デジタルアーツ、過去3年間の国内セキュリティインシデント147件は学校・教育機関で発生

デジタルアーツは22日、2021年から2023年の過去3年分の国内セキュリティインシデントを集計したセキュリティレポートを公開した。

2021年から2023年の国内組織における情報漏えいなどにかかるセキュリティインシデントを、対象組織による公開報告書とマスメディアによる報道資料をもとに独自に集計したもの。

それによると、2023年の国内セキュリティインシデント総数は916件。2023年は「不正アクセス」が222件で最多となり、「誤操作、設定不備」が206件、「紛失・盗難」が165件と続いた。2021年から比較すると、「マルウェア感染」以外のすべての分類項目で件数が増加しており、セキュリティインシデントが発生し続けていることが分かる。

2022年はEmotetがメールでの配信活動を開始した要因で、「マルウェア感染」の件数が一時的に増加したが、現在は活動を休止している。Emotetの再開によっては2024年のセキュリティインシデントにも大きく影響する可能性があり、引き続き警戒が必要。

「業務外利用・不正持出」は前年の2倍以上に増加しており、2023年では最も伸び率が高い項目となった。この中の約半数は、大手グループ会社の元派遣社員が900万件以上の顧客情報を不正に持ち出したインシデントに関連していることから、影響の大きさがうかがえる。

過去3年間の国内セキュリティインシデントの中で、学校・教育機関関連の組織で発生したインシデントを集計したところ、2023年の総数は147件で年々増加しており、セキュリティ対策の見直しが求められていることも納得できる。いずれの年でも最も多いのは「紛失・盗難」であり、2023年の「不正アクセス」は前年の2倍以上と最も伸び率が高くなった。

「紛失・盗難」をさらに細かく分類してみると、「書類紛失」がいずれの年でも最も多く、全体の半数以上を占めている。「書類紛失」は、生徒の個人情報を含む児童個票、指導要録、修学旅行関連資料、健康診断書などの紛失を指し、中でも指導要録は1件あたり平均2195人の情報が記録されていることから、書類紛失の中で影響が大きいものと言える。

「誤操作、設定不備」では、「人為ミス」によるインシデントの割合が多く、「人為ミス」の詳細は黒塗り（マスキング）の不備による個人情報の流出や、個人情報の誤掲載、個人情報を含む書類の誤送付によるもの。「設定不備」によるインシデントも増加しており、フォーム上での公開設定やファイルの閲覧権限不備によるものが多く見られた。

2024年1月に行われた教育情報セキュリティポリシーに関するガイドラインの改訂では、インターネットを通信経路とする前提で、内部・外部からの不正アクセスを防御するための利用者認証（多要素認証）、端末認証、アクセス経路の監視・制御を組み合わせた強固なアクセス制御を行うことや、教職員端末上で重要な情報を表示する際の適切な運用ルールを策定する必要性が追記されている。

インシデントを防ぐためにも、今後はガイドラインを踏まえた適切なセキュリティ対策を講じることが重要となり、万が一、データの紛失や盗難、ファイルの閲覧権限不備などの人為ミスが起きた場合でも、情報自体の保護が可能なファイル管理ができるとより安心。

セキュリティレポート詳細