不適切な掲示板投稿への対応
Post on 02-Dec-2014
12.853 Views
Preview:
DESCRIPTION
TRANSCRIPT
社団法人私立大学情報教育協会
Page 1
A-2
不適切な掲示板投稿への対応
東海大学総合情報センター
横田 秀和
社団法人私立大学情報教育協会
Page 2
大学の情報システム部門におけるインシデント
セキュリティインシデント
ウィルス感染・不正アクセス・情報漏洩・・・
システムトラブル
電源・ストレージ・ネットワーク・・・
利用者トラブル
掲示板・SNS・ブログ・メール・ファイル共有・・・
社団法人私立大学情報教育協会
Page 3
利用者トラブルの例
掲示板・SNS・ブログに不適切な書き込み
マルチ商法・ネズミ講を煽るメールを送信
チェーンメールを送信
著作権で保護されているコンテンツをファイル共有
不適切なオンラインショッピング
WWWで不適切な情報公開
社団法人私立大学情報教育協会
Page 4
本セッションの目的
利用者トラブルの対応を体験
事例を元にトラブル対応担当者をロールプレイ
対応の手順を実習
インシデント対応の手順を検討
対応の留意点
大学(教育機関)特有の事情
(一例としての)対応手順の提示
社団法人私立大学情報教育協会
Page 5
インシデントマネジメント
ぜい弱性対応
インシデントハンドリング
事象分析
普及啓発
注意喚起
その他インシデント関連業務
検知/連絡受付
トリアージ
インシデントレスポンス
報告/情報公開
(参考)JPCERT/CC インシデントハンドリングマニュアル
社団法人私立大学情報教育協会
Page 6
インシデント対応の一般的な手順
対応手順の確認
作業記録の作成
責任者・担当者への連絡
事実の確認
スナップショットの保存
ネットワーク接続やシステムの遮断・停止
影響範囲の特定
渉外・関係サイトへの連絡
要因の特定
システムの復旧
再発防止策の実施
監視体制の強化
作業結果の報告
作業の評価、ポリシー・運用体制・運用手順の見直し
(参考)技術メモ-コンピュータセキュリティインシデントへの対応
社団法人私立大学情報教育協会
Page 7
大学におけるトラブル対応の手順
0.(トラブル/苦情の連絡)
1.対応記録の作成
2.部門内での調整
3.事実関係の確認
4.連絡元への対応
5.当事者への対応
6.報告書の作成(参考)技術メモ-コンピュータセキュリティインシデントへの対応Ⅳ.外部からインシデントについての連絡を受けた場合
社団法人私立大学情報教育協会
Page 8
0.(トラブル/苦情の連絡)
トラブル/苦情が来た!
電話の場合
落ち着いて相手の話を聞く
相手の連絡先を確認する
事実関係を確認の上、連絡することを伝える
メールの場合
メール受領の返信を速やかに行う
事実関係を確認の上、連絡すること伝える
社団法人私立大学情報教育協会
Page 9
学外からの問い合わせ窓口の例
連絡先 担当部署
一般向け 総務部門
大学公式Webサイト 広報部門
学生関連 教務・学生部門
情報システム部門 情報システム部門
Whoisの公開情報 ネットワーク管理部門
(補足)
RFC2142「一般的なサービス、役割、機能に対するメールボックス名」http://rfc-jp.nic.ad.jp/rfc-jp/RFC2142-JP.txt
社団法人私立大学情報教育協会
Page 10
1.対応記録の作成
(対応記録の作成の判断)
事実を記録する
日時・誰が・何を・どうした
時系列に沿って作成
送受信したメール・調査したログなども保存
速やかに記録する
後回しにすると絶対に忘れる
ただし優先すべきは実質的な対応
社団法人私立大学情報教育協会
Page 11
2.部門内での調整
対応マニュアルがある場合はそれに従う
対応マニュアルがない場合は・・・
責任者や担当者の調整
返信文案などは事前に部門内でレビュー
記録を残しながら対応を進める
状況により関連部署と連携
学生が関係する場合、教務・学生部門に連絡
事態が深刻な場合、総務部門・法人部門に連絡
社団法人私立大学情報教育協会
Page 12
3.事実関係の確認
連絡を受けた内容が事実かどうか確認
確認可能な情報を記録
場合によっては連絡元に問い合わせる必要も
関連機器・当事者の特定
当該機器の関連ファイル・ディスクの確保
ログの調査
当事者の面接
まずは事実関係の確認というスタンス
社団法人私立大学情報教育協会
Page 13
4.連絡元への対応
対応経過を報告
事実関係
状況説明
当事者の個人情報の扱いに注意
謝罪が必要な場合は誠意を示す
当事者本人から
責任者から
社団法人私立大学情報教育協会
Page 14
5.当事者への対応
学則・各種規定などに従う
学生に対しては教育的配慮も必要
大学は学生を教育・指導するところ
トラブルを現実社会とのつながりと考える
実践教育の場であると前向きに考える
社団法人私立大学情報教育協会
Page 15
6.報告書の作成
組織・部門の手順に従う
対応記録を活用
責任者・委員会等への報告
社団法人私立大学情報教育協会
Page 16
利用者トラブル対応の難しさ
技術的な対策が取りにくい
具体的な対応マニュアルが作りにくい
世間の大学を見る目・大学への期待
教育機関としての大学の社会に対する責任
社団法人私立大学情報教育協会
Page 17
事前対策としてできること
連絡体制の整備
役割・担当の明確化
事実関係を調査できる基盤の整備
ユーザ認証は必須
利用に関するログを採取
情報倫理教育の実施
時代とともに利用方法もモラルも変わる・・・
効果的な手法は?
社団法人私立大学情報教育協会
Page 18
インシデント対応の参考資料(1)
JPCERTコーディネーションセンター
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
管理者のためのセキュリティ推進室インシデントレスポンス入門(@IT)
http://www.jpcert.or.jp/magazine/atmarkit/
インシデントハンドリングマニュアル http://www.jpcert.or.jp/csirt_material/files/manual_ver1.0.pdf
社団法人私立大学情報教育協会
Page 19
インシデント対応の参考資料(2)
JPCERTコーディネーションセンター
コンピューターセキュリティインシデント対応チーム(CSIRT) のためのハンドブック
http://www.jpcert.or.jp/research/#csirthandbook
情報処理推進機構セキュリティセンター(IPA/ISEC)
SP800-61コンピュータインシデント対応ガイド http://www.ipa.go.jp/security/publications/nist/index.html
社団法人私立大学情報教育協会
Page 20
情報倫理教育の参考資料
私立大学情報教育協会
ネットワークセキュリティポリシー 2002年版
http://www.juce.jp/LINK/report/netsec2002.pdf
(目次より)
V.技術的な対応と教育2.ネットワークセキュリティと情報倫理教育(1)情報倫理教育の必要性(2)誰を対象にどのような内容を教えるべきか①学生に対して②一般教職員に対して③システム管理者に対して④大学経営者に対して
社団法人私立大学情報教育協会
Page 21
A-2
不適切な掲示板投稿への対応(実習)
東海大学総合情報センター
横田 秀和
社団法人私立大学情報教育協会
Page 22
学内からの問い合わせ
あなたは私情協大学の情報センターに所属するスタッフです。
ある日、職場の電話がいつもと同じように鳴りました。
(ルルルッ)
「はい、情報センター○○です。」
「広報のサトウです。大学の公開メールアドレスに、掲示板の書き込みがどうのこうのという連絡が届いています。ネットのことはよく分からないので、そちらで対応をお願いできますか?送られてきたメールは、○○さんのメールアドレスに転送します。じゃ、よろしく。」
(ツーッ ツーッ ツーッ)
「・・・・・・・・・」
社団法人私立大学情報教育協会
Page 23
転送されたメール
From: suzuki@example.com
To: info@univ.juce.jp
Date: Mon, 4 Aug 2008 23:01:02 +0900
Subject: 掲示板の書き込みに対する苦情
あるミュージシャンの掲示板の管理人をしているスズキと申します。この掲示板に対する、貴学の学生と思われる利用者からの書き込みについて報告します。「ミーアキャット」と名乗っているこの利用者は、以前から、このミュージシャンや掲示板利用者に対して心ない言葉を書き込み続けています。この書き込みはproxy.univ.juce.jpから行われており、貴学の学生が行った可能性が高いと思われます。ちなみに、掲示板のURLは、 http://www.example.com/bbs/bbs.cgi で、本日(8月4日)も書き込んでいます。教育機関として、然るべき対応が取られることを願います。
社団法人私立大学情報教育協会
Page 24
Ex1 (事実関係の確認)
当該掲示板にアクセス
社団法人私立大学情報教育協会
Page 25
Ex1 (事実関係の確認)
当該掲示板の現状確認
掲示板の現状を確認してください。
http://www.example.com/bbs/bbs.cgi
指摘された書き込みを行っている利用者名
✎_________________この利用者が書き込んでいる日時
✎_________________
__________________
__________________
社団法人私立大学情報教育協会
Page 26
Ex2 (対応手順の確認)
さて、どうしますか?
やるべきことを挙げてください。
✎_________________
__________________
__________________
__________________
__________________
__________________
社団法人私立大学情報教育協会
Page 27
実務的な作業(例)
関係者・責任者へ連絡
連絡元へメールの受領を連絡
事実関係の確認
当該掲示板の現状確認
当事者の特定(ログの調査)
当事者に確認
連絡元への報告
当事者への対応
社団法人私立大学情報教育協会
Page 28
インシデント対応的な作業(例)
インシデント発生連絡票の作成
対応マニュアルの確認
対応記録の作成
インシデント対応報告書の作成
(対応マニュアルの見直し)
社団法人私立大学情報教育協会
Page 29
作業の分担
連絡窓口
調査する人
記録を取る人
広報・告知する人
関連部門・関係者に対応する人
作業を指示・判断する人
スケジュールを調整する人
現場責任者・管理責任者
社団法人私立大学情報教育協会
Page 30
Ex3 (事実関係の確認)
当事者の特定(ログの調査)
プロキシサーバと実習室PCのログから、次のことを調査してください。
指摘された書き込みは、本当に学内から行われたのか?
その書き込みを行った当事者は誰か?
ログの調査に関するポリシーを確認!!!
社団法人私立大学情報教育協会
Page 31
Ex3 (事実関係の確認)
ネットワーク構成とログの情報 プロキシサーバのログ(8月4日)
proxylog.csv
日時, クライアントIPアドレス, メソッド, URL
実習室PCのログ(8月4日) pclog.csv
日時, ユーザ名, PC名, IPアドレス, 処理
ネットワーク構成図
インターネット
FWDMZ
proxy
学内ネットワーク
研究室
事務室
実習室
社団法人私立大学情報教育協会
Page 32
連絡元へメールの受領を連絡(例)
From: oooo@univ.juce.jp
To: suzuki@example.com
Date: Tue, 5 Aug 2008 XX:XX:XX +0900
Subject: Re: 掲示板の書き込みに対する苦情
スズキ様私情協大学の○○と申します。スズキ様の管理されている掲示板に、本学の学生と思われる利用者から不適切な書き込みがあったとのご報告、確かに頂戴いたしました。スズキ様、並びに掲示板をご利用の皆様に、ご迷惑をお掛けしたことをお詫びいたします。本件につきまして、学内にて事実関係を調査いたしますので、少々お時間をいただきたいと存じます。以上、よろしくお願いいたします。
社団法人私立大学情報教育協会
Page 33
Ex3 (事実関係の確認)
ログ調査の流れ
指摘された書き込みは、本当に学内から行われたのか? 学内から掲示板への書き込みが行われたのならば、プロキシサーバのログに、掲示板のURLへのアクセス記録があるはず。
アクセス記録があれば、時刻と使われたクライアントIPアドレスを特定可能。
(注意)通常掲示板に記事を書き込む際には、POSTメソッドが使われます。
その書き込みを行った当事者は誰か? 掲示板への書き込みを行った時刻とクライアントIPアドレスが分かれば、その時間帯にそのPCを使っていたユーザを特定可能。
社団法人私立大学情報教育協会
Page 34
Ex3a プロキシサーバのログ調査
当該掲示板のURLをもとに、この掲示板へ書き込みを行ったクライアントIPアドレスを調査してください。
※掲示板の書き込みに注目しているので、POSTメソッドのログを抽出してください。
日時 クライアントIPアドレス メソッド URL
✎ ✎ ✎ ✎
社団法人私立大学情報教育協会
Page 35
Ex3b 実習室PCのログ調査
プロキシサーバのログ調査の結果を踏まえ、特定されたクライアントIPアドレスをもとに、このPCの利用者を調査してください。日時 ユーザ名 PC名 IPアドレス 処理
✎ ✎ ✎ ✎ ✎
社団法人私立大学情報教育協会
Page 36
Ex3c (事実関係の確認)
当事者の特定(ログの調査)
掲示板への書き込みが行われた時間帯に利用していたユーザ名は?
✎_________________
この利用者を呼び出して、掲示板の書き込みについて確認します。
4zdl3210
社団法人私立大学情報教育協会
Page 37
Ex4 (事実関係の確認)
当事者に確認
ログから判明した利用者が本当に指摘された書き込みを行ったのか面接して確認してください。
事実の確認を目的とする
結論を急がない
話しやすい雰囲気を心掛ける
会話を論理的に進める
社団法人私立大学情報教育協会
Page 38
連絡元への報告当事者への対応
連絡元にどう報告するか?
誠意を持って対応する
当事者の個人情報の取り扱いに注意
当事者にどう対応するか?
大学の手順・慣例に従う
教育的配慮が必要
経験を今後に活かすように
社団法人私立大学情報教育協会
Page 39
連絡元への報告(例)
From: oooo@univ.juce.jp
To: suzuki@example.com
Date: Wed, 6 Aug 2008 XX:XX:XX +0900
Subject: Re: 掲示板の書き込みに対する苦情
スズキ様私情協大学の○○と申します。スズキ様の管理されている掲示板への不適切な書き込みの件について、学内調査の結果をご報告いたします。ご指摘のあった掲示板への書き込みを行った学生が分かり、掲示板の利用について確認いたしました。本人は、ネット上の掲示板について匿名性があると誤解していたとのことで、他の利用者の反応を面白がって、軽い気持ちで書き込んでしまったそうです。しかし、現在は書き込んだことを後悔しており、大変反省しております。なお、大学としての指導を現在検討中です。本学では入学時のガイダンスでインターネットを利用する際のルールやマナーを指導しておりますが、このような事態を招いてしまい、申し訳ございませんでした。学生に対する指導方法につきましては、継続して効果的な方法を模索していく所存でございます。今後とも、私情協大学をよろしくお願いいたします。
社団法人私立大学情報教育協会
Page 40
そして・・・連絡元から届いたメールFrom: suzuki@example.com
To: oooo@univ.juce.jp
Date: Wed, 7 Aug 2008 XX:XX:XX +0900
Subject: Re: 掲示板の書き込みに対する苦情
私情協大学 ○○様掲示板管理人のスズキです。本人が反省していて今後やらないのであれば、後の指導はそちらに任せます。私としては、この件についてはこのメールで終わりにしたいと思います。
社団法人私立大学情報教育協会
Page 41
Ex5 (対応記録の作成)
報告書に流用できるよう対応記録を時系列に沿ってまとめてください。
事実のみ記録する
「日時」「誰が」「どうした」
社団法人私立大学情報教育協会
Page 42
Ex5 (対応記録の作成) 日時 対応
社団法人私立大学情報教育協会
Page 43
対応記録(例)日時 対応
8月5日XX時XX分 広報部門のサトウ氏より、大学の公開メールアドレスに、本学の学生が関係していると思われる不適切な掲示板書き込みについて連絡するメールが届いているとの電話が入る。サトウ氏より、当該メールを情報センター○○に転送してもらう。(添付資料1掲示板管理者スズキ氏のメール①)
8月5日 XX時XX分 情報センター○○より、掲示板管理者のスズキ氏へ、連絡を受領し学内で調査することを連絡するメールを送信する。(添付資料2情報センター○○のメール①)
8月5日 XX時XX分 情報センター○○が、当該掲示板の書き込みを確認する。(添付資料3Webページ)
8月5日 XX時XX分 情報センター○○が、プロキシサーバと実習室PCのログを調査する。その結果、掲示板への書き込みを行ったPCとその時に利用していたのはユーザ名4zdl3210の学生だったことが判明する。(添付資料4
プロキシサーバ関連ログ) (添付資料5実習室PC関連ログ)
8月5日 XX時XX分 情報センターより、ユーザ名4zdl3210の学生の呼び出しを連絡する。
8月6日 XX時XX分 ユーザ名4zdl3210の学生が情報センターを来訪し、○○が面接して事実確認を行う。本人が指摘されている掲示板へ書き込みを行ったことを認める。
8月6日 XX時XX分 情報センター○○より、掲示板管理者のスズキ氏へ、学内調査の報告と本件について謝罪するメールを送信する。(添付資料6情報センター○○のメール②)
8月7日 XX時XX分 掲示板管理者のスズキ氏より、今後の指導は大学に任せるとのことと本件については当メールを持って終了したいとのメールが届く。(添付資料7掲示板管理者スズキのメール②)
8月7日 XX時XX分 情報センターでの4zdl3210の学生への指導を反省文の提出とし、本人へ連絡する。
8月8日 XX時XX分 4zdl3210の学生より反省文を受領し、本件の対応を終了とする。(添付資料8学生の反省文)
社団法人私立大学情報教育協会
Page 44
対応を振り返って
対応に問題はなかったか?
対応手順の見直し
判断が難しかったことは何か?
判断基準・連絡体制の見直し
今後に活かせることはないか?
事前対策の実施
対応手順・ポリシーの作成
社団法人私立大学情報教育協会
Page 45
(実習補足)ログ調査方法
Excel
ファイルをダブルクリック
[編集]→[検索]→[検索する文字列]
コマンドプロンプト
A-2不適切な掲示板書き込み対応フォルダ内→コマンドプロンプトのショートカット
> find “検索する文字列” ファイル名
(コマンド①)find “www.example.com” proxylog.csv | find “POST”(コマンド②)find “10.0.191.41” pclog.csv
社団法人私立大学情報教育協会
Page 46
Ex4
(事実関係の確認)
当事者に確認の台本
社団法人私立大学情報教育協会
Page 47
(当事者に確認その1)
A:「今日は、あなたのパソコンの利用について、ちょっと聞きたいことがあって、来ていただきました。」
A:「8/4の14時過ぎたころは何をしてた?」
B:「友達と実習室でパソコン使っていました」
A:「その時はパソコンを使って何をしていたの?」
B:「ネットで検索していました」
A:「それはYahoo!とか?」
B:「はい」
A:「じゃあ、ちょっと話を変えます。」
A:「WakeyWakeyっていうミュージシャンは知ってる?」
B:「はい」
社団法人私立大学情報教育協会
Page 48
(当事者に確認その2)
A:「そのミュージシャンのことどう思ってるの?」
B:「別に・・・」
A:「好きでも嫌いでもないのかな?」
B:「はい」
A:「そのミュージシャンの掲示板がネットにあるの知ってる?」
B:(心の中でドキッとしつつ)「え?・・・知りません」
A:「そうですか・・・実は、実習室のパソコンは、ネットにアクセスした記録がとられているんだけど、知ってる? 」
B:(驚いて)「本当ですか?」
A:「本当です。」
社団法人私立大学情報教育協会
Page 49
(当事者に確認その3)
A:「その記録によると、確かにあなたのユーザ名で14時過ぎに実習室のパソコンが使われています。」
B:「・・・・・・はい。」
A:「そしてそのパソコンから、話の始めに出したミュージシャンの掲示板にもアクセスした記録があるんです。」
B:「・・・・・・はい。」
A:「記録から考えると、あなたがアクセスしたということになるんだけど、実際にパソコンを使っていたあなたはどう思う?」
B:「・・・・・・私がアクセスしました。」
A:「さっきは知らないって言ってたけど・・・」
B:「・・・・・・。」
社団法人私立大学情報教育協会
Page 50
(当事者に確認その4)
A:「その掲示板の利用に関して、何か心当たりは無いかな?」
B:(観念して)「変なこと書いちゃったかもしれません。」
A:「変なことってどんなこと?」
B:「嫌がらせみたいなこと」
A:「何でそんなこと書いちゃったの?」
B:「どう反応されるか友達と面白がってました。」
A:「実は、その掲示板の管理者から報告があったんだよ。」
B:「スミマセン・・・掲示板って、書き込んだ人は誰か分からないものじゃないんですか? 」
A:「それは違います。ネットの利用は、管理する人さえしっかり管理していれば、誰が使ったのか分かるものです。」
社団法人私立大学情報教育協会
Page 51
(当事者に確認その5)
A:「自分が嫌がらせみたいな書き込みをしてしまったことを、今はどう思う?」
B:「いけないことだと思います。」
A:「そうだよね。」
A:「それで、あなたは自分がしたことに対して、どうする?」
B:「謝りたいと思います。」
B:「今後はこういうことをしません。」
A:「それでは、掲示板の管理者にはこちらから事情を説明してみます。今日はこれでおしまいにしましょう。」
(・・・という訳で、事実であったことが確認された。)
社団法人私立大学情報教育協会
Page 52
おまけ
社団法人私立大学情報教育協会
Page 53
利用者トラブル関連インシデントの例-掲示板・SNS・ブログ-
学外のあるアイドルの掲示板にそのアイドルを中傷する記事を書き込んだ。
学外のあるアニメの掲示板にその掲示板の利用者のHNを中傷する記事を書き込んだ。
学外の個人が開設している掲示板に、不快に感じる内容の写真や個人情報を投稿しつづけた。
学生が未成年にも関わらず飲酒したうえ、自転車の飲酒運転を行ったことをSNSのブログで告白していた。
社団法人私立大学情報教育協会
Page 54
利用者トラブル関連インシデントの例-メール-
学内のメールサーバから、マルチ商法を紹介するメールが送信されたように見られた。
学生が学生にネズミ講メールを送信した。
不必要に危険を煽るメールを、友人に送信した。
学生が学生にチェーンメールを送信した。
メーリングリストに、授業で出された課題の答えそのもの(導く方法ではなく)を教えて欲しいと投稿した。
社団法人私立大学情報教育協会
Page 55
利用者トラブル関連インシデントの例-ファイル共有-
ファイル共有ソフトを利用して、音楽ファイルのファイル共有を行った。
ファイル共有ソフトを利用して、アダルト画像のファイル共有を行った。
ファイル共有ソフトを利用して、プロモーションビデオの映像のファイル共有を行った。
社団法人私立大学情報教育協会
Page 56
利用者トラブル関連インシデントの例-ネットワークの利用-
学内ネットワークで、学外から利用可能なオンラインゲームのサーバが運用されていた。
オンラインショッピングで他人の個人情報を使って買い物をし他人に商品を送りつけた。
社団法人私立大学情報教育協会
Page 57
利用者トラブル関連インシデントの例-WWWでの情報公開-
市販製品を中傷する内容のWebページを学外に公開していた。
ブラウザクラッシュの方法を指南するWebページを学外に公開していた。
音楽CDの中身をMP3ファイルとして公開していた。
社団法人私立大学情報教育協会
Page 58
対応を将来に活かすために・・・
我々は大学・短大という機関なので
過ちは過ちと認め、
どうするべきだったかを考え、
今後どうするのかを考え、
社会に出る前に気付かせてくれたと
前向きに考え、
自身の将来に活かすように。
top related