はじめに
企業の人材育成や教育現場の学習ツールとして当たり前の存在となってきているeラーニング。
そのeラーニングには、個人情報や会社の機密情報が大量に保存されていることをご存知でしょうか?
インターネットを利用して学習する仕組みの為、常にセキュリティリスクにさらされており、しっかり対策をしなければ取り返しのつかないことになってしまうのです。
例えば、利便性があり費用もお手頃だからといって導入したが、セキュリティ管理が甘く、後に情報漏洩などの問題が起きてしまったというケースがあります。気軽に始められる反面、リスクを把握し対策を打つことが重要であり、その為にも費用対効果を見極めて導入先を検討するべきでしょう。
そこで今回は、eラーニングにおけるセキュリティ対策のポイントを押さえ、安全に実施するための方法をご紹介します。
情報セキュリティトピックス
まず、セキュリティリスクとはどういった経緯で発生するものなのか、一般的な事例を知っておきましょう。
IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威2023」には、社会的影響の大きかった「個人」及び「組織」別の脅威トップ10が示されています。
組織のPCによってeラーニングを実施する場合が多いと思われる為、ここでは「組織」に対する脅威を参考までに記載します。
組織に対する脅威
-
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 標的型攻撃による機密情報の窃取
- 内部不正による情報漏洩
- テレワーク等の働き方を狙った攻撃
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- ビジネスメール詐欺による金銭被害
- 某弱性対策情報の公開に伴う悪用増加
- 不注意による情報漏洩等の被害
- 犯罪のビジネス化(アンダーグラウンドサービス)
これらはほんの一部でしかありませんが、膨大な情報を扱う組織にとって企業の情報が窃取されるリスクは、常に隣り合わせということです。
eラーニング導入時のセキュリティリスクとは
その中でも、eラーニングを実施する際に考えられるセキュリティリスクは以下の通りです。
-
-
- 運用上の不備
- 運用上のミスによるデータの消失
- システム障害
- 外部からの攻撃による情報漏洩 等
-
eラーニングのセキュリティ対策
では、これらのセキュリティリスクを阻止する為にはどのような対策があるのでしょうか。
eラーニングのセキュリティ対策は主に「導入システムに関する対策」、「運用時の対策」の2つに分類されます。
以下で詳しく解説していきます。
導入システムに関する対策
eラーニングシステムを導入する際には、以下4つの観点でセキュリティに対する検討が必要となります。
-
-
- システムそのもの(アプリケーション)
- システムが動いているサーバの構成
- システムが設置されているデータセンター
- システムを運用している企業
-
システムそのもの(アプリケーション)
導入しようとしているeラーニングシステムそのものについて、セキュリティ対策を行っているかを確認しましょう。
≪チェックポイント≫
-
-
- ・プログラム開発はすべて自社内で行っているか
- ・パスワードはハッシュ化されるなどの複合不能となっており、安全性を高め情報漏洩への対策をしているか
- ・アプリケーションの外部評価を実施しているか
- ・バグ対応やセキュリティ対応を適宜行っているか など
-
システムが動いているサーバの構成
eラーニングシステムが設置されているサーバ自体が乗っ取られたり、障害で止まってしまったり、データが消えてしまうことがあります。
OSやミドルウェアのセキュリティ対策を都度実施しているか、サーバの設定自体についても、都度セキュリティ対策が取られているかを確認しましょう。
≪チェックポイント≫
-
-
- サーバに外部から侵入されないようにファイアウォール(不正アクセスやサイバー攻撃からデータを保護する機能を持つシステム)が設置されているか
- サーバが障害時にもある程度のサービスが維持されるように冗長化構成になっているか
- データが消えないような構成になっているか など
-
システムが設置されているデータセンター
eラーニングシステムが設置されているデータセンター自体も気にする必要があります。
データセンター自体の侵入対策、火災や災害に対する対策、データセンターの設置場所(海外か…など)によって、リスクが増減します。
≪チェックポイント≫
-
-
- 格安なeラーニングシステムの場合、海外のどこかわからない場所にサーバがないか
- サーバ1台でファイヤウォールも設置されていない状態で運用されていないか
- システムの中のデータが勝手に利用されるような利用規約になっていないか
- メンテナンスと称してたびたびサービスを停止することはないか など
-
システムを運用している企業
LMSを提供している企業の信頼性を見極めることも大事です。
≪チェックポイント≫
-
-
- ISMS(情報マネジメントシステム;Information Security Management System)を取得してる企業か
- 24時間365日の監視を実施しているか
- セキュリティに対して敏感に対応しているか など
-
運用時の対策
eラーニングの運用を始める際には、以下3つの観点でセキュリティに対する検討が必要となります。
-
- 運用時のシステムの設定
- 運用を担当する管理者への教育
- 受講者に対する教育
-
運用時のシステムの設定
セキュリティの安全性を保つために認証機能を強化するには、パスワードやIDの複雑化が考えられ、パスワードやIDそのものにアクセスしにくい環境づくりを行うことが効果的です。
また、セキュリティ対策ソフトなどを用いて、社員による不正アクセスを防止することも対策方法の一つです。≪対策案≫
- IDやパスワードの設定値の考え方
使い回し防止、記号・数字・英字当を組み合わせる、管理を万全し定期的に変更する など - IP制限
接続元のIPアドレスを使ってサービスの利用者を制限するIPアドレス制限を活用する など
IPアドレス制限を行えば、出張先やリモートワーク、外出先でのアクセスが出来なくなるため、教材を覗き見されることや、悪意を持った人物がアクセスする危険性を排除できます。 - 本人認証等
ログイン時にメール等を経由する2要素認証を設定する、同じPCを複数の従業員で使用している企業もある為終了時のログアウトを必ず行う など
運用を担当する管理者への教育
管理者は個人情報や機密情報を横断的にみられるため、特に意識を高める必要があります。
≪対策案≫
- バージョンアップとセキュリティパッチの適用で脆弱性への対策や新たな脅威に備える
- 個人情報流出のリスクに対応するために毎月あたり定期セキュリティメンテナンスを実施する
- 個人情報保護マネジメントシステムの策定、実施、維持を行う
- 情報漏えい時の体制構築、指針策定に取り組む
- セキュリティ区画を設定する等のオフィス環境への取り組みをする
受講者に対する教育
≪対策案≫
- 常に変動するリスクの対策として従業員への定期的あセキュリティ研修を実施する。
- 機密情報書類は所定の場所で施錠管理し持ち出す場合は承認を要する仕組みの徹底 など
セキュリティ対策は常にアップデートが必要
中小企業・小規模事業者等が今後複数年にわたり相次いで直面する制度変更(働き方改革や被用者保険の適用拡大、賃上げ、インボイス導入等)等に対応するため、
中小企業・小規模事業者等が取り組む革新的な製品・サービスの開発、生産プロセス等の省力化を行い、生産性を向上させるための設備投資等を支援します。さいごに
今回はeラーニングにおけるセキュリティ対策のポイントをご紹介しました。
eラーニングは、一般教養や知識を補うためだけのツールではなく、企業独自の情報も多く配信するツールとなります。それ故に社外秘情報や、社員の個人情報を扱うということとなります。
その性質を念頭に置き、自社の目指すセキュリティ状態に合致する対策をとりましょう。
今回ご紹介したISMSを取得している企業としてITBeeもそのひとつとなります。更にITBeeのクラウドサービスは日本国内のIJJ社のGIOを利用。強固なセキュリティで海外に情報が流出しないよう配慮し、全面的にサポートしています。
安全にeラーニングを実施するため、LMS選びに迷った際はぜひITBeeの提供する「SpeedLMS」の導入をご検討ください。 - IDやパスワードの設定値の考え方
