21％の学校で生徒がシステムに不正アクセス--英調査

　英国の学校のうち5校に4校はフィッシングやマルウェアなどのサイバーセキュリティ問題の経験があり、5校に1校は自校の生徒による学校のコンピューターやネットワーク、サーバーへの不正アクセスを経験しているという。

　この調査結果は、英国の432校の学校を対象に行われたサイバーセキュリティ監査に基づいている。監査を行ったのは、英政府通信本部（GCHQ）のサイバーセキュリティ部門である英国家サイバーセキュリティセンター（NCSC）とロンドンの教育技術コミュニティーのLondon Grid for Learning（LGfL）。

　この監査によると、ほぼすべての学校（97％）がネットワークに接続されたITサービスへのアクセスを失うことはかなりの混乱を引き起こす可能性があると回答しており、大多数の学校（83%）が多くの種類のサイバーセキュリティ問題のうち少なくとも1つを経験しているという。

　例えば、69％の学校がフィッシング攻撃の標的となったことがあり、35％は重要な情報にアクセスできなくなった期間を経験している。また、30％がウイルスやランサムウェアなどのマルウェアに感染したことがあり、20％が学校になり代わって誰かが電子メールを送信するなりすまし攻撃の被害を受けたことがあると回答した。

　およそ5校に1校（21％）が、自校の生徒が学校のコンピューターやネットワーク、サーバーに不正に（偶発的なものも含めて）アクセスしたことがあると回答し、11％が職員による学校のコンピューターやネットワーク、サーバーの不正使用を経験していると回答した。部外者による不正使用があったと回答したのはわずか4％で、オンラインシステムから極秘情報が漏れたことがあると回答したのはわずか3％だった。

　「一般データ保護規則（GDPR）が2018年5月に施行されてから、それに基づいたデータのアクセスや保護に関する新たな要件が学校に設けられた。それにもかかわらず、21％の学校が自校の生徒によるITシステムへの不正アクセスを経験している」と報告書に記されている。

　学校は、資金やそれを保護するサイバーセキュリティ技術が限られている一方で大量の機密データを有しているため、ハッカーらの格好の標的にされる場合がある。

　良い点としては、95％以上の学校がファイアウォール、アンチウイルス対策、データのバックアップ、ソフトウエアパッチを最新の状態にしておくといった保護策を講じている。85％はサイバーセキュリティの方針や計画があると回答しているが、業務継続計画があると回答したのはわずか41％だった。また、今回の監査により、モバイルデバイス管理（MDM）や2要素認証などの安全性の高いサイバーセキュリティ対策を講じている学校が比較的少ないことが明らかになった。

　「予算は厳しく、カリキュラムは縮小されており、学校にとっては生徒の安全を守り、可能な限り最高の教育を提供することがすべてだ。ゆえに学校がサイバーセキュリティの備えについて話すのはあまり聞かないだろう。『WannaCry』ウイルスによって大きな被害を受けたのは学校ではなく病院だったが、学校はDDoS攻撃やフィッシング攻撃に直面する可能性が他の組織と同じくらい高い」と、LGfLの安全保護対策とサイバーセキュリティ担当マネージャーのMark Bentley氏は述べた。