アフターGIGA

導入フェーズ教育ICT定着期

【導入事例あり】アフターGIGA時代に
押さえておくべきセキュリティの考え方とは

2022.07.28

ICT環境が整備されたアフターGIGAの教育現場では、次の課題としてセキュリティの強化への対策が急務となっています。 そうした中で注目されているセキュリティの考え方が、ネットワーク内外を区別せずに常に安全性を確認する「ゼロトラスト」です。本記事では、教育現場で目指すべきゼロトラストセキュリティの概要や、セキュリティ上のリスクを高めてしまう教職員の行動について解説します。

アフターGIGA時代に求められるセキュリティの考え方「ゼロトラスト」

教育現場におけるクラウドサービスの利用が進み、学校外からの校務アクセスの検討も進みつつある昨今、情報セキュリティの対策や考え方も変化が求められています。こうした中で注目されているセキュリティのあり方が「ゼロトラスト」です。
ゼロトラストとは、「信頼(Trust)がない(Zero)」という名前の通り、あらゆるアクセスを信頼しない前提のもと、その都度安全性を確認するという情報セキュリティ上の考え方のことです。
ゼロトラストのもとでは、守るべき情報資産はネットワーク境界の内外に存在し、脅威は内部に容易に移動すると考え、内と外を区別せずにセキュリティ対策を施します。

このような1人1台端末の整備といった教育ICT環境の整備されたアフターGIGAの教育現場においては、従来よりも強固なセキュリティ対策の重要性が増しています。

教育現場で目指すべき「ゼロトラスト」セキュリティとは

教育現場における情報セキュリティ対策には、大きく分けて「境界防御型」と「ゼロトラスト」の2種類があり、それぞれ以下のような特徴があります。

内と外を明確に区別する「境界防御型」

境界防御型とは、ネットワークの内側は信頼でき、外側は信頼できないという前提のもと、内部(学校内ネットワーク)と外部との境界にセキュリティを構築する考え方です。内外のネットワークを明確に切り離すことで機密性を高められるため、通信が学校内に限定されている場合には効果を発揮します。

従来はこの境界防御型が主流でしたが、コロナ禍によりクラウドを活用し自宅をはじめ学校外からでも安全に接続できる環境が求められるようになった現在では、リスク管理に限界があります。

すべての通信を信頼しないことが前提の「ゼロトラスト」

それに対し、ゼロトラストとは前述のとおり、全ての通信を信頼しない前提でそれぞれの端末やネットワークにセキュリティを施す考え方です。セキュリティ対策として、通信経路の暗号化や、多要素認証(生体認証等)による端末・アクセス認証の強化等などを実施します。接続するネットワークを限定しないため、リモートワーク等の働き方改革推進に有効です。

教育現場においては、ゼロトラストの実施は児童生徒をネットワークの脅威から守るためだけではなく、教職員の校務・教務の最適化、効率化を実現するという大きな目的があります。そのため、過去の慣習にとらわれず、新たな取り組みに向けた機会を最大限活用することが大切です。

このように、教育現場のセキュリティをめぐる考え方は大きく転換しており、ゼロトラストの実施のもと、教職員の意識や行動に関してもセキュリティ上のリスクを意識し、注意を払う必要があります。

セキュリティ対策上、教職員が注意すべき2つの行動

ICT環境が整備されたアフターGIGAの教育現場においてはクラウド利用が前提であることから、情報セキュリティ上のリスクが顕在化しています。そこで以下では、教職員が注意すべき、情報セキュリティインシデントを発生させやすい行動と、情報セキュリティレベルを低下させかねない行動についてご紹介します。

行動1:情報セキュリティインシデントを発生させやすい行動

情報資産を外部へ送信したり、持ち出したりする行動は、情報セキュリティインシデントにつながりかねない行動であり、避けなければなりません。
たとえば、USBメモリといった記録媒体の紛失や盗難、メールの誤送信などがあります。印刷により紙の状態で組織外部に情報資産を持ち出すことも、物理的な暗号化ができないため高リスクです。

また、端末に外部からデータを取り入れる際には、必ず不正プログラム対策ソフトウェアによるチェックを行い、端末への無許可のソフトウェア導入は原則禁止とすることが重要です。導入する必要がある場合は、データの取り込みと同様、不正プログラム対策ソフトウェアによるチェックを必ず行いましょう。

最近では標的型攻撃のインシデントが多発しているため、システム上の保護対策を施すだけでなく、教職員それぞれが注意をすることが必要です。

行動2:情報セキュリティレベルを低下させかねない行動

学校内の情報システムは、それぞれのサーバやネットワーク、利用端末にセキュリティ対策を講じており、外部からの脅威の侵入を防御することでセキュリティレベルを維持しています。

しかし、業務目的以外でのウェブ閲覧、私物機器等の無許可での持ち込み、端末のセキュリティ設定変更などは、システムのセキュリティレベルを低下させ、外部からの侵入を許してしまうことになる危険な行為です。
秘匿すべき情報が視界に入る状況も避けなければなりません。たとえばIDやパスワードが目につく場所に表示されていたり、重要な情報が教職員用のパソコンに表示されたまま放置されている状態は非常に危険です。これらは各自のセキュリティに対する意識を高めることで早急に改善が可能です。

また、教職員の机の引き出しが開いたままになっていることや鍵が付けっ放しになっている状況、業務書類をゴミ箱にそのまま破棄などの行為も、秘匿すべき情報が容易に盗まれてしまう可能性があります。

以上のような注意すべき行動等のリスクは、セキュリティ製品を導入することで低減可能です。以下ではソリューションを導入し情報セキュリティ対策を実現した事例をご紹介します。

情報セキュリティ対策を確かなものとしたソリューション導入事例

佐賀市教育委員会様では、市内の各校にPCを導入しましたが、学校によって導入のタイミングが異なるためセキュリティ対策の強度が不揃いであり、マルウェア感染、標的型攻撃、ゼロデイ攻撃への対策を一元化する必要がありました。

そこでマルウェアの検出とブロック、継続的な分析やアラート発行等を実現する「Cisco Secure Endpoint」を導入したところ、従来のウイルス対策ソフトウェアで検出できなかった標的型攻撃やゼロデイ攻撃への対策が可能となり、マルウェアに感染した場合でも侵入経路やデータの流出等を追跡できるようになりました。
今後はPCをより安全に利用できる環境を維持し、ICTを活用した教育を市内の小中学校で展開するとともに、教職員のセキュリティに対する意識を高め、児童生徒の模範となるよう努めるとのことです。

多くの教職員は、セキュリティに関する考え方やリスクとなる行動について気にしており、そうした悩みや課題に合った製品を導入し、どのような効果を得られるのか知りたいというニーズがあります。そこで、以上のような事例紹介を通して、営業目線で提案を行うことが求められます。

GIGAスクール端末の利活用が進んでいる現在の教育現場において、課題が浮き彫りとなってきているセキュリティ対策についてはこちらの資料で解説しています。教育現場のセキュリティ対策に関する提案をされる方はぜひご覧ください。

関連資料のご紹介

児童生徒・教職員ともに守るアフターGIGA時代に必要なセキュリティ対策とは

本資料では、 アフターGIGA時代に重要なセキュリティ対策について知るべきセキュリティリスクと重要となるポイントをわかりやすくまとめています。教育現場へセキュリティソリューションの提案される予定がある方はぜひご参考ください!

資料ダウンロード