ぺんぎん発信

ぺんぎん学校ICT教育発信

先生向けの教育システム関連ブログです。 セキュリティ、校務支援システム、授業支援システム、ネットワークなどなど学校で「使える」情報をお伝えします。

学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ④

前回の続きです。

 

www.penginedu.com

 

f:id:swpxd690:20170614221804j:plain

 

これだけは押さえておきたいセキュリティ対策

 

万が一、データが流出してしまっても情報を保護する対策(暗号化)

 

万が一データが流出しても読み取られない暗号化

 

 万が一、データが外部に流出した際、個人情報など大切な情報そのものを守るために有効な対策が「暗号化」です。あらかじめファイルやフォルダを暗号化しておけば、第三者は情報を見ることはできません。

 

 PCの盗難やUSBメモリの紛失など、何らかの理由でデータが流出してしまっても、データの内容が悪用されるリスクを大幅に低減できます。暗号化を実際に導入する際は、考慮すべき点がいくつかあります。

 

 例えば、ファイルやフォルダが新たに追加されるたびに、利用者自身がその都度暗号化を行っていては、負担が増え、暗号化を忘れるおそれがあります。そのような問題を解決するには、自動で暗号化する仕組みが有効です。

 

 このように、暗号化はセキュリティが強化できる一方で、運用負担を低減させる仕組みも考慮しながら進める必要があります。

 

デバイス制御で情報漏えい対策をさらに強化

 

 USBメモリのような外部デバイスは、情報漏えいの原因になるケースが増えています。業務上どうしても外部デバイスを利用する必要がある場合、「デバイス制御」が有効です。デバイス制御は、ユーザやデバイス単位で、「使用不可」や「読み込み可」などの制限をあらかじめシステムで設定しておきます。

 

 外部デバイスの使用を必要最低限に限定することで、情報漏えいのリスクを低減させます。

 

パスワードがいっぱいあり覚えられない(シングルサインオン)

 

パスワードをまとめて守るシングルサインオン

 

 現在教育機関では、校務システムをはじめ多くの情報システムが導入されており、利用者はシステムそれぞれを使い分けて業務を行っています。各システムには当然、セキュリティ対策として認証が設けられています。

 

 利用者はシステムごとに認証を行っていては、システムの数だけパスワードを記憶しなければいけません。そうなるとパスワードを覚えきれないので、同じパスワードを使いまわしたり、安易なパスワードを使う、パスワードをメモして見えるところに貼るなどの問題が発生します。

 

 そのような問題を解決できるのが「シングルサインオン」です。複数のシステムに対して一元的に認証を行う仕組みであり、利用者は一度認証すれば、他のシステムを利用できるようになります。このように、シングルサインオンを導入すれば、セキュリティを確保しつつ利便性を高められます。

 

 また、管理者側はパスワード忘れによるパスワードリセット対応から解放されます。さらにシステムの実際のパスワードを利用者に教えない運用が可能になり、パスワードの漏えいを防止します。

 

 学校のパソコンはパスワードだけでは危ない。まとめ

 

二要素認証

 

 「知っていること(パスワード、暗証番号)」「持っているもの(ICカード、USBキー)」「身体的特徴(顔、静脈、指紋)」のうち、異なる2つの要素を組み合わせて認証を行う二要素認証。

 

 対応ソフトでは、PCのログオンをID/パスワードのの代わりに「ICカード+暗証番号」「顔認証+Windowsパスワード」「静脈認証+Windowsパスワード」などの二要素認証に書き換えることができ、部門や業務、利用者ごとに認証方法の選択が可能です。また、離席時の自動画面ロックも可能で「なりすまし」による端末の不正利用防止に貢献します。

 

自動暗号化

 

 PCのドライブやフォルダ、外部メディア、ネットワーク上の共有フォルダを暗号化することができます。これにより、万が一ファイルが盗難にあっても内容を見ることができません。任意のフォルダを「暗号フォルダ」として設定でき、暗号フォルダに保存するだけでファイルが自動的に暗号化されます。復号も自動で行われるため、利用者は暗号を意識することなく利用できます。

 

「暗号フォルダ」はフォルダごとにアクセス権を設定することも可能です。持ち出しUSBメモリ暗号化は、USBメモリに暗号化しないファイルの保存を禁止でき、USBメモリ内でのドキュメント編集しか許可しない設定にすることで、自宅のPCへのファイルコピーを防止できます。また、有効期限を過ぎたデータを自動的に消去することも可能です。

 

シングルサインオン

 

 1回の認証で複数のアプリケーションにアクセスできる「シングルサインオン」を実現します。校務支援システムのほか、さまざまなアプリケーションに一括して自動的にログオンできます。

 

 クラウドやイントラWeb、クライアントサーバ型システムなどさまざまなタイプのアプリケーションに対応しており、導入時は、対象のアプリケーションやネットワーク構成などの設定変更は必要ありません。シングルサインオンにより、ユーザは複数システムのパスワードを意識しない運用が可能となり、パスワードの漏えいを防ぐことができます。

 

 管理面でも「パスワード忘れ対応からの解放」や、乱数生成による自動パスワード変更で、「パスワード強度の向上」「同じパスワードを複数システムに使い回し防止」などに効果を発揮します。

 

 ログ機能

 

 ログ収集機能によって、「いつ」「誰が」「どの端末で」「何をした」を把握することで、利用状況を見えるかできます。悪意ある第三者の不正利用や教職員の情報持ち出しなど、内部不正の抑止に効果的です。

 

 共有PC/共有IDで利用する環境でも、ログに記録されている情報をもとに、利用者を特定することができます。二要素認証で顔認証を利用している場合、顔画像をログ保存することもでき、不正利用を試みた第三者の顔写真も保存されるので、不正利用の抑制が可能になります。

 

 ログレポートは、ユーザ名、コンピュータ名 などの単位で集計し、CSVファイルに出力します。管理者が定期的に認証の利用状況を分析し、システムが円滑に利用できるように役立てたり、インシデント発生時には、問題の兆候の分析や追跡調査に利用できます。ログアラートは、一定時間内に顔認証、生体認証等の認証エラーが複数回発生した場合、管理者あてにメールを送信します。

 

 管理者はメール本文に記載されたコンピュータ名をもとにユーザログの内容を確認し分析することができます。

 

  • 顔画面ログ機能(顔画面をログ保存)
  • ログレポート機能(認証の利用状況を分析)
  • ログアラート機能(認証エラーを管理者に通知)

 

www.penginedu.com

www.penginedu.com

www.penginedu.com