は、他のコンピュータで容易に復元可能なので、その管理には万全を期す必要がある。必ず鍵がかかる場所へ保管する。可能なら磁気メディア用耐火金庫を用意して、そこに3世代分以上を保管します。さらに、教育委員会などで大型の磁気データ用の耐火金庫を用意してもらい、分散して保管するようにすると、災害時にもデータを失う危険性が低くなる。
全体のディスクの容量とその変更頻度にもよるが、週末にフルバックアップを手作業で取り、後は毎日夜間に差分バックアップを取るという方法が一般的である。新規にシステムを購入できる場合には必ずバックアップ装置を考慮するほうがよい。
バックアップの運用を開始したら、バックアップを復元する訓練を行っておく必要がある。バックアップを使わなければならない事態では、ネットワークを管理する担当者の精神的な負担は極限状態にあるといって過言ではない。そのような状態では適切に復元できない場合も想定される。バックアップの復元は慣れれば難しいものではないが、日常問題なく運転できている状態では、つい練習をおろそかにしてしまうものである。複数の担当者が対応可能となるように練習しておくことが重要である。
2.6.3 障害対策と予期しない事態への対処・危機管理
ネットワークを運用すると、予期できない事態が発生することがしばしばある。その多くは、セキュリティに関するものであり、またネチケットに関する問題である。例えば、セキュリティ問題としては、気が付いたときにはすでにサーバのスーパーユーザ権限まで獲られてしまっていて、ログなども改竄されているというような状況である。このような場合に管理者が一人で対応することはほぼ不可能に近い。侵入経路を特定したり、被害の状況を調査したり、各方面への連絡をおこなったり、場合によっては行政的、司法的対処の判断まで行わなければならない。あらかじめ校内に複数の担当教員からなる対応チームを置くようにし、教育委員会への連絡をすると同時に技術的対処方法をどう決めるかと いうマニュアルを作成しておく必要がある。JPCET/CCへの連絡も重要であるし、ネットワークコミュニティに属していれば、そこで相談にも乗ってもらえるだろう。また、上位プロバイダーが技術的な防御策を提供してくれる場合もある。この場合の基本戦略としては、「まず穴をふさいで対処する」という方法と「対処しながら穴をふさぐ」という方法がある。一定の技術があれば後者の戦略を使うことによって、侵入者や攻撃者の経路を特定できるかもしれない。また、証拠となるようなログを採取できるかもしれない。しかし、そのような技術がない場合や十分な支援を得られない場合には、セキュリティホールや侵入経路自体を塞いでしまって、知らん顔をするという戦略である。ただ、この場合には再度同一の侵入者から攻撃を受ける可能性もある。ここで、注意しなければならないのは、まず侵入や攻撃の事実が正しいかどうかの判断を適切にかつ冷静に行わなければならない点である。初心者のネットワーク管理者はログに見慣れぬ記録が残っただけで、不正に侵入されているのではないかと心配になりがちだが、なぜそのようなログが残るのかを冷静に分析する必要がある。これは初心者の管理者には手にあまるので、県レベルの情報教育センターやボランティア団体などの支援を受けることになるだろう。質の高いプロバイダーであれば相談や支援を受けられる可能性がある。いずれの場合でも、担当管理者だけでも学校内だけでも対応できるものではない。日ごろから、研究会やネットワークコミュニティなどへ参加しておき、人的ネットワークの構築も行っておくことが重要である。
また、自サイトのホストが攻撃元になっているようなケースもあるかもしれない。校内で教員や生徒が構築したPC-UNIXが踏み台にされていて、その被害を受けているサイトから通知を受けるかもしれないし、生徒が悪意を持って特定のサイトを攻撃しているかもしれない。この場合も、安易にサービスを止めたりせずに、本当に自サイトからそのような攻撃が行われているのかどうか?について確認する必要がある。このような場合に有効になるのがNTPによる時間同期である。ミリ秒精度での正確性は不要であるが、秒レベルの正確さがあればログを追跡可能となる。場合によっては自校の児童・生徒を疑わなければならないケースもあるかもしれない。操作ミスによるものかもしれないし、生徒を装い生徒用PCのアドレスを詐称した攻撃かもしれない。このような状況で調査する場合には、思い込みに陥らないように複数の担当者で調査し、その対応には十分注意する必要がある。
しかし、スパムメールの不正中継などについては、即応しなければならない。数千数万というオーダーのメールが世界中に不正に中継されるのは、ネットワークリソースの無駄使いであるし、中継を許すこと自体基本的な設計ミスといわざるを得ない。
ネチケット的問題としては、外部から「おたくの生徒のアドレスでこんなメールが届いた」というような苦情を受ける可能性がある。ねずみ講的メールであったり、他者を誹謗中傷するものであったりさまざまなケースがあるが、多くの場合電子メールアドレスの詐称によるいわれなき苦情となる。例えば、生徒が(教員の場合もあるかもしれない)雑誌に自分の電子メールアドレスを書いた場合など、悪意を持った第三者がそのアドレスを使って別の人にメールを送るなどということが生じる。悪意を持っていなくても、その生徒にメールを送ろうとして、自分のアドレスを書くべきところにアドレスを記入して設定してしまった、などという事例はいくらでもある。まず、苦情を言ってくる外部の人には、その電子メールのヘッダ情報を含む全文を送ってもらうことが重要である。苦情を言ってくる側も感情的になるケースがあるので、冷静にかつ複数の担当者で対応することが重要である。ヘッダ情報には、そのメールがどこから出てどのように中継されて相手に届いたか?というようなタイムスタンプが記録されている。この情報をたどると、自校から出たメールかどうか、出ているならどのパソコンからか、まではたどれるわけである。アドレスが詐称されているような場合には自校のIPアドレスもメールサーバ名も現れないことになる。電子メールのヘッダ情報は非常に重要になるので、リテラシー教育として指導する必要がある。この点で、ヘッダ情報が通常まったく表示されないメールツールが増えてきたことは驚きであるが、そのようなツールは教育には向かないと判断するべきである。
いずれの場合にも、冷静に対処することと、チームで対応を行うことが重要となる。そのためには、校内で管理ポリシーを検討しておき、新たなサービスを開始する際には長期的に運用できるだけの体制を確立しておきたい。
 |
次へ → |