GIGAスクール構想環境が3年目を迎えようとしている。小中学校でクラウド活用が始まり、ネットワーク環境の再構築やゼロトラスト環境への移行の推奨、校務のデジタル化の一層の推進など、多くの変革が進んでいるところだ。そんな中、情報搾取を狙った攻撃から事業継続をストップさせ身代金を要求するタイプのサイバー攻撃に進化している。安全に安心してクラウド活用を進めるためにはどうすれば良いのか。「教育情報セキュリティポリシーに関するガイドライン」改訂版も2021年5月に公表され、その後も一部改訂が続いている。同年2月に発足した「教育情報セキュリティポリシーに関するガイドライン改訂検討会」で座長を務める髙橋邦夫氏(合同会社KUコンサルティング代表社員)と、各種セキュリティ製品を提供・開発しているプロットの津島裕代表取締役社長が、学校ネットワークのセキュリティに関する課題と解決案について討議した。
■髙橋 大きなショックを受けました。病院に対するサイバー攻撃のニュースを複数耳にしており学校も危険ではないかと考えていたときに起こった事件です。本件では先ずVPN(=Virtual Private Network)装置の管理者権限が乗っ取られ、次に校務システムの管理者用IDパスワードが総当たり攻撃を受けて管理者権限を乗っ取られて校務データが上書きされたようです。
■津島 権限を乗っ取られて情報にアクセスできなくなると、例えば製造業であれば製造がストップし、医療系であればカルテを参照できなくなる等、甚大な被害につながります。弊社では、自治体や医療系、製造業系でもランサムウエア対策のご相談を受けていますが、多くが「自分のところは規模が小さいから大丈夫」等と考えており、攻撃を受けてから驚いて相談する、という状況です。規模の大小ではなく、脆弱性があると狙われるのです。
■髙橋 校務支援システムを初期化したもののデータの一部は復旧できなかったと聞いています。リモートアクセスは可能だがネットワーク分離はしていない、という中途半端な仕組みであった点や、セキュリティポリシーを策定しておらず、全体としてリテラシーが不十分であった点が被害を引き起こしたようです。
■津島 ランサムウエアによる被害の7割以上がVPN経由です。VPNが悪いわけではなく、VPNのファームウェアを更新していないことによる脆弱性への攻撃がよく見られます。導入時から一切管理されずに活用している場合は問題です。
■津島 かつてのサイバー攻撃は「愉快犯」が多かったのですが、最近は身代金目的の攻撃が増え、実害も出ています。他人事であると思わず、無防備だと狙われる、という意識を持ち、そのための対策を取ることが必要です。
侵入経路は多岐にわたるので様々な対策が考えられます。
管理者IDのパスワードが簡単なものであれば、総当たり攻撃で侵入されてしまいます。また、USBメモリを通して感染が広がる可能性もあります。
まずは感染したときのためにバックアップを取っておくことです。データがあれば、業務は進行できます。
ただしバックアップの方法が正しくないと、データを復旧することができません。
サイバー攻撃を受けたある病院では、すぐに復旧することができました。オフライン領域にデータをバックアップしていたからです。クラウド環境の普及に従って、外部記憶装置が見直されているという傾向があります。
■髙橋 バックアップについては、クラウド環境の場合、リアルタイムのバックアップとログの取得に加えて、定期的にオフライン領域にバックアップを取ることが重要です。
今後、ネットワーク分離の仕組みから校務においてもクラウド活用に移行することが想定されていますが、その場合は、危険を察知した際には感染端末を自動的にネットワークから遮断する、認証の仕組みを構築する(アクセス制御)等の多層防御の仕組みでエンドポイント=端末を守る必要があります。
アクセス制御をするためには、資産を分類することも必要です。重要な資産への確実なアクセス制御を設定しなければならないからです。教育情報セキュリティポリシーに関するガイドライン(以下、ガイドライン)には、重要なデータを分離して情報を守ることが必要であると記載されています。
資産分類には手間がかかりますが、その後の管理運用をシンプルにするためには、必須事項です。
■津島 弊社ではエンドポイントを守るため、感染等の問題を未然に防止する製品「File Defender侵入防止アプリ」(以下、侵入防止アプリ)を提供しています。
ゼロトラストの概念を取り入れた新しいセキュリティ製品で、エンドポイントに流入するファイルを侵入防止アプリが常時監視し、ファイルを検知すると、自動的にファイル無害化処置を施して無力化しますので、悪意あるファイルが侵入したとしても、悪い動きを発動させないようにできます。
無害化前の原本ファイルを利用したい場合も申請することによりダウンロードは可能で、申請状況も記録されます。
■髙橋 エンドポイント対策は、ゼロトラスト環境であってもネットワーク分離環境であっても必要です。
特に、教員用端末上に機微情報のファイルを保存している場合は必須です。残念なことに現在は多かれ少なかれ教員用端末に機微情報が保存されています。
いきなりゼロトラスト環境は実現できませんから、ゼロトラスト移行を想定しつつ、現在のネットワーク環境で活用できて、かつゼロトラスト環境に移行した際にも役立つ仕組みを順に導入しておく、という方法を推奨しています。
■髙橋 クラウド環境で端末を使うのであれば、教員や教育委員会、そして児童生徒もセキュリティの知識を身に付けることは前提です。
セキュリティの原則はネットワーク分離でもゼロトラスト環境でも変わりませんので、それを改めて押さえて頂きたいです。
■津島 サイバー攻撃等は災害であると考え、定期的に、年1回でも訓練を行うことが必要ではないでしょうか。災害対策の1つとして日常に組み込んでいくのです。サーバを止め、アクセスできない状態であることを仮定して、そこからデータをどう復旧するかを訓練するのです。
■髙橋 情報システムが止まった時にどう対応すべきかについて、危機感が共有されていない点は課題であると考えます。訓練はデジタル化が進むほどに重要になりますが、今は手探り状態です。教育委員会から、訓練をしたいと首長部局やベンダーに依頼してみましょう。
■津島 弊社では情報セキュリティ訓練の仕組みとして「CYAS(サイアス)」を提供しています。セキュリティ教育から効果測定・訓練まで一貫して提供しており、無料から始めることができます。
自治体でも活用が始まっており、私立学校も含めて現在2000団体以上の利用がありますが、教育委員会からの利用はほぼありません。教育委員会単位で取り組んで頂けると、教員研修計画にも参考になるのではないかと考えています。
ベンダーとしても改めて啓蒙活動が必要な時期であると痛感しています。一社だけでセキュリティを網羅することは難しく、様々な企業と連携して安全を守っていきたいと考えています。
■髙橋 GIGAスクール運営支援センター整備事業の仕組みが上手く活用できると良いですね。
■髙橋 かつては、事件が起こる度に、デジタル化への批判が起こっていました。それがほぼなくなったことは、大きな進展です。守るべきものははるかに増え、簡単なことではないが、それらに対応していこう、という世の中になっています。
デジタル化を進めるためには、難しく考えて拒否しないことも重要です。自宅でも様々な危険個所に鍵をかけるように、データも複数の術で守ることです。自宅だと「どこが危ないのか」が想像しやすいと思います。同様に情報システムにも「危ない場所」があり、それぞれに対応しなければなりません。それが多層防御ということです。様々な方法で守ることは当たり前なのです。
■津島 セキュリティでわかりやすい比喩は重要ですね。サイバー攻撃が増えているということは空き巣被害が増えていることと同様ですね。弊社ではこれまでもコンシェルジュ的な役割を会社方針としており、全営業社員がITパスポート及び情報セキュリティマネジメント(IPA提供の国家試験)の資格を取得しています。国力は教育からというのが世界的な流れです。日本企業として学校や教育委員会に対してもコンシェルジュ的な役割をより強化していきたいと考えています。
東京都豊島区役所CISOなどを経て2018年合同会社KUコンサルティングを設立。総務省地域情報化アドバイザー/文部科学省ICT活用教育アドバイザー。文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」座長、同「教育データの効果的な活用を見据えた教育情報システムの在り方に関する調査研究事業推進委員会」座長、同「GIGAスクール構想の下での校務の情報化の在り方に関する専門家会議」委員ほか。
プロットは2018年に創業50周年を迎えた情報セキュリティ専門家集団。ファイル送受信の効率化、ファイルやメールの無害化対策、標的型攻撃メール対策などを自社開発で提供している。2022年10月よりゼロトラスト環境でも端末を守ることができる「File Defender侵入防止アプリ」の提供を開始。
教育家庭新聞 新春特別号 2023年1月1日号掲載