こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
東京都教育委員会は5月31日、都立高等学校での個人情報の漏えいについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】コミュニケーションツールの設定ミスで、個人情報が漏洩してしまったということです。インシデントの原因となったMicrosoft Teamsの機能と、コミュニケーションツールを使う際にセキュリティの観点で気を付けるべきポイントについて説明します。
今回のインシデントは、教諭がMicrosoft Teamsにアップロードした生徒等67名分の個人情報が、他校でも閲覧できる状態となっていたというものです。原因として、教職員及び生徒共有のアカウントで、Microsoft Teamsにて公開範囲が「パブリック」となっているチームに生徒指導に関する教員の会議で使用するデータをアップロードしたことが挙げられています。他校の生徒から、教職員及び生徒共有のアカウントで個人情報が閲覧できることについて連絡があり、発覚しました。
対策として、校長がデータを削除しています。また、全生徒に事実の説明と謝罪を行い、対象となる保護者等に家庭訪問等で内容の説明と謝罪を実施しています。再発防止策として、Microsoft Teamsに関する研修等の実施、自己点検票による周知徹底、公開範囲を「プライベート」にするよう周知徹底、また定期的に点検確認を行うということです。
インシデントの原因となった機能として、Microsoft Teamsで使われていた共有アカウントと、公開範囲の設定が挙げられます。
まず、インシデントの原因として、コミュニケーションツールにログインする際に、教職員及び生徒共有のアカウントを使用していたことが挙げられます。共有アカウントのチャネル、会話、ファイルは、そのアカウントを共有するユーザ間でも共有されてしまうことになりますので、共有アカウントで個人情報を取り扱うべきではありません。
また、Microsoft Teamsで公開範囲をパブリックにしている場合、チームメンバーは、チーム内のすべてのチャネル、会話、ファイルにアクセスすることができます。もし、ゲストユーザーのアクセス許可を設定している場合は、ゲストユーザーもチーム内のチャネル、会話、ファイルにアクセスすることができます。一方で、公開範囲をプライベートにすると、チーム所有者が招待したユーザーのみ参加して、チーム内のチャネル、会話、ファイルにアクセスすることができるようになります。
コミュニケーションツールを使う際にセキュリティの観点で気を付けるべきポイントとして、参加しているメンバーが誰であるか把握した上で、会話したり、ファイルを共有したりすることが求められます。
コミュニケーションツールは社内だけでなく、社外のメンバーが参加している場合があります。また、誰でも参加できるコミュニケーションツールの場合、あとから参加したメンバーも過去の履歴を閲覧できてしまうかもしれません。
機密情報を含む会話やファイルなどを共有する場合は、アクセスできるユーザーを限定する必要がありますので、参加しているメンバーやコミュニケーションツールの設定について、あらかじめ確認することが求められます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
