教育分野におけるサイバー攻撃、昨年度は 258% 増加
2024 年 10 月 04 日 Sam Manjarres 著
学生や従業員の個人情報、研究内容、知的財産など、教育機関が扱う膨大な機密データを狙って、サイバー犯罪者は教育機関を攻撃してきます。技術予算が乏しくかつ防御が脆弱である教育機関の多くは、複雑化するサイバー攻撃の格好の餌食となり、評判やその業務を危険にさらしています。
Statista によると、2023 年、教育・研究の分野はサイバー攻撃から最も大きな打撃を受けており、週平均でも驚くべき件数を記録しました。 ベライゾンのデータ侵害調査報告書(DBIR)によれば、昨年 1 年間で合計 1,780 件の攻撃が発生しており、そのうち 1,537 件が機密データ侵害の結果でした。これは、前年と比較してインシデント総数が 258% 増加し、データ侵害事例が 546% 増加したという驚異的な事実を意味します。この数字は、教育機関におけるサイバーセキュリティ対策の緊急性を浮き彫りにしています。
最近発生した事件としては、約 17,500 人の生徒が通うハイライン公立学校(シアトル南部)で、サイバー攻撃により授業を一時停止する事態が発生しました。9月8日(日)に発表された声明の中で、同学区はシステム上で不正なアクティビティを検知したことを確認しています。広報担当者によると、日曜日の午後の時点では、従業員や家族の個人情報が盗まれた形跡は発見していませんでしたが、この攻撃により主要なシステムが停止した時点で、通信、通学の交通網、出席記録などに影響が出たため、数日間の休講を余儀なくされました。
教育機関における攻撃ベクトルトップ 3
DBIR の報告書はまた、教育分野におけるセキュリティ侵害の大部分(約 90%)は、システム侵入、ソーシャルエンジニアリング、ヒューマンエラーが原因であると指摘しています。教育機関は、サイバー脅威から学校システムを保護するために、以下のような実践的なヒントに従うことをお勧めします。
1- ネットワークとデバイスの安全対策を実施する
まず重要なのが、ソフトウェアとハードウェアを常に最新の状態に保つことです。また、コンテンツフィルタを使用し、ネットワークをセグメント化してアクセスを制限し、潜在的なセキュリティ侵害を封じ込めることも鍵です。そして、安全なパスワードと個人用デバイス(BYOD)の使用に関するポリシーを確立することも重要です。個人用、学校用、ゲスト用と、デバイスごとに個別の Wi-Fi ネットワークを設定し、モバイルデバイス管理(MDM)を行うことで、強固な保護とサイバーセキュリティ規制への準拠を担保することができます。
2- サイバーセキュリティ教育
サイバーセキュリティ教育は、学校を保護する上で極めて重要です。定期的に生徒や職員を訓練し、攻撃シミュレーションを実施し、セキュリティ文化を醸成することで、各自がより責任感を持つように促すことができます。さらに、個人用デバイスの使用に関する具体的なプログラムや保護者向けのワークショップを実施することで、学校と家庭に双方で取り組む保護を推進することができます。
3- 基本的なサイバーセキュリティツールの導入
学校は、ネットワーク上の不審なアクティビティを検出して迅速に対応するために、継続的な監視ソリューションを導入し、学外との接続を保護するために VPN を使用すべきです。また教育センターでは、ID の保護も鍵となります。そのためには、責任に応じて利用可能な情報を制限するロールベースアクセスや、ユーザの場所やアクティビティに基づいてセキュリティレベルを調整する、コンテキストに応じたアクセスコントロールなどのツールが必要です。多要素認証(MFA)の導入は、侵入、ソーシャルエンジニアリング、ヒューマンエラーを減らすのに役立つため、極めて重要です。
オンライン学習プラットフォームやクラウドベースの出席・採点システムなど、学校が日々の活動に多くのテクノロジを統合するにつれ、強力なセキュリティ対策を導入する必要性が高まっています。MFA の導入は、追加の保護レイヤを提供し、権限のないユーザが防御のある 1 つを突破した場合でも、アクセスを抑止する効果があります。
モバイルアプリやプッシュ通知による認証を組み込むことで、MFA は学生や教職員のアクセスプロセスを簡素化し、かつ脆弱なパスワードへの依存を大幅に削減することが可能です。さらにクラウドでの一元管理により、教育機関はアクセスを完全に制御し、ニーズに合わせたセキュリティポリシーを設定することができます。
教育機関を守る方法についてのさらなる情報については、以下の記事をご覧ください。
サイバー攻撃の 81.65% が学校を標的にしている今、ハイブリッド教育を安全に行うために
教育機関が取り入れるべき 8 つのサイバーセキュリティ対策