学校の職員室にて
 |
 |
ずんだもん(先輩ICT支援員)「つむぎ、えらいこっちゃ!隣の学校で、担任の先生が作ったファイルが、子どもたちに見られちゃったんだって!」
つむぎ(後輩ICT支援員)「マジか!ありえん!どうしてそんなことになったの?」
情報漏えいの概要
-
当学校で情報漏えいが発生しました。
-
原因は、担任がいじめの内容や経緯をまとめたファイルを校務用パソコンに保存し、そのパソコンのパスワードを児童に教えていたことです。
-
その結果、担任不在時に児童がファイルを見られる状況になり、実際に閲覧した児童がいたことが判明しました。
つむぎ「ヤバいわね!けど、日本中でありそうな風景だわ!」
教師用PCの特殊性
つむぎ「ねえ、ずんだもん。学校の先生たちのPCって企業のPCと何が違うの?」
ずんだもん「それは、学校特有の環境があるからなのだ。例えば、生徒がたくさんいる環境では、社外で持ち歩いたりカフェで使ったりするのと同じくらい高いセキュリティが必要なのだ!」
つむぎ「へー、そうなんだ!具体的にはどう違うの?」
ずんだもん「こんな感じでまとめてみたのだ!」
| 項目 | 一般企業PC | 学校教師PC | ずんだもんのコメント | つむぎのコメント |
|---|---|---|---|---|
| 利用環境 | オフィス内やリモートワークなど、比較的限定された環境。 | 生徒がいる教室や職員室など、不特定多数が近くにいる環境。 | 「学校では生徒がすぐそばにいるから、物理的なセキュリティも重要なのだ!」 | 「確かに!生徒が悪気なく触っちゃうこともあるし、気をつけないとね!」 |
| セキュリティリスク | 主に外部からのサイバー攻撃や情報漏えい。 | 生徒による不正アクセスや情報漏えい、端末の紛失・盗難など。 | 「生徒によるいたずらや好奇心で情報漏えいするケースもあるから注意なのだ!」 | 「子どもって好奇心旺盛だから、パスワードとか見られたらアウトじゃん!」 |
| データ内容 | 顧客情報や業務データなどが中心。 | 個人情報(生徒・保護者)、成績データ、いじめに関する記録など機密性が高いデータ。 | 「学校では子どもたちの未来に関わる重要なデータを扱うから特に慎重になるべきなのだ!」 | 「成績とかいじめの記録とか、絶対漏れちゃダメなやつじゃん!」 |
| 物理セキュリティ | 基本的には個人が管理し、オフィス内で利用することが多い。 | 教室に端末を置きっぱなしにすることが多く、生徒が触れる可能性あり。 | 「教室に置きっぱなしは危険なのだ!画面ロックや端末暗号化は必須なのだ!」 | 「置きっぱなしでも安心できる仕組み作らないとヤバいね!」 |
| 持ち出し利用 | 社外への持ち出し時に厳しいセキュリティ対策を実施することが多い。 | 学校外への持ち出しは少ないが、生徒との共有環境では持ち出し時と同等レベルのセキュリティが必要。 | 「生徒たちとの共有空間はカフェとか公共スペースと同じくらい危険と考えるべきなのだ!」 | 「教室って意外と危険なんだね!カフェ並みの対策って納得かも。」 |
| ソフトウェア管理 | 業務用ソフトウェアや社内専用ツールを使用。 | 教育用ソフトウェアや教材用ファイルを多く使用。 | 「教育用ソフトはアップデートされないこともあるから脆弱性に注意なのだ!」 | 「古いソフト使ってる学校とかあるよね!それって危ないんだ…。」 |
つむぎ「なるほど!学校って生徒との距離が近い分、物理的なセキュリティとか意識しないとヤバそうね。」
ずんだもん「その通りなのだ!特に教室や職員室はカフェみたいな公共スペースと同じくらい危険だから、高レベルなセキュリティ対策が求められるのだ!」
エンドポイントセキュリティ対策
|
|
ずんだもん「今回の件は、担任の先生の不注意とみなされがちだけど、ICT支援員(情シス)の観点からすると、根本原因は別にあるのだ!」
つむぎ「それってどういうこと?」
ずんだもん「これはエンドポイントセキュリティ対策をしっかりやっていれば、被害を最小限に抑えられたはずなのだ。」
つむぎ「えんどぽいんと?」
ずんだもん「そうなのだ。端末という意味で使われることが多いのだよ。今回はWindows端末について深掘りしてみるのだ!」
つむぎ「あーし、セキュリティとかマジわかんないけど、ちゃんと対策しないとヤバいから教えてちょーだい!」
ずんだもん:「以下がまとめた表なのだ!」
| 対策項目 | 内容 | ずんだもんのコメント | つむぎのコメント |
|---|---|---|---|
| ID設計 | 多要素認証 (MFA) の導入、最小特権の原則 (POLP) の適用、IAM ツールの利用 | 「ユーザーごとにちゃんとIDを分けて、使いまわし厳禁にするのだ。 顔認証や指紋認証、スマートカード認証にするのがベストなのだ! 教師や生徒にPCへのローカル管理者権限はもたせないのが一番なのだ。」 |
「IDとパスワードはマジ重要!MFAとかPOLPとか、横文字の意味はよくわかんないけど、厳しくするだけじゃなくて、ユーザーにとっても便利で安心になるってことじゃん?」 |
| 端末設計 | デバイスの可視化と管理、セキュリティポリシーの適用、デバイス暗号化、USBポートの制御 | 「どんな端末が学校のネットワークに繋がってるか、全部把握するのだ。 あと、データがローカルに保存されないようにしたり、一定時間無操作で画面ロックされるようにするのだ!」 |
「端末管理、超だるいけど、しゃーない。 でもIntuneでクラウド管理しつつ、データレス設計にすればかなり楽になりそうよね?」 |
| OS設計 | アプリケーション制御、パッチ管理の自動化、EDR (Endpoint Detection and Response) の導入 | 「許可されてないソフトを勝手にインストールできないようにするのだ。OSとかソフトのアップデートも自動でやるようにするのだ!もしウイルスが入ってきても、すぐに発見できるように、EDRを入れるのがおすすめなのだ。」 | 「アプリの管理も大事だよね。怪しいアプリは絶対NG!パッチ管理は自動化しないと、絶対忘れるじゃん。EDRってなんかカッコイイ!」 |
| セキュリティ設定 | セキュリティベースラインの適用、コンプライアンスポリシーの設定、ゼロトラストモデルの導入 | 「セキュリティの基本設定をちゃんと決めて、すべての端末に適用するのだ。 Entra Joined端末だけ学校のWIFIに接続できるようにするのだ!」 |
「ゼロトラストって、なんか難しそうだけど、IntuneとEntra P1とDefenderでかなりのことができるのね!チルいわ~。」 |
ID設計
|
|
ずんだもん:さて、具体的な対策を考えていくのだ!まずはID設計から始めるのだ!
つむぎ:あーし、ID設計って何するか知ってる?マイクロソフト365とかのライセンスを先生たちに与えるんだよね?
ずんだもん:そうなのだ!一般ユーザーにはMS365 Premiumか同等ライセンスを付与するのがいいのだ。EMS E3 + Basic/Standardでもいいのだ。学校むけのAライセンスとかもあるので調べてくれなのだ。
つむぎ:マジ?それってどんなメリットがあるの?
ずんだもん:こんな感じなのだ!
| 項目 | 内容 | ずんだもんのコメント | つむぎのコメント |
|---|---|---|---|
| ライセンス付与 | 教師やスタッフにはMS365 PremiumまたはEMS E3 + Basic/Standardを付与。学校向けのAライセンスも検討可能。 | 「ライセンスをちゃんと付与すれば、セキュリティ機能がフル活用できるのだ!」 | 「ライセンスって大事なんだね!あーし、学校向けのAライセンスとか調べてみるわ!」 |
| 多要素認証 (MFA) | パスワードだけでなく、スマホの認証アプリやSMSコードを使って本人確認を行う。 | 「二段階認証でセキュリティが強化されるから安心なのだ!」 | 「MFAはベースラインよね。これなら不正ログインとか防げるじゃん?」 |
| 条件付きアクセス | 場所、端末状態、ネットワーク条件に応じてアクセス制限を設定し、不審な環境からのログインをブロック。 | 「条件付きアクセスなら、怪しい場所からのログインを防げるのだ!」 | 「これって超賢いじゃん!怪しい端末とか場所からは絶対入れないようにするんだね!」 |
| 一元管理 | IntuneやAzure ADを利用してアカウント管理を一箇所で行い、Officeアプリやクラウドサービスも統合的に運用。 | 「一元管理なら、先生たちが使うサービスも全部まとめて管理できて便利なのだ!」 | 「これなら管理者も楽じゃん?まとめて管理できるって超効率的!」 |
ずんだもん:これでID設計についてはバッチリなのだ!セキュリティと利便性を両立させた仕組みなのだ!
つむぎ:確かに!この設計なら安全性も高いし、先生たちも使いやすいからいい感じじゃん!
端末設計
|
|
つむぎ:超便利じゃん!次は端末設計について話そうよ!
ずんだもん:端末設計としては、まずユーザーの端末をWindowsに統一するのだ。教師はOfficeアプリを使うからなのだ。
ずんだもん:そして、端末は初期化してAutopilotからEntraJoinして、ローカルアカウントを作成しない運用にするのだ!
つむぎ:ローカルアカウント作らないって、どういうこと?
ずんだもん:つまり、すべてのPCログインはクラウド認証を通すということなのだ。こうすると、管理が楽になるし、セキュリティも向上するのだ!
| 項目 | 内容 | ずんだもんのコメント | つむぎのコメント |
|---|---|---|---|
| デバイス統一 | 教師の端末をWindowsに統一し、Officeアプリや教育関連ソフトウェアが円滑に利用できる環境を整える。 | 「Windowsに統一すれば運用が安定するのだ!Officeアプリも使いやすいのだ!」 | 「WindowsならOfficeも使えるし、先生たちも慣れてるじゃん?いいと思う!」 |
| クラウド認証運用 | Autopilotを利用して端末を初期化し、EntraJoinでAzure ADに接続。ローカルアカウントを作成せず、すべてクラウド認証で管理する。 | 「ローカルアカウントをなくすと、セキュリティが向上するし、管理も楽になるのだ!」 | 「クラウド認証なら、パスワード忘れたときとかもリカバリー簡単そうじゃん!」 |
| デバイス暗号化 | BitLockerなどを利用して端末全体を暗号化し、不正アクセスや紛失時の情報漏えいを防ぐ。 | 「暗号化しておけば、万が一端末が盗まれても安心なのだ!」 | 「暗号化はマジ必須!やんちゃな生徒がPC分解してもデータ取り出せないからいいね!」 |
| USBポート制御 | USBポートの利用を制限し、不正なデバイス接続やデータ持ち出しを防ぐ。 | 「USBメモリはintuneの構成で全ブロックするがいちばんラクなのだ!」 | 「USBが挿されたら通知するみたいな運用より、最初から全ブロックするほうが人件費の無駄にならないね!」 |
| 画面ロック設定 | 一定時間無操作の場合に画面ロックがかかるよう設定し、不正利用を防止。 | 「画面ロックで他人に勝手に使われないようにするのだ!」 | 「画面ロックは地味だけど大事だよね!5分くらいがいいのかな?」 |
| クラウド管理 (Intune) | Intuneなどのクラウド管理ツールを活用して、端末設定やセキュリティポリシーを一元管理。 | 「クラウド管理なら、どこからでも設定変更や監視ができて便利なのだ!」 | 「クラウドとか便利そう!これなら管理者も楽になりそうじゃん?」 |
ずんだもん:これで端末設計についてはバッチリなのだ!セキュリティと運用効率を両立できる仕組みなのだ!
つむぎ:確かに!あーし的にも、この設計なら先生たちも使いやすいし、管理者も楽になるからいい感じじゃん!
OS・データレス設計
|
|
ずんだもん:つづいてOS設計、とくにPCのデータレス設計についてなのだ!
つむぎ:データレスPCソリューションって、PCにデータを残さない仕組みなんだね。具体的にはどうやって実現するの?
ずんだもん:例えば、データをPC本体に一時的に保存して自動的に削除する方法があるのだ。それにOneDrive同期を組み合わせる方法などがあるのだ。
ずんだもん:あと、ログオフしたらプロファイルを消去する設定や、フォルダリダイレクトで重要なデータをネットワーク上に保存する方法もあるのだ!
つむぎ:へー、それぞれの方法にはメリットとかデメリットがあるんだよね?教えてよ!
ずんだもん:こんな感じなのだ!
| 項目 | 内容 | ずんだもんのコメント | つむぎのコメント |
|---|---|---|---|
| OneDrive/Boxなどクラウド同期 | ファイルをクラウドに保存し、必要なときだけローカルにキャッシュ。 | 「クラウドバックアップがあるから安心なのだ!どこからでもアクセスできるのが便利なのだ!」 | 「これ超便利じゃん!あーし的にはこれが一番いいと思う!」 |
| Windows一時プロファイル | ログオフすると一定期間でプロファイルが消去される設定。 | 「簡単に導入できるけど、データの保存先は別途設定が必要なのだ!VDIとの組み合わせもありなのだ」 | 「コストゼロで導入できるのは超コスパじゃん!でも慎重な設計が必要そうだわね。」 |
| フォルダリダイレクト | 重要なフォルダをネットワーク上に保存し、ローカルには残さない仕組み。 | 「これは20年前からあるちょっと古い設計なのだ。完全にローカルネットワークで動くから安心なのだ!」 | 「ちょいとレガシーで設定複雑そうだけど、熟練のおじさんエンジニアが来てくれそうで安心じゃん?」 |
つむぎ:なるほどね!あーし的には、クラウド同期が一番使いやすそう。どこからでもアクセスできるって先生たちにも便利じゃん?
ずんだもん:そうなのだ!特に学校ではインターネット接続が安定していることが多いから、OneDrive同期はおすすめなのだ。でもフォルダリダイレクトも用途によっては有効だから、状況に応じて選ぶといいのだ!
つむぎ:了解!これなら先生たちも安心して使えるし、生徒たちの情報漏えいも防げるね!
セキュリティ監査設定
|
|
ずんだもん:最後に、セキュリティ監査設定について話すのだ!Entra/Defenderの監査ログがキーになるのだ!」
つむぎ:監査ログ?それってなんなの?
ずんだもん:Entraの監査ログはMicrosoft Entra IDでのユーザーの活動を記録するものなのだ。また、Defenderは別のプラットフォームとして同じように詳細なセキュリティログが取れるのだ。
つむぎ:へー!それって便利じゃん!具体的にどんな情報が見られるの?
ずんだもん:こんな感じなのだ!
| 項目 | 内容 | ずんだもんのコメント | つむぎのコメント |
|---|---|---|---|
| ログイン活動監視 | 不審なログイン場所や時間、失敗したログイン試行などを監視し、異常を検知。 | 「変な場所や時間からのログインがあったらすぐわかるのだ!不正アクセスの防止に役立つのだ!」 | 「これって超便利じゃん!誰かが不正ログインしようとしたらすぐバレるんだね!」 |
| 端末状態監視 | ウイルス対策ソフトの状態、OSの更新状態、ディスク暗号化状況などを一元的に確認。 | 「どの端末がセキュリティ的に危険な状態なのか一目でわかるのだ!」 | 「これで管理者も楽になりそう!どのPCが危険かすぐわかるのいいね!」 |
| データアクセス監視 | 機密データへのアクセス状況を監視し、不審なファイル操作を検知。 | 「大事なデータに誰がアクセスしたか全部記録されるから安心なのだ!」 | 「これなら今回みたいな情報漏えいもすぐわかるじゃん!マジ重要!」 |
| 脅威検出 | マルウェアや不審な活動が検出された場合にリアルタイムでアラートを発信。 | 「ウイルスや怪しい動きがあったらすぐに通知が来るから対応が早くなるのだ!」 | 「リアルタイムアラートって超便利!問題が大きくなる前に対処できるね!」 |
| 攻撃面現象監視 | エクスプローラーやブラウザ経由での不正なアクセスを検知・防止し、セキュリティの穴を見つける。 | 「攻撃されやすい部分を見つけて対策できるから、先手を打てるのだ!」 | 「先手必勝!攻撃される前に対策できるのマジいいじゃん!」 |
つむぎ:これって自動で監視してくれるの?
ずんだもん:Entraについてはあるていど手動対応が必要なのだ。PowerBIでダッシュボード化すると、見やすくなって管理者が異常をすぐに発見できるようになるのだ!
つむぎ:へー、それはよさそう!Defenderはどうなの?
ずんだもん:Defender for Business/Endpointを導入すれば、設定にもよるけど、ほとんど自動で監視してくれるのだ。異常があれば管理者にアラートが届くのだ!
つむぎ:マジ便利!これなら、今回みたいな情報漏えいもすぐに気づけるし、対応も早くできるじゃん!
ずんだもん:そのとおりなのだ!セキュリティは「見える化」することが大事なのだ。問題が起きてからでは遅いから、常に監視して早期発見・早期対応ができる体制が重要なのだ!
つむぎ:あーし、むずかしかったけど少しわかった気がマジするわ!
ずんだもん:今回の対策をまとめると、
- ID設計でMS365ライセンスを付与
- 端末はWindowsに統一してEntraJoin、パスワードレス運用
- ローカルにデータを置かないデータレス設計
- セキュリティはEntra/Defenderで可視化して監査
するってことなのだ。
つむぎ:マジ完璧じゃん!チルいわ~。
ずんだもん:そのとおりなのだ!これで学校のセキュリティが大幅に向上するのだ!子どもたちの情報も、先生の情報も、しっかり守れるようになるのだ!
職員室にて
|
|
ずんだもん「結局、ユーザーごとにちゃんとIDを分けて、顔認証とか指紋認証とかでパスワードレス運用をするのがベストなのだ!」
つむぎ「でもあーし、ちょっと心配だわ...。」
ずんだもん「なにが心配なのだ?」
つむぎ「顔認証で顔が濃すぎて認証されなかったらどうするの?」
ずんだもん「それは…顔が濃い認証モードを作るしかないのだ!」
つむぎ「でもさ、あーしがガングロメイクしたらどうなる?顔が真っ黒で白いラインだけのギャルモードだよ?」
ずんだもん「それはもう『ガングロモード』を作るしかないのだ!でも、顔認証AIが『これは人間じゃなくてアートです』って判定するかもしれないのだ!」
つむぎ「アートって!じゃあ、さらに進化して『ヤマンバメイク』したらどうなる?目の周り真っ白で、髪は銀色、まるで妖怪じゃん?」
ずんだもん「それは…AIが恐怖でフリーズするのだ!ログイン画面に『助けてください』って表示されるかもしれないのだ!」
つむぎ「じゃあさ、逆に『すっぴんモード』にしたらどうなる?あーしの素顔がバレちゃうけど?」
ずんだもん「それはAIが『これ誰?新規登録しますか?』って言い出すかもしれないのだ!ギャルから素顔への変化はAIにも衝撃なのだ!」
三日後
学校で顔認証システムが導入されたものの、つむぎが「ヤマンバメイク」で挑戦。
結果、「顔認証システム」が彼女を「太陽神」と判定してしまい、校内で拝まれ始める事態に。
つむぎ「あーし、『太陽神』とか呼ばれちゃったけど...、これってセキュリティ的にはOKなの?」
ずんだもん「もうセキュリティとかどうでもいいから、お願いだから早く顔洗ってくれなのだ!」
利用キャラクター
- ずんだもん:VOICEVOX:ずんだもん
- つむぎ:PIXIV:りょうごさん
本記事で使用しているキャラクター画像の著作権は、それぞれの権利者に帰属します。
非商用目的での利用に基づき掲載しています。