『第4回コンピュータ犯罪に関する白浜シンポジウム レポート』(2000/10),60-63頁[研究発表(2000/5/27)A-3]

「教育機関におけるセキュリティと情報倫理」

大阪大学大学院法学研究科
田中規久雄


はじめに
 本報告では教育機関としての大学における情報セキュリティと大学の情報倫理のあり方について報告する。初等中等教育機関は除外し、さらに大学の研究機関としての側面も捨象して、主に学部一般教育レベルでの問題に限定して検討する。

1 大学における情報セキュリティとは
 本報告では、情報セキュリティを単に情報と情報システムという情報資産を守るというだけでなく、人間や文化に関わる社会的なアスペクトをもったものとして捉えている。これは教育機関としての大学の責任までを射程に考えているためである。
 こうした立場から大学が考慮に入れるべき情報セキュリティの対象を考えると、基本的に以下のようなものがある。

(1)学生の被害防止のためのセキュリティ
 まず第一に、学生を外部の社会や他の学生から保護するという、学生が被害を受けないためのセキュリティがある。教育機関としての大学がまず重視すべきはこのセキュリティである。

(2)学生の加害防止のためのセキュリティ
 これには、以下のようなセキュリティが含まれる。
  1)学生が外部社会に被害を及ぼす事態を避ける。
  2)学生が他の学生に対して被害を及ぼす事態を避ける。
  3)学生が大学の情報システムに被害を及ぼす事態を避ける(これには、ア.不正アクセスや、イ.目的外利用等がある)。

(3)外部社会からの大学の被害防止のためのセキュリティ
 外部からの被害を防ぐ場合である。(踏み台に使われる等、その結果外部社会に間接的に被害を及ぼすことも含む。)

 なお、(1)と(2)の点はまさしく「教育」の対象となるが、(3)の意味でのセキュリティは、企業や官公庁と同様なので本報告では触れないこととする。

 具体的には、個人情報販売、プライバシー侵害、差別的発言、誹謗・中傷、名誉毀損、いやがらせ、ネットストーカ、チェーンメール等の迷惑メールやデマ情報の発信・中継、わいせつ画像等の違法・有害情報の発信、違法物販売、賭博・ネズミ講参加、ウイルス頒布、不正アクセス、なりすまし、知的財産権侵害など本来的に有害な問題の他、大学の情報システムでの営利行為、私用印刷、パスワードの貸借、端末へのソフトウェアの無断インストール等、教育機関のシステム利用上有害な問題がある。


2 問題の根本原因
 上述のような様々な問題を発生させる根本原因として、大学のリソースであるネットワークや情報教育施設をあたかもプロバイダのような電気通信事業*1の如く運用している点が上げられる。本来、計算機・ネットワークに限らず、教職員を含む大学のリソースを教育・研究という大学の設置目的以外に利用するのは目的外利用であるという原則を堅持することが、問題解決を見通す最強の手段ではないだろうか。少なくとも教育目的の施設をそれ以外の目的には流用しない・させない、という程度の矜持は必要であろう。

 さてこの教育と電気通信事業の混同から導出される最初の発想は、「学生の個人的判断で自由に使わせる」というものである。こうした発想が強固なことの一因には、情報社会の変容による情報教育のあり方に大学の意識が追いついていないということもある。1980年末頃には、一般情報教育といえば基本的にスタンドアローンの計算機や汎用機の端末を使ったプログラミング教育、あるいはビジネス三種の神器といわれた、ワープロ、表計算、データベースといったアプリケーション利用が中心の時代であった。報告者が文科系に属するゆえかもしれないが、当時インターネットの利用等はほんの一部の研究者の特権であった。しかし、今日でももちろん旧来の役割が減少したわけではないとはいえ、計算機は電話やテレビと同じような情報の発受・交換といったコミュニケーションツールとしての役割の方が重要になってきた。同じコンピュータ利用といっても両者の態様は大きく異なる。確かに、インターネットを使わないプログラミング、アプリケーション教育が中心であった時代には自由利用させても違法コピー等は表沙汰にはなりにくく、また利用する学生も今ほど裾野が広くなかった。その意味では、往時は大学の計算機利用は簡単な事前指導だけで学生に自由利用させる大学付属図書館のような意識ですんでいたわけである。

 またこの個人的判断に委ねた自由使用という発想の遠因には大学の教育からの逃避もある。「大学生は子どもではない」、「勝手に勉強させるのが大学の教育だ」といった言説には、教員による実際の指導という意味での教育からの逃避が窺われる。それが大学の一般教育であって、教官の研究利用と同様でいいのだというのならば、図書館と実験・実習設備等を置いて、大学は施設管理者のみをおき、学生の利用調整だけをすればよいことになる。

 教官の教授・指導を前提とするわが国の大学制度*2の下ではそれは極論であり、現状では具体的な教育指導下にない学生に計算機やネットワークの利用をさせていることには問題が多いように思われる。つまり教員による実際の指導を前提としない図書館と同列に考えてはならないのである。「図書館の利用方法説明会」にあたる公式の「情報倫理の講義」もまずはなされねばならないが、そもそもたとえそれが実現してもそれで自由に利用させてよいというものではなく、機能的に「情報倫理教育」が内在している様々な講義や演習という教員の直接指導の中での利用が範型なのである。ある事態を教育と呼称すればそれは教育という事態になるというのは転倒している。たとえるとすれば一般教育に用いられる教育用実験室・実習室が安全教育を内在させた教員の関与・指導並びに利用制限があってはじめてある教育目標のための実験・実習という教育利用目的に合致すると認められるのと同様であると捉えるべきである。実際、物理実験室や化学実験室を一般教育目的で学生に無差別に自由に使わせて「教育しています」という大学はないだろう。危険性や教育目的の差異はあるとはいえ、現状の教育用端末センターはこのような状況に置かれていることが多い。また、学内の端末利用に免許制を導入し、免許を取得した学生にのみ施設利用を認めてはどうかという考えもあるようで、実際そのような運用をしている大学もあるように聞いているが、これも本末転倒の教育軽視である。一定の水準に達しない学生にこそより多くの実体的教育指導のある利用機会を与えるというのが教育機関としての大学の筋であろう。

 教育が、意図的目標をもった教授者と学習者の人格的インタラクションであるということは教育学の常識であり、教育の第一歩である。少なくともこれがコアにない単純な自由利用は、大学が無料のインターネット・カフェを設置するに比すべき行為であり、むしろ施設の目的外使用であると評価されても仕方がないものと思われる。


3 大学の情報セキュリティの問題点
 さて、以上のような捉え方を前提として、以下、現状の学生の情報教育環境の計算機システムを取り巻く情報セキュリティを考察してみよう。

 「設備・施設を無差別に自由に使わせる」という発想を前提とすると、当然ながら「多少の利便性は犠牲にしても、セキュリティを優先してシステムを構築する」という思考の第一の系が発生する。たとえば、施設外からのアクセスはメール以外全面禁止、施設内から外へのアクセスはWebとメールのみといった具合である。しかし、これは「施設の無差別自由利用」という前提が動かせない現状では、教育的判断として止むを得ないであろう。かつてある女子大で、メールも使わせていないところがあることを聞き、当時は牧歌的な時代であったこともあって、「それで教育できるのだろうか」と疑問に思ったものだが、「学生の自由利用」が強いられる前提ではその判断は教育的に妥当なものであると現在では考えている。実際、女子大生のメールアドレスの推定方法(その真偽の程はともかく)を公開しているサイトもあり、入学年度や連番の学生番号で簡単に推測できるメールアドレスを発行するくらいならば、メールを使わせないというセキュリティ対策を行うほうがよほど意味があろう。ただし、現在ではWebメールが普及しているので、方針を貫くとすればWebメールも通さないようにしなければならないだろう。技術の高度化により利便性が高まると同時に、危険性も増加しているのである。

 さらに、「物理的、内容的に学生の自由な判断で利用させるのも教育である」とする教育からの逃避は、自由には責任が伴うのだから、「大人である大学生は自分の行動に責任を持ち、自分の身は自分で守れ」という思考の第二の系を発生させ、学生保護という大学がなすべきセキュリティへの情報倫理意識を低下させている。その徴憑は施設の脆弱なソーシャルクラッキング対策にみることができる。

 まず、大学は外部者の侵入に弱い。これは本当に小規模ないくつかの大学を除き、性質上やむを得ないものと思われる。情報教育施設のみならず、学生が利用するどの建物でも外部者が入って見咎められることはまずない。このことを前提にして対策をすべきであるところ、いくらかの大学を除き、こうした点に対する配慮が弱いように思われる。稀代のクラッカーといわれたミトニックが情報技術よりソーシャルクラッキングに依拠していたところが大きかったのは周知の事実で、セキュリティ技術の高度化と情報社会の裾野の広がり、大学の大衆化状況を考えあわせると、今後ソーシャルエンジニアリングが一般的クラッキングとして普及するのではないかと恐れる。実際、様々なソーシャルエンジニアリングの手法を公開しているサイトもあるのである。

 問題点としてはたとえばID(メールアドレス)交付のためにその一覧を壁や掲示板にいつまでも貼っている、新入生全員に同一の初期パスワードを与えている*3(すぐに変更しない学生が悪いとする考えによる)、机の配置が悪く他人のタイピングが丸見えである(パスワード漏洩の危険性)、連続利用時間制限やアイドル・オフ(タイム・アウト)がないので座席確保のためログインしたまま放置されている端末がある、サークルやゼミ名簿のプリントミスがプリンタ上やごみ箱に置き去りになっている、セキュリティ対策を施した鍵つきのごみ箱を使っていない、5時以降や休日等の時間外に開けているのに、施設には警備会社からの派遣警備員という「外部の人間」しかいない、さらにそれゆえフリーズした機械が放置されている(実際は何らかの理由で処理が止まったかのように見えるだけで、しばらくして動き出す場合がある)等々。

 単に施設を開放しているからといって教育したことにはならない上に、こうした脆弱なセキュリティ下に学生を晒すことには疑問を感じざるを得ない。


まとめ
 学生に私的自由利用させていれば教育したことになるわけでないであって、セキュリティの危険を冒してまで単純な自由利用を認めることは非教育的な側面すらある。学生の教育は責任を持ってできる範囲を丁寧に行うことが重要であって、具体的には、施設には技術的対策の他、可能なソーシャルエンジニアリング対策をも施し、学生には利用のための技能教育と同時に倫理教育も行い、原則として学習課題の明確な授業内で学生の情報教育を機能的に行うことが教育機関としての大学の情報倫理として好ましいのではないかと考える。

――――――――――――
[注]
*1 電気通信事業法第2条第4号は、電気通信事業を「電気通信役務を他人の需要に応ずるために提供する事業(中略)をいう。」とする。
*2 学校教育法第58条参照。学生(大学院生を含む)の「研究」に際しても、原則的に教授の「指導」が法定されていることに留意。
*3 白鳥俊一「不正アクセス禁止法に関するFAQ」、Cyber Security Management, April 2000, Vol.6、43頁参照。