学区がセキュリティプロバイダーを選定する前に知っておくべき5つのこと

最近では、サイバー攻撃から狙われない、安全な組織は存在しないようです：学区（School district：アメリカで公立学校を運営する地域毎の組織のこと）でさえも例外ではありません。今年9月には、ロサンゼルスとミシガン州の2つの学区がランサムウェア攻撃の被害に遭い、数日間学校が閉鎖されました。このレポートによると、2021年に学校に対して行われたサイバー攻撃は1,681件にのぼります。

学区は標的にされている

とはいえ、これも驚くべきことではないのかもしれません。学区はPII（personally identifiable information：個人を特定できる情報）の宝庫だからです。生徒、教師、管理者、従業員、さらには保護者までもが、入学や雇用のために個人情報を学区に提供することが義務付けられています。これらのデータは複数のキャンパスのネットワークに分散して保存され、多くのエンドポイントからアクセスできるようになっています。特に遠隔学習では、生徒が自宅から学習用プラットフォームにログインするため、脅威に晒される範囲が拡大します。個人で管理するデスクトップ、ラップトップ、タブレット、電話機がネットワークへの脆弱なアクセスポイントとして悪用される可能性があるのです。さらに悪いことに、学区のIT予算は少なく、セキュリティのためのリソースもほとんどないため、拡大するセキュリティ境界を保護することは非常に困難です。残念ながら攻撃者は、学区が有力な標的であることを認識するようになったのです。

既存のセキュリティソリューションの限界

過去数年間、学区のセキュリティレベルはそれほど大きく変化していませんが、拡大する攻撃対象を狙う脅威の手法は急速に進化しています。従来のセキュリティソリューションの欠点を突くHEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）を活用することで、攻撃者はネットワークへの初期アクセスを容易に成功させ、重要なシステムとデータを制御することができるようになりました。従来からある検知型のセキュリティツールは、ネットワーク上で悪意のある活動が始まった後にしか検知できないため、HEAT攻撃を阻止することができません。今日の攻撃がほぼリアルタイムで行われることを考えると、検知の時点でネットワークは侵害されてしまっていると考えた方が良いでしょう。

学区はセキュリティソリューションを慎重に再評価すべき

全米の学区は、生徒、教師、従業員をよりよく保護するために、サイバーセキュリティ戦略を見直す必要があります。しかし、知識やリソース、そして予算が不足しているため、全面的な撤去や交換は現実的ではありません。ここでは、学区がセキュリティプロバイダーを探す際に知っておくべき5つのポイントをご紹介します。

1. リスクに晒されていることを理解する

問題を解決するための第一歩は、問題を認識することです。既存のセキュリティソリューションが現代の脅威を阻止するには十分でないことを受け入れることで、セキュリティ体制を強化するための次のステップを踏み出すことができます。そのためには、多くの場合、学区の管理者や重要な決定を下す人々と率直に話し合うことが必要です。適切なセキュリティプロバイダーであれば、このような話し合いをサポートし、セキュリティに関する議論のレベルを上げることができるはずです。

2. 自社の脆弱性を把握する

次に必要なことは、セキュリティプロバイダーと協力して、自社の脆弱な部分をよりよく理解することです。そのためには、まずセキュリティ評価を実施し、セキュリティ状況の基準値を設定し、目指すべき方向性を明らかにし、管理可能かつ強制力のある方法でセキュリティ目標を達成するための現実的な計画を策定します。検討すべき項目には、次のようなものがあります。学生、教師、教員はどのようにネットワークリソースにアクセスするのか? どこからログインしても保護されるのか? クラウドの公開度はどのくらいか? ユーザーを認証する方法はあるか?

3. 防御と検知を組み合わせる

検知は本質的に悪いものではありません。ただ、不完全なのです。学区では、既存の検知と対応のセキュリティ戦略に加え、メールやWebのアイソレーションなどの高度な技術を使ってユーザーを保護する必要があります。そうすることで、サイバーセキュリティに対するアプローチをネットワーク中心からユーザーベースへと進化させることができます。アイソレーション技術では、すべてのトラフィックを悪意のあるものと仮定し、コンテンツをエンドポイントではなくクラウドで実行することで、脅威を未然に防ぐというアプローチを採ります。これにより、特定（Identify）、防御（Protect）、検知（Detect）、対応（Respond）、復旧（Recover）というNISTのフレームワークに沿ったセキュリティ戦略を容易に構築することができます。適切なセキュリティソリューションプロバイダーは、防御と検知の両方の機能を提供します。

4. 既存のセキュリティスタックにセキュリティレイヤーを追加する

既存のセキュリティインフラを完全に撤去して、最初からやり直すというのは現実的ではありません。学校では授業が始まっており、データは今、脆弱なエンドポイントに保存されています。悪意のある攻撃者は、新しいシステムが導入されるまで待ってはくれません。既存のセキュリティスタックの上に新しい保護層を重ねることで、さらなる投資を検討し、脆弱性を残さないよう計画的で段階的なアプローチを採ることが可能になります。セキュリティスタックを一度に完全に置き換えたがるセキュリティベンダーには気をつけて下さい。既存のセキュリティ体制に追加できるようなソリューションを選択してください。

5. セキュリティがユーザーに与える影響を理解する

どんなに優れたセキュリティ戦略も、ユーザーが受け入れなければ有効ではありません。インターネットへのアクセス方法や業務の進め方を変えると、フラストレーションが生まれ、ユーザーはそれを回避しようとするかも知れません。特に教育機関において「情報への自由なアクセスと探求」がいかに重要であるかを考えると、インターネットの全てを遮断してしまうことなど不可能です。採用すべき新しいセキュリティ戦略は、ユーザーにとって透過的で、本来のブラウジング体験を維持できるものでなければなりません。設定が不要で、パフォーマンスの低下もなく、ユーザーがアクセスできるものとできないものに制限を設けないことが重要です。インターネットはインターネットらしく機能する必要がある（しかし、より安全に）ことを理解しているセキュリティプロバイダーを探しましょう。

より良いセキュリティプロバイダーを見つけるべき時です

学区は、悪意のある攻撃者からユーザーを保護する方法を見直す必要があります。そのためには、どこに脆弱性があるのかを理解し、学習リソースへのアクセス方法に影響を与えることなくユーザーを保護する方法を考える必要があります。しかし最も重要なのは、時代遅れのセキュリティソリューションによって生じたセキュリティギャップを解消し、ネットワークが侵害される前にサイバー攻撃を阻止することのできるセキュリティプロバイダーを見つけることです。