教育におけるゼロトラスト・サイバーセキュリティの確保

ゼロトラストは、学区が学生データを保護し、管理されていないアクセスや分散アクセスによるリスクを軽減し、より強固なサイバーセキュリティ体制を構築するのに役立ちます。.

PDFをダウンロード
その他の電子書籍を見る
01 | 概要

ランサムウェア攻撃やフィッシング詐欺から、内部脅威やセキュリティ対策が不十分なデバイスに至るまで、学区は境界防御型のセキュリティ対策から脱却する必要がある。. ゼロトラストアーキテクチャ(ZTA) 学生データの保護、インフラストラクチャの保護、そして場所を選ばない安全な学習を可能にするための、現代的でアイデンティティ中心のアプローチを提供します。.

本稿では、学校区がゼロトラストを導入する方法、必要なツール、そしてK-12教育環境においてゼロトラストを実用的、拡張可能、かつ効果的なものにするためのベストプラクティスについて概説する。.

ゼロトラスト これは、ネットワークの内外を問わず、いかなるユーザーやデバイスも自動的に信頼されるべきではないという前提に基づいた、サイバーセキュリティに対する戦略的なアプローチである。.

K-12教育にとってなぜ重要なのか
  • 分散アクセス: 学生と教職員は、自宅、キャンパス、クラウドプラットフォームからリソースにアクセスできます。.
  • デバイスの多様性: 学校は、管理対象のChromebook、個人所有の端末、および学校所有のハードウェアを組み合わせて管理している。.
  • 規制遵守: FERPA、CIPA、および州のデータプライバシー法などの義務規定は、検証可能な安全対策を要求する。.
Zero Trust Principles: Decentralized Access, Device Diversity, Regulatory Compliance

ゼロトラスト原則 ― K-12学区がサイバーセキュリティにおいてゼロトラストのアプローチを採用しなければならない理由を形作る3つの要因。.

米国国立標準技術研究所(NIST) ゼロトラストの基礎的な指針を出版物を通じて提供する NIST SP 800-207:ゼロトラストアーキテクチャ。.

これらの原則は、ゼロトラストを導入する学区にとって実践的なロードマップとなる。

  • 継続的な検証:本人確認、デバイスの状態確認、およびユーザーアクティビティの検証。.
  • ポリシーの適用:アクセス時点で、状況、役割、リスクに基づいて実施する。.
  • ログ記録と可視性:すべてのユーザー、デバイス、リソースにわたる。.
    分散型保護:クラウドベースやリモートアクセスにも対応。.

NISTのガイドラインを遵守することは、セキュリティ体制を向上させるだけでなく、州および連邦レベルで高まるコンプライアンスへの期待にも合致する。.

NIST Framework for Zero Trust Architecture: CDM System, Industry Compliance, Threat Intelligence, Activity Logs, Data Access Policy, PKI, ID Management, SIEM System, Control Plane, Policy Engine, Policy Admin, Policy Decision Point, Policy Enforcement Point, Subject, System, Untrusted, Trusted, Enterprise Resources, Data Plane, Core Zero Trust Logical Components

コアゼロトラスト論理コンポーネント — NIST SP 800-207アーキテクチャフレームワークは、制御プレーンとデータプレーン全体でポリシーの決定と適用がどのように機能するかを示しています。.

Six Pillars of Zero Trust

K-12におけるゼロトラストの6つの主要な柱は、それぞれ異なる攻撃対象領域に対応し、それらが組み合わさることで、多層防御型のセキュリティアーキテクチャを形成します。.

説明
身元
アクセスを許可する前にユーザー認証を行います。SSO、MFA、およびIDプロバイダーとの連携が可能です。.
デバイス
MDMまたはエンドポイント保護を使用して、デバイスの状態を監視し、コンプライアンスを管理します。.
ネットワーク
ネットワークをセグメント化し、マイクロペリメーターを適用することで、横方向の移動を抑制します。.
アプリケーション
コンテキスト ポリシーを使用して、承認されたアプリへのアクセスを制限します。
データ
転送中および保存中のデータを暗号化する。アクセスログを監視し、不正な共有を防止する。.
可視性と分析
ユーザー、デバイス、アプリ全体にわたるtelemetryデータを収集します。AIを使用して異常を検出します。.

ゼロトラストの実装は、単一の製品に関するものではありません。それは、統合されたツールによって支えられるフレームワークです。.

カテゴリー別の内訳は以下のとおりです。

1. アイデンティティおよびアクセス管理(IAM):
  • Google Workspace for Education または Microsoft Entra ID (Azure AD).
  • すべてのスタッフおよび管理者アカウントに多要素認証(MFA)を適用します。.
  • 教育プラットフォームへのアクセスを統一するためのシングルサインオン(SSO)。.
2. デバイスとエンドポイントのセキュリティ:
  • Lightspeed MDM™、Jamf、Google Admin Console、Intuneなどのモバイルデバイス管理ツール。.
  • リアルタイム監視のためのエンドポイント検出・対応(EDR)ツール。.
  • システムを最新の状態に保つためのOSおよびアプリケーションのパッチ適用ツール。.
3. ウェブフィルタリングとインターネットの安全性:
  • デバイスや場所を問わず、ユーザーベースのポリシーを適用するクラウドベースのウェブフィルタ。.
  • Lightspeed Filter™、GoGuardian、Securlyなどのツール。.
  • 自傷行為、サイバーいじめ、および行動上のリスクに対するAIを活用した警告システム。.
4. ネットワークのセグメンテーションとアクセス制御:
  • ファイアウォールとVPNを、ゼロトラストネットワークアクセス(ZTNA)で置き換える。.
  • クラウドアプリケーションの可視化を実現するクラウドアクセスセキュリティブローカー(CASB)。.
  • IoT、学生、職員ネットワーク向けのVLANセグメンテーション。.
5. 脅威の検出と対応:
  • セキュリティ情報およびイベント管理(SIEM)システム。.
  • 自動化されたインシデント対応プラットフォーム。.
  • 地区レベルのダッシュボードとのログ記録連携。.
1. アイデンティティから始める:
  • 全ユーザー向けの中央ディレクトリを構築する。全スタッフアカウントおよび特権アカウントに多要素認証(MFA)を必須とし、安全なパスワードポリシーを徹底する。.
2. 役割別マップアクセス権限:
  • 最小権限の原則に基づき、職務役割(例:教師、生徒、管理者)に応じてアクセス権限を定義し、アプリケーションおよびデータへのアクセスを制限してください。.
3. あらゆる場所でデバイスを安全に保護する:
  • 管理対象デバイスすべてにエンドポイント管理ソフトウェアを展開します。デバイスの状態を監視し、暗号化、ブラウザ制限、アプリポリシーを適用します。.
4. インターネット利用のフィルタリングと監視:
  • グループ、時間、状況に応じて適応する高度なフィルタリングを適用します。脅威、不適切なコンテンツ、および行動上の警告サインを監視します。.
5. 全てを記録し、早期に発見する:
  • 認証、ファイルアクセス、アプリの使用状況、Webアクティビティを監視するために、集中管理ログを使用します。異常を検出するために、AI/MLツールを統合します。.
6.職員と学生への継続的な研修を実施する:
  • 人為的ミスは最大の脅威です。教育者向けにはサイバーセキュリティ意識向上トレーニングを、生徒向けには年齢に応じたモジュールを提供しましょう。.
7.インシデント対応計画を策定する:
  • ランサムウェア、フィッシング、データ漏洩などの事態に備え、テスト済みの対応計画を策定する。コミュニケーションプロトコルを定義し、明確な役割分担を割り当てる。.
避けるべきよくある落とし穴:
  • 旧式のファイアウォールへの過度の依存: これらはリモートユーザーやクラウドアプリケーションを保護しません。.
  • 学生のデータプライバシーを無視する: ベンダーがCOPPA、FERPA、および州法の要件を満たしていることを確認してください。.
  • 視認性の欠如: ツールは、オンプレミスネットワークだけでなく、すべてのデバイスにおけるアクティビティを報告する必要がある。.

企業向けのゼロトラストモデルは学校には厳格すぎる場合が多いが、Lightspeed Filterは教育機関向けに特化して設計されており、セキュリティと柔軟性の適切なバランスを実現している。.

1. 幼稚園から高校までの教育環境に適応可能:
  • BYOD(私物端末の業務利用)、共有デバイス、ゲストアクセス、および身元不明のユーザーによる利用を、授業の中断なくサポートします。.
  • 本人確認が完了すると、より詳細なアクセス制御が行われます。.
2. 常時保護のためのデバイス内フィルタリング:
  • Lightspeed Agentは、キャンパス内外を問わず、トンネル攻撃を必要とせず、一貫したセキュリティを保証します。.
3. 多層セキュリティのためのシームレスな統合:
  • ファイアウォールやIDプロバイダーと連携し、ゼロトラストの原則をコンテンツアクセスにまで拡張します。.
  • Google WorkspaceまたはMicrosoft Entraを使用したディレクトリベースのアクセス ポリシーをサポートします。.
4. K-12(幼稚園から高校まで)に合わせた分類と管理:
  • Lightspeedは、2300万人以上の学生ユーザーからの知見に基づいて構築されており、AIと人間のレビューを活用して、教育用ゲームと成人向けゲーム、教育用AIツールなど、適切なコンテンツと不適切なコンテンツを区別します。.
5. リアルタイム脅威対策:
  • PhishTank、MI6、IWFと連携し、新たなサイバー脅威を阻止します。.
6. 保護者の監視機能の強化:
  • Lightspeed Parent Portal™は、保護者が学校の授業時間外でも、お子様の状況を把握し、管理できるようにします。.

ゼロトラストは、幼稚園から高校までの教育機関にとって、もはや「あれば良い」ものではなく、不可欠なものとなっています。生徒や教職員がどこからでも接続できるようになり、脅威がますます高度化するにつれ、教育機関は可視性、検証、そして積極的な制御に基づいた戦略を実施しなければなりません。.

Lightspeed Filter™は、教育現場向けに特化して設計されたゼロトラストに準拠したセキュリティ基盤を提供することで、この変革を可能にします。多層的なツールと綿密な導入計画を組み合わせることで、学区は現代の学習に適した安全で拡張性の高いセキュアな環境を構築できます。.

Lightspeed Filter™がどのように導入計画を変革し、より高い可視性と制御性をもたらすか、ぜひご確認ください。

無料デモを予約する
フィルターを通過しているものを確認しましょう