このページの本文へ

リモート学習のセキュリティ、ここに気をつけろ

2021年04月30日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

環境を整えるだけでは不十分

 地域によって緊急事態宣言が発令されるほど、まだまだ新型コロナウイルスの影響は続いている。人と人との接触が減り、外出が難しくなったことで、オンライン活用やリモートワークによるデジタル化やクラウドへの移行が本格化してきた。

 教育面でも、同じことがいえるだろう。学校の休校措置などをきっかけに、オンライン学習ツールの提供が盛んになっている。映像授業や教育プラットフォームの導入などは、試行錯誤も多い中で、この1、2年で急速に普及した。

 とくに、企業間でもよく使われるビデオ会議は、ゼミのような少人数での利用や、大勢の学生が受講する講義への活用などで、使われるシチュエーションは多い。まだしばらくは、多くの学生がリモートでの学習がメインとなりそうだ。

 一方で、急速にビデオ会議を利用する人口が増えたために、セキュリティ面やプライバシー面などに問題を抱えたケースもあった。たとえば、招待されていない人物が、学校のオンライン授業などに入れるようになっていた、という例もある。

 すなわち、リモートでのオンライン学習を始める学生は、自身の環境を整えるだけでなく、セキュリティにも注意する必要がある。

 まず、最初の一歩として、セキュリティソフトウェアを使用し、デバイスや個人情報をマルウェアの脅威から保護するのは基本。ツールの自動更新をオンにして、最新のセキュリティーパッチが利用できるようにすることも肝心だ。

学生と学校側の両方がセキュリティを理解する必要がある

 セキュリティの意識を向上させても、肝心のツールがセキュリティ的に不備のあるものであれば、脆弱性をもたらすきっかけになる可能性もある。

 たとえばビデオ会議などでは、ツールの機能が目的に即しているかどうかを検討したほうがよい。データの傍受を防ぐためにも、送信中のすべてのデータを暗号化するサービスを優先したいところだ。個々のユーザーをトラッキングし、その情報の一部をサードパーティと共有するようなサービスは避けたほうがよいかもしれない。

 ほかにも、多要素認証のサポートがされているか、プライバシーポリシー(サードパーティーとの共有)の内容はどうなっているかを確認し、既知のサービスの悪意のある使用はされていないかという点もチェックしておこう。

 また、オンライン学習では、ファイルをやり取りし、共有する機会も増えてくるはず。設定の不備から、意図しない共有が発生してしまう可能性もある。扱うファイルによっては、個人情報が流出してしまうおそれもある。セキュリティ違反の影響とリスクを軽減するために、必要な手順を理解することが重要といえる。

 これらは学生の側だけではなく、学校や教員側にもいえることだ。学習に関するテクノロジーの多くは学生やスタッフにとって新しいものであるため、セキュリティ軽視や違反の影響と、リスクを軽減するために必要な手順を理解することが重要だろう。

 とくに、北米などでは、オンライン学習への移行に伴ってランサムウェア攻撃などが増加している傾向が見られる。サイバー犯罪は普及しているものを狙うことが多いため、日本においても、リモート学習環境におけるセキュリティへの意識は強く持っておく必要がある。

 今回は、McAfee Blogの「リモート学習環境でサイバー脅威リスクを軽減するための4つの対策」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

リモート学習環境でサイバー脅威リスクを軽減するための4つの対策:McAfee Blog

 学習環境は以前とは異なり、教育機関が安全で効果的な遠隔学習環境を促進するために新しいテクノロジーを導入するにつれて、サイバー脆弱性も増大します。特にカナダの学校では、オンライン学習への移行に伴いランサムウェア攻撃が増加しており、ハッカーが生徒のデータを悪用して学術研究を妨害する可能性があります。高まるサイバーセキュリティーの懸念に対抗するために、教育者は、学生のデータとプライバシーのバランスを崩すことなく、安全で効率的な遠隔教育環境を維持するための新しい対策を実装する必要があります。

背景

 教育関係者たちは、遠隔から学習を管理する方法を確立するため、混乱を制限することに依然として優先度高く取り組んでいます。多くの教師はタブレットやオンラインプログラムなどの補足テクノロジーに精通していますが、完全に仮想化された教室をサポートするために完全にそれらに依存することは別の問題です。オンライン学習ツールに投資する場合、教育機関は、効率性を重視するが故に重要な安全性をおろそかにしてはいけません。

 教育業界は、遠隔地の教室への広範な移行以来、サイバーセキュリティー攻撃のかなりの割合を占めています。Microsoftによると、世界的に教育業界はマルウェアの被害が最も多く、ビジネス、金融、ヘルスケアなどの業界を上回っています。幼稚園から高校までの教育機関では、特にランサムウェアと分散型サービス拒否(DDoS)の増加が見られます。多くのカナダの学校でサイバーセキュリティーインシデントが発生しており、生徒のデータの整合性とプライバシーが損なわれています。ハッカーは常に新しいテクノロジーの脆弱性を利用しようとしているため、これにより、教育が非常にターゲットを絞った業界である理由についてさらに議論が促されます。

 遠隔教育への急速な移行は、脅威レベルの増加の明らかな原因ですが、高等教育機関はパンデミック以前からすでに脆弱な状態でした。 多くの学生は、オンラインデバイスを使用するときに、適切なセキュリティー意識を欠いています。Morphisecのサイバーセキュリティー脅威指数(CyberSecurityThreat Index)では、高等教育機関に向けたサイバー関連の不正の30%以上が」学生が電子メール詐欺、ソーシャルメディアの誤用、またはその他の不注意なオンライン活動の犠牲になったことが原因でした。多くの学校が堅牢なサイバーセキュリティーインフラストラクチャをサポートするための十分な資金を欠いているため、予算上の制約もオンライン攻撃の増加の原因となっています。一方で、学校が持つ膨大な量の学生データについてサイバー犯罪者は認識しており、それが最大のターゲットになっています。

 パンデミックの間に導入された新しい遠隔学習技術の多くは、厳格なセキュリティー対策の欠如に関連するリスクを露呈しました。たとえば、最近まで、Agoraのビデオ会議ソフトウェアは、ハッカーがビデオ通話や音声通話をスパイすることを可能にする脆弱性を示していました。学校のネットワークを介してリモート学習テクノロジーにアクセスする生徒の数が増えるにつれ、生徒を保護するために学校がセキュリティープロトコルを再評価することが特に重要になっています。

仮想教室の保護

 すべてのレベルの学校は、デジタルテクノロジーを積極的に保護し、生徒のデータの整合性を保護する必要があります。適切なアプローチにより、学生と教育者はサイバー脅威のリスクを軽減できます。学校がすぐに実行すべき重要なサイバーセキュリティーの対策や教育について、次の4つの重要な手順をお伝えします。

1. 意識向上トレーニングを実施

 誰か一人が誤ってクリックしたりアクセスしたりするだけで、ハッカーが学校のシステムに侵入できるような経路を渡すことにつながります。デジタルセキュリティートレーニングは、学生と教職員がフィッシングメールなどの疑わしいアクティビティを認識して適切なアクションを実行できるようにするために必須です。たとえば、一般的なサイバー脅威は、ハッカーが学校の職員になりすまして、税務情報や識別情報などの重要な情報を要求する場合です。

 市場に出回っている学習テクノロジーの多くは学生やスタッフにとって新しいものであるため、セキュリティー違反の影響とリスクを軽減するために必要な手順を理解することが特に重要です。

2. ユーザーアクセス制御

 「最小特権」の原則は、サイバー攻撃の回避にも役立ちます。この原則は、ユーザーが知る必要のあるベースでのみデータとシステムへのアクセスを許可し、不正または不要なアクセスを介して発生するデータ侵害を軽減することができます。ハッカーは、価値の高いアカウントやシステムにアクセスする方法として、低レベルのデバイスやアカウントに侵入しようとすることがよくあります。学校は、ユーザーがアクセスできるもの、ユーザーがアクセスできる機能、およびその理由のリストを最適化することにより、行動を起こすことができます。ユーザーが必要なものだけにアクセスできるようにすることで、攻撃をシステムのより小さな領域に制限し、セキュリティーエコシステム全体を保護するのに役立ちます。

3. セキュリティーおよびパスワード管理ポリシーを更新

 見過ごされがちですが重要なサイバーセキュリティープロトコルは、堅牢なパスワード管理ポリシーを採用しています。これらのポリシーは、学生と教職員がデバイスとオンライン学習テクノロジーをどのように使用するかを管理するガイドラインとルールを設定する州および準州の法律にも準拠している必要があります。パスワードの共有と無制限のアクセスを防ぐには、強力なパスワードと多要素認証を推奨するパスワード管理ポリシーが不可欠です。

4. サードパーティベンダーを管理

 サードパーティのテクノロジーベンダーは遠隔教育の不可欠なコンポーネントになっていますが、脆弱性をもたらすきっかけになる可能性もあります。教育機関は、生徒の安全が何よりも優先されるように、テクノロジーベンダーを適切に管理していることを確認する必要があります。サードパーティのテクノロジとベンダーの契約条件を評価するための徹底的な審査プロセスを実施することで、将来さらに大きな問題を引き起こす可能性のあるセキュリティーギャップを特定するのに役立ちます。

遠隔教育を安全な学習環境に

 パンデミック時の遠隔教育の台頭により、教育者、学生、保護者は、教室で授業を受けないことの機会と課題の両方について新しい洞察を得ることができました。最も重要なことの1つは、学生の安全を確保するために、安心安全な仮想環境を準備することの重要性です。教育技術が提供するメリットがあったとしても、適切なトレーニングや技術的な保護手段が整っていないと、学校や学生は外部の脅威の危険に対して脆弱なままになります。サイバー脅威の認識を高め、強力なセキュリティー戦略を実装することで、教育者と保護者は、生徒が成長するためのより安全な学習環境の準備が出来るのです。

最新情報を入手

 日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティーの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。

※本ページの内容は2021年3月31日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Prioritizing Security in a Remote Learning Environment
著者:Jean Treadwell

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ

マカフィーは大切なものを守ります。