インターネット環境さえあれば、時間や場所を選ばずに学習や研修を受講できるeラーニングは、さまざまな企業や教育機関で広く普及しています。
しかし、セキュリティのリスクを理解し、適切な対策をしていない場合、情報漏洩など大きなトラブルが生じる可能性があります。
本記事では、eラーニングのシステムを導入する際にチェックしていただきたいポイントについて解説します。
合わせて、システム導入後のセキュリティ対策についても解説するので、これからeラーニングシステムの導入をしようと検討されている担当者様は、ぜひ参考にしてください。
eラーニング導入時に考えられるセキュリティリスク
独立行政法人 情報処理推進機構の「情報セキュリティ10大脅威2023」では、社会的影響の大きかった「個人」及び「組織」別の情報セキュリティの脅威が掲載されています。
なかでも、企業など組織に関する脅威は以下のとおりです。
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 標的型攻撃による機密情報の窃取
- 内部不正による情報漏洩
- テレワーク等の働き方を狙った攻撃
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- ビジネスメール詐欺による金銭被害
- 某弱性対策情報の公開に伴う悪用増加
- 不注意による情報漏洩等の被害
- 犯罪のビジネス化(アンダーグラウンドサービス)
上記のように、システムの運用にはさまざまなリスクがあり、導入時に詳細をチェックすることが大切です。
システム導入時しておきたいセキュリティのチェックポイント
eラーニングのシステムを導入する際にチェックすべきポイントは以下のとおりです。
- システム(アプリケーション)自体にセキュリティ対策がされているか
- サーバーの構成やセキュリティ対策
- データセンターのセキュリティ対策
- システムを運用している企業の信頼度
それぞれに対するチェック項目をご紹介します。
システム(アプリケーション)自体にセキュリティ対策がされているか
≪チェックポイント≫
✅ プログラムはすべて自社開発か
✅ パスワードのハッシュ化(※)など高度な情報漏洩対策がされているか
✅ アプリケーションの外部評価を実施しているか
✅ バグ対応やセキュリティ対応を適宜行っているか
※パスワードを元のまま(平文)で保存せず、別の「復元できない形」に変換して保存すること
サーバーの構成やセキュリティ対策
eラーニングシステムが設置されているサーバ自体が乗っ取られたり、障害で止まってしまったりすると、データが消えてしまうリスクがあります。
≪チェックポイント≫
✅ 外部から侵入されないためのファイアウォール(※)が設置されているか
✅ サーバーに障害が生じてもサービスが維持されるようになっているか
✅ データが消えないような対策がされているか
※不正アクセスやサイバー攻撃からデータを保護する機能を持つシステム
データセンターのセキュリティ対策
データセンターの侵入対策、火災や災害に対する対策、データセンターの設置場所も確認することでリスク低減につながります。
≪チェックポイント≫
✅ データセンターの場所(国)がはっきりしているか
✅ サーバ1台でファイヤウォールも設置されていないような状態になっていないか
✅ データが勝手に利用できるような利用規約になっていないか
✅ メンテナンスと称してたびたびサービスを停止することはないか
システムを運用している企業の信頼度
システムの提供・運用を行っている企業の信頼性を見極めることも大切です。
≪チェックポイント≫
✅ ISMS(※)を取得しているか
✅ 24時間365日の監視を実施しているか
✅ セキュリティに対して高い危機意識を持っているか
※Information Security Management System:組織が情報セキュリティを管理・維持するための仕組み
eラーニング導入後のセキュリティ対策
eラーニングシステムの導入前だけでなく、導入後もセキュリティ対策を続ける必要があります。
- システムのセキュリティ強化
- システム管理者へのセキュリティ教育
- 受講者へのセキュリティ教育
システムのセキュリティ強化
セキュリティの安全性を維持し続けるためには、登録されたパスワードやIDへアクセスできないようにすることが重要です。
また、IPアドレスの制限や本人認証の導入も有効な方法です。
【ログインIDやパスワードの設定】
・使い回しの禁止
・記号や数字、アルファベットを組み合わせる
・定期的に変更する
【IP制限等】
・接続元のIPアドレスを使ってサービスの利用者を制限する
・ログ管理やアラート設定、デバイス管理などをする
【本人認証等を追加する】
・メール等を経由した2段階認証を設定する
・終了時のログアウトを必ず行う
運用を担当する管理者への教育
システムの運用・管理を行う管理者は、利用者の個人情報や機密情報を閲覧することができるため、特にセキュリティ意識を高めることが必要です。
【教育すべき内容】
・個人情報保護法や情報セキュリティポリシーの理解
・電子メールの誤送信防止や標的型攻撃メールの脅威への対策方法
・不要なサービスやアカウントの確認・削除方法
・情報漏えい時の体制構築、指針策定への取り組み
など
受講者に対する教育
セキュリティ教育は、運用・管理者だけでなくシステムを使う受講者側にも行うことが必要です。
【教育内容】
・常に変動するセキュリティリスクの重要性について研修を行う
・機密情報の関連書類は所定の場所で施錠管理し、持ち出す場合は承認を必要とする仕組みづくり
など
セキュリティ対策はアップデートの継続が必要
マイナンバーによる個人情報管理などにより、情報保護の重要性は時代とともに高くなっています。
一方で、サイバー攻撃などの手法も進化を続け、セキュリティのアップデートは常に継続することが必要です。
そのためには、システムセキュリティに関する情報を常に集め、適切な対応が求められます。
さいごに
eラーニングは、一般教養や知識を補うためだけのツールではなく、企業独自の情報も多く配信するツールです。
そのため、運用システムには社外秘情報や社員の個人情報が含まれ、情報の保護は非常に重要です。
私たち株式会社ITBeeはISMS認証を取得した企業として、強固なセキュリティによって情報が流出しないよう、万全な対策を行っております。
また、日本国内のIJJ社によるGIOというクラウドサービスを利用することで、国内での情報管理が可能です。
安全にeラーニングを実施するためのシステム選びに迷った際は、ぜひ株式会社ITBeeが提供する「SpeedLMS」をご検討ください。
