教職員の働き方改革を推進
教育現場では、校務系システムの機密性を保持するために、学校内と外部でネットワークを切り離す「境界防御型」のネットワーク構成が一般的でした。校務系システムへのアクセスを学校内のみに限定することで、外部からの攻撃やシステム侵入を防ぎます。
一方で、企業では働き方の変化や新型コロナウイルス感染症の対策としてリモートワークの導入が進められています。これは、学校現場も例外ではありません。教職員の多様な働き方の推進や、感染症・災害などやむを得ず休校措置が必要な際の対応には、外部環境でも安全に業務できる環境が不可欠です。
そこで、外部のネットワークからも安全に校務系システムに接続できるよう、ガイドラインでは新たに「アクセス認証型」のネットワーク構成が提示されています。
アクセス認証型と境界防御型の違い
アクセス認証型 (ゼロトラスト) |
境界防御型 |
---|---|
端末の認証やセキュリティ対策を充実させ、それぞれのリソースへのアクセス認証や通信の保護を徹底することで、ネットワークによる制限を必要としない手法。 接続するネットワークを限定しないため、リモートワーク等の働き方改革の推進に有効。 |
内部ネットワークと外部ネットワークを明確に切り離すことで、機密性を高める手法。 学校内からの通信のみに限定した場合に有効。 |
https://www.mext.go.jp/content/20220303-mxt_shuukyo01-100003157_003.pdf
「アクセス認証型」で欠かせない端末のセキュリティ
3月に発表されたガイドラインに記載されている通り、アクセス認証型(アクセス制御による対策を講じたシステム構成)では、教職員端末での情報資産の管理がより重要となってくるため、「多要素認証」「マルウェア対策」「外部デバイスの利用制限」「暗号化」「フィルタリング」等の対策が必要です。
ALSIからご提案可能な4つのソリューションをご紹介いたします。
教職員端末のセキュリティを強固にするALSIソリューション
①ファイル暗号化
⑥ファイルの暗号化
端末に保存したファイルを暗号化し、暗号鍵を保持しない利用者は情報の閲覧等ができない仕組み。教職員等の負担を考慮し、ファイル保存時に自動で暗号化される仕組みも有効である。
InterSafe FileProtectionは、ファイルを自動で暗号化するソフトです。ファイルは通常通り編集し保存するだけで暗号化されるため、特別な操作は一切不要。パスワードレスのため、教職員は意識することなく暗号化を実施できます。また、電子政府推奨のAES265形式の高度な暗号化が施されているため、万が一ファイルが職員用端末の外に流出しても中身の情報が洩れることはありません。
② 外部デバイス管理
(1)⑤持ち出し及び持ち込みの記録
教育情報セキュリティ管理者は、端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。なお、アクセス制御による対策を講じたシステム構成の場合は、情報セキュリティ管理者の包括的承認を行う等、運用実態や教職員等の負担も考慮し検討すること。
InterSafe DeviceControlは、USBメモリなどの電磁的記録媒体への書き出しや持ち込みを制御するソフトです。InterSafe WorkFlowと組み合わせることで、申請承認によるファイルの書き出しや持ち込みの管理を行うこともできます。教職員が必要な時に管理者の承認を得たときのみUSBメモリにファイルを書き出すことができるため、不用意なファイルの持ち出しを防ぐことができます。また、持ち出したファイルのログも保管されるため、万が一ファイルが流出した際の証跡管理にも有効です。
また、InterSafe PISと連携することで、持ち出すファイルの中に個人情報が含まれていないか自動でチェックできます。管理者が申請ごとにファイルを目視で確認することなく、個人情報の有無をシステム的に確認できるため、ヒューマンエラーを防ぎ、個人情報の漏洩を食い止めることができます。
③フィルタリング
⑨不適切なウェブページの閲覧防止
アクセス制御による対策を講じたシステム構成の場合、不適切なウェブページ への閲覧を防止する対策として「フィルタリングソフト」、「検索エンジンのセーフサーチ」、「セーフブラウジング」等がある。実現したい機能や実際の運用に応じて適切に整備することが重要である。
InterSafe GatewayConnectionはクラウド型のWebフィルタリングサービスです。網羅率99%以上を誇るURLデータベースにより、危険なサイトへのアクセスを未然に防止。業界最多の148カテゴリに分けたきめ細かなフィルタリングが可能です。例外URL設定機能により、業務に必要なサイトのみ柔軟にアクセスを許可。クラウド型のため、自宅や学会等の外部環境でも、安全なインターネットアクセスを実現します。
④マルウェア対策
⑧マルウェア対策
マルウェアに感染し攻撃を検知した場合には、その根本原因や感染した端末の特定と隔離、影響範囲の関係や時系列での不正なふるまいの状況を一元的に把握することができるEDR(Endpoint Detection and Response)も有効である。
Cybereason EDRは、教職員の端末でマルウェアやランサムウェアの侵入による不審な動きが起きていないかどうか、リアルタイムで監視。万一、脅威に侵入されたとしても、疑わしい挙動を早期に検知し、管理者に通知することで被害を最小にとどめることができます。
その他に、あらゆるサービスやシステムのログを収集し、相関分析することでインシデントをいち早く検知するクラウドSIEM「Sumo Logic」もご提案可能です。
時代の変化に対応し、学校現場において教職員の柔軟な働き方を進めていくためには、安全性の確保が必要不可欠です。
「アクセス認証型」の構成をご検討の際には、ぜひALSIに一度ご相談ください。
参考:教育情報セキュリティポリシーに関するガイドライン(令和4年3月)
https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf