アフターGIGA

導入フェーズ教育ICT定着期

アフターGIGAの教育現場で対策が必要な
「校務系」セキュリティリスク4選

2022.07.14

1人1台端末の導入によってICT環境が整備されたアフターGIGAの教育現場では、従来のセキュリティ対策では不安が残る状態のため、校務系端末・情報のセキュリティ対策を万全にする必要があります。しかし、現状ではどのようなリスクが潜んでいるのか教育現場では把握しきれていない点も多く、課題が多い状況です。そこで本記事では、校務系に関連する4つのセキュリティリスクやその対策をご紹介します。

教育現場における「校務系」の4つのセキュリティリスク

GIGAスクール構想の進展により、教育現場では1人1台端末の実現をはじめとするICT環境の整備がほぼ完了しました。しかし、ICT活用が身近になった現在の教育現場においては、従来の対策では不十分とされる程セキュリティリスクは高まっており、この対応が次なる課題となっています。

特に取り組むべき課題は、「校務系端末」「校務系情報」「校務系外部接続系情報」など、教員側のセキュリティ対策です。1人1台端末の整備完了とともに、児童生徒の端末へのセキュリティ対策は進んでいるものの、教員側のセキュリティ対策をしっかりと実施できていない現状が課題となっています。
さらに、どこにどのようなリスクが潜んでいるのかしっかりと把握している教職員が少ないため、発生しうるリスクを把握し、最適な提案を行うことが求められています。

そこで本章では、アフターGIGAの教育現場で校務系端末・情報に関して起こりうるセキュリティリスクを4つに分類してご紹介します。

リスク①:推測が簡単な短いパスワードの解析による攻撃

教職員の中には、情報セキュリティに関する意識がまだまだ甘く、端末のパスワード管理についても、徹底されていない教員も多くみられます。たとえば、単純で短い英数字の並びなどの推測されやすいパスワードを設定し、簡単に解析されてしまうリスクを放置しているケースがあります。パスワードが解析され校務系ネットワークに不正にログインされると、校務系情報の漏えいや不正利用などの被害に遭うリスクが高まり、大変危険です。

パスワード解析でよくある手法がブルートフォースアタック(総当たり攻撃)です。これはパスワードを手あたり次第に試行していく手口であり、たとえば4桁の英文字(大文字・小文字区別なし)で設定したパスワードなら最短3秒程度で解析されてしまいます。
また、短いパスワードではなくても、名前や誕生日、メールアドレス、地名・辞書にある単語を使用したパスワード、他のサービスなどで利用しているものと同じパスワードは推測されやすいため、注意が必要です。
これらのようなリスクを回避するためにも、パスワードの設定・管理の対策が必要になります。

リスク②:不審なメールへの誤った対応によるウイルス感染

不審なメール経由でウイルスに感染することもよくあります。特によくあるパターンが、メールに添付されたファイルを開き感染するケースや、メールに記載されているリンクから危険なサイトに誘導され感染するケースの2つです。
昨今では、知名度の高い大企業を装うなど、不審なものと気づきにくい手法でメールを送りつけてくるケースも増えてきているため、対策の必要性が高まっています。

リスク③:ウイルス対策ソフトの不備による感染リスク増大

外部からコンピュータに侵入するウイルスをガードし、感染の有無をチェックしてくれるウイルス対策ソフトの導入は必須であり、また、常に最新版の対策ソフトにアップデートしておくことも大切です。
しかし、教育現場では児童生徒への教育・指導と並行してセキュリティ対策を行わなければならず、忙しさなどを理由に導入・更新を後回しにしてしまっている現状があります。
ウイルスは日々進化しており、最新バージョンのウイルス対策ソフトでないと対応できない場合もあるため、古いバージョンでは日々進化するウイルスの感染リスクを低減できません。最悪の場合、学校全体のICT機器やサーバーがウイルスに感染してしまい、大きな問題に発展してしまうリスクもあるため対策が求められます。

リスク④:フリーWiFi利用による情報漏えい

公共施設や飲食店などで利用できるフリーWiFiは、便利である一方セキュリティ上の問題があります。暗号化されていないことがあり、通信内容を第三者に盗聴・盗み見される恐れがあるためです。このフリーWiFiを利用して校務系ネットワークに接続すると、テストの成績や児童生徒の個人情報など、校務系情報の漏えいリスクが高まります。
また、WPA2で暗号化されていたとしても、不特定多数が利用する公衆Wi-Fiではアクセスポイントに接続する人全員が同じパスワードを共有しており、条件が整えば比較的容易に通信内容を解読できてしまいます。
そのため、フリーWiFi利用を制限するような対策が必要です。

このような校務系端末・情報のセキュリティリスクがあるため、「情報漏えい」「ウイルス感染」対策を行うことは非常に優先度の高い重要項目であると言えます。

また、今回ご紹介したセキュリティ対策以外にも、アフターGIGAにおけるICT端末の運用・管理の課題に関しては、以下記事で詳しく解説しています。あわせてご覧ください。



校務系情報・端末に関して以上のようなセキュリティリスクがある中で、どのような対策をとれば良いのでしょうか。具体的な対策を以下で見ていきます。


今から備える「校務端末・情報」を守るセキュリティ対策とは

校務系情報・端末をセキュリティリスクから守る対策としては、本人確認およびデバイスの健全性確認の強化が重要です。以下では教職員の利便性も考慮し、セキュリティ対策を実現するための具体的な機能を2つご紹介します。

セキュリティ対策①:多要素認証・シングルサインオンによる教職員認証の強化

本人確認の強化方法として、多要素認証やシングルサインオンがあります。
多要素認証は、システムやネットワークを利用する際、複数の認証要素を掛け合わせる方法です。
認証要素には、「知識情報」(パスワードなど個人が記憶するもの)、「所持情報」(クレジットカードなど個人が所有するもの)、「生体情報」(指紋や声紋など、個人の身体そのものに属するもの)の3つがあります。これらのうち、2つ以上の認証を突破することは難しいため、多要素認証を導入することでセキュリティレベルを大幅に高められます。
シングルサインオン(Single Sign On:SSO)とは、ユーザー認証を1度行えば複数のシステムが利用可能になる方法です。システムごとにIDやパスワードを入力する手間が省け、教職員の負担軽減・業務効率化が期待できます。

多要素認証とシングルサインオンを組み合わせることで、セキュリティレベルを高めながら利便性も向上でき、アフターGIGAの高度な教育ICT環境に対応した認証基盤を実現できます。

セキュリティ対策②:ふるまい検知・EDRによる端末セキュリティの高度化

本人確認を強化した後には、デバイスや端末などエンドポイントの健全性を維持する仕組みや、ウイルスを検知した際の原因や感染状態を把握する仕組みを導入することが重要です。具体的な仕組みとして、ふるまい検知とEDRがあります。

ふるまい検知とは、ウイルス対策ソフトがマルウェアを検出する仕組みの1つで、通常のプログラムとは異なる怪しい挙動を検知・ブロックする方法です。マルウェアの種類が増え被害が拡大している近年、未知のマルウェアも検知可能なふるまい検知の重要性が増しています。
EDR(Endpoint Detection and Response)とは、エンドポイントセキュリティの1つです。PC、サーバー、スマートフォン、タブレットなど、ネットワークに接続されている端末(エンドポイント)の操作や動作を監視し、不審な挙動を検知・通知することでウイルス感染による被害を防ぎます。これにより、脅威が内部に侵入した場合でもすぐに対応できるようになります。

これらの仕組みを導入することで未知のウイルスを検出でき、利便性を損なうことなくセキュリティを高めることが可能です。

このようなセキュリティ対策を行えるソリューションを提案するためには、以下でご紹介するような支援実績の豊富なパートナーのサポートが有用です。

全国の教育現場を知るDISがセキュリティ対策のノウハウを提供

教育現場におけるセキュリティ対策に関する提案は、現場ごとに起こりうるリスクを把握したうえで、実情に合わせて行う必要があります。DISは全国の教育現場の状況を熟知しており、運用支援のサポート実績が豊富であるため、販売店の皆様へ有用な情報をお届けできるノウハウを有しております。

以下の資料では、アフターGIGA時代に重要なセキュリティ対策について、押さえておきたいセキュリティリスクおよび重要なポイントをわかりやすくまとめています。校務系情報・端末のセキュリティに関する課題解決のため、セキュリティソリューションを提案するご予定のある方は、ぜひダウンロードのうえご覧ください。

関連資料のご紹介

児童生徒・教職員ともに守るアフターGIGA時代に必要なセキュリティ対策とは

本資料では、 アフターGIGA時代に重要なセキュリティ対策について知るべきセキュリティリスクと重要となるポイントをわかりやすくまとめています。教育現場へセキュリティソリューションの提案される予定がある方はぜひご参考ください!

資料ダウンロード