教育業界ニュース

ホーム ICT機器 その他 記事

クラウド時代に不正アクセス対策は急務、パスワードより安全な方法は?

 GIGAスクール構想で1人1台端末の環境が実現し、子供たちの学びの環境が大きく変化している。その陰で、第三者による不正アクセスの問題も数多く発生しており、被害者側が気付かないケースもあるという。日本マイクロソフトの中田氏と岡氏に、教育現場におけるセキュリティの現状と今後の対策について話を聞いた。

ICT機器 その他
PR
Surfaceは顔認証によるログインがとても速い
  • Surfaceは顔認証によるログインがとても速い
  • 中田寿穂氏
  • 岡涼平氏
  • パスワードスプレー攻撃によるアカウント侵害が増えている。
  • Microsoft 365によるセキュリティレポート
  • パスワードはすぐに破られる可能性がある。
  • Windows Helloで実現する多要素認証
  • 「Chip to Cloud」の考え方

 GIGAスクール構想で1人1台端末の環境が実現し、子供たちの学びの環境が大きく変化している。その陰で、第三者による不正アクセスの問題も数多く発生しており、被害者側が気付かないケースもあるという。

 パスワードの管理に悩む教育委員会やICT担当の先生も多いと聞く。不正アクセスの問題に対して、今後どのような対策を行えば良いのだろうか。日本マイクロソフト パブリックセクター事業本部 教育戦略本部スペシャリストの中田寿穂氏と、Microsoft Asia Surfaceビジネス本部 教育市場 GTMマネージャーの岡涼平氏に、教育現場におけるセキュリティの現状と今後の対策について話を聞いた。

中田寿穂氏

 日本マイクロソフト パブリックセクター事業本部 教育戦略本部スペシャリスト、博士(理学)。現在、日本マイクロソフトで務める傍ら、香川大学と大阪工業大学の客員教授および秋田県教育庁のICT教育コーディネーターとしても活動している。

 

岡涼平氏

 Microsoft Asia Surfaceビジネス本部 教育市場 GTMマネージャー。Surfaceの教育市場担当として教育ICT環境の整備をはじめとして、先生の教え方・働き方や子供たちの学び方の改革を支援している。

教育現場におけるアカウント侵害の現状と課題

--GIGAスクール構想で児童生徒にとってPCやタブレットが身近なものになりましたが、残念ながら不正アクセスなどの問題もあとを絶ちません。このような事態を防ぐためには、どのような対策が必要なのでしょうか。

中田氏:今、教育現場で使用されている子供たちのアカウントは世界的に狙われています。新型コロナウイルスをきっかけにリモート授業が盛んになり、世界中どこからでもログインできるクラウドサービスのアカウントを狙った不正アクセスが日本でも多発しています。2020年にCISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁、Cybersecurity & Infrastructure Security Agency)が、大学だけではなく小学校・中学校・高校のアカウントもハッカーのターゲットになっていると警告を出しました。

 アカウント侵害とは、アクセス権のない人が、そのアカウントにログインしてさまざまな情報を盗んだり、データを人質にお金を要求したりすることを指しています。ハッカーはパスワード認証の脆弱性を狙って、フィッシング・ブルートフォース攻撃・パスワードスプレー攻撃というおもに3つの手段でアカウント侵害を狙っています。

 よく耳にすることが多いフィッシングは、メールが送られてきてクリックすると、あるWebサイトに飛んでパスワードを入力するよう促される手法です。ブルートフォース攻撃は、1つのアカウントに対して複数のパスワードをトライアンドエラーで攻撃します。これは短時間で同じアカウントにいろいろなパスワードを試行するので、1つのアカウントへのアクセスが急に増えるため比較的検知しやすいです。現在、もっとも被害が多いパスワードスプレー攻撃は、1つのパスワードを使って多くのアカウントに攻撃を仕掛けるため、検知しにくいことが特徴です。

パスワードスプレー攻撃によるアカウント侵害が増えている。 画像提供:日本マイクロソフト

 このようなハッカーからの攻撃は、チェックが難しいので被害を受けている側が気付かない場合があります。また、ハッカーにとって子供の情報は価値がないだろうという考えから、教育現場は狙われないと不正アクセス対策を軽視するケースも多いように感じています。

 一度の認証で複数のサービスにログインが可能になるシングルサインオンでは、1つのアカウントが侵害されれば、そのアカウントに紐づくすべてのクラウドサービスに入ることができてしまいます。現在、子供たちはさまざまな学習ツールを利用し、クラウド上に個人の学習ログをためています。そこに、自治体で管理している子供たちの生活や保健の情報も一元管理しようという動きもあります。今後それらが侵害されれば、大きな問題に発展しかねません。

 マイクロソフトが提供しているクラウドサービスのMicrosoft 365には不正アクセスを可視化する仕組みがあり、危険なユーザー・危険なワークロードID・危険なサインインといったセキュリティレポートで不正アクセスされているかどうかを確認できます。たとえば危険なサインインでは、海外からのサインインや匿名IPアドレスからのアクセス、東京でアクセスしていたアカウントが数分後にアメリカからアクセスしているなどの不可能な移動、パスワードスプレー攻撃など、サインインでリスクがあるすべてを検知します。

Microsoft 365によるセキュリティレポート 画像提供:日本マイクロソフト

 不正アクセスの多くが、パスワード認証の脆弱性を狙ったものです。そこでパスワードの強度を高めるために、パスワードの長さや組合せが重要だと思われていますが、短いパスワードだと、今のパソコンは1秒間におよそ10億回の試行ができるほど高性能であるため、パスワード認証を破ることは容易になっています。今後、教育現場でクラウドサービスを利用して学習ログの活用を進めるならば、さらに不正アクセスを防止する対策や認証の仕組みを周知し、理解を深める必要があるでしょう。

パスワードはすぐに破られる可能性がある。 画像提供:日本マイクロソフト

Windows HelloとTAPによる「パスワードレス認証」が教育現場へ

--パスワード認証の脆弱性を狙ったアカウント侵害を防ぐためには、どのようなセキュリティ強化が必要でしょうか。

中田氏:やはりパスワードだけの認証ではなく、複数の認証方法を求める「多要素認証」が必要だと思います。企業ではすでに多要素認証を採用しているところが多いですが、教育現場では多要素認証で必要とされるトークン(本人認証のために一時的にパスワードを生成する機器など)はコスト面や、紛失といった管理の面でも導入が難しいのが現実です。そこでマイクロソフトでは「Windows Hello」というサービスで、パソコンだけで安全な認証を可能にする仕組みを提供しています。

Windows Helloで実現する多要素認証 画像提供:日本マイクロソフト

 Windows端末にログインするには通常、パスワードによる認証が必要ですが、Windows Helloを設定すればPIN認証・顔認証・指紋認証・虹彩認証のいずれか1つの方法で端末にログインできます。また、利用するクラウドサービスがMicrosoft Entra ID認証に対応していれば、PIN認証や顔認証などの認証をかけてクラウドサービスを使えるようになります。

 PIN認証は4桁や6桁の数字で認証しますが、実際のパスワードより短いにもかかわらず安全なのは、Windows Helloは端末と紐づいているため、認証情報が端末上にあるからです。そのため端末で認証すれば、認証されたという情報だけを外部へ送る仕組みになっています。「顔認証や指紋認証は個人情報なので心配だ」という声もありますが、顔や指紋の情報は端末にある専用のセキュリティチップに安全な形で保存され、外部には送られません。外部には認証されたという情報だけが暗号化して送られるので、解読して不正をするのは難しいといえるでしょう。

 Windows Helloは2015年7月29日に一般提供が始まりましたが、特に教育現場ではこれまで利用が広がりませんでした。その理由は、Windows Helloを利用するためにはWindows Helloを有効化するのにスマートフォンによるSMS認証が必要だったからです。スマートフォンは本人確認をしないと購入できないので、なりすまし防止の観点からスマートフォンによるSMS認証を使ったWindows Helloの有効化が理にかなっていました。しかし、教育現場ではWindows Helloを有効化するのにスマートフォンを使うことが障壁になっていたのです。

 そこでマイクロソフトは2024年5月、「TAP(Temporary Access Pass、一時アクセスパス)」による認証を開始しました。このTAPは、パスワードとは別に短期的に有効なパスコードを発行して、それを利用してWindows Helloの初期設定を行う方法です。パスコードは1回使うと無効化され、その利用期限を1時間以内、1日以内など任意の期間で設定できます。TAPの開始により教育現場でもWindows Helloを有効化することが容易になり、誰もが使えるようになりました。

 具体的には、まず教育委員会や学校の情報管理者がTAPのパスコードを発行し、それをユーザーに口頭や紙で渡します。各端末でWindows HelloをオンにするときにTAPを使う画面が出ますので、パスコードを使ってTAPの認証をし、続けてWindows Helloの設定画面でPIN認証や顔認証などの設定に進みます。一度、本人確認をすれば、あとはPINや顔で認証ができるという仕組みです。

 Windows Helloは追加コストなしで利用でき、確実に不正なログインを防げます。ただ残念ながらPINコードも忘れる場合があるので、やはり顔や指紋といった生体認証が有効です。そこでマイクロソフトのSurfaceには顔認証や指紋認証の仕組みが標準搭載されています。今後、クラウドサービスを使う端末は、生体認証に対応することが必須になるのではないかと考えています。

起動が速くセキュアな環境も実現できるSurface

--Surfaceでは、Windows Helloによる認証は使えますか。また、Windows Hello以外にどのようなセキュリティ機能が装備されているのでしょうか。

岡氏:Windows端末に搭載されているWindows Helloによる顔認証は赤外線で顔の凹凸などを正確に識別するため、もちろん写真などを使っては認証できません。顔認証はカメラの感度が非常に重要で、すべてのSurfaceにWindows Helloに対応したカメラが搭載されています。さらにSurfaceは顔認証によるログインがとても速いことも特長です。電源ボタンを押してログインするまでに数秒しかかからないので、限りある授業時間を無駄にしません。

Microsoft Surface Copilot+ PC 起動画面

 あまり知られていませんが、実はパソコンを使ううえで、電源ボタンを押してからOSが起動するまでの間は脆弱性が高いと言われています。Surfaceでは、そこを守るため、自社で一貫して開発、保守を行っているUEFI(Unified Extensible Firmware Interface)を使用しています。このUEFIはWindows Updateにより最新版がプッシュ配信されるのですが、それは同じマイクロソフトが開発しているからこそ、ユーザーが意識せずともデバイスを安全な状態に保つことができます。 

 安全な環境は、クラウドやOS、ファームウェア、ハードウェアというすべてのレイヤーでセキュリティが担保されることで実現します。そのため端末自体のセキュリティを意識することが非常に重要です。

 SurfaceにはWindows Hello対応のほか、ドライブを暗号化し保護するBitLocker、そしてセキュアなサンドボックス環境にパスワードやPIN、証明書を格納できるTPM(Trusted Platform Module)2.0なども搭載しています。パソコン内のチップからクラウドまで一貫してセキュリティを担保する「Chip to Cloud」というコンセプトのもと、ユーザーにより強固なセキュリティを提供しています。

「Chip to Cloud」の考え方 画像提供:日本マイクロソフト

中田氏:GIGAスクールは第2期を迎え、教育現場ではさらにクラウドサービスの利用が進んでいくと思われます。クラウド利用を進めるためには、不正アクセス対策が急務です。今回のWindows Hello認証の仕組みはすべてのユーザーが利用でき、PIN認証であればすべてのWindows端末で設定できます。またSurfaceのような、より高度な生体認証の仕組みをもつ端末であれば、さらに簡単で安全なシングルサインオンが実現します。

--ありがとうございました。

 今後は児童・生徒の個人情報はもちろん、学習ログなどをはじめとした子供たちの教育データを守るための具体的なセキュリティ対策が教育現場には求められる。まずはWindows HelloとTAPによるセキュリティ強化から、さらに子供たちが安全安心にICTの利活用を進められる環境の構築に向かうことを期待したい。

Microsoft Education 最新 資料・カタログ
《佐久間武》
佐久間武

佐久間武

早稲田大学教育学部卒。金融・公共マーケティングやEdTech、電子書籍のプロデュースなどを経て、2016年より「ReseMom」で教育ライターとして取材、執筆。中学から大学までの学習相談をはじめ社会人向け教育研修等の教育関連企画のコンサルやコーディネーターとしても活動中。

+ 続きを読む

この記事はいかがでしたか?

  • いいね
  • 大好き
  • 驚いた
  • つまらない
  • かなしい

【注目の記事】

特集

編集部おすすめの記事

特集

日本マイクロソフト

セキュリティ

クラウド

page top