不正アクセス対策

83

の可能性は低いが、原則として教職員等が持ち込んだ電磁的記録媒体や古くから保管 していた電磁的記録媒体から感染することもあり得るので、電磁的記録媒体の使用は 組織内で管理しているものに限るとともに、不正プログラム対策ソフトウェアを開発 元等から、定期的に取り寄せ、パターンファイルの更新やパッチの適用を確実に実施 することが必要である。

(３) 教職員等の遵守事項

教職員等には、不正プログラムに関する情報及び対策を周知して、対策を徹底する ことが必要であり、特に、不審なメールやファイルの削除、不正プログラム対策ソフ トウェアを常に最新の状態に保たせることが重要である。コンピュータウイルスに感 染した兆候がある場合には、即座にLANケーブルを取り外す（パソコン等の端末の場 合）又は通信を行わない設定への変更（モバイル端末の場合）を行い、被害の拡大を 防がなければならない。

(４) 専門家の支援体制

不正プログラム対策ソフトウェアの開発元等の専門家と連絡を密にし、不正プログ ラム感染時等に、支援を受けられるようにしておく必要がある。

84 連絡網を構築しなければならない。

(２) 攻撃の予告

CISO及び統括教育情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確 になった場合、システムの停止を含む必要な措置を講じなければならない。また、関 係機関と連絡を密にして情報の収集に努めなければならない。

(３) 記録の保存

CISO及び統括教育情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が 不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存すると ともに、警察及び関係機関との緊密な連携に努めなければならない。

(４) 内部からの攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等及び外 部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や 外部のサイトに対する攻撃を監視しなければならない。

(５) 教職員等による不正アクセス

統括教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等による 不正アクセスを発見した場合は、当該教職員等が所属する学校等の教育情報セキュリ ティ管理者に通知し、適切な処置を求めなければならない。

(６) サービス不能攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は、外部からアクセ スできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサー ビスを利用できなくなることを防止するため、情報システムの可用性を確保する対策 を講じなければならない。

(７) 標的型攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は、情報システムに おいて、標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等 の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期検 知して対処するために、通信をチェックする等の内部対策を講じなければならない。

(解説)

(１) 統括教育情報セキュリティ責任者の措置事項

85

使用されていないTCP/UDPポートや不要なサービスは、不正アクセスによる侵入や 悪用に利用される可能性が高いため、ポート閉鎖やサービス停止処理を行う。

（注１）重要なファイルの改ざんについては、改ざん検知ソフトウェアの利用に よって、不正アクセス、不正プログラムの侵入を検知することが可能であ る。

（注２）CSIRTを活用してCISOへの報告、各部部局への指示、ベンダとの情報共有 及び報道機関への通知・公表などの対応を行うとともに、地方公共団体情 報システム機構（自治体CEPTOAR）等の関係機関や他の地方公共団体の同様 の窓口機能、外部の事業者等と連携して情報共有を行うことが望ましい。

(２) 攻撃の予告

情報システムに対する攻撃予告があり、攻撃を受けることが確実な場合には、シス テム停止等の措置をとらなければならない。また、関係機関との連絡を密にし、情報 収集に努めなければならない。

（注３）攻撃を受けた際の対応として、「緊急時対応計画」に基づき、ログの確 保、被害を受けた場合の復旧手順の策定、庁内関係者の役割等を再確認し ておく必要がある。

(３) 記録の保存

外部から不正アクセスを受けた場合に、その記録としてログ、対応した記録等を保 存しておくことは、事実確認、原因追及及び対策検討のため、必要であり、記録の保 存について定めておく必要がある。

（注４）不正アクセスについてログ解析を行う場合は、証拠保全用と解析用と分け て保管する必要がある。

(４) 内部からの攻撃

教育ネットワークに接続したパソコン、モバイル端末及び不正プログラムに感染し た庁内サーバを使って、庁内のサーバや外部のサーバ等に攻撃を仕掛けられる場合が あり、これらを監視しなければならない。

（注５）学校内で住民に公衆通信回線を提供する場合は、内部の情報システムとネ ットワークを切り分け、不正アクセスを防止する対策を行わなければなら ない。

(５) 教職員等による不正アクセス

教職員等が学校内にあるパソコンやモバイル端末を利用し、不正アクセスを発見し た場合には、教育情報セキュリティ管理者に通知し、適切な措置を求めなければなら

86 ない。

(６) サービス不能攻撃

サービス不能攻撃はDoS（Denial of Service）攻撃やDDoS（Distributed Denial of Service）攻撃とも呼ばれている。第三者からサービス不能攻撃を受けた場合で も、情報システムの可用性を維持するために次の例のような対策を行う必要がある。

また、これらの対策が適切に実施されているかをモニタリングし、確かめる必要があ る。

①情報システムを構成する機器の装備している機能による対策の実施

・ サーバ装置、端末及び通信回線装置について、サービス不能攻撃に対抗するた めの機能が実装されている場合は、これらを有効にする。

・ 通信事業者と協議し、サービス不能攻撃が発生時の対処手順や連絡体制を整備 する。

②サービス不能攻撃を想定した情報システムの構築

・ サービス不能攻撃を受けた場合を想定し、直ちに情報システムを外部ネットワ ークから遮断したり、通信回線の通信量を制限したりするなどの手段を有する 情報システムを構築する。

・ サービスを提供する情報システムを構築するサーバ装置、端末、通信回線装置 及び通信回線を冗長化し、許容される時間内に切り替えられるようにする。

・ サービス不能攻撃の影響を排除又は低減するための専用の対策装置を導入す る。

③通信事業者の提供するサービスの利用

・ 通信事業者が別途提供する、サービス不能攻撃に係る通信の遮断等のサービス がある場合は、これを利用する。

④情報システムの監視及び監視記録の保存

・ 学校外からアクセスされるサーバ装置や、そのアクセスに利用される通信回線 装置及び通信回線の中から、特に高い可用性が求められるものを優先的に監視 する。

・ 監視の記録については、監視対象の状態の変動を考慮した上で記録を一定期間 保管する。

(７) 標的型攻撃

標的型攻撃による外部から教育ネットワーク内への侵入を防ぐため、標的型攻撃メ ール受信時の人的対策のほか、電磁的記録媒体やネットワークに対する技術的対策に ついても次の例のような対策を行うこと。また、これらの対策が適切に実施されてい るかをモニタリングし、確かめる必要がある。なお、対策の検討にあたっては、「高

87

度サイバー攻撃対処のためのリスク評価等のガイドライン」（平成28年10月7日 情報 セキュリティ対策推進会議）及び「高度サイバー攻撃対処のためのリスク評価等のガ イドライン 付属書」（平成28年10月７日 内閣官房情報セキュリティセンター）も参 照されたい。

①人的対策例（標的型攻撃メール対策）

・ 差出人に心当たりがないメールは、たとえ興味のある件名でも開封しない。

・ 不自然なメールが着信した際は、差出人にメール送信の事実を確認する。

・ メールを開いた後で標的型攻撃と気付いた場合、添付ファイルは絶対に開か ず、メールの本文に書かれたURLもクリックしない。

・ 標的型攻撃と気付いた場合、システム管理者に対して着信の事実を通知し、組 織内への注意喚起を依頼した後に、メールを速やかに削除する。

・ システム管理者は、メールやログを確認し、不正なメールがなかったかチェッ クする。（事後対策）

②電磁的記録媒体に対する対策例

・ 出所不明の電磁的記録媒体を内部ネットワーク上の端末に接続させない。

・ 電磁的記録媒体をパソコン等の端末に接続する際、不正プログラム対策ソフト ウェアを用いて検査する。

・ パソコン等の端末について、自動再生（オートラン）機能を無効化する。

・ パソコン等の端末について、電磁的記録媒体内にあるプログラムを媒体内から 直接実行することを拒否する。

③ネットワークに対する対策例

・ ネットワーク機器のログ監視を強化することにより、情報を外部に持ち出そう とするなどの正常ではない振る舞いや外部との不正な通信を確認し、アラーム を発したりその通信を遮断する等、ウェブアクセスによって引き起こされるマ ルウェア感染を防ぐ。

・ 不正な通信がないか、ログをチェックする。（事後対策）