安全にオンライン授業を行うために必要なこと

Byron Acohido, 2020年7月16日

保護者と教育機関が協力し、スタートアップのようにデジタルネイティブであり、セキュリティ意識を浸透させた学校運営を行う必要があります。

親には、子どもをインターネット上の犯罪者から守る義務がありますが、新型コロナウイルスの影響でその責任範囲は劇的に拡大しています。幼稚園から高校まで、オンライン授業を実施する教育機関が増加していますが、準備が不十分な学校も多いのが実情です。オンライン授業がしばらくの間継続することが想定される今、プライバシーとサイバーセキュリティに深刻な影響を及ぼす可能性があります。

教育機関は、学校をデジタルネイティブなスタートアップのように運営する方法を迅速に学ぶ必要があります。今後、生徒、保護者、そして教員は個人所有のデバイスで、提供されるクラウドベースのサブスクリプションサービスなどを使用する機会が増えるため、リモートワーカーと同等に取り扱う必要があります。しかし、関係者の大半がセキュリティのベストプラクティスを理解していないことを想定し、この大胆かつ新しいパラダイムを受け入れなければなりません。

組織化されたハッキン​​ググループは、テクノロジーの遅れをいとも簡単に特定し、窃盗を行う可能性があります。本ブログでは、保護者と教育機関がオンライン授業を計画するにあたり、参考となりうる情報をご紹介します。

授業中の「Zoom爆弾」

ビデオ会議ツールを使用したオンライン授業が開始されてすぐに、攻撃者がオンライン授業にポルノコンテンツなどを送りつける「Zoom爆弾」の問題が浮上しました。

「Zoom爆弾」の問題は、学校がどの程度のセキュリティ体制を整備する必要があるかを認識するための最初の指標となりました。パスワード使用を必須としたり、教員による厳密な授業の管理を要求していた教育機関はオンライン授業開始時は多くありませんでした。Zoomは、無料版およびシングルライセンスユーザーにはパスワード保護と、会議に参加できるタイミングを主催者が制御できる「待合室」機能をデフォルト設定にしています。しかし、教員がパスワードと待合室機能を無効にし、授業開始ギリギリに参加する生徒が授業に参加できるように設定することも可能です。

マルウェア阻止テクノロジーを提供するメンローセキュリティの最高技術責任者(CTO)であるカウシック・グルスワミー(Kowsik Guruswamy)は「クラウドサービスを使用して会議や通話するということは、町のど真ん中で会議を行うのと同じようなことと考える必要があります。誰かが勝手に参加したり、会話に耳を傾けたり、何かの問題を起こしたりする可能性があります。安全でプライベートなミーティングを実施するには、パスワードと待合室機能を使用して、そういった事態を防ぐ必要があります」と述べています。

教育機関はオンライン授業におけるセキュリティ基準を設定し、徹底する必要があります。コラボレーションツールはパッチが適用された最新バージョンのみを使用し、悪意のある、または疑わしい活動を報告するプロセスが不可欠です。

先生よりテクノロジーに詳しい子どもたち

Zoom爆撃は比較的簡単に制御することができます。しかし、デジタルネイティブなスタートアップのように学校を運営する場合、子どもたちが情報をさらけだしている可能性を認識し、対応する必要があります。

テクノロジーに関しては、大人よりも若者の方が遥かに詳しい傾向があります。教育機関などにサイバーセキュリティトレーニングを提供するルーシーセキュリティのCEOであるコリン・バスタブル(Colin Bastable)は「幼稚園児から高校生まで、子どもたちはSNSに精通しており、快適にインターネットを活用する術を知っています。また、教員よりも常識の枠からはみ出すことに抵抗がありません」と語ります。

教育機関はこれまで以上に積極的に対策を行い、プライバシーとデータセキュリティにおけるリスクを軽減する必要があります。ビジネスメール詐欺(BEC)被害も増加しているため、学校の機密情報を保護し、オンライン決済システムを監視する必要があります。

ネットワークパフォーマンステスト機器サプライヤーのスパイレントコミュニケーションズのセキュリティコンサルタントであるジェシー・ノートン(Jesse Norton)は、最も憂慮すべきことは「子どもたちがインターネットにさらされること」であり、「小児性愛者などが生徒の一覧にアクセスできてしまうと、生徒が将来的に個人情報の窃盗の被害に遭ったり、人身売買・密輸において個人情報が悪用されてしまうなど、長期的に悪影響が生じる可能性があります。犯罪者は、入手した情報を巧妙に悪用しています」と述べています。

ノートンに米国の幼稚園から高校のセキュリティ体制をどう評価するか尋ねたところ、「すべての学校の状況を把握しているわけではないため、総評は難しいが、自分の子どもが通っている学校については、ネットワークの構成、保護のいずれも不十分です」という答えが返ってきました。

ベストプラクティス

特権アカウント管理ソフトウェアプロバイダーであるレメディアントの共同創設者兼CEOであるティム・キーラー(Tim Keeler)は、シングルサインオン(SSO)、多要素認証(MFA)、仮想プライベートネットワーク(VPN)の3つの実証済みテクノロジーを実装することで、学校のネットワークを保護すべきと説明します。「堅牢なシングルサインオン製品を導入することで、認証強化、安全なパスワード管理、適切なリソースへのアクセス承認が可能になります。これにより、リモートで働いている従業員も、複数のアカウントや複雑なパスワード管理に手間をかけずに仕事を行うことができます。VPN保護を追加することで、企業はIP(知的財産)と重要なインフラストラクチャを分離し、そうしたリソースへのアクセスを個別に制御することが可能になります。さらに、リソースの管理者向けに多要素認証を追加し、構成の変更などの機密性の高いアクションを検証することもできます」と述べています。

高性能ネットワークルーターサプライヤーのジュニパーネットワークスのグローバルセキュリティ戦略ディレクターであるローレンス・ピット(Laurence Pitt)は、多くの学校でこれらのシステムはすでに導入されているものの、展開が不十分である可能性が高いと述べています。「問題は、第三者が提供する保護に頼る環境に慣れてしまっている点です。オンライン授業が定着した今、学校はセキュリティポリシーを再評価し、更新する必要があります。教員は、自宅のWi-Fiが学校のWi-Fi環境の延長になるようなテクノロジーを備える必要があるかもしれません。そうすることで、システムに安全にアクセスし、授業に必要なデータ等を閲覧する際に使用するデバイスにポリシーを適用することが可能になります」と解説します。

上記の点はすべて、保護者と学校が子どもの保護を考える際に重要な概念です。ツールやベストプラクティスの導入は比較的容易ですが、子どもたちと付き合っていくことは容易ではありません。

バスタブルは、幼い子どもたちでさえ、データや個人のプライバシーについて前の世代と全く異なる見方をしていると言います。「以前より、子どもを保護することは難しくなっています。私は、これまで学校で行ってきたのと同等の保護を、これからのオンライン授業の時代に適用できるとは思えません。歯磨き粉は一度出してしまったら、戻すことができないのと同じように、子どもたちも一度枠からはみ出してしまったら、元には戻りません」と述べています。

子どもたちをどのように安全に保護するか、これからしっかり考え、見守っていく必要があります。

この記事は2020年6月19日に公開されたWhat needs to be done to protect K-12 remote classes訳です。

関連記事