小中高校でのICT活用に欠かせない重要なセキュリティ対策(アクセスコントロール)
|
未来の日本社会を担う人材を育てるためには、早い段階からのICT教育が欠かせなくなっている。そうしたなか、国も学校教育の現場へのPCやタブレット等の導入に積極的だ。すでに一部の学校では全生徒にタブレット端末を貸与し、高速無線LANアクセスによるWebベースの教材の活用が進んでいる。しかしながら、教育現場でのICTの活用にはリスクが伴うのも事実だ。生徒が教育上好ましくないサイトにアクセスしてしまったり、悪意あるサイトに誘導されてマルウェアに感染したりなど、リスクの種類は多岐にわたる。とりわけハッカーの巧妙な手口に慣れていない小学生などは、マルウェアに感染するリスクがきわめて高いといえるだろう。
このような教育機関が抱えるセキュリティ対策の課題を解決するには、外部の脅威に加えて、不正行為や改ざんなどのプライバシー問題のリスクを最小限に抑える必要がある。加えて生徒が利用するネットワークを、管理者が正しくセグメント化したうえで管理を行うための、安全で保護された無線LAN環境の実現と、利用者に応じた適切なアクセスコントロールが求められるのだ。また、多くの小中高校では情報セキュリティ人材が不足していることから、シンプルかつ効率的な運用管理も欠かせない。このような複雑な条件を克服して、すべての学生に対しICTを活用した教育を実践しているある学校の例を紹介しよう。
【CASE 02】誤検知ほぼゼロで、承認済み無線LAN APにのみアクセス可能な環境を構築
小中高一貫教育が特徴の私立B学園では、激しさを増す学校間の競争で優位に立つためにも、ICT教育に力を入れる方針を決定。全生徒へのノートPCの貸与とともに、全校で無線LAN環境を整備することとなった。そこで特に重きをおいたのが、セキュリティだ。不正なアクセスや学生による危険な行為を防ぐのはもちろん、個人情報の保護も重要視された。そこでB学園が導入したのが、ウォッチガード・テクノロジー・ジャパン(以下、ウォッチガード)が提供するWIPS(ワイヤレス不正侵入防止システム)を備えたクラウド対応Wi-Fiアクセスポイント「Secure Wi-Fiソリューション」と、これと連携してセキュリティの強化と統合的な管理を可能とする統合セキュリティアプライアンス「Firebox」シリーズであった。おもな選定理由としては以下の点が挙げられる。
・無線LANアクセスポイントを含めたセキュリティの一元管理が可能
・最先端のWIPSにより無線空間内のアクセスポイントを自動で検知・分類し、不正なアクセスポイントは自動で遮断することができる
・運用管理が容易なため、少ない人員でも多拠点のセキュリティを容易に管理できる
・一元的なセキュリティポリシーに基づいた、自動化も含めた効率的な運用が可能
・生徒や教職員が家庭に端末を持ち帰ったオフライン時にも、エンドポイントにインストールするホストセンサーによって、ランサムウェア対策が有効
・すべてのセキュリティ機能を有効にした状況でも、想定以上にスループットへの影響が発生しないこと
・暗号化通信に潜んでいるマルウェアも検知でき、また暗号化通信の検知機能を有効にしてもスループットへの影響が小さい
・新たな攻撃手法に対する機能のアップデートや新規機能の拡張が柔軟に行えるプラットフォーム
なかでもB学園が着目したのが、高いセキュリティ機能と無線LANによる利便性を両立するWIPS機能だ。無線LANの整備にあたっては、学生が勝手に持ち込んだスマートフォンやタブレットなどの無防備な無線LAN APにアクセスしたり、学校近郊の店舗などによる管理外のAPにアクセスするといった好ましくない行為を防ぐことが必須条件となった。B学園は都市部に立地するため、周辺には無線LANサービスを提供する店舗も多く、一般的なWIPSソリューションの場合には、ネットワークで認証されていない多くのAPを「不正AP」として検知してしまうことが問題となった。誤検知により、合法な近隣APを遮断してしまうことを避けるため、これまでは自動での不正APの遮断機能をオフにする必要が発生し、ネットワーク管理者の負荷は増える一方だった。それに対してWatchGuardのWIPS機能であれば、特許取得のMarker Packet技術により誤検知率がほぼゼロで、未承認デバイス、不正アクセスポイントおよび悪意ある攻撃を自動分類し、無線LAN環境を24時間365日安全に運用することができる。このWIPSにより、エリア内のすべてのアクセスポイントを継続的にスキャンし、「承認済み」「外部」「不正」のいずれかに分類することで、許可されていないアクセスポイントへの接続を確実に阻止することが可能となるのだ。
こうしてB学園では、Secure Wi-FiのWIPSを利用することで、隣接する無線LANネットワークを不用意に中断することなく、許容できない接続のみを速やかにシャットダウンできる環境を実現したのだった。また管理面でも、カスタマイズ可能なダッシュボード上に学校内のすべての無線LAN環境を可視化したうえで、詳細情報をドリルダウンして確認することができるため、管理者は最小限の負荷で最大限の安全性を確保できるようになったのである。
|
WIPS――ワイヤレス侵入防止システム |
|
WIPS検知レポート(自動分類されたアクセスポイントを色分けして表示) |
学生の属性や場所に応じたきめ細かいWebアクセス制御を可能に
B学園では、生徒に貸与する端末として、管理性とセキュリティの高さから世界中の教育機関での導入が進んでいるGoogle Chromebookを採用した。Chromebookは、管理コンソールG Suite for Educationにより、インターネット経由での一元管理が可能で、URLのホワイトリスト/ブラックリストを作成することもできる。しかしながら、「危険なサイト」「教育向けサイト」「ニュースサイト」などのカテゴリーベースでのブロックは行えない。このためブロックすることができない不適切なコンテンツは数百万にも及ぶことが懸念された。
そこでB学園では、ファイアウォール、IPS(不正侵入検知・防御)、ゲートウェイアンチウイルス、URLフィルタリング、迷惑メール対策、アプリケーションコントロール、標的型攻撃対策、ランサムウェア対策など、多彩なセキュリティ機能が搭載された統合型セキュリティアプライアンス「Firebox」を導入。WatchGuardのWIPを搭載したAPと連携させることで、きめ細かいアクセスコントロールを実現したのだった。
|
WebBlocker |
FireboxのURLフィルタリング機能「WebBlocker」は、130以上のブロックカテゴリとサブカテゴリを選択でき、HTTPとHTTPSの両方でフィルタリングが行える。どのURL・カテゴリへのアクセスを許可または制限するかは、ユーザ、グループ、端末、ネットワークおよびスケジュール別にポリシーを設定できるため、B学園では、学年や所属部活動といった生徒の属性、そして教室や職員室など場所単位での細かいアクセスポリシーを設定。もちろん教職員には自由度の高いポリシーを適用している。さらに、同校の体育館が災害等の緊急時の地域の避難場所に指定されていることから、体育館の無線LAN APにはゲストユーザーからの接続設定を行い、仮想的なネットワーク分離も行うようにした。
ブロックされているコンテンツにユーザがアクセスしようとした場合の通知設定や、すべてのWebアクティビティは、Fireboxシリーズで標準提供のクラウド対応ネットワークセキュリティ可視化ソリューション「WatchGuard Dimension」で統合的に把握できるようになっている。そのビジュアル化された監視機能により、校内ネットワークにおけるあらゆるセキュリティの脅威や課題を即座に検知し、レポートを生成可能することができるのだ。
一歩進んだICT教育が評判で入学者増にも
このように安全かつ使いやすい無線LANアクセス環境を整えたB学園では、学生のICTスキルだけでなく、教職員のICT教育スキルも向上。ノウハウを蓄積することで、さらに先進的なICT教育を実践することができるようになった。その評判は広く知れわたり、入学希望者も右肩上がりに増え続けている。まさにICT教育を競争力の源泉にした事例だといえるだろう。
[PR]提供:
