教師としてeAssessmentのサイバーセキュリティの脅威を回避するために

生徒の評価にノートパソコンを使用する教師の特集画像

生徒も教師も同様に、教育の信頼性と完全性に自信を持つ必要があります。では、eアセスメントや遠隔教育の導入・普及に伴い高まるセキュリティの脅威を、教師はどのように乗り越えればよいのでしょうか。 

世界中の教育機関がオンライン学習への移行を急遽決定したことで、以前からあったセキュリティ上の懸念が誇張され、学生のプライバシー問題が新たに表面化し、「デジタル学習」時代にさらに発展することになったのです。このような短期間での移行は、学校が適切な計画や調査を行う時間に大きな影響を与え、多くの教育関係者は迅速に立ち上げることができるeラーニング・ソリューションで「やりくり」しなければならなかったのです。    

このようなソフトウェアの急速な普及は、必要なことではありますが、その一方で、教育機関に対するサイバーセキュリティ攻撃が急増しています。 教育現場に対するサイバーセキュリティ攻撃の急増が発表しているように K-12セキュリティ情報交換会教育現場でのインシデントを追跡している非営利団体「K-12 Security Information Exchange」が発表したもので、生徒と職員の両方が悪用される危険にさらされています。

e-アセスメントを受ける学生にとって高まるセキュリティリスクとは? 

近年、テクノロジーが学習環境を支え、変化させるために重要な役割を担っていることは否定できません。しかし、新しい教育用ソフトウェアを採用することは、本質的に新たなセキュリティ・リスクをもたらすことは言うまでもありません。eラーニングに関連する学生データのセキュリティとプライバシーに対する最も一般的なリスクには、以下のようなものがあります。

ランサムウェア 

ランサムウェアはマルウェアの一種で、ユーザー(この場合は学生)が保護された評価システムまたはリソースベースシステムとそこに保持されたデータにアクセスするのを妨害する。通常、データは暗号化されますが、削除されたり、盗まれたり、コンピュータそのものにアクセスできなくなったりすることもあります。このような場合、生徒の作品が失われたり、生徒の身分証明書や財務記録が搾取されたり、学校のネットワークに保存されている医療記録が盗まれたりする可能性があります。 

横移動と特権追求  

この攻撃では、犯人は通常、ネットワーク内やネットワーク周辺を移動します。そうすることで、彼らは自分の権限を増やし、価値の高いシステムを特定する方法を学び、同時に自分の存在を隠します。この攻撃の目的は、バックアップ・データの破壊と採取、仮想サーバ全体の暗号化、そしてさらなるランサムウェアの展開の3つのうちの1つです。もし、攻撃者がバックアップデータにアクセスすることができれば、学生や職員の情報を自由に扱うことができるようになります。仮想サーバを暗号化することで、攻撃者は学習プロセスを中断させたり、特定のリソースへのアクセスを削除したりする可能性があり、学生のデータセキュリティだけでなく、使用しているシステムに対する信頼、ひいては教育にも大きな打撃を与える可能性があります。 

授業・会議への侵入 

これは、学生や教師にとって特に不愉快な侵害であり、ますます広まってきています。この場合、攻撃者は、仮想会議室、試験監督セッション、あるいは個人指導セッションにアクセスすることができます。そして、憎悪表現、衝撃的な画像、音声、動画、暴力的な脅迫などを用いて、苦痛を与え、授業を妨害するために正体を現します。このような攻撃の間、犯罪者は、名前やIPアドレスなど、学生のさらなる情報を収集するためにこの時間を使うこともあります。 

サービス妨害(DoS)攻撃 

分散型ネットワーク攻撃または分散型サービス拒否(DDoS)攻撃は、ウェブサイトのフォーム、会議室のパラメータ、または試験セッションの制限など、あらゆるネットワークリソースに適用される特定の容量制限を利用します。DDoS攻撃は、攻撃対象のWebリソースに複数のリクエストを送信し、多数のリクエストを処理するために想定される容量を超えることを狙い、システムが正常に機能するのを妨げます。 カスペルスキーの調べでは教育機関に影響を与える攻撃は、以下のように急増しました。 550% を記録しました。

教室でこれらのリスクを軽減するにはどうしたらいいのでしょうか? 

潜在的なリスクを減らすための最初のステップは、受講者がその可能性について徹底的に説明を受けていることを確認することです。eラーニングのサイバーセキュリティと潜在的な脅威に関する知識を向上させることで、洞察力に富んだ学習文化を醸成し、学生がリスクを発見し、規則に従わない可能性がある場合に自己修正できるようにします。 

学生や職員の意識を高め、サイバーセキュリティの基本的な衛生習慣を身につけることは、サイバーセキュリティのリスクをうまく軽減するためのもう一つのステップです。これには、個人所有、私有、学校所有のデバイスやソフトウェアのエコシステムを安全に利用するためのトレーニングセッションや、VPN の使用、パスワードのベストプラクティスなどを、生徒と職員の両方に対して実施することが考えられます。 

3つ目のステップは、導入しているシステムが目的に適っており、サイバーセキュリティの鎧に隙間がないことを保証することです。このためには、現在使用しているソフトウェアとシステムのインベントリーを作成する必要があります。例えば、学生が次のようなものにアクセスできるようにしておくとよいでしょう。 

  • 個人所有および学校所有のすべてのデバイスで、集中的なウイルス対策を実施
  • 安全・安心なパスワード管理を推進するパスワード管理システム
  • 機密情報へのアクセス時の多要素認証
  • 異常な電子メールや強制的なログインの試みなど、潜在的な脅威をスタッフに通知することができる報告ベース。

この1年で学んだことは何でしょうか。 

eラーニングにおける生徒のデータセキュリティを保護するためには、スタッフと生徒への教育が重要です。教育が進むにつれ、将来の攻撃を防ぐために、セキュリティを考慮して最適化された適切かつ特別に開発された「Eラーニング」システムの導入と対になる必要があります。学生をサポートするシステムを構築し、関連するソフトウェアを活用し、サイバーセキュリティにおける自分の責任を学生に伝えることで、仲間同士の信頼関係を築き、より安全な学習環境を作ることができます。

TAOのデジタルアセスメントツールがどのように生徒のデータセキュリティを実現するかについて詳しく知ることができます。