), }, ], }, { items: [ { text: ‘情サイバーセキュリティインシデントの原因’, }, { text: ‘-‘, }, ], }, { items: [ { text: ‘セキュリティポリシー策定率’, }, { text: ‘-‘, }, ], }, { items: [ { text: ‘セキュリティソフトの導入率’, }, { text: ‘-‘, }, ], }, { items: [ { text: ‘情報セキュリティへの意識’, }, { text: ‘低い’, }, ], }, { items: [ { text: ‘情報セキュリティ研修の実施率’, }, { text: ‘72%’, }, ], }, ]} /> 教育機関のセキュリティ対策に取り組むK12 SIXは、実際のアメリカのインシデントは公表数の10倍~20倍だとしています。アメリカの教育現場では、セキュリティインシデントが秘匿されるケースが非常に多いようです。 2021年のセキュリティインシデントの内訳では、ランサムウェアが62件ともっとも多くなっています。ランサムウェアとは、デバイスのデータを暗号化して復元のために金銭を要求するマルウェアです。 ランサムウェアの被害以外にも、情報漏えい・不正アクセスなどがアメリカの教育機関を悩ませています。さらに、メールを悪用した詐欺、オンライン授業への侵入、Webサイト改ざん、DDoS攻撃なども起きています。 参照:Education Week「What the Massive Shift to 1-to-1 Computing Means for Schools, in Charts」,サイバーセキュリティ総研「アメリカの学校のサイバー脅威に取り組むK12 Security Information Exchange」,Clever「The state of data security and privacy in K-12 schools」,K12 SIX「The State of K-12 Cybersecurity: Year in Review」
初等教育:18人
中等教育:7人
高等教育:8人
), }, ], }, { items: [ { text: ‘生徒1人1台が達成されている教育機関の割合’, }, { text: ‘65%(2018年)’, }, ], }, { items: [ { text: ‘セキュリティインシデント数(電子化された情報のみ)’, }, { text: (
初等教育:7%
中等教育:29%
情報漏えい:182件
※全体の学校数は不明
), }, ], }, { items: [ { text: ‘サイバーセキュリティインシデントの主なタイプ’, }, { text: ‘情報漏えい・マルウェア感染’, }, ], }, { items: [ { text: ‘情サイバーセキュリティインシデントの原因’, }, { text: ‘-‘, }, ], }, { items: [ { text: ‘セキュリティポリシー策定率’, }, { text: ‘-‘, }, ], }, { items: [ { text: ‘セキュリティソフトの導入率’, }, { text: ‘-‘, }, ], }, { items: [ { text: ‘情報セキュリティへの意識’, }, { text: ‘低い’, }, ], }, { items: [ { text: ‘情報セキュリティ研修の実施率’, }, { text: (
初等教育:78%以下
中等教育:68%以下
), }, ], }, ]} /> EU全体の統計は少なく調査頻度も低いため、教育機関のセキュリティの正確な現状把握は困難です。 傾向として生徒へのデバイス配備が北欧諸国では進んでおり、スウェーデン・アイスランド・フィンランドで100%でした。一方、スロバキア・クロアチア・ハンガリーなどは配備率が20%台と非常に低い数値です。EUは国によって政策・方針が異なるため、生徒へのデバイス配備も大きな格差が生じています。 全体として、情報セキュリティへの意識は国ごとの格差が大きく今後の向上が求められます。 参照:European Commission「2nd Survey of Schools:ICT in Education」,EU Kids Online network「EU Kids Online 2020 Survey results from 19 countries」 {SHORTCODES.blogRelatedArticles}
情報セキュリティに関する意識の違い
出典:トレンドマイクロより トレンドマイクロの調査によれば、日本の情報セキュリティリスクの低さは世界で6位でした。上記の表の用語は以下を意味しています。 Cyber Risk Index(サイバーリスク指数):サイバー予防指数からサイバー脅威指数を引き算した指数 Cyber Preparedness Index(サイバー予防指数):セキュリティ対策の強度 Cyber Threat Index(サイバー脅威指数):サイバー攻撃を受けるリスク
サイバーリスク指数が小さくなるほどリスクが高く、大きくなるほどリスクは低くなります。日本はサイバー予防指数が5.61と世界で2番目で、他国と比較してセキュリティ意識が高いという結果です。 また日本では、セキュリティ対策の主軸となるあるゼロトラストへの取り組みも遅れています。ゼロトラストとは、社内・社外などの境界線に頼らずあらゆるアクセスの確認を行うセキュリティの考え方です。 ゼロトラストの推進状況は28カ国中27位となっており、今後の整備が求められます。 参照:トレンドマイクロ「サイバーリスク国際意識調査「Cyber Risk Index」 2022年下半期版」,総務省「令和2年 情報通信白書のポイント」,「平成26年版 情報通信白書|情報セキュリティに係る利用者の意識について」
教育現場における情報セキュリティ問題
今回NordVPNでは、教育機関における情報セキュリティ問題について、実際に現場で働く教員3名に取材を行いました。取材の結果、以下のような現状と問題点が明らかになりました。 学校内でのセキュリティインシデントは少ない 学校で支給されるデバイスよりも個人が使用しているデバイスにおけるセキュリティ事故の方が多い 教育機関と警察等の地方公共団体が共同で未成年のオンライン活動の監視を行っている県もある
続いて、教育機関の情報セキュリティの現状・課題について解説します。
国内の小中学校におけるセキュリティインシデントの現状 取材を行った学校では、学校内でのセキュリティインシデントはほぼ発生していないとの回答を得ました。理由としては、 学校内で使用されるデバイスには勉強用のアプリのみがインストールされており、外部との接続機会が少ない 子供が使用するタブレットに、重要な個人情報はほとんど入れないようにしている
ただし、デバイスのパスワード管理は生徒に委ねられており、学校側では生徒がアプリ追加やインターネットへの接続を個人的に行った場合、それを検知できないという問題も存在します。 取材で明らかになった、学校内での主な問題は以下の3点です。 パスワードは完全に生徒側の自己管理:タブレットのパスワードは、支給された際には学校側が指定する初期設定のアカウントでログインし、その後パスワードの変更は各生徒とその家庭に委ねるという方法を取っているようです。そのため、実際にはパスワードを変更せず初期設定のままのものを使用していたり、パスワードを生徒自身が忘れてしまうという問題も頻発しているようです。 書面での情報管理:また、ログイン用のパスワードをタブレットの裏に手書きのメモで貼り付けておく、といった管理の仕方を実際に行っている学校もあるようです。幸い情報漏えいなどの事故は発生していないようですが、誰もが見られるような書面でのパスワード管理方法は、決して安全とは言えません。パスワード以外にも、日本の学校では様々な個人情報がまだ書面で管理されている場合が多いようです。 教員の情報セキュリティに関する知識の欠如:年に1、2回は情報セキュリティに関わる研修が行われている学校が多いようですが、専門知識を持ったスタッフが各学校に配置されることは少なく、教員も他の業務で多忙のため、年に数回の研修以外でセキュリティについて学ぶ機会を儲けるのは難しいのが現状のようです。
個人と家庭のセキュリティリスクについて 生徒が個人的に保有しているデバイスでは、多くのセキュリティインシデントが発生しています。現在では生徒のデバイス所有割合はおよそ3人に1人で、大半がSNSを利用しています。 SNSを通じての誹謗中傷、仲間はずれ、出会いなど、多数のトラブルが教育機関に報告されています。教育機関に直接的な責任はないものの、過去には生徒間の仲介役を担う場合もありました。しかし、サポートの負担は予想以上に大きく、教師が疲弊するため担い続けるのが困難になりました。 そのため、教育機関は自らの負うべき責任の範囲を明確化し、その範囲外については保護者や子ども向けに説明会を実施しています。情報セキュリティ対策やパスワード管理などの説明を行っていますが、無関心な家庭も存在するため対策は十分とは言えません。 情報セキュリティ教育と課題解決のための対策 たとえば、岐阜県ではセキュリティインシデントの予防のため、教育機関や警察が共同してネットパトロールという組織を設立しました。ネットパトロールはSNSで命や安全に関わる投稿を監視し、発見した場合には以下の措置を講じます。 危険な投稿を発見したら、学校に連絡 連絡を受けた学校は、内容を精査して生徒に注意するなどの対策を講じる
さらに、生徒・職員は情報セキュリティについて一年に一回の頻度で授業・研修を受けます。加えて各学校ごとにセキュリティポリシーを策定し、セキュリティ対策の拡充に努めています。
学校が取るべき情報セキュリティ対策
学校が取るべきセキュリティ対策としては、以下が挙げられます。 セキュリティポリシーの策定と実施 情報セキュリティ教育によるリテラシー向上 アクセス制限・フィルタリング ID・パスワード管理によるなりすまし対策 校内LANのセキュリティ向上
それぞれのポイントについて解説しますので、自校で取り入れられるセキュリティ対策を検討しましょう。
セキュリティポリシーの策定と実施 セキュリティポリシーは、セキュリティ対策として非常に重要な要素です。 セキュリティポリシーとは、どのような対策を実施するのかという方針です。日本の教育機関のセキュリティポリシー策定率は71.2%となっており、今後の拡充が求められています。 文部科学省も「教育情報セキュリティポリシーに関するガイドライン」で、セキュリティポリシーの重要性を公表しています。リスク分析・目的と管理基準の設定・実際の管理手順の順に検討し、セキュリティポリシーを導入しましょう。 セキュリティポリシーの内容は、以下の構成を参考にしてください。 適用範囲 適用対象者 体制・構成・役割 監査 違反発見時の対応
) }, ], }, { items: [ { text: ‘2.対策基準’, }, { text: (
入退出の基準 施設内における管理 コンピューターウイルス対策基準 校内LANの利用基準
) }, ], }, { items: [ { text: ‘3.実施手順’, }, { text: (
入退出管理マニュアル IDカードの発行手順 訓練・教育手順 ウイルス対策ソフトの導入手順
) }, ], }, ]} /> 参照:総務省「情報セキュリティポリシーの策定」
情報セキュリティ教育によるリテラシー向上 情報セキュリティ教育によるリテラシー向上も、職員や生徒に求められる課題です。 情報セキュリティ教育を通して意識改革を行えば、セキュリティポリシーが有効に機能します。逆に、情報セキュリティ教育なしにセキュリティポリシーだけ定めても意味がありません。 また、インシデント発生を想定した訓練も定期的に行いましょう。情報セキュリティの担当者だけではなく、職員も参加して行うようにしてください。 すべての職員の情報セキュリティに関するリテラシーを高めるのが、セキュリティ対策において最も重要です。 アクセス制限・フィルタリング 教育機関のセキュリティ対策として、アクセス制限とフィルタリングも重要です。 たとえば、「有害なWebサイトをフィルタリングで遮断」「職員専用データへの不正アクセス防止」などが考えられます。他にも、LAN内でしか公開しないコンテンツへのアクセス制限も必要です。 アクセス制限・フィルタリングには、以下のような方法が有効です。 Webフィルタリング メールフィルタリング 物理的に独立したLAN配線 ソフトウェアによりグループを構成するVLAN
VLAN(Virtual Local Area Network)とは、仮想LANと訳されるバーチャルなLANグループを作る技術です。VLANを構築すれば、生徒が利用するネットワークから仮想的に職員専用データなどを切り離せます。 参照:文部科学省「校内ネットワークの仕様」 ID・パスワード管理によるなりすまし対策 町田市いじめ事件のようななりすましを起こさないために、ID・パスワードの管理を厳重にしましょう。総務省が公表しているパスワード管理のポイントは、以下のとおりです。 職員にも教えず個人で管理 他人の目に触れるところに貼らない パスワードをメモするなら安全な方法で保管 パスワードを複数のサービスで使い回さない
参照:総務省「設定と管理のあり方」 なお、「アカウントの乗っ取り」「パスワードの流出」などがない限り、パスワードを変更する必要はありません。むしろ、定期的に変更するとパスワードの作り方がパターン化してリスクが増す恐れがあります。 加えて、さらに情報漏えいリスクを最小化するためにはVPNの導入が求められます。VPN(仮想プライベートネットワーク)とは、トンネリング、カプセル化、暗号化、認証という4つの技術により、個人情報や重要なデータを厳重に保護する、通信セキュリティ向上のための仕組みです。 アプリをダウンロードするだけで手軽に導入でき、ランニングコストもリーズナブルです。VPNで通信セキュリティを向上させ、教育機関内におかれている情報資源を守りましょう。 校内LANのセキュリティ向上 校内LANのセキュリティ強化には、以下の対策を検討しましょう。 セキュリティ対策ソフトの導入 通信の暗号化 モニタリングソフトの導入 サーバーの分散運用によるリスク回避 利用者によって使用するネットワークを分割 ファイルの暗号化
テスト・教材データなどの暗号化や、モニタリングソフトの導入はセキュリティ強化に不可欠です。二重三重のセキュリティを構築し、安全・快適な校内ネットワークを実現しましょう。 参照:総務省「校内LAN導入の手引」 学校をサイバー攻撃から守る5つのステップ 学校をサイバー攻撃から守るには、以下の5つのステップでセキュリティ強化を行うのがおすすめです。 IT機器の管理 知識のある専任のセキュリティ担当者を配置 職員向けに情報セキュリティ教育 問題が報告できる環境作り 学校のカリキュラムに情報セキュリティを組み込む
セキュリティ強化には、物理的・意識的な対策の両方が必須です。それぞれ、具体例は以下のとおりです。 物理的:セキュリティソフト導入・アクセス制限・フィルタリングなど 情報セキュリティ教育・セキュリティポリシー策定など
また、セキュリティインシデント発生時に隠蔽せず素早く報告できる環境作りも重要です。学校をサイバー攻撃から守るには、物理対策・意識改革・環境作りといった3つの観点から取り組みましょう。
教育現場はセキュリティ教育・ポリシー策定で意識改革を行おう
日本の教育機関のセキュリティ対策は、世界的に見ても進んでいるのが分かりました。しかし、セキュリティポリシー策定率が71.2%といまだに十分ではないのも確かです。 教育機関は、生徒・職員の個人情報をはじめとしたさまざまな情報資源が集中しています。そのため、不正アクセス・情報漏えい・ランサムウェアなどへのセキュリティ対策が必要です。 自校のセキュリティの現状を的確に把握し、セキュリティポリシー策定をはじめとした十分なセキュリティ対策を実施しましょう。
The post 学校での情報セキュリティ対策:日本の現状と海外の事例 first appeared on NordVPN.
Featured Japan NordVPN expertise NordVPN research Research