教育機関が取り入れるべき 8 つのサイバーセキュリティ対策
2022 年 9 月 26 日 Sam Manjarres 著
教育機関におけるデータセキュリティは、デバイスの保護からユーザ(生徒、保護者、職員)の機密情報とプライバシーの保護まで、多岐に渡ります。教育現場が置かれた現況を鑑みると、リモート学習と対面授業が入り混じり、そこに個人所有のデバイスの使用も加わっています。これを踏まえ、教育機関に影響を与えている最も一般的なサイバー脅威を見てみましょう。
- フィッシング: 攻撃者が機密情報(ユーザネーム、パスワード、クレジットカード情報など)を被害者から盗み出します。この詐欺の実行手段は多くありますが、主な侵入口は、電子メールやテキストメッセージがあたかも信頼できるソースから発信されたかのように偽って、マルウェアを添付したり、偽物の Web サイトに誘導するリンクを届けたりする手法です。
- DDoS(分散型サービス拒否)攻撃: DDoS 攻撃は、Web サイトが短時間に雪崩のようにトラフィックを受けてクラッシュすることで発生します。この攻撃は外部から行われることがほとんどですが、授業や試験をサボりたいがためにオンラインサービスを受けている学生からの DDoS 攻撃も増えてきているようです。
- BYOD(個人端末の利用): 個人のデバイスでは、適切なセキュリティレベルを満たさない Web サイトにアクセスする可能性が高く、マルウェアに感染する可能性が非常に高くなります。また教育機関の IT 担当者も、デバイスにマルウェアがダウンロードされていないかどうかを確認できません。
- ドクシング(晒し)とネットいじめ: オンライン上の嫌がらせでは、プライベート情報が本人の同意なしに拡散され、個人の特定が可能になり、私生活が晒されて、安全を脅かします。これは被害者を貶めたり、なんらかの危害を加えようという意図でおこなわれます。
- ドメインスプーフィング: フィッシングの一種です。ハッカーが正規の Web サイトと似た名前のドメインを登録することで、信頼できるサイトに見せかけてユーザをだまします。
- 利用期限が切れたソフトウェア: 必要なパッチやアップデート、メンテナンスを受けられなくなった旧式のソフトウェアやコンピューティングデバイスを使用すると、脆弱性の影響を受けやすくなります。
拡大するランサムウェアのリスク
ランサムウェアは教育分野における主なサイバー脅威です。近年でもその数は著しく増加しており、Statista のデータによると、2021 年に教育機関が受けたランサムウェア攻撃は、世界全体の攻撃の 14.34% を占めます。同様に MS-ISAC(Multi-State Information Sharing and Analysis Center)によると、2020 年の 8 月から 9 月にかけて発生したランサムウェアの 57% が、米国の幼稚園から高校までの教育機関に影響を与えたとのことです。同様に、英国の国家サイバーセキュリティセンター(NCSC)は、ランサムウェア攻撃が数件報告された後に多数の警告を発しなければなりませんでした。このような脅威により、学校が再開延期を余儀なくされた例もあります。
教育機関はどのような対策を講じるべきか
- 主なユーザのトレーニングを優先させる: ソーシャルエンジニアリング攻撃について教師、管理者、生徒を教育し、トレーニングプログラムを通じてセキュリティの概念を導入し、コンピュータ、システム、ログイン認証にアクセスする際の安全な方法を確立する。
- コンテンツのフィルタリング: ハードウェアアプライアンスや SaaS によるコンテンツフィルタリングを導入することで、脆弱性やインシデントの原因となるWeb サイト、メール、ファイルをブロックし、規制の遵守をサポートする。
- アクセスのモニタリング: 脅威の追跡と摘発を行う可視化ツールを使用し、ネットワーク侵害に関わっているユーザの行動を特定する。
- MFA によるアクセスの保護: パスワードは簡単に漏洩する可能性があるため、教育機関は私用デバイスを使用する場面で、多要素認証(MFA)を徹底する。
- 安全な Wi-Fi ネットワークを利用する: クラウドマネージド Wi-Fi ソリューションは、最適化されたパフォーマンス、可視性、およびレポーティングを可能にします。
- 安全なビデオ会議の実現: 安全なビデオ会議には、アクセスの制御、接続の確保、ファイルや画面共有の保護、最新バージョンのビデオアプリケーションの使用などが必須です。
- セキュリティ評価の実施: アセットに特に重大な影響を与えている脅威を確認し、脆弱性(どのように被害が発生しうるか)を特定し、それがもたらすであろう結果を明らかにする。
- ネットワークをセグメント化する: セグメント化されていないネットワークでは、すべてのコンピュータが互いに通信できるため、ネットワークが混雑する可能性が高まります。セグメント化によって、学校のネットワークをより小さなネットワーク、つまり「クラスタ」に分割し、より迅速かつ効率的な運用が見込めます。
包括的な保護
新しいハイブリッド学習のダイナミクスに対応するには、デジタル教育環境を包括的に保護することが必要です。そのため IT 管理者は、教育機関のすべてのサイバーセキュリティニーズへの対応と業務の簡素化を実現する、統合セキュリティを使用する必要があります。統合ソリューションは、ユーザとデバイスに不可欠な多要素認証とネットワークセキュリティを提供します。さらに、脅威を排除し、より少ない労力で多くのことを行うプロセスを自動化することで、ネットワーク管理の時間を削減できます。また一元化されたセキュリティが、バラバラのソリューションを利用しているだけでは実現が困難な、可視性と管理の容易性をもたらします。
電子書籍「Enabling Secure Hybrid Learning in Schools and Libraries(教育機関と図書館におけるハイブリッドラーニングの保護)」では、教育分野における情報セキュリティの現状を詳しく紹介するとともに、リモート教育のセキュリティを確保するための最適な戦略について概説しています。