キヤノンMJ/サイバーセキュリティ情報局
学校DXでセキュリティが課題に。学校が取り組むべき5つの対策
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「学校をサイバー攻撃から守る5つのステップとは」を再編集したものです。
サイバー犯罪者の格好の餌食となってしまうことが多い学校は、どうすればセキュリティを強化し、脅威を退けることができるのだろうか? 本記事では、教育機関がサイバー攻撃から身を守るための5つのステップを紹介する。
学校は社会的な変化における中心的な役割を担ってきた。生徒の教育や能力向上のためだけでなく、現代の社会や経済状況を映す鏡としても存在している。学校がこうした役割を果たすには、課題に対応するためのリソースと人員が必要だ。
多くの学校でデジタル化が始まり、徐々に普及が進む中、パンデミックがそれをさらに加速させた。パンデミック以降、教師と生徒は何の警戒心も持たず、物理的な教室からオンラインビデオプラットフォームの仮想教室に移動した。教科書の代わりにタブレット、黒板ではなく画面共有、校庭はメッセージングアプリに置き換わったのだ。一方で、あまり裕福ではない地域や、コロナ対策が厳しい地域では学校が閉鎖され、生徒らは十分なサポートを受けられなくなった。
オンラインへ移行した学校では、プライバシー保護や情報漏えい、ハッキングなど新たな課題が指摘されるようになった。たとえ教育の場が校舎に戻ってきたとしても、オンライン教育のトレンドは今後も続いていくと考えられる。
学校のセキュリティリスク
学校には、生徒や保護者の氏名、住所、決済情報など多くの機密情報が保管されている。オンライン化が進んだ学校の管理者であれば、今はサイバーセキュリティが最も大きな懸念事項の1つだろう。
脅威はハッカーに限らない。さまざまな形態で、どこからでも襲い掛かってくるものだと覚えておいてほしい。
・ハッカー:サイバー犯罪と自動化された攻撃は、最も一般的なシナリオかつ最大の脅威だ。例えば、正規のメールを装ったフィッシングメールで罠にかけようとする場合がある。学校の職員にリンクをクリックさせ、あらゆる個人情報へのアクセスを意図せず渡すよう騙すものだ。アクセス情報を得たハッカーは、銀行口座を乗っ取ったり、詐欺を働いたり、あるいは情報を売却したりする可能性さえある。また、学校のデータを人質にとるランサムウェア攻撃というリスクもある。
・生徒:学校に在籍する生徒も、学校のシステムへ不正侵入するハッカーになり得る。単なる愉快犯の場合もあるが、自身の成績を改ざんしたり、ほかの生徒の情報を閲覧したりする場合もある。
・学校の職員:生徒と同様、学校の職員もサイバー攻撃に関わるリスクがある。稀なケースではあるが、危害を与えて学校内でパニックを起こしたい、復讐したいという目的から行動を起こすこともあり得る。
学校が取り組むべき5つのサイバーセキュリティ対策手順
サイバーセキュリティは複雑な話題に思えるかもしれないが、ここで紹介するサイバーセキュリティ対策における5つの手順をぜひ実行してほしい。
1.IT機器を管理する:学校には、何台のノートパソコンが保管されているのか。すべてが正常に動作するのか。セキュリティソフトウェアは導入されているか。OSは最新の状態に更新されているか。さらには、各機器の設置場所、アクセス権限、点検の必要性などを1台ずつリストアップして、パソコンなどIT機器の管理を徹底する。
2.専任のIT担当者を置く:リストアップしたIT機器が適切に動作するか、更新が必要かを把握するには、ITの担当者や、学校の規模によってはIT部門が必要になる。IT機器を正しく評価して運用するには、スキルを持った専門家でなくては難しい。IT担当者は、複雑なパスワードと二要素認証(2FA)を設定し、誰がどのIT機器へアクセスできるかという追跡管理も責任を負う。また、すべての職員と生徒に対して、包括的でわかりやすいユーザーポリシーを適用する責任を負う必要もある。
3.学校の職員向けにサイバーセキュリティのワークショップを開催する:学校の職員はサイバーセキュリティの知識が何もない初心者だと仮定し、特化型ワークショップを開催して教育する必要がある。専門家へ講演を依頼する、地元の公的機関へ支援を頼む、オンライン情報を活用するといった取り組みが考えられる。IT機器やパスワードを共有しないことの重要性や、機密情報の特定につながる写真を公開するべきでないなど、時間をかけて職員の理解を助ける必要がある。さらに、基本的なフィッシングメールを識別できるようになることも重要だ。
「Cybersecurity training and awareness: Helpful resources for educators(サイバーセキュリティ研修と啓蒙:教育者向けの有益な情報源)(英語のみ)」
4.職員が脅威と疑わしき事象を報告できる環境を整備する:問題を報告することに対する恐怖心が、学校におけるリスクを高めてしまう場合がある。誰しもミスを犯してしまうもので、詐欺には引っかかってしまうものだと職員に認識してもらおう。その上で、職員自身と学校を保護するために報告してほしいと伝えるのだ。ハッカーは標的に対し、ソーシャルエンジニアリングを仕掛けてくるので、誰もが被害者になり得ると周知しておくとよいだろう。
5.学校のカリキュラムにサイバーセキュリティを最新トピックとして組み込む:学校を脅威から守るだけではなく、早いうちから生徒にサイバーセキュリティの知識を伝えられるよう、教師も詳しくあるべきだ。多くの授業でノートパソコンやモバイル機器を用いるようになっているため、IT系の授業だけでなく、カリキュラム全体を通じてサイバーセキュリティを扱うのはIT教育において肝要だ。
オンライン上のプライバシーを守り、安全を保つ活動は家庭から始まる
生徒や教師がオンライン上の安全ルールを守る必要があるのは、何も学校内に限ったことではない。交通ルールを守って横断歩道を渡ったり、シートベルトを締めたりするように、サイバーセキュリティは家庭でも常に意識するべきものだ。特に、サイバーリスクが普段の生活の中に生じている現状では、なおさらだろう。
学校の職員が投稿したソーシャルメディアの画像や位置情報を使って、ハッカーが学校の管理者である人物を特定する恐れがある。また、子どもは大人よりもオンライン上の活動に関して経験があるため、教師や保護者も若い世代のオンライン活動を把握しておくことが重要だ。脅威や脆弱性を理解するためだけだったとしても欠かせない取り組みとなるので、ぜひ実践してもらいたい。
関連記事:
「サイバーアタックサーフェスとは何か。そのリスクを軽減する方法とは?」
「The need to change cybersecurity for the next generation(次世代のために変えるべきサイバーセキュリティの習慣)(英語のみ)」
[引用・出典元]
5 steps to protect your school from cyberattacks by André Lameiras 17 Oct 2022 - 11:30 AM
https://www.welivesecurity.com/2022/10/17/5-steps-protect-school-cyberattacks/