Solutions ソリューション

教育情報端末セキュリティの必要性

教育委員会をはじめとし、有線・無線問わず校内LANに接続される教育情報端末におけるネットワークセキュリティは、ダイナミックVLANもしくはMAC認証によるものが一般的でした。しかし今後、タブレットPCを使った新しい教育システムの導入、それにともなった個人情報の保護等を意識していかなければなりません。
 また今後、災害時の緊急避難場所として、避難者に対するインターネット接続といった新しいインフラ機能を検討していく必要があります。
このような背景から新しいタイプの校内LANセキュリティを考慮していく必要があります。

検証!校内LANの安全性

まずは校内LANの安全性を今一度検証する必要があります。
2016年の教育情報システム情報漏洩事件を基に校内LANの危険性についてまとめてみました。ポイントは一般企業と同じく標的型攻撃に対する対策がなされているか?ということになります。特に端末に関しては、従来のシグニチャマッチング型のウィルス対策以上の対策を講じなければなりません。
 そして新たに検討しなければならないのは”内部犯行”に対する対策です。本人以外のなりすまし防止対策は今後必須になることでしょう。

  • 検証!校内LANの安全性
  • 教育情報端末の脅威の現状
内部犯行者による校内LANからの情報取得

① ユーザーアカウント情報の取得

② 配布タブレットからの校内LANへのアクセス

③ なりすまし操作による利用者情報の取得

④ 取得情報の持ち出しと公開

教育情報端末のエンドポイントセキュリティの重要性

標的型攻撃の多くは、教育情報端末を踏み台にして情報を取得します。今後の教育情報端末のセキュリティ強化ポイントを下記に記載しました。

教育情報端末のセキュリティ強化ポイント
脆弱性端末の教員ネットワークアクセス禁止 本人確認によるなりすまし防止
教育時間外での校内LANポートアクセス禁止 校内以外からの校内LANへの侵入管理
マルウェア感染端末の通信制御、拡散防止 正規端末利用者の行動振る舞い監視
タブレット端末の盗難への対応

提案!教育情報端末の多層エンドポイントセキュリティ

標的型攻撃の手口は千差万別であり、日ごとに巧妙になっています。このような進化する攻撃に対して、一つのセキュリティソリューションで対応することは困難です。多層化したセキュリティソリューションの組み合わせで情報漏洩のリスクを軽減させる必要があります。アライドテレシスはSESによる下記多層化エンドポイントセキュリティで、情報漏洩のリスクを軽減します。

教育情報端末の多層エンドポイントセキュリティソリューション

Secure Enterprise SDN概要

Secure Enterprise SDNは校内LANにおける端末の接続ポイント、情報コンセントといわれる“エッジネットワーク機器”で通信制御するソリューションです。
AT-SESCというコントローラが各種アプリケーションと連動し、エッジネットワーク機器につながる情報端末のアクセスコントロール、通信制御を行います。

  • 校内情報端末通信に対するアクセス場所・時間の設定
  • アプリケーション連動型ホワイトリスト制御
    資産管理アプリケーションの情報端末情報と連動することが可能
  • セキュリティ製品連動ブラックリスト制御
    各種セキュリティ製品・サービスと連携し、検疫・隔離機能を実施
  • Secure Enterprise SDN概要
  • 情報端末に時間+場所+仮想ネットワークを提供!

教育情報端末の多層エンドポイントセキュリティソリューション

①時間場所アクセスポリシーによるホワイトリスト対策

アクセス場所・時間で教育情報端末通信を制御

まず、教育委員会等から配布される情報端末に対して、学校もしくは教室などといったアクセス”場所”を限定させるべきです。SESではこの”端末”と”場所”を関連付けた制御を実現できます。そしてこの機能を利用することにより、災害時の避難場所に対する避難者へのインターネット接続の提供などが簡単に行えます。

教育情報端末の場所・時間アクセス制御の効果ポイント
  • 配布されたタブレットを他校に接続し、情報を引き出すことを禁止
  • 教員のみがアクセス可能な場所的制限をかけることにより、生徒・攻撃者端末からの攻撃を防ぐこと
  • 災害時に避難者の端末に対し、避難場所(体育館等)を介したインターネット接続の一時利用の提供

教育情報システムの学校別-端末アクセス制限

学校単位の端末利用について
学校で利用される情報端末は教員PC、PC教室のデスクトップ、そして今後タブレットPCが増えていくことになります。あらかじめSESのロケショーポリシーにどの学校で利用するかを設定することにより、簡単にアクセス可能な学校をセンターから指定することができます。

教育情報システムの情報端末の割当

教育委員会内での端末アクセスMAPの作成
小中高校に対してアクセス制限の指定をすることにより、市町村内での端末アクセスポリシーマップを生成し、管理することが可能です。

教育情報システムで各校の端末アクセスを一元管理

校内での端末アクセスMAPの作成も可能
教員PC、生徒用タブレット等その端末毎にアクセスポリシーは異なるべきです。SESでは端末と利用場所(教室)を関連付けた細かいポリシーを設定することができます。

構内の端末アクセスマップによる利用制限

上記ポリシーを利用した校内アクセスマップの例は、下記のとおりとなります。

校内アクセスマップ例

②SESを利用した災害時の無線LAN解放ソリューション

特定の時間・場所に対するアクセス制御を利用して体育館などにある無線APをゲストユーザーに開放することが可能です。避難所での避難者へのインターネット接続を割り付けるソリューションを提供することができます。以下にそのモデルを記載します。

  • 災害時の無線LAN解放ソリューション
  • 災害時の無線LAN解放イメージ

③資産管理アプリケーション連動によるメンテナンスコスト削減

端末情報を管理者が個別に入力するのはかなりの工数が必要です。SESの一つの強みに資産管理アプリケーションとの連動があります。この連携により、利便性が向上します。以下にポイントを記載します。

資産管理連動による利便性のポイント
  • 面倒な端末のアドレス情報入力工数の削減
    例)LanScope CAT登録済端末のアドレスとSESCの連動
  • 有線・無線LANインフラ共通のネットワークアクセスポリシーの設定
  • 新規端末導入時の便利機能
    新規端末導入時、設定用のVLANに接続し、資産管理Agentを簡単インストール

端末情報を資産管理アプリケーションから一斉に取得。その端末情報にアクセスポリシーを設定するだけ!の連携によりポリシー設定時間が短縮されます。

資産管理アプリケーション

アクセスポリシーが設定されたSESCは各情報端末が通信を行うたびに、設定ポリシーに従い、仮想ネットワークの割当や、通信遮断等のアクセス制御を行います。

資産管理連動によるアクセス制御

④教育情報端末のなりすまし防止策

3要素認証によるなりすまし防止対策

教育情報システムにおけるなりすまし防止対策としては、端末、ID/パスワード、利用者、この3要素にて情報をセグメンテーションすることが重要なポイントとなります。

特に利用者=生徒の場合、管理者側からは常識では考えられない情報漏洩リスクがあります。たとえば、生徒が教員のPCを使用して情報を盗むといったケースも検討しなければなりません。従って、多要素認証でいわれる記憶(ID/パスワード)と所持(IDカード)によるネットワークアクセス制限では不十分です。今後の教育情報システムアクセスには、「本人と確認できる(生体認証)まで、端末を重要情報にアクセスさせない」「利用者本人が端末を離れた場合、重要情報から遮断させる」といった生体認証連動型のネットワーク分離が必要となります。

Secure Enterprise SDNによるなりすまし対策のポイント
  • 教員:教員ネットワークは教員本人でないとアクセスができない。
    生徒・攻撃者が教員のIDを盗んでもネットワークアクセス不可、偽装PCによる情報取得もできない
  • 生徒:面倒なIDパスワードを覚える必要はない。
    共用端末でも自分の環境に簡単に接続することができる。
    自分のタブレットを不正利用されることができない
  • SESと他要素認証連携で利用者に仮想ネットワークを割当
  • 本人確認までのネットワーク接続状態
  • なりすまし防止原理①
  • なりすまし防止原理②
  • なりすまし防止原理③

⑤教員PCのデータ持ち出し防止策

PC不正操作・脆弱性管理によるアクセス制御

SESは資産管理アプリケーションと連携することにより、もう一つの効果、教員PC(デスクトップ、ラップトップ)及び生徒利用タブレットに対し、①ユーザのPC不正操作、②PCの脆弱性の有無によるアクセス制御が可能となります。

SESによる校内LANなりすまし対策のポイント
  • 教育システム端末に内部犯行者がUSBメモリ等の外部ディスクを挿入し、データ持ち出しすることを禁止!
  • 脆弱性による情報漏洩の危険性のある端末へのネットワーク接続の禁止

⑥マルウェア感染等による情報漏洩防止策

内部対策 振る舞い検知・拡散防止

SESは様々なセキュリティアプリケーションと連携することにより、標的型攻撃に感染してしまった情報端末に対し、情報漏洩などのリスクを最低限におさえることが可能です。UTM・サンドボックスなどをすり抜けてくる脅威に対する最適な情報漏洩対策です。

教育情報端末の場所・時間アクセス制御のポイント
  • 万が一、脅威に感染した端末がサーバ等から情報を取得した時、振る舞いを検知するセキュリティ製品と連携し、その被疑端末を検疫・隔離し、情報インシデントを防ぎます。

教育情報端末対する違反操作によるネットワーク遮断トレンドマイクロ株式会社 様との連携ソリューション映像はこちら
(Youtubeにより、ご覧いただけます。)

お問い合わせ