大学を狙った標的型攻撃や、校務システムの機微情報を狙うネットワーク侵害、ランサムウェアへの感染など、国内でのサイバー攻撃被害が目立っている。ウイルスに感染すると機微情報の漏えいやデータの破損など甚大な損害が発生することから、現在検討が進んでいる、文部科学省「教育版の情報セキュリティポリシー」では、校務系・学習系のネットワーク分離など総務省ガイドラインや自治体情報システム強靱性向上モデルに則った方向が求められる方向だ。今後、教育現場ではどのような準備を行っていかなければならないのか。
セキュリティ事業本部マネージャ 山本勝彦氏 |
教育情報のセキュリティ対策として、二要素認証の仕組みが求められる方向だ。ジャパンシステム(東京都・井上修代表取締役)では、顔認証を始めとする「多要素認証」と、ユーザの利便性を高める「シングルサインオン」、重要情報の安全管理を実現するファイルやUSBメモリなどの暗号化の仕組みを提供している。セキュリティ事業本部の山本勝彦マネージャに、同社セキュリティソリューションの特徴や事例について聞いた。
教育委員会や学校は個人情報の宝庫であり、安心して業務を行うためにセキュリティを高める仕組みを導入することが喫緊の課題となっています。一方で、セキュリティを高めると利便性が損なわれる面もあり、双方のバランスがとれたセキュリティソリューションも期待されています。厳重なセキュリティを確保しながら、利便性を損なわない仕組みとして自治体や教育委員会から評価を頂いているのが、多要素認証やシングルサインオン、暗号化の仕組みなどをトータルで提供している「ARCACLAVIS」(アルカクラヴィス)です。ラテン語で「ARCA」は金庫、「CLAVIS」は鍵を意味しています。昨年は自治体情報システム強靭性向上モデルへの対応で多くの自治体に採用され、現在も導入が増えています。
二要素認証とは
認証の方法には現在、大きく分けて3つあります。1つが、パスワードなど人の記憶によるもの。次が、USBやICカードなど所持するモノによるもの。3つめが、顔や静脈、指紋などの生体によるもの。これらの中から2つの異なる方法を組み合わせた認証が「二要素認証」、3つ以上組み合わせる場合は「多要素認証」です。認証要素を増やすほど、セキュリティは高まります。
職員証が一般化している自治体などではパスワードとICカードを組み合わせた「二要素認証」の導入が多いようです。
学校や教育委員会では、USBキーとパスワードによる認証について、USBキーは紛失しやすく物理的管理の手間がかかるという声もありました。そこで、カメラ付き情報端末が多く導入され始めている昨今、顔認証の仕組みの提案が増えています。特に昨年1年間で導入が各方面で伸びました。
他の生体認証は読み取り用機器を接続する必要がありますが、顔認証は情報端末の内蔵カメラを使うことができ、接続機器を別途用意する必要がありません。また、静脈や指紋による認証はセンシティブで、指についた黒板のチョークや温度変化、乾燥、湿度など様々な要素に左右されやすい面もあります。それに対して顔認証は迅速に認証しやすく、整合性も高い点が特長です。
様々な組み合わせも
二要素認証や多要素認証は、様々な組み合わせが可能です。
例えば校務系端末はICカード認証とパスワードを組み合わせて二要素認証にする、教育系端末は顔認証にする、機微情報を扱う校務システムにアクセスする都度ICカード認証を求めるなど、これらのセキュリティ対策をアルカクラヴィスでは一括管理が可能です。
認証した本人がロックしたPCや端末は、他の人では解除できません。例えば生徒が無断で解除しようとした場合、その記録を保存することもでき、誰がいたずらをしようとしたかを後で追跡することができます。
重要ファイルを手間なく自動暗号
暗号化する手間を増やさない、という点がアルカクラヴィスの特長です。生徒情報や成績情報など機微情報を、予め設定した共有フォルダ内に保存するだけで暗号化できるので、通常の手間を変えることなく安全な管理が可能です。
本製品ではPC・端末等から情報を持ち出せない仕組みですが、USBメモリにデータを保存する際は暗号化することで持ち出すことができます。暗号化する際は、右クリックで選択して保存するだけです。校外のPC・端末等で活用する際は、USB上でしか作業できず、コピーも印刷もできません。万が一紛失した場合、例えば「1週間経過するとデータが消去される」「認証に3回失敗すればデータが消える」など管理者の設定に則り情報を守ることができます。
業務を効率化するシングルサインオン
パスワードは複雑で長いほど安全が守られ、かつ定期的に変えることでさらに安全を図ることができますが、複雑なパスワードほど忘れやすい、という面もあります。実際は、同じパスワードを様々なところで使いまわす、類推されやすいパスワードを設定している、という実態が多いのではないでしょうか。
アルカクラヴィスでは、ユーザのパスワードを一括で管理するシングルサインオンの機能で、ユーザはパスワードの入力と管理から解放されます。この仕組みにより「パスワードの漏えい」を防ぎ、かつ「パスワードを忘れた」などのトラブル発生を防ぎます。
仮想化環境にも対応 段階的な導入も
「多要素認証」「自動暗号」「シングルサインオン」がアルカクラヴィス1つででき、さらに部分的な導入や段階的な導入にも対応しており、まずはシングルサインオンだけ、あるいはファイル暗号化のみの導入ができます。
大阪府豊中市教育委員会では、暗号化の仕組みを平成24年に導入しました。「業務効率を保持しながら安全を図る」目的で、当初は対象校15校の教職員500人が先行して導入。現在は約2000人が活用しています。
綾瀬市教育委員会では、既存の暗号化システムでは運用が複雑であったことから本製品を検討、平成26年に導入しており、従来の仕組みに比べて暗号化・複合化に要する時間の大幅な短縮が実現しました。
その後、ICカードとシングルサインオンの仕組みも導入。入口を強固にして校務支援システムやグループウェアにはパスワードなしで活用できるようにすることで、業務の効率化を実現しており、現在も継続して活用頂いています。
アルカクラヴィスは仮想化環境でも対応できます。また、マイクロソフトのActiveDirectoryなど様々なシステムと連携してユーザの追加・削除を自動化できることから、管理コストを削減することができます。
【2017年6月5日】
1.教育情報セキュリティポリシーガイドライン <豊島区 高橋邦夫課長>
2.セキュリティ確保と利便性を両立する <ジャパンシステム 山本勝彦マネージャ>
3.ネットワーク分離間で安全にファイルを交換<プロット 菰田貴行専務取締役・坂田英彦取締役>
4.「ダブルブラウザ」でWebを無害化<アシスト 高木季一室長>
5.教育ICT環境整備指針
関連記事