DISの教育ICT総合サイト

文部科学省 教育情報セキュリティポリシーに関するガイドライン【後編】

2019年03月27日 記事

教育機関のネットワークに求められているのは、高いセキュリティを確保しつつ、自由度の高いネットワークだ。特に、どこからでもアクセスできるという利便性は、教職員も生徒もプライベートで使っているスマートフォンですでに体験してしまっている。それゆえ、学習コンテンツが学校内からしかアクセスできないというのはものすごく不自由さを感じる。しかし、学校が授業として、どこからでも自由にアクセスさせた場合、セキュリティをどう担保するかが大きな課題となる。

 

この二律背反する課題を一気に解決してくれるのが、Cisco Umbrellaだ。セキュリティを担保するには、アクセス経路のどこかに関門を設けて、そこで不正なアクセスを監視する仕組みを導入しなければならない。個人で最も広く使われているのは、パソコンなどのデバイスにセキュリティソフトを導入することだ。しかし、膨大な数のデバイスが接続される教育ネットワークでは、デバイスの1台1台にセキュリティソフトを導入することは現実的ではない。

そこでインターネットとの接続口にセキュリティソフトを導入するのが一般的だ。しかし、この場合、この接続口を通らないアクセスはセキュリティが担保されない。校内のルーターに関門を設けた場合、自宅などからのアクセスはできない。

 

「そこでもっとクラウド寄りのところで、セキュリティを確保しようというのがCisco Umbrellaの発想です」。クラウドに関門を設けるCisco Umbrellaでは、校内だけでなく、世界中どこからアクセスをしてもセキュリティが確保できるし、教職員や生徒が個人所有のスマートフォンなどのデバイスを利用することもできるようになる(事前に簡単な設定は必要)。BYOD(Bring Your Own Device)という先進的な学習スタイルも実現できるようになる。

「高等学校を中心にBYODは多くの教育現場で望まれています。デバイスを生徒全員に配布するには、予算の問題がありますし、生徒も普段使い慣れているデバイスで学習した方が効果はあがります。しかし、持ち込まれるデバイスを1台1台セキュリティ管理するというのはたいへんな手間になります」。

多様なデバイスを使いたいという自由度と、重要情報が流出しないセキュリティ。この2つを同時に確保することが難しかった。それをCisco Umbrellaが解決してくれる。

 

では、Cisco Umbrellaは、どのようにしてセキュリティを確保しているのか。その仕組みはコロンブスの卵のような発想で、簡単だが強力な仕組みだ。

ウェブにアクセスをするとき、私たちは「http://www.mext.go.jp」などというURLを入力する。しかし、本当はウェブサーバーにこのようなURLはラベルされていない。ウェブサーバーに付けられているのは「216.230.250.182」のようなIPアドレスと呼ばれる番号だけだ。本当はこのIPアドレスを使って、ウェブにアクセスをしなければならない。

 

しかし、それでは利用する人は覚えきれない。そこで、人間に覚えやすい「mext.go.jp」のようなURLをブラウザに入力すれば、アクセスできる仕組みが使われている。それがDNS(Domain Name System=ドメイン名前システム)だ。「http://www.mext.go.jp」などのURLの入力を受けたブラウザは、まず、設定されているDNSサーバーにアクセスをする。DNSサーバーのやる仕事は、データベースを使って、URLをIPアドレスに変換することだ。DNSサーバーからIPアドレスが返ってくると、ブラウザは改めてそのIPアドレスにアクセスをして、mext.go.jpのウェブページを表示する。インターネットにアクセスする裏側では必ずこういう処理が行われている。

 

Cisco Umbrellaも、このような仕組みを利用する。URLをIPアドレスに変換をしてくれる。しかし、同時にすべてのアクセスを監視して、問題がある場合はIPアドレスを返さない。利用者はウェブへのアクセスができなくなる。このような仕組みでセキュリティを実現している。利用する側は、インターネットアクセスする際の名前解決先を、Cisco Umbrella指定のものに換えるだけでいい。一般にありがちな監視ソフトのように、パソコンの動作が重くなることもない。

「私たちシスコシステムズは、一般的にネットワーク機器の企業と思われていて、その通りなのですが、実はセキュリティ研究にも力を入れています」。シスコシステムズは、250名以上の専門家で構成されるTALOS(タロス)と呼ばれるセキュリティチームを持っている。ここでは、1日6000億通の電子メール、150万以上のマルウェア標本を解析するなど、世界中の脅威情報を研究し、その成果をCisco Umbrellaのセキュリティ機能に活かしている。

 

Cisco Umbrellaの今までにない特徴は、以下の3つにまとめることができる。

1)学校内外を問わず、どこからアクセスをしても、同様のセキュリティが確保される。

2)すべてのプロトコル、すべてのポートが監視対象。つまり、すべてのアクセスのセキュリティが確保される。また、スマートフォン、タブレットなど、どのようなデバイスでも、セキュリティが確保される。

3)攻撃が起きてから対処するのではなく、攻撃を予防し、攻撃をさせない

 

先ほど触れたように、Cisco Umbrellaは、インターネットアクセスするデバイスの名前解決先をCisco Umbrellaに向けるだけでドメインレベルでのセキュリティチェックができる。アクセス場所、デバイスを問わないのが特徴だ。

また、攻撃に対処するのではなく、予防をするという点も重要だ。例えば、ある教職員が、マルウェアに感染したファイルが保存されたUSBメモリを校内に持ち込み(このこと自体が避けるべき行為)、教職員用パソコンにまで感染させてしまったとする。マルウェアの多くは、特定のURLにアクセスし、そこから危険な通信を行い、パソコンの内部を勝手に暗号化して身代金を要求したり、情報資産を盗み出したりする。ところが、Cisco Umbrellaを使っていた場合、マルウェアもURLをCisco Umbrellaに送信することになる。Cisco Umbrellaは、世界中の脅威情報の分析結果から、この通信が危険なものであることが判別できるので、通常なら返すべきIPアドレスを返さない。つまり、マルウェアは外部との通信ができず、何も悪さができないということになる。

 

ウェブページを表示しただけでマルウェアに感染する、電子メールの添付書類を開いただけでマルウェアに感染するという、防ぐのが難しいケースも近年急増している。しかし、この場合でも、マルウェアを送り込むには、いったんDNSにアクセスする必要があるため、Cisco Umbrellaは、このような通信を遮断してくれる。つまり、マルウェア感染を防止してくれる。

当然ながら、有害サイトにアクセスさせないカテゴリーフィルタリング機能も備えており、「アダルト」「ギャンブル」などカテゴリー別にドメイン単位で遮断する機能もあり、さらには独自のブラックリストを設定することも可能だ。

Cisco Umbrellaは、ブラウザなどで設定されている名前解決先を、Cisco Umbrellaに変更するだけで、クラウド側でセキュリティ対策をしてくれる。初期導入費用が抑えられ、教職員、生徒は学校内外どこからアクセスしてもセキュリティが確保される。

このクラウド型のセキュリティ対策が最も適しているのは、教育委員会単位での導入だ。教育委員会が主体となってCisco Umbrellaの導入契約を結び、配下の学校すべてで利用できるようにする。これで学校現場でのセキュリティ対策に対する負担は大幅に軽減し、同時に校務系を含めて、教職員、生徒は学校内外を問わずに好きな場所からアクセスできるようになる。

 

「このCisco Umbrellaは、全国に支社、営業所を展開する企業などでも導入されています。私たちは、今回、教育機関向けのライセンス体系をご用意しました。」。

このCisco Umbrellaはクラウド型サービスなので、導入時にハードウェアを設置する必要はない。接続するデバイスの設定を行うだけだ。また、料金は年定額課金であり、教職員数の増減がなければ変動しない。小さな導入費用で、年定額という点も、自治体にとっては予算が組みやすい形になっている。

「教員の職務の中心は児童生徒への教育です。しかし、ICT教育の実施とセキュリティの確保のために、現場の教員の方々がサーバーのメンテナンスやセキュリティの対策などをしなければならなくなっています。その負担を軽減して、教員が教育に集中できる環境であってほしいという強い思いで、このCisco Umbrellaの普及に努めています。無料のトライアルもできますので、ぜひ、機器の納入業者にお問い合わせいただき、まずは無料トライアルを試してみて、現場に即したセキュリティ対策になるかどうか検討していただければと思っています」。

 

このCisco Umbrellaでも、防ぎきれないマルウェア感染がある。それは非インターネット経由の感染だ。外から持ち込んだUSBメモリ経由などが最も多い。これを避けるためには、パソコンにセキュリティソフトを導入しておくべきだが、問題は2つある。

ひとつはスキャンが始まるとパソコンの動作が重くなるということだ。それがたまたま授業中だったりすると、授業の進行に支障がでかねない。もうひとつは、多くのセキュリティソフトはマルウェアの定義ファイルを定期的にダウンロードして、マルウェアを判定する仕組みになっているため、最新のマルウェアに感染した場合、新しい定義ファイルをダウンロードするまでは検出できないことだ。

 

Cisco AMP for Endpointsは、この2つの課題を解決したセキュリティサービスだ。Cisco AMP for Endpointsは、パソコン内に取り込まれたファイルのハッシュ値を生成し、これをクラウドに送信し、クラウドでマルウェア感染したサンプルファイルのハッシュ値と比較をする。

ハッシュ値というのは、ファイルの要約のようなデータで、極めて小さなデータになる。ハッシュ計算自体も軽いもので、パソコンの動作にほとんど影響しない。比較はクラウドで行うので、やはりパソコンの動作に影響しない。しかも、クラウドの定義データは随時最新のものに更新され続けているので、最新のマルウェアでも即時に検出ができる。一般的なセキュリティソフトに比べて、動作が重くならない、最新のマルウェアも検出するという特長がある。

Cisco AMP for Endpointsは、Cisco Umbrellaでも防ぎきれないマルウェア対策サービスである。

シスコシステムズはセキュリティに力を入れていて、このようなセキュリティサービスを数々用意している。

セキュリティ対策で最も重要なことは、「万全のセキュリティ」だが、それを実現するために、多額の予算を使って、現場の負担を増やしてしまうのでは本末転倒になってしまう。現場の負担が増えるということは、人的セキュリティが脆弱になるということでもある。「現場の負担にならない」「自由度を損なわない」「万全のセキュリティ」。この3つを同時に叶えているセキュリティサービスを検討すべきだ。

 

 

前編はこちら

 

中編はこちら

 

Cisco Start 文教セレクションページ

 

教育ICT関連記事一覧ページにもどる

 

ページトップに戻る