学校情報のセキュリティ対策
情報セキュリティの脅威から、生徒を守る
学びの環境を、安心・安全な状態に保つために
サイバー攻撃は年々増加の一途を辿っています。
国立研究開発法人情報通信研究機構(NICT) の調査によると、
2021年のサイバー攻撃関連の通信パケットは、
10年前に比べて32.8倍にも増えていることがわかりました。
参考)「NICTER観測レポート2021の公開」 https://www.nict.go.jp/press/2022/02/10-1.html
なぜ学校でセキュリティの強化が必要なのか
「××社、○万人分の顧客情報流出」といったような情報漏洩に関するニュースは跡を絶ちません。
一般的なIDとパスワードによる端末管理だけでは、もはやセキュリティ対策は万全とは言えません。
それは教育の現場においても同じです。
職員になりすましたメールで不正に個人情報を取得しようとしたり、
関係者を装って悪意あるサイトへ誘導しようとしたりと、方法は様々です。
また、職員だけでなく生徒に配布している端末も正しいセキュリティ対策をしなければ
危険に曝されます。
フルノシステムズが調査したところによると、
端末へのセキュリティに万全な対応を講じている教育委員会は全体の1/3にしかすぎず、
半数以上の教育委員会は何らかの課題を抱えていることがわかりました。
このような課題が顕在化している中、
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を改訂し、
セキュリティ強化に取り組むよう呼びかけを行いました。
改訂のポイントとして「無線LANを活用したクラウド利用」と
「多要素認証(シングルサインオン)」がキーワードに挙げられています。
フルノシステムズの無線LANアクセスポイントは、
管理ソフト「UNIFAS」を通してSoliton OneGateと連携し、
ガイドラインに適応したソリューションを提供することができます。
教育情報システムのセキュリティ対策
 |
 |
① 無線LANを導入済みまたは、検討中の方
有線LANと無線LANのセキュリティの違い
有線の場合、ネットワークに侵入するためにはLANケーブルにつなぐなど物理的な侵入が必要となります。そのため建物への侵入や盗難などのセキュリティがそのままネットワーク侵入の予防につながります。
しかし、無線LANの場合は建物外へ漏れる電波や、悪意ある行動など周りの目から判断がつきません。同じ情報セキュリティの脅威に対しても今までと違った対策が必要になります。
無線LANのセキュリティ
無線LANのセキュリティは大きく2つあります。
聞かせない、つながせない、対策がそれぞれ必要です。
暗号化
・無線空間上のデータに対して暗号化処理を施し、
データが故意に傍受された場合でも内容が判らないようにする。
アクセス制御
・無線LANに接続する際にチェック機能を持たせ、
その許可が与られてない端末は接続させないようにする。
誰もが行う大きな間違い
無線LANを利用する多くの方が犯している大きな間違いがあります。
無線LANのセキュリティとして一番行われているのはパスワードによる制御です。
皆様が一般的に無線LANにつなぐ際のパスワードは
先ほどの2つのセキュリティのどちらにあたるでしょうか?
実は暗号化です。パスワードによるアクセス制御を行っているわけではなく、
暗号化を解読するための法則の交換になります。
パスワードをかけているから無線LANのセキュリティは万全と思われてないでしょうか?
パスワードにより盗聴は困難ですが、侵入は意外と容易にできてしまいます。
無線LANのセキュリティの種類
無線LANのセキュリティには様々な種類があります。
端末のMACアドレスで制御するMACアドレス認証や、
SSIDを隠すステルス化だけでは、セキュリティ対策は万全ではありません。
RADIUSによるユーザー認証も、その情報が外部に持ち出されてしまっては意味がありません。
そこでRADIUSによるデバイス認証が効果を発揮します。
必要な端末のみ校内ネットワークへのアクセスを許可することで、
大事な資産を外部からの攻撃からシャットアウトします。
生体認証と組み合わせることで、より強固なネットワーク環境を構築することができます。
| 項目 | 種類 | 校内での セキュリティ |
外部からの |
悪意を持った 攻撃 |
備考 |
| パスワード (PSK) |
記憶 | × | △ | △ | 必須のセキュリティ。主目的は暗号化。 パスワードの文字数を多くすれば、新入は困難になる。 |
| MACアドレス認証 | 端末 | △ | ○ | × | いたずら防止程度。 認証としては、かなり弱い。 |
| 電波のステルス化 | 記憶 | × | ○ | × | いたずら防止程度。 セキュリティとしては、かなり弱い。 |
|
RADIUS |
記憶 | × | ○ | ○ |
セキュリティとしては強固だが、関係者の不正利用。 |
| RADIUS (デバイス認証) |
端末 | ○ | ○ | ○ | 導入の準備をしっかり行うことで、 強固なセキュリティ環境を作ることができる。 |
| 生体認証 (2要素認証) |
身体 | ○ | ○ | ○ | 他セキュリティと組み合わせて利用。 コストがかかる場合もある。 その他にワンタイムパスワードなどもある。 |
RADIUS認証とは
アクセス制御を行う専用の通信規格で、公的な場所での認証として、
情報セキュリティガイドラインでも推奨されています。
認証方法はID/パスワードでの特定の人物だけに接続を許可するユーザー認証と、
電子証明書により特定の機器だけに接続を許可するデバイス認証の2つあります。
ただし、利用には専用のサーバが必要となり、管理運用も必要となるため、
導入時や運用時のコストが必要となるため、導入をためらう学校も多いのが現状です。
② クラウドサービスのID/パスワード管理に
不安をお持ちの方
クラウドサービス利用の課題
GIGAスクール構想によって、通信環境の整備、端末の整備が進み、校務システムや電子教科書の利用などICTの利用は多岐にわたるようになりました。
それにより、これまで以上にクラウドサービスの利用も増えてきています。
クラウドサービスはすべての利用者が同じサイトにアクセスするため、
ID/パスワードでの制御が必須です。
利用するクラウドサービス毎にID/パスワードが増えていき、課題も増えていきます。
現場では以下のような課題が発生しています。
学習効率の低下
・ID/パスワードの入力の手間が増える
・パスワード忘れによる学習の遅れ
情報漏洩のリスク
・利用者がID/パスワードの記憶が難しいため、
メモや安易なパスワードにしてしまうことで漏洩のリスクが高まる。
また、すべてのサービスで同じパスワードにしてしまうこともある。
・管理が大変なため、利用者のID/パスワードに統一性を持たせてしまい
学内の者であれば容易に想像がつくものにしてしまう。
学内のセキュリティだけでなく、クラウドサービスへのセキュリティも必要
管理運用の負荷
・管理者がクラウドサービス毎に利用者の管理をしないといけない。
特に学校では入学、卒業に合わせて大量のメンテナンスが必要になる
そこで、効果を発揮するのがシングルサインオン(SSO)です。
シングルサインオン(SSO)とは
上記のような課題解決として利用されるのがシングルサインオン(SSO)です。
シングルサインオンとは、SAMLの仕組みを利用し、一度ID/PWを入力すればその後のID/PWの入力が不要になるシステムです。
※SAML(Security Assertion Markup Language)の略
UNIFAS × Soliton OneGateを活用し、
安全かつ効率的な学習環境を
OneGateとは
UNIFAS×OneGate認証は安定した無線LANの提供に加え、クラウドにてAPの運用管理、RADIUS認証、シングルサインオンを実現するソリューションです。
■クラウドによる一括管理
■サーバ不要でクラウドにてRADIUS認証が簡単に実現
■AD連携で証明書発行・執行の手間を削減
※AD(Active Directory)の略
■シングルサインオンにてパスワード入力の手間を削減
■シングルサインオンにてID/パスワードの流出を防ぐ
さいごに
「厳しく制限」はもう古い?
正しく情報の価値や真偽を見極め、自分のちからで判断できる児童生徒を育てるためにも、「まずは学校で、先生と一緒に、インターネットやクラウドにつながる端末を毎日利用する」のは絶好の機会です。
まず禁止、制限ではなく、児童生徒のうちから、
適切なセキュリティの確保された環境化で活用の実践を積み重ねることこそが、
これからの次代で生きていくためには不可欠なのではないでしょうか。
「情報教育セキュリティポリシーに関するガイドライン」のコラムより抜粋
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm
