初代編集長ブログ―安田英久

無法地帯の大学研究室Webサイトを何とかしろ! IPAが学術組織の放置サイトに警告

ソフトウェアの更新や脆弱性解消等のセキュリティ対策は研究室やサークルに任せず、組織のシステム管理部門による集中管理を
Web担のなかの人

「大学などの学術組織は、研究室やサークルのWebサイトをちゃんと管理するように」と、IPA(情報処理推進機構)が注意喚起を行いました。実際には、企業でも同様の問題がまったくないわけではありません。

学術組織のWebサイトは集中管理するように

学術組織を狙ったウェブサイト改ざんに注意」「放置サイト一掃のため、学術組織のウェブサイトは集中管理を」――IPA(独立行政法人情報処理推進機構)は、こうした注意喚起を2月27日に発表しました。

2016年末から2017年1月にかけて、大学の研究室などのWebサイトが多数改ざんされたことをうけてのものです。

その原因は、研究室やサークルなどのサイトのような、学生や在籍期間が限定されている教員が管理しているサイト。大学などの学術組織では、オフィシャルなWebサイト以外にも、研究室やサークルなどさまざまなWebサイトが開設されています。しかし、それらのサイトは、使われなくなったあとも放置されていたり、管理が引き継がれずに管理者不在状態になってしまうことがあるのです。

そうしたサイトは、管理されなくなったあともインターネットには残っています。

では、たとえばそのサイトがWordPressのようなCMS(コンテンツ管理システム、サイト管理システム)を使っていたとするとどうでしょう。

サイト管理システムのぜい弱性から機密情報の漏えいのリスクも

通常、WordPressにぜい弱性が見つかったならば、管理者が最新版にアップデートするなど対応することで、攻撃を受けないようにします。しかし、前述のような放置されたサイトは、CMSを管理する人がいないため、悪意のある者の攻撃を受けるままになってしまうのです。

攻撃を受けたサイトは、内容が改ざんされたり、場合によっては訪問者にコンピュータウイルスを送り込むサイトになってしまったりします。

それどころでなく、もっと悪い結果も有り得ます。そのWebサーバーのシステムを自由に使えるようになるようなぜい弱性を攻撃者が突いた場合です。

この場合、Webサーバーやデータベース内のデータを攻撃者が流出させることも可能となります。また、ネットワーク構成によっては、学内の他のシステムに侵入する裏口となり、Webサーバーと関係のない機密データを盗まれたり流出させられたりする可能性もあるのです。

IPAは、「学術組織では、研究室単体の情報のみでなく、企業との共同研究などの知的財産といった貴重な情報を保有しています」として、こうした情報漏えいによる関係組織へのダメージや組織の評判悪化にも言及しています。

集中管理を前提とした体制と管理を

では、どうすればいいのでしょうか。IPAは「集中管理を前提とした体制と管理」が必要だとして、次のようなことを提案しています。

  1. ソフトウェアの更新や脆弱性解消等のセキュリティ対策は個々のページの管理者(研究室やサークル単位)に極力任せず、組織のシステム管理部門による集中管理とする。

  2. 公開しているページにセキュリティ上の問題が確認された場合に、組織のシステム管理部門が公開停止等を実施できるよう、あらかじめ周知しておく。

  3. 組織内に散在するウェブサイトをアンケート実施により把握する。
    →URL、設置目的、管理者の連絡先、ウェブサイトの公開見直し時期などを収集

大学Web担当者のみなさん、もしまだこうした管理を行っていないようでしたら、早めに進めておかないと、いつかまずいことになってしまうかもしれませんよ。

これは大学だけの問題ではない

また、こうした問題は、学術組織だけの問題ではないことを、IPAは指摘しています。

例えば、個々の“独自のポリシー”だけで一切が仕切られているような組織でも、学術組織と同様の問題を抱えていると認識し、集中管理によるウェブサイトの管理・運用を徹底する必要があります。

昔は企業でも同様のことがありました(20年前ですが)。企業のオフィシャルサイトがないにもかかわらず、一部の熱心な人が勝手にサイトを立ち上げていた時代ですね。

さすがに今は、企業の関連サイトは主管部署が把握しているでしょうし、勝手にサイトを立ち上げられないようになっているでしょうから、ここまでの状況はなくなっていると思います。今はキャンペーンサイトもしっかりと管理されているでしょう。

でも、各サイトでどんなCMSを利用しているのか、そのバージョンはいくつなのか、そのアップデートなどの管理をだれがいつしたかまで、しっかりと管理できているでしょうか。

意外と、「情報システム部が責任をもつのはOSとApacheまで」で、CMSのアップデートは事業部の責任になっていたりしないでしょうか。

学術機関向けの注意喚起ではありますが、企業のWeb担当者さん(特にWeb全体を統括する立場の方)は、改めて管理体制を見直してみるのはいかがでしょうか。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

DSP
広告関連の用語。広告主(デマンドサイド、需要側)が広告を出稿するためのプラットフ ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]