この記事は大学のサイト担当者、ワードプレスなどオープンソースのCMSを用いてコーポレートサイトを運営している企業の情報システム部及び管理部のご担当者様、各役員様向けの記事です。
1.事例紹介
琉球大学は2022年2月28日に自らが管理している琉球大学工学部教員のWebサーバが第三者に不正にアクセスされたことを発表しました。
2.不正アクセス事件の詳細と被害内容
当該大学の発表では経緯の記載はありませんが、工学部に在籍していた卒業生のうち275名分の個人情報と12名の工学部教員の個人情報、合計287名分が流出したと公表しています。
流出したメールアドレスに対して二次的被害は確認されていないとのことです。
3.不正アクセスの原因と対策
原因についての詳細も記載されておりませんが過去の個人情報が流出した経緯を考えると
・SQLインジェクション
・サイト改ざんによる乗っ取り
の可能性が考えられます。
琉球大学は対策としてサーバ管理の強化と職員に情報セキュリティの研修・注意喚起を行うことで意識向上を図り再発防止に取り組むとのこと。
4.まとめ
今回の対策が充分かと言えば、名古屋大学の事例にもある為に研修・注意喚起では対策が充分とは思えません。
不正なアクセスを検知するためのWAFの導入はもとより、サイト自体のセキュリティを高めるための「脆弱性の対策」を完璧にするために脆弱性診断の実施をお勧め致します。
人が「注意する」や「意識の向上」はもちろん大事ですがそれは一朝一夕には出来ません。
生徒や教員の安全を守るためにも脆弱性を毎日診断をしてトラブルになる前の対策を出来る仕組みづくりを構築することがセキュリティレベルの高い安全なWebサイトを実現します。
secuasは登録したサイトを毎日診断し、いつ発生するかわからない脆弱性を常に監視。万が一の時も即時検知・即時通知しトラブルになる前に対策を実施することが可能になります。まずは無料診断で自社のリスクを把握してください。