BYODの脆弱性を解消するIT管理者向けの効果的なアプローチ

Table of content

IT管理者向けのペインポイントアプローチ

「自分のデバイスを持ち込む」(BYOD)は、ポリシーではなく、高等教育における避けられない現実です。学生は、自分のノートパソコン—MacBook Air、Windows 11搭載のゲーミングPC、またはChromebook—を使って学習資源にアクセスできることを期待しています。

IT管理者にとって、この現実は解決不可能なパラドックスを生み出します。教育的機能を保証するためにアクセスを提供する必要がありますが、それぞれの個人デバイスは管理されていない、不安定、潜在的に危険な端末を表しています。

学生のノートパソコンは脅威のベクターです。このリモートアクセスの脆弱性は、現代の大学ネットワークにおいて最も見落とされがちなセキュリティの盲点かもしれません。現状維持は、アーキテクチャやリスクの観点から不十分な2つの選択肢のいずれかを選ばざるを得ない状況に私たちを追い込みます。

現状維持のジレンマ:2つの悪い選択肢

学生が自分のノートパソコンから特殊なソフトウェア(MATLAB、SPSS、CADスイートなど)にアクセスする必要がある場合、IT管理者としては、従来、以下の2つの道しかありません。

  1. 選択肢1:VPNアクセス。 学生にVPNクライアントを提供します。接続されると、その個人デバイス—マルウェアに感染している可能性があり、セキュリティパッチが適用されておらず、家庭の他の危険なデバイスと同じネットワークを共有しているかもしれません—が当社の内部ネットワークに機能的に接続されます。そのノートパソコン上のマルウェアは、レイヤ3の可視性を持ち、当社の重要なサーバーにスキャンし、横移動を試みる可能性があります。私たちが自ら招き入れたトロイの木馬です。

  2. 選択肢2:ローカルインストール。 学生にライセンスとインストーラーを渡します。これにより、サポートの頭痛(前回の記事で取り上げました)とさらに大きなデータガバナンスの問題が生じます。学生は、敏感な研究データセット、知的財産、または機密の講義資料を直接彼らのローカルの暗号化されていないハードドライブにダウンロードします。そのノートパソコンが失われたり、盗まれたり、売却された場合、私たちのデータも一緒に消えます。データ損失(DLP)が発生するのを待つ状況です。

両方の選択肢は、致命的に欠陥のある前提に基づいています:私たちは学生の端末に信頼を拡張しなければならないということです。

問題の根源:端末がリスクである

頭痛の原因はBYODそのものではなく、ソフトウェアの実行データの保存をエンドユーザーのデバイスに結び付けるセキュリティモデルです。

この根本的な脆弱性を解決する唯一の方法は、より良いファイアウォールや、複雑で壊れやすいNAC(ネットワークアクセス制御)のポリシーではありません。本当の解決策は、端末を無関係にすることです

解決策:AnyClassroomによる端末からの完全隔離

ここで、アーキテクチャの変化が問題を排除します。AnyClassroomは、学生の端末がすでに侵害されていると仮定するゼロトラスト原則に基づいています。そして、それは問題ありません。

このアーキテクチャは、アクセスの実行を分離することで機能します。

  1. 中央集権化された実行: エンジニアリング、統計、またはデザインのソフトウェアは、適切な場所である安全なキャンパスのラボの強力なワークステーション上で実行され、ITによって管理及びパッチが適用されています。
  2. 中央集権化されたデータ: 研究データセットやプロジェクトファイルは、そのラボのマシンを決して離れません。それらは大学の安全なストレージに保存されています。
  3. ストリーミングアクセス: 学生のノートパソコン(macOS、Windows、ChromeOS)は、ソフトウェアセッションからの暗号化されたピクセルストリームだけを受け取ります。彼らのキーストロークやマウスの動きは、反対側に送信されます。

ソフトウェアは決してローカルで実行されず、データはローカルに保存されません。学生のノートパソコンは大学のネットワークに接続されることはありません。

頭痛の終焉

この隔離アーキテクチャはあっという間にBYODの脆弱性を解決します。

  • マルウェアリスクの無力化: 学生のノートパソコン上のマルウェアは何もできません。ピボットするためのネットワーク接続はありません。ビデオストリームと対話しているだけなので、ソフトウェアやデータを「見る」ことはできません。
  • データ漏洩(DLP)が不可能: 学生は研究データセットをローカルのUSBドライブにコピーしたり、個人のデスクトップに保存したりすることができません。データは決して大学の境界を離れません。
  • デバイスに依存しない: オペレーティングシステム、処理能力、学生のノートパソコンのセキュリティ状態はITにとっての問題ではなくなります。ビデオをデコードできれば、最も要求の厳しいアプリケーションを実行できます。

AnyClassroomは、IT管理者が学生の体験を向上させるポリシーとしてBYODを全面的に受け入れることを可能にし、従来伴っていたセキュリティリスクを受け入れることなく実現します。私たちは、信頼を与えることなく完全なアクセスを許可することで、このパラドックスを解決します。

Haz clic para continuar leyendo

Published at

Leave a comment

Your email address will not be published

No comments yet!