学区の IoT デバイスとインフラストラクチャを保護するためのベスト プラクティス

あなたの学区の IoT デバイスは安全ですか?

モバイル テクノロジーとモノのインターネット (IoT) の台頭は、教室の内外を問わず、K-12 学校に多大な影響を及ぼしています。インタラクティブ ホワイトボードから接続されたセキュリティ カメラ、機器を管理する Web ベースのシステムから、スクール バスの位置と動きを監視する IoT 対応 GPS 追跡システムまで、接続されたデバイスはあらゆるところに存在しているようです。

重要なのは、接続されたデバイスのそれぞれがセキュリティ リスクをもたらすことです。また、1 つのデバイスの脆弱性が侵害されると、デバイスの接続により悪意のある攻撃者が学区のデバイスを介して横方向に移動できるようになり、安全性とセキュリティに対する差し迫った脅威となります。

この投稿では、学区の IoT デバイスとインフラストラクチャのセキュリティを確保するためのベスト プラクティスをいくつか紹介します。ただし、ベスト プラクティスを理解するには、まず最も論理的なポイント、つまり冒頭から始めましょう。

IoTとは何ですか?

モノのインターネットは、 Oracleによって定義されるは、「インターネットを介して他のデバイスやシステムと接続し、データを交換するために、センサー、ソフトウェア、その他の技術が組み込まれた物理的なオブジェクト（「モノ」）のネットワーク」です。インターネットサービス会社であるソフトバンクグループは、 1兆台以上のデバイスが存在すると予測 2025年までにIoTに接続されるデバイスは1人当たり約100台に達すると予想されます。

IoTの範囲は広く、それが問題をさらに複雑化させています。IoTが急激な成長を続ける中、フォレスターのような業界の思想的リーダーは次のように考えています。 ほとんどのセキュリティチームは可視性ゼロ IoT デバイスの複雑なネットワークに突入します。

IoTセキュリティ脆弱性の脅威の増大

IoT デバイスのセキュリティ リスクの多くは、メーカーがより強力なセキュリティ機能よりも市場投入までの時間を優先した結果です。基本的に、メーカーは「完全に完成していない」ファームウェアとソフトウェアを搭載したデバイスを出荷しています。一部のメーカーの説明責任の欠如に加えて、より強力なセキュリティ対策を必要とする規制監督も全体的に欠如しています。

安全でない IoT デバイスは、デジタル エコシステムへの侵入を企む悪意のあるハッカーにとって理想的な出発点となります。多くの学区にはギャップがあり、対処する必要があります。サイバー セキュリティとオンライン プライバシー製品のレビュー Web サイトである Comparitech が最近報告したように、K-12 および高等教育機関に対する世界的なランサムウェア攻撃 (670 万件を超える個人記録の侵害) により、2018 年から 2023 年 9 月中旬までに $53 億を超えるダウンタイムのコストが発生すると推定されています。

学区の IoT 主導ネットワークを最大限に活用するには、IT チームは以下に概説する 7 つのベスト プラクティスを統合する必要があります。

学区の IoT インフラストラクチャを保護するための 7 つのベスト プラクティス

1 - セキュリティの優先順位を確実にするために、潜在的なベンダーを徹底的に審査する

候補となるベンダーの候補リストを作成するときは、セキュリティが評価基準の項目に含まれていることを確認してください。セキュリティが弱いベンダー、つまり市場での評判が悪いベンダーは、候補リストに載せる前に排除する必要があります。

セキュリティで高い評判を持つベンダーは、価格が高くなります。それは当然です。支払った金額に見合ったものが得られます (前述の $53 億という金額をもう一度参照してください)。諺にあるように、「1 オンスの予防は 1 ポンドの治療に勝る」のです。

ただし、重要な考慮事項は、学区での「個人所有デバイスの持ち込み」(BYOD) イニシアチブに対応する必要があることです。教師、スタッフ、および生徒が使用するデバイスは IT チームによって十分に評価されていない可能性があるため、ベンダーの徹底的な審査だけに頼ることはできません。

2 — ネットワークをサブセグメントに分割する

ネットワーク セグメンテーションとは、学区が大規模なネットワークを、相互接続が最小限で済む、IoT デバイスとシステムの関連クラスターで構成される、比較的自立した小規模なサブネットワークに論理的に分割する戦術です。この戦術によりリスクが最小限に抑えられ、脆弱性や差し迫った脅威が発生した場合でも、IT チームは侵害されたサブネットワークを隔離できるため、ネットワーク全体が健全かつ運用可能な状態を維持できます。

3 - ネットワーク接続を暗号化する

仮想プライベート ネットワーク (VPN) は、特にリモートの遠隔学習アプリケーションを使用して、学校区がスタッフ、教師、生徒を安全に接続するための一般的な方法です。VPN は優れた出発点ですが、いくつかの脆弱性があります。VPN は基本的に学区のネットワークを拡張するため、リモート ユーザーが安全でないネットワーク上にいる場合 (たとえば、生徒が安全でないホーム ネットワーク上にいる場合)、悪意のある攻撃者がさらに悪用するための隙間を作る可能性が高くなります。

VPNにはオプションがあり、学区が大きく複雑な場合は、VPNの完全な評価が必要になる場合があります。 代替案.

4 — エンドポイントセキュリティを導入する

学区などの BYOD 環境では、エンドポイント セキュリティによって、学区のネットワークに接続されている承認済みの個人所有デバイスに暗号化が適用され、IT チームは個人所有デバイスとそれらがもたらすリアルタイムの脅威を認識できるようになります。

エンドポイント セキュリティにより、IT チームは IoT 接続エコシステムをより詳細に把握できるようになり、エンドポイント デバイス間で追加のセキュリティ要件を適用できます。そのため、多数の IoT デバイスをネットワーク化する大規模な学区にとって理想的なセキュリティ レイヤーとなります。

5—ユーザーによる厳格かつ継続的な認証を要求する

もちろん、パスワードは最初から必須のセキュリティ保護手段でした。しかし、単純なパスワードだけでは不十分で、頻繁な変更や複雑なパスワードを要求するのが比較的一般的なアプローチです。2 要素認証を追加すると (たとえば、ユーザーがパスワードを入力した後にコードをテキストで送信する)、セキュリティがさらに強化されます。

ただし、パスワードは、個々のユーザーが所有するネットワークの IoT デバイスにのみ適用されます。無人の IoT デバイスを使用した自動化プロセスでは、パスワード要件が大きなボトルネックとなります。

6—監視システムを導入する

監視システムにより、学区は IoT デバイスの複雑なネットワークを集中的かつ戦略的な方法で監視および保護できます。デバイスの状態、デバイスの健全性、データ フローを追跡することで、IT チームは異常を特定し、不正アクセスを防止できます。さらに、これらのシステムは、攻撃による被害を防止および軽減するのに役立つ自動アラートと通知を提供します。

7—地区職員の継続的な研修を促進する

学区内でセキュリティの専門家として頼りにできるのはITチームだけです。しかし、非専門家、スタッフ、教師は学区の脆弱性に多大な影響を与えます。そのため、広範囲にわたるトレーニングは「当然のこと」です。差し迫った脅威を特定し、デバイスのリスク露出を制限する方法について学区の職員を訓練するための継続的なトレーニングを作成し、実施する必要があります。

結論

接続されたデバイスは、学区がその使命をより効果的かつ効率的に遂行する能力にプラスの影響を与えます。しかし、悪意のある行為者がネットワーク全体に侵入する可能性のあるポイントも提供します。これらのリスクに対処するために、学区のITチームは、 包括的なセキュリティ対策.

同時に、学区の IT リーダーは、セキュリティ プロトコルが IoT ネットワークの設計目的の有効性を制限しないようにする必要があります。上記のベスト プラクティスを検討し、どの組み合わせが学区とその関係者に最も相乗効果をもたらすかを判断します。