教育機関がサプライチェーン攻撃の標的になる理由
教育機関は、サプライチェーン攻撃の標的となるリスクを抱えています。その理由は、保有する情報の特性、セキュリティ投資の制約、そして急速なデジタル化にあります。
- 児童生徒の個人情報
- 教育機関は、児童生徒の氏名、住所、生年月日、成績、健康情報、家庭環境に関する情報など、機微性の高い個人情報を保有しています。これらの情報は、子どもたちが成人した後も長期にわたって悪用される可能性があり、なりすましや詐欺の材料となりえます。
- 研究データ(大学)
- 大学や研究機関は、先端技術に関する研究データ、知的財産、国際共同研究に関する情報を保有しています。特に、安全保障に関わる研究は、国家支援型の攻撃グループの標的となる可能性があります。
- 予算制約によるセキュリティの弱さ
- 多くの教育機関は限られた予算の中で運営されており、セキュリティ投資が後回しになりがちです。専任のIT担当者やセキュリティ担当者がいない学校も多く、対策が不十分な状態にあります。
- 多数の外部サービスへの依存
- GIGAスクール構想以降、端末ベンダー、学習支援クラウド(Google Classroom、Microsoft 365等)、MDM(端末管理)サービス、オンライン授業ツールなど、多数の外部サービスに依存するようになりました。これらのサービスの一つでも侵害されれば、サプライチェーン攻撃につながります。
GIGAスクール構想とサプライチェーンリスク
GIGAスクール構想は、全国の児童生徒に1人1台のICT端末を配備し、高速ネットワーク環境を整備する国の施策です。教育のデジタル化を推進する一方で、新たなセキュリティリスクも生じています。
端末ベンダーのリスク
全国の学校に数百万台の端末が一斉に導入されました。
| リスク | 内容 | 対策 |
|---|---|---|
| 端末の脆弱性 | OSやファームウェアの脆弱性が悪用される | 自動アップデートの有効化、脆弱性情報の監視 |
| サプライチェーン汚染 | 製造段階でマルウェアが混入される | 信頼できるベンダーからの調達、受入検査 |
| サポート終了 | 古い端末のセキュリティサポートが終了 | 更新計画の策定、リース契約の活用 |
クラウドサービスへの依存
学習支援システム、校務支援システム、オンライン授業ツールなど、多くの教育活動がクラウドサービスに依存しています。
- クラウドサービス事業者のセキュリティ
- 大手クラウドサービス(Google、Microsoft等)は高いセキュリティレベルを持ちますが、その設定は利用者(学校・教育委員会)の責任です。設定ミスによる情報公開事故も発生しています。
- 中小規模の教育サービス
- 教育専用のクラウドサービスの中には、セキュリティ対策が十分でないものもあります。導入前のセキュリティ評価が重要です。
MDM(Mobile Device Management)のリスク
端末を一括管理するMDMサービスは、強力な権限を持つため、侵害された場合の影響が大きくなります。
- MDMサービスが侵害されると、管理下のすべての端末にマルウェアを配布される可能性
- MDMの管理者アカウントが乗っ取られた場合、端末データの窃取や遠隔消去が可能に
- MDMサービス事業者のセキュリティ評価と、管理者アカウントの保護が重要
一斉導入に伴うリスク
同じ端末、同じサービスが全国の学校に一斉導入されることで、一つの脆弱性や侵害が広範囲に影響するリスクがあります。特定のベンダーやサービスに集中することのリスクを認識し、代替手段の確保も検討が必要です。
文科省ガイドラインの要件
文部科学省が策定する「教育情報セキュリティポリシーに関するガイドライン」は、教育機関のセキュリティ対策の基本となる文書です。
クラウド利用に関する要件
ガイドラインでは、クラウドサービスの利用について以下の要件を定めています。
- クラウドサービスの選定
- ISMSやISO 27017(クラウドセキュリティ)などの認証取得状況、データの保存場所、契約条件を確認し、適切なサービスを選定します。
- アクセス制御
- 児童生徒、教職員それぞれに適切なアクセス権限を設定し、必要最小限の権限で運用します。
- データの保護
- 個人情報を含むデータの暗号化、バックアップ、サービス終了時のデータ削除について確認します。
外部委託に関する要件
システムの運用管理や保守を外部に委託する場合の要件も定められています。
| 要件項目 | 内容 |
|---|---|
| 委託先の選定 | セキュリティ対策の実施状況を評価し、適切な委託先を選定 |
| 契約条項 | 秘密保持義務、セキュリティ要件、インシデント報告義務を契約に明記 |
| 監督 | 委託先の作業を適切に監督し、定期的に報告を求める |
| 再委託の制限 | 再委託は原則禁止または事前承認制とし、再委託先にも同等の管理を求める |
学校が保有する情報には、児童生徒の将来に影響を与えうる機微な情報が含まれています。クラウドサービスの利用や外部委託にあたっては、情報セキュリティの確保に万全を期す必要があります。
— 出典:文部科学省「教育情報セキュリティポリシーに関するガイドライン」の趣旨より
教育系クラウドサービスの管理
教育機関で利用される主要なクラウドサービスと、その管理のポイントを解説します。
学習支援システム
Google Classroom、Microsoft 365 Educationなどの学習支援システムは、多くの学校で利用されています。
- アカウント管理
- 児童生徒、教職員のアカウントを適切に管理し、卒業・異動時には速やかに無効化します。パスワードポリシーを設定し、安全なパスワードの使用を促します。
- 共有設定
- ファイルやフォルダの共有設定を適切に管理し、意図しない情報公開を防ぎます。デフォルトの共有範囲を確認し、必要に応じて制限します。
- 外部アプリ連携
- サードパーティアプリとの連携(Google Workspaceのマーケットプレイスなど)を適切に管理し、不要または信頼性の低いアプリの連携を制限します。
採点システム・校務支援システム
成績情報や指導要録など、特に機密性の高い情報を扱うシステムについては、より厳格な管理が必要です。
- 成績情報へのアクセスを権限者のみに限定
- 操作ログの取得と定期的な監査
- データのバックアップと災害対策
サービス選定時の評価項目
新規にクラウドサービスを導入する際は、以下の項目を評価します。
| 評価項目 | 確認内容 |
|---|---|
| セキュリティ認証 | ISMS、プライバシーマーク、SOC 2等の認証取得状況 |
| データ所在地 | データの保存場所、国外サーバー利用の有無 |
| プライバシーポリシー | 児童生徒のデータの取り扱い方針、広告利用の有無 |
| データポータビリティ | サービス終了時のデータ移行・削除 |
| サポート体制 | インシデント発生時の対応体制、日本語サポートの有無 |
クラウドセキュリティ対策も参照してください。
端末管理とMDM
GIGAスクール端末の管理は、サプライチェーン攻撃対策の重要な要素です。
一括管理の仕組み
MDM(Mobile Device Management)を活用し、端末を一括管理します。
- リモートでの設定管理
- セキュリティ設定、アプリのインストール制限、Webフィルタリングなどを一括で設定・変更できます。
- 紛失・盗難対策
- 端末の位置追跡、リモートロック、リモートワイプ(遠隔消去)により、紛失・盗難時の情報漏洩を防ぎます。
- 利用状況の監視
- アプリの使用状況、Webアクセスログなどを収集し、不適切な利用を検知します。
アップデート管理
端末のOSやアプリのアップデートを適切に管理することで、脆弱性を悪用した攻撃を防ぎます。
- 自動アップデートの活用:セキュリティアップデートは自動適用を推奨
- テスト配信:メジャーアップデートは一部端末でテスト後に全体に展開
- 更新状況の監視:MDMで各端末の更新状況を確認し、未適用端末を特定
MDMサービスのセキュリティ
MDMサービス自体のセキュリティも重要です。
| 対策項目 | 内容 |
|---|---|
| 管理者アカウントの保護 | 強力なパスワード、多要素認証の必須化 |
| アクセス権限の最小化 | 管理者権限を持つ人数を必要最小限に制限 |
| 操作ログの監視 | 管理コンソールでの操作を記録し、不審な操作を検知 |
| サービス事業者の評価 | MDMサービス事業者のセキュリティ体制を評価 |
大学・研究機関特有のリスク
大学や研究機関は、小中高校とは異なるリスクを抱えています。
研究データの保護
先端技術に関する研究データは、産業スパイや国家支援型攻撃の標的となる可能性があります。
- 安全保障貿易管理
- 軍事転用可能な技術に関する研究は、外為法に基づく安全保障貿易管理の対象となります。国外への不正な技術流出を防ぐための管理体制が必要です。
- データ分類
- 研究データを機密性に応じて分類し、重要なデータには厳格なアクセス制御と暗号化を適用します。
国際共同研究のリスク
海外の大学や研究機関との共同研究は、サプライチェーン攻撃のリスクを伴います。
- 共同研究先のセキュリティ対策状況の確認
- 共有するデータの範囲の明確化
- 通信・データ保管の暗号化
オープンなネットワーク環境
大学は、学術的なオープン性を重視する文化があり、ネットワークの制限が緩い傾向があります。
- 学内ネットワークのセグメンテーション(研究系、事務系、学生系の分離)
- BYOD(個人所有デバイス)の管理
- 学生・教職員へのセキュリティ教育
関連する攻撃手法
教育機関は、以下の攻撃手法の標的となっています。
- サプライチェーン攻撃
- 端末ベンダー、学習支援クラウド、MDMサービスを経由した攻撃。詳細はサプライチェーン攻撃の定義と仕組みをご覧ください。
- ランサムウェア
- 校務システムや研究データを暗号化し、身代金を要求する攻撃。詳細はランサムウェアをご覧ください。
- フィッシング詐欺
- 教職員を狙った偽メールで認証情報を窃取する攻撃。詳細はフィッシング詐欺をご覧ください。
- 標的型攻撃(APT)
- 研究データを狙った高度で持続的な攻撃。国家支援型のグループによることも。詳細は標的型攻撃(APT)をご覧ください。
- 情報漏洩
- 児童生徒の個人情報、成績情報の不正な流出。詳細は情報漏洩をご覧ください。
- 不正アクセス
- 校務システムや学習支援システムへの不正ログイン。詳細は不正アクセスをご覧ください。
- クラウド設定不備
- クラウドサービスの設定ミスによる情報公開。詳細はクラウド設定不備をご覧ください。
よくある質問
- Q: 無料の教育アプリを使っても大丈夫ですか?
- A: 無料の教育アプリには、広告収入やデータ収集で収益を上げているものがあります。利用前に、プライバシーポリシーを確認し、児童生徒のデータがどのように扱われるかを理解してください。特に、データが広告に利用される場合や、第三者に提供される場合は、教育目的での利用として適切か検討が必要です。教育委員会でアプリの利用可否リストを作成し、教職員に共有することも有効です。
- Q: 保護者への説明はどうすればよいですか?
- A: GIGAスクール端末やクラウドサービスの利用にあたっては、保護者への説明と同意取得が重要です。利用するサービスの種類、収集するデータの内容、セキュリティ対策について、わかりやすく説明した資料を作成してください。また、家庭でのインターネット利用に関するルールづくりの参考情報を提供することも有効です。保護者からの質問に対応できる窓口を設けることも検討してください。
- Q: 児童生徒の個人情報はどう保護すべきですか?
- A: 児童生徒の個人情報は、将来にわたって影響を与える可能性があるため、特に慎重な取り扱いが必要です。まず、収集する情報を必要最小限に絞ります。保存するデータは暗号化し、アクセス権限を厳格に管理します。クラウドサービスを利用する場合は、データの所在地とプライバシーポリシーを確認してください。卒業後のデータ削除についてもルールを定めておく必要があります。
- Q: 教員のセキュリティ意識をどう高めますか?
- A: 教員向けのセキュリティ研修を定期的に実施することが基本です。座学だけでなく、フィッシングメールの模擬訓練など実践的な内容を取り入れると効果的です。また、セキュリティインシデントが発生した場合の報告手順を明確にし、報告しやすい雰囲気を作ることも重要です。文部科学省やIPAが提供する教育機関向けのセキュリティ教材を活用することもできます。
まとめ
教育機関のサプライチェーン攻撃対策について、以下のポイントを押さえてください。
- GIGAスクールに伴うリスクの認識:端末ベンダー、クラウドサービス、MDMへの依存によるリスクを理解する
- 文科省ガイドラインへの準拠:クラウド利用、外部委託に関する要件を遵守する
- クラウドサービスの適切な選定・管理:セキュリティ評価、設定管理、アカウント管理を徹底する
- 端末管理の強化:MDMの活用、アップデート管理、紛失・盗難対策を実施する
- 大学・研究機関のリスク対応:研究データの保護、国際共同研究のリスク管理を行う
- 教職員のセキュリティ教育:定期的な研修と啓発活動を実施する
- 保護者との連携:ICT利用について説明し、理解を得る
業種別カテゴリトップやサプライチェーン攻撃の総合ガイドも参照しながら、教育機関のセキュリティ体制を強化してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す ← 現在のカテゴリ
人気のページ
更新履歴
- 初稿公開
