Google for Educationは11月21日、小中高等教育機関向け「サイバーセキュリティガイドbook」日本語版を公開。同日行われた説明会で同社の池田憲一氏(カスタマー&パートナーセールスエンジニアリング統括本部)は同社のセキュリティについて説明し「正しい運用で多くの危険が回避できる」と話した。
サイバーセキュリティに関する犯罪が年々増えている。マルウェアは前年比320%に、ランサムウェアは2020年比150%である。特にランサムウェアはビジネスとして成立しており、不特定多数が狙われている。
ランサムウェアとは、ウイルス感染するとPCがロックされたり、ファイルが暗号化されたりしてデータが使用できなくなり、身代金を要求するもの。放置すると搾取した情報を公開する等の脅迫もある。
ChromeOSはこれらの脅威に対応しており、ウイルス対策ソフトが不要だ。弊社のWebに情報を掲載しているが、攻撃は受けるもののそれが成功することはなく、被害件数はゼロである。
仕組みとしては、Googleが拡張したハードウェアセキュリティチップ(Titan-C)がOSの立ち上げ時、自ら改ざん等されていないかをチェック。OSは読み取り専用で領域が二重化されており、一方に異常があるともう一方の正常なOSを立ち上げる。両方とも異常がある場合は起動せずリカバリーを要求する。
ストレージも工場出荷時点で暗号化されている。サーバが攻撃されたとしてもデータは暗号化され分散されている。また、ネット上のアプリは勝手にインストールできず、専用ストアでチェック済のもののみが対象になり、ウイルスの侵入する余地がない。
フィルタリング機能ではドメイン名やホスト名でアダルトサイト等をブロックできる。なお日本製品のようなカテゴリフィルタリング機能はない。
ログは勝手に消すことはできず、暗号化されている。また、Chromebookは「デバイス自動再登録」がデフォルトで有効になっており、盗難されて勝手にOSを書き換えて販売されることを防ぐ。
政府情報システムのためのクラウドセキュリティ評価基準「ISMAP」も他社に先駆けて取得している。
強固なGoogleのセキュリティでも防げないものもある。それがヒューマンエラーだ。USBメモリ等の紛失・置き忘れとID・PWの流出、メールの誤送信などが代表的なものだろう。このうち、IDやPWの流出対策としては、多要素認証が有効だ。PWが万が一漏えいしたとしてもアクセスできない仕組みとする。
アクセス権の適切な設定も重要だ。アクセス権限の設定ミスにより公開すべきではない人に機微な情報を公開してしまう例もある。端末や地域、時間等で制御することができる。
MDMやデータ損失防止(DLP)機能を使用し、ログを収集・自動分析して不正を検出・防止することも有効だ。DLPでは例えば特定ワードが入ったものを外部に出せない等の設定もできる。
情報資産を守るためには正しい運用が必要だ。こちらについては情報セキュリティ研修などで意識を高める必要がある。ガイドブックをぜひ参考にしてほしい。
教育家庭新聞 教育マルチメディア号 2023年12月4日号掲載
