有識者が語る教育現場の情報セキュリティ事情

2017年10月、文部科学省が設置した「教育情報セキュリティ対策推進チーム」によって、「教育情報セキュリティポリシーに関するガイドライン」が公表された。これは、公立の小中高校において、情報セキュリティポリシーの策定や見直しを行う際に参考となるように策定されたものである。

このガイドラインについての解説と対策について紹介する「教育業界向け最新情報セキュリティ対策セミナー」が、2017年11月22日東京新宿にて開催された。本記事では、当日の講演順にその概要を紹介する。

教育現場におけるセキュリティ事情。その実態と今後の対策

文部科学省教育情報セキュリティ対策推進チーム副主査(前豊島区CISO)高橋邦夫氏

基調講演に招かれたのは、ガイドラインを策定した「教育情報セキュリティ対策推進チーム」副主査である高橋邦夫氏である。文部科学省では、2016年の7月に「教育の情報化加速化プラン」を公表。その工程表には、校務面のICT活用として「情報セキュリティの徹底」が挙げられていた。

「校務のデータには、生徒の家庭環境や心身に関するものなど、非常にデリケートな個人情報が集められています。ここからは決して情報が漏れてはならない。工程表に書かれている内容は、そのための注意喚起のようなものでした」と高橋氏は当時を振り返る。

だが、このプランの公表とほぼ同じタイミングで、とある事件が発生した。佐賀県の教育システムが外部から侵入され個人情報が漏えいしたのだ。

侵入者は、学習用のPCから教材関連の情報が収められた「学習用サーバー」に侵入。そこから管理用のIDとパスワードを入手して「校務用のサーバー」へと侵入した。

「佐賀県は、教員のICT活用指導研修への参加率もずば抜けて高い、ICT教育の先進県です。そこでこのような事件が起きた。これは非常に衝撃的なことでした」(高橋氏)

そこで文部科学省では、「校務系システムと学習系システムの論理的または物理的な分離」「学習系システムへの個人情報収納を原則禁止」「管理できる専門家が不在の場合はクラウドを含むデータセンターで一元的に管理」「二要素認証の導入」などの緊急提言を行った。だが、この提言に沿おうとしても、校務データと学習データを完全に分離することは非常に困難である。

さらに、校務データと教育データの分離を提言している一方で、総務省と文部科学省で進めている「スマートスクール構想」では校務データと学習データの「安全かつ効果的・公立的な情報連携」を目指すとされている。この相反する内容をどう成立させるか。その例が以下の図にある「教育情報セキュリティ対策推進チームが考えたネットワーク分離のあり方」である。

教育情報セキュリティ対策推進チームが考えたネットワーク分離のあり方

システムは、校務系、外部接続(メールや学校HPの更新など)専用の校務情報系、学習系の3つに分離徹底。重要な個人情報が収納された校務系システムはインターネットと切り離し、分離したシステム間でのデータ連携については「ファイルの無害化」サービスなどを用いて、やり取りをする。

「ここまでやる予算はない、という方もいらっしゃるかもしれませんが、このシステムはあくまでも例です。現在、様々な製品やサービスがありますので、それをよく調べて比較検討すれば、それほどお金をかけずにガイドラインの内容に沿う方法も見つかります」と高橋氏は語る。

「セキュリティポリシーはICTの利活用を阻害するという人もいますが、そうではありません。あくまでも、“このルールに従っていれば安心して使えますよ”というものです。そもそも、誰も実行できないような難しいルールでは意味がないのです。ですから、初めからすべてのポリシーを実践する必要はなく、少しずつ実践し、最終的にたどり着く目標として考えてください」というメッセージを残し、高橋氏は講演を締めくくった。

未知の脅威から学校を守るアンチウイルスソフト「Dr.Web」-あわせて、アンチウィルスのスキャンテクノロジーのトレンドを解説

Doctor Web Pacific 代表取締役森周氏

続いて登壇したのは、ロシア初のアンチウイルスソフト「Dr.Web」を提供する、Doctor Web Pacific 代表取締役森周氏。日々大量の亜種が誕生するマルウェアの世界では、これまでの定義ファイルを用いた対策ではとても追いつかない。そこで新たに登場した技術が、ファイルの振る舞い(挙動)からマルウェアを検知する「ヒューリスティック」検知だ。

Dr.Webは、これまでの「定義ファイルによるスキャン」「ヒューリスティックによるスキャン」そしてDr.Webの「マルウェアの振る舞いをスキャン」の3段階のスキャンエンジンでマルウェアを検知・駆除する。その検知精度は非常に高く、2017年5月に話題となったランサムウェア「WannaCry 」についても、瞬時に検知し、データベースに登録されたとのことだ。なお、Dr.Webは教育市場向けのライセンスも提供しており、公立大学(約800台のPCに導入)や大手予備校(約30,000万台のAndroid端末に導入)などでの実績を持つ。

当日のセッションでは、Dr.Webの紹介に加えて、全163頁にもおよぶ「教育情報セキュリティポリシーに関するガイドライン」を「すべて読み込んだ」と語る森氏が、ガイドラインに記載されている条件をクリアするためには、どのようなツール(機能)が必要かについての解説が行われた。

例えば、「ネットワークの分離」の要件については、「ヒューリスティックおよび振る舞い検知機能」が、「業務以外の目的でのウェブ閲覧の禁止」については「URLフィルタによるWeb閲覧制御」で対応できる。また、「不正プログラム対策」については、バッチや定義ファイルの更新などが一括で行える「管理機能」があると便利だろう。

「ガイドラインにはいろいろなポリシーが掲載されています。公表されているシステム構成図を見ると、大変なコストと労力がかかるものと思えてしまうかもしれません。ですが、記載されている内容をよく読めば、Dr.Webのようなソリューションで多くの部分をカバーすることできます。ですから、ガイドラインの膨大さに諦めてしまわずに、まずはご相談ください」(森氏)

スマートスクール構想を実現するファイル無害化ソリューション「SHIELDEX」

SHIELDEX 代表取締役社長兼チエル社長室新規事業担当部長田中裕士氏

3つ目のセッションでは、SHIELDEX 代表取締役社長兼チエル社長室新規事業担当部長田中裕士氏、およびセキュリティ技術部エンジニアリングマネージャー朴健泰氏による、ファイル無害化ソリューションの紹介と実演デモが行われた。

SHIELDEXが提供する無害化ソリューションは、メール無害化ソリューションの「SHIELDEX SaniTrans Mail」、ネットワーク分離環境でシステム連携時に流入するファイルを無害化する「SHIELDEX SaniTrans Net」、無害化したのちにファイルを暗号化する「SHIELDEX EnCrypto」の3つがある。

朴氏によると「無害化とは、ウイルス検知のように危険なものを探すのではなく、綺麗で安全な部分だけを残し再構築する」ことであり、それを実現するものが、SHIELDEXが持つ無害化エンジン「CDR(ContentDisarm&Reconstruction)」である。CDRは「全世界でもイスラエルと韓国、それぞれ1社ずつしか保有していない技術」だそうだ。

SHIELDEX セキュリティ技術部エンジニアリングマネージャー朴健泰氏

ガイドラインでは校務システムと学習システムの分離が求められている。一方で、スマートスクール構想では、校務システムと学習システムの「安全かつ効果的・効率的な情報連携」が求められている。この2つの条件をクリアするためには、ファイルの無害化ソリューションが欠かせない。

「無害化ソリューションは、決して派手なものではありません。外からきたものを、綺麗な状態にして内部に送る。その作業を黙々と行うという、地味な存在です。ですが、その地味な作業が、ガイドラインに沿ったセキュリティポリシーを実現し、サイバー攻撃から学校を守るのです」と朴氏は力説し、解説を締めくくった。

なお、ファイル無害化のデモについては、以下の画像をご覧いただきたい。