初等・中等教育機関を標的としたセキュリティ脅威トップ10

学校はサイバー犯罪を行う者にとって格好の標的です。限られた人員とリソースのなかで多くの機密情報を扱う学校は、サイバー攻撃者にとって狙いやすい存在になりつつあります。 学校という社会的に重要な存在にとって、教育を中断させないことが何よりも大切です。攻撃者はそれを逆手に取り、影響が最も大きくなるタイミングを狙って攻撃を仕掛けてきます。

脅威の動向はめまぐるしく変化しています。学校がそれに対応することは容易ではありません。このブログでは、初等・中等教育機関が直面しているセキュリティ脅威のトップ10について解説し、次の標的にならないための対策を紹介します。

セキュリティ脅威トップ10

マルウェア

「悪意のあるソフトウェア」を意味するマルウェアは、さまざまな形をして、あらゆる手段を使って侵入してきます。例えば、「マルバタイズメント」と呼ばれるタイプは、Webページ上の不正な広告を通じてマルウェアを配布します。低学年になるほど、児童生徒はこうした広告の内容に惹かれてクリックしてしまい、結果として学校のデータが危険にさらされます。 マルウェアは、アプリのダウンロードやメールの添付ファイルなどの形で侵入する場合もあります。マルウェアへのアクセス防止や侵入の阻止を施す保護対策を講じなければ、デバイスは無防備なままになります。

フィッシング/ソーシャルエンジニアリング

「2025 CIS MS-ISAC K-12 Cybersecurity Report」によると、2023年7月から2024年12月に発生した攻撃は、デバイスではなくユーザを標的としたものが最も多く、他の手法を45％上回っています。このタイプの攻撃が多いのは、技術的な知識をさほど必要としないためです。

フィッシングをはじめとするソーシャルエンジニアリング攻撃は、システム侵入の糸口として人間の心理を巧みに利用します。攻撃者は子供と大人のどちらも標的として、多様な手法を用いて情報を入手しようとします。例えば、システムの管理者を装って教職員にメールを送る手法や、 偽の「パスワードの再設定」リンクを児童生徒に送信して悪意のあるページに誘導する手法などがあります。

サービス拒否（DoS）攻撃

学校は、単に教育を提供する場ではありません。 給食や部活動・課外活動など、さまざまな形で生徒の学校生活を支える重要な役割を担っています。 こうした多くのサービスは、学校のICTインフラに支えられています。 そのため、システムにわずかな障害が発生しただけでも混乱が広がり、学校は早急な復旧対応を迫られることになります。

DoS攻撃はネットワークインフラに過剰な負荷をかけるもので、学校のサービスの多くを麻痺させてしまう危険性があります。危機に直面するのはデータだけではありません。生徒の健全な学校生活全般も脅かされてしまうのです。

ランサムウェア

ランサムウェアも、DoS攻撃と同様に、生徒の学校生活に大きな混乱をもたらします。ランサムウェア攻撃を受けると、学校のシステムが使用不能にされ、機密データを「人質」にして身代金が要求されます。しかも、身代金を支払ったとしても、データが公開されないという保証はありません。2025年第1四半期では、世界各国の教育機関を狙ったランサムウェア攻撃が69％増加しました。ランサムウェアの被害は、単なるデータ侵害にとどまらず、授業時間の損失や学校運営への経済的な打撃にもつながる可能性があります。

ソーシャルメディア

ソーシャルメディアも攻撃の入り口に使われています。多くのプラットフォームが悪質な行為を制限しようとしていますが、完全には阻止できていないのが現状です。攻撃者がユーザから信頼されている人物になりすますケースもありますし、ソーシャルメディアに投稿した情報が拡散されて制御不能になり、情報漏えいとなるケースもあります。

内部者による脅威

前述したように、近年発生している攻撃の大半は人間を狙っています。狙われたユーザが引き起こしてしまうデータ損失は無知や不注意による意図しないものですが、中にはユーザが故意に問題を発生させたりシステムを無効化したりする場合もあります。例えば、生徒がデバイスの制限を解除しようと消去操作をしたり、教職員が教育以外の目的で生徒のデータにアクセスしようとしたりするケースがあります。 学校が生徒の利益を最優先に考えていても、人間の動機は複雑なものであり、時にはそれが脅威となることもあるのです。

AI活用型の脅威

AIはさまざまな用途に活用されていますが、サイバー攻撃も例外ではありません。例えばAIで作成されたフィッシングメールは、従来の人の手によるものより説得力が増していることがあります。また、AIモデル自体も問題がないわけではなく、ユーザの個人情報の漏えいにつながるケースもあります。AIはまだ未成熟な段階にあるため、データが校外に出て行かないよう学校がコントロールするのはなかなか難しいのが現状です。

ベンダー製ソリューションに潜むリスク

学校は多種多様な用途に外部のソフトウェアソリューションを使用しています。しかし、それらが安全だと信じ込んでよいのかと言うと、残念ながらそうとは言い切れません。例えば米国では、ある生徒情報システムプラットフォームでシステムのセキュリティ対策が不十分だったために、学校でデータ侵害が発生するという事件がありました。どんなソリューションでも、全面的に信頼するのは得策ではありません。十分な対策には二重三重の保護措置が必要です。

予算と研修の不足

IT関連の予算は学校によって大きく異なります。そのため、IT担当者は限られた予算で多くの業務に対応することを迫られています。生産性と効率の維持に必要なソフトウェアツールも足りていません。これまで取り上げてきたような「脅威」とは性質が異なるものの、これ自体が新たなリスクを生み出す要因となり得ます。 IT担当者にデバイス管理用ツールが与えられていないと、管理体制に穴ができ、いずれ攻撃者にそこを突かれてしまします。

ユーザ研修も同様に重要です。学校によってはセキュリティ教育の方針や体制が整っておらず、利用者が潜在的なリスクを正しく認識できていないケースがあります。 大人も子供も、それぞれの年齢に応じたサイバーセキュリティ教育を受けることが重要です。こうした教育が、利用者自身だけでなく、システム全体の安全性や成功にもつながります。

設定ミス

IT業務に携わる教職員の数も学校によって異なり、 管理する側のサイバーセキュリティポリシーが整備されていないこともあります。その結果、以下に挙げるような不適切な設定を招いているケースが見受けられます。

• モバイルデバイス管理（MDM）ソリューションが使用されておらず、デバイスがしっかり管理されていないせいで、不要なサービスの無効化や安全なデバイス設定が行われていない。
• パスワード、ID、アクセスなどに関するセキュリティポリシーが不十分であるか、そもそも策定されていないために、コンプライアンスの徹底や違反状態の是正が困難か不可能になっている。
• 悪意あるコンテンツをフィルタリングしたり、デバイスを保護したりする手段が限られていて、リスクへの事前対応やネットワークを介した脅威の予防が十分に行われない。

セキュリティにはデバイス管理と可視化が必須です。目に見えないものを保護することはできないからです。これについて、次のセクションで詳しく説明します。

学校の安全を維持するには

サイバーセキュリティは非常に複雑なため、このブログで深く掘り下げることはしません。ここでは、学校のセキュリティ体制を大幅に強化するのに役立つ主なツールをいくつかご紹介します。

モバイルデバイス管理（MDM）

優れたモバイルデバイス管理（MDM）は、セキュリティの基盤となる重要な要素です。 これがなければ、暗闇を手探りで進むことになります。MDMがあれば次のことが可能になります。

• デバイスにユーザを関連付ける
• オペレーティングシステム(OS)とアプリを最新の状態に保つ
• デバイスとインストール済みソフトウェアの一覧を作成する
• パスコード使用の義務付けなど、必要な制限とセキュリティポリシーを設定する
• 紛失や盗難があった場合にデバイスのロックやデータ消去を行う

MDMツールを使用すれば、セキュリティ基準に合わせたデバイス設定が簡単になります。デバイスが前述した脅威の標的になった場合も、セキュリティソフトウェアと併用していれば問題の修復を進めやすくなります。

コンテンツフィルタリング

オンラインにあるコンテンツの量は膨大です。すべての生徒が、問題のないコンテンツと悪意のあるコンテンツを区別できるわけではありません。防御策には生徒の判断力を含めないことが最善です。

コンテンツフィルタリングでは、不審なコンテンツや有害なコンテンツへのアクセスをブロックします。生徒がフィッシングリンクをクリックしても、ブロックされてアクセスすることはできません。アダルトサイトにアクセスしようとした場合も、同様にブロックされます。これによって生徒とデータの両方を保護できます。

エンドポイント保護

万全に思えるセキュリティ体制でも、全方位に完全無欠となることはなかなかできません。防御が突破された場合は、攻撃を確実に特定してすばやく対応する必要があります。エンドポイント保護ソフトウェアは、脅威を識別・ブロックすることでデバイスを保護します。従来のシグネチャ（既知の特徴）認識型では検出できないような新たな脅威にも対応できます。行動分析機能が搭載されており、システムやデバイス内の不審な動きを特定します。

MDM、コンテンツフィルタリング、エンドポイント保護を組み合わせることで、前述したような10種の脅威も確実に阻止できるようになります。