レポート

製品・サービス

グーグル、「サイバーセキュリティガイドブック(小中高教育機関向け)」の日本語版を公開

「サイバーセキュリティガイドブック(小中高教育機関向け)」の日本語版

 グーグルは2023年11月21日、小中高の教育現場におけるセキュリティ対策を示した「サイバーセキュリティガイドブック(小中高教育機関向け)」の日本語版を公開した。セキュリティ設定の方法やセキュリティ対策について、英語版を踏襲しながら、1人1台環境にある日本の教育現場にあわせた内容を加えたものになる。

 同ガイドブックの公開に合わせて、ChromebookおよびGoogle Workspace for Educationのセキュリティ対策に関する記者説明会が開催され、グーグル Chromeカスタマー&パートナーセールスエンジニアリング統括本部Chrome Partner Sales技術リードの池田憲一氏が登壇した。

グーグルの環境で、学校のセキュリティを守ることができる

グーグル Chromeカスタマー&パートナーセールスエンジニアリング統括本部Chrome Partner Sales技術リードの池田憲一氏

 池田氏は、「Chrome OSは、ウイルス対策ソフトが不要である。また、ランサムウェアが入る余地はない。ランサムウェアによって、ChromebookのOSが書き替えられたという被害はゼロである。グーグルのセキュリティだけで、学校のクラウド、ネットワーク、エンドポイント環境を守ることができる」と語り、セキュリティ面からの堅牢性を強調する一方、「だが、機能が正しく運用されていないという課題がある。ヒューマンエラーの問題から情報漏洩することがある」と、教育現場におけるセキュリティ意識の低さや、運用面において課題があることを指摘した。

 Googleのセキュリティは、「エンドポイント」、「ネットワーク」、「クラウド」の3つのレイヤーで行われているという。

Googleのセキュリティの概略

 「エンドポイント」レイヤーは、Chromebookそのものによる高いセキュリティを指す。

 Chromebookでは、電源ボタンを押すと、まずは、読み取り専用ファームウェアにアクセスするが、その際に、Googleが拡張したTPMである「Titan-C」を活用。このハードウェアセキュリティチップにより、自らが改変されていないかをチェックするという。また、書き換え可能なファームウェアもチェックし、これで正しい状況にあることを確認すると、ブートローダーにより、OSを読み込むことになる。

 Windows搭載PCも同様のステップを踏むが、ウイルス対策ソフトが起動するのは、ブートローダーが起動し、OSカーネルが読み込まれたあとであり、Windows環境では、ウイルス対策ソフトが起動する前のファームウェアやブートローダーを狙った攻撃が目立つことや、OSの脆弱性そのものを狙うという方法が多いと指摘。

 「Chromebookでは、OSが読み取り専用であり、一般ユーザーレベルではアクセスができないため、ウイルスを仕込むことができない。また、OSの領域は二重化しており、一方に異常があると、異常がないもうひとつのOSを起動する。もし、両方ともに異常が検出されたときには起動しない構造になっている」と、安全性の高さを示した。

Chromebookの起動シーケンス

 さらに、アプリケーションソフトは、Google PlayやChrome ウェブストアからインストールするため、あらかじめウイルスがチェックされたアプリケーションだけを利用する仕組みになっていることも紹介。「電源を入れて、OSが起動するまで、ウイルスが入り込む余地がなく、その上で動作するアプリケーションもウイルス対策ソフトが不要である」と胸を張った。

 2つめの「ネットワーク」レイヤーでは、暗号化通信を行っていること、フィルタリングやセーフブラウジング機能など提供していることに触れ、ここでも高いセキュリティを実現していることを示した。

 3つめの「クラウド」レイヤーでは、Google Workspace for Educationによるセキュリティ対策をあげる。ここでは、ドライブからのデータ移動をロックしたり、サーバーに預けているデータが漏洩しても、単独では意味をなさないように分散している「物理的なセキュリティ」のほか、正しいアクセス権を持った人が、正しいファイルにだけアクセスすることができる「アクセスコントロール」、メールにうっかりデータを添付するといったことがない仕組みを提供する「データ流出防止」、万が一トラブルが発生した際に、なにが起きたのかを把握することができる「ログ管理」の4つの機能を示した。

 また、国内においては、政府情報システムのためのセキュリティ評価制度であるISMAP認証を、競合他社に先駆けて取得していることも強調した。

教育現場の情報漏洩は、ヒューマンエラーが圧倒的に多い

 説明会で池田氏は、昨今のサイバー攻撃の実態についても説明した。

 「サイバーセキュリティ犯罪は増加しており、なかでもランサムウェアの増加が際立っている。しかも、これがビジネスとして成り立っている状況にある。ランサムウェアのアプリをネットで購入し、それを使って攻撃を行う仕組みが広がっており、調査によると、投資対効果は1000%超にも達している。また、身代金の平均支払額は2020年から5倍に増加している。さらに、ランサムウェアは様々な進化を遂げており、感染した際に表示されるUIが多言語化されていたり、身代金の支払い方法を教えてくれるサポートセンターが用意されていたり、減額に応じる窓口まで設置されている。この点からもビジネス化していることがわかる」(池田氏)。

池田氏の発表スライドより

 その一方で、池田氏は、「情報セキュリティとは、情報資産を脅威から守ること」と定義。「機密性だけでなく、完全性、可用性も保護することで情報セキュリティが成立する。CIA(=Confidentiality、Integrity、Availability)が重要になる」と語りながら、「教育機関における情報資産は、文部科学省の『教育情報セキュリティポリシーに関するガイドライン』で示されており、4段階で重要性分類が行われている。重要性の高いデータを扱う教員や管理者ほど、高いセキュリティ意識を持ち、ヒューマンエラーを無くす努力をする必要がある」と提言した。

池田氏の発表スライドより

 実は、教育現場における情報漏洩が起こる理由としては、ヒューマンエラーが圧倒的に多いという。

 「Chromebookから情報漏洩した場合は、そのすべてがヒューマンエラーによるものだといっていい。教員のPCに、IDとパスワードが貼りつけられており、それを見た第三者が自宅のPCなどからアクセスするといった例などがある」と語る。

 調査によると、情報漏洩の47.7%がPCの紛失や置き忘れとなっているほか、次いで、メールの誤送信の15.7%、誤配布の11.7%、誤公開の11.2%などとなっている。

 「紛失や置き忘れの場合、Chromebookであれば、遠隔からの操作でロックしたり、データ消去もできる。また、誤送信や誤配布、誤公開は、DLP(データ損失防止)機能で防ぐことができる」とする。

池田氏の発表スライドより

 さらに、一般的な情報漏洩の事件を例にあげながら、セキュリティ機能はあっても、それが正しく利用されていないことが原因であることにも触れた。

 「市民の個人情報が入ったUSBメモリーを、委託業者が立ち寄った飲食店で紛失した事件があったが、そもそもデータを持ち出すことが問題である。仮に、Googleドライブに入れて、ID、パスワードで管理しておけば、こうした問題は起きなかった。また、教員のアカウントを使用した不正アクセスの形跡を調べたところ、複数回にわたって複数のファイルがダウンロードされていたという事件は、2段階認証にしておけば起きなかった」と池田氏。

 「さらに、アクセス権の設定を正しく行わないため、成績一覧が生徒にも見えるようになっていたという事件も、セキュリティ機能の課題ではなく、教員に運用に関する知識がないために起こったものである」と厳しく批判し、「セキュリティ機能が正しく活用されていないという点に問題がある。情報を漏洩しないためのセキュリティ機能は、しっかりと用意されている。設定と運用を正しく行うことが重要である」と警鐘を鳴らした。

 これらの事例は、ハードウェアに対するセキュリティ対策の甘さ、IDやパスワードが漏洩した際の対策の甘さ、そして、アクセス権の設定が間違っていたことが理由であり、「教育現場では、ありがちな例といえるもの」と位置づけた。

ヒューマンエラーを無くすための5つのポイント

 こうした状況を踏まえながら、池田氏は、ヒューマンエラーを無くすための5つのポイントを提示した。

 それは、パスワードが漏洩してもアクセスできない仕組みとしての「2段階認証の導入」、不正アクセスを防止するための「アクセス制御の強化」、MDMやDLPを活用してログ収集や分析を自動化し、不正防止および検出を行う「ログ管理と分析の強化」、マルウェア対策による「エンドポイントセキュリティの強化」、正しい運用を行うスキルの徹底を図る「セキュリティ意識向上訓練の実施」の5点である。

池田氏の発表スライドより

 「教員や管理者は、必ず2段階認証を導入したほうがいい。高い権限を持っている人ほど、IDやパスワードが流出したら、情報が漏洩するという状況を回避しなくてはならない。また、教育分野では、セキュリティ意識を高めることへの取り組みが遅れている。大手企業では年1回程度、セキュリティ教育を行っているケースが見られる。教員に対するセキュリティ教育はますます重要になってくるだろう。企業の現場と同様に、教育現場でもセキュリティ意識を高める努力をしてほしい」と提案した。

 説明会の最後に池田氏は、「グーグルから提供している機能を活用してもらえば、防げた事故はたくさんある。これらの機能にもっと注目し、活用をしてほしい」とする一方、「ヒューマンエラーを防ぐためにも、教員に対する情報セキュリティ教育はますます重要になる」と繰り返して強調した。

大河原 克行