TSplus Advanced Security Logo

他の言語でサイトを表示しますか?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
言語を変更する
目次
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

FERPAは、学生の教育記録を保護し、学校がデジタルアクセス、リモートワーク、サードパーティソフトウェアを管理する方法を形作る米国の教育法です。学校のIT管理者や高等教育のITチームにとって、FERPAは単なる記録ポリシーではありません。それでもあります。 アクセス制御の問題 ベンダー管理とデータプライバシー。

FERPAとは何ですか?アメリカの教育法。

FERPAはの略です 家族教育権利およびプライバシー法 これは、学生の教育記録のプライバシーを保護する米国連邦教育プライバシー法です。米国教育省は、一般教育提供法(GEPA)の34 CFRパート99に基づいてFERPA規則を発表しています。これらは、対象となる教育機関の権利、開示ルール、およびコンプライアンス義務を定義しています。言い換えれば、この1974年の米国連邦法は、親、学生、教育機関などの公的機関による教育情報および記録へのアクセスを規制しています。

FERPAは何の略ですか?

FERPAは意味します 家族教育権利およびプライバシー法 実際には、FERPAは親と適格な学生に教育記録に対する権利を与えます。適格な学生とは、一般的に18歳に達した学生または高等教育機関に通う学生を指し、その時点でFERPAの権利は親から学生に移転します。

ITチームにとって、最も重要なポイントは簡単です:FERPAは、システムが教育記録からの個人を特定できる情報を保存、表示、送信、またはアクセスを提供する場合に適用されます。

FERPAは誰に適用されますか?

FERPAは、米国教育省の適用プログラムの下で資金を受け取る教育機関および機関に適用されます。これには、多くのK-12学校、学区、大学および短期大学が含まれます。

FERPAは教育データを使用するすべての企業に適用されるわけではありません。ただし、ソフトウェアベンダーは、対象機関の学校職員、契約者、コンサルタント、またはアウトソーシングサービスプロバイダーとして行動する場合、FERPAの義務に関与する可能性があります。学校職員の例外に基づき、契約者は、機関サービスを提供する際にのみ教育記録にアクセスでき、学校の直接的な管理下にあり、FERPAの使用および再開示に関する制限に従う必要があります。

FERPAはどの学生データを保護しますか?

教育記録

FERPAは、学生に直接関連し、教育機関、機関、またはその機関や機関のために行動する当事者によって維持される教育記録を保護します。リモートアクセス環境では、保護された情報には成績、成績証明書、出席記録、懲戒ファイル、学生識別子、クラス名簿、財政援助記録、および学生情報システム内の記録が含まれる場合があります。

その他の個人を特定できる情報

FERPAは、教育記録からの個人を特定できる情報もカバーしています。これは重要です。なぜなら、リモートアクセスツールは学生の記録を直接保存しないかもしれませんが、画面、ファイル、クリップボードの操作、印刷ジョブ、ログ、スクリーンショット、またはサポートセッションを通じて学生データを露出させる可能性があるからです。

FERPAがリモートアクセスにとって重要な理由は何ですか?

リモートアクセスが拡大する場所 教育システム 使用できます。教師は自宅から接続でき、管理者はキャンパス外から学生情報システムにアクセスでき、ITチームは教室、ラボ、またはリモート学習プログラムで使用されるデバイスのトラブルシューティングを行うことができます。

そのような柔軟性はFERPAの問題を引き起こします:誰が学生の記録にアクセスできるのか、どこから、どのツールを通じて、何の目的で?

リモートセッションの教育記録

リスクとコントロールの主要なルートを特定する

リモートデスクトップセッションは、キャンパス内のワークステーションと同じ機密データを表示できます。教師がリモートセッションを通じて成績簿を開くと、そのセッションはFERPAで保護された情報を露出させる可能性があります。管理者が管理されていないデバイスにレポートをダウンロードすると、リスクは制御されたサーバーアクセスからローカルデータの拡散に移ります。

最小特権フレームワーク

FERPAは、学校が教育記録から個人を特定できる情報にアクセスする当事者を特定し、認証するために合理的な方法を使用することを要求しています。また、学校の職員が正当な教育的関心を持つ記録のみをアクセスすることを確保するための合理的な方法も要求しています。

認証とアクセスを調整して情報漏洩リスクを抑制する

意識と予防

リモートアクセスのセキュリティ問題は、通常、弱い認証、広範な権限、管理されていないエンドポイント、および公開されたサービスから発生します。リモートデスクトップサービスをインターネットに直接公開することも、ブルートフォース攻撃や資格情報詰め込み攻撃のリスクを高める可能性があります。

疑わしい場合は、最小特権を選択してください。

FERPAに配慮した展開の場合、学校のITチームはリモートアクセスを最小特権に合わせるべきです。ユーザーは、自分の役割に必要なアプリケーション、デスクトップ、ファイルの場所にのみアクセスするべきです。

グループとユーザーの割り当てを意図的に定義する

管理者は、教師、登録者、財務、ITサポート、学生アクセスのプロファイルを分けるべきです。これらの異なるグループは、異なるレベルとアクセス領域を受け取ることができ、各グループ内でも、権限はニーズ、使用状況、責任に応じて調整されるべきです。

リモートサポートとIT管理

リモートサポートは、サポート技術者が学生の記録を表示する意図がない場合でも、FERPAの露出を引き起こす可能性があります。技術者は、スタッフメンバーを支援している際に学生の記録を見ることがあるか、無人のメンテナンスセッションがすでに機密データが表示されているデスクトップを開くことがあります。その結果:

  • そのため、サポートワークフローは、同意、目的の制限、最小限の可視性に基づいて設計されるべきです。
  • ユーザーが介入の予告を受けることができる場合、これを行うべきであり、彼らは機密文書、ファイル、およびアプリケーションを閉じることができます。
  • 同様に、可能な場合は、ITチームはサポートが始まる前に学生情報システムを閉じるべきであり、特に指示がない限り、不要な画面録画を避け、教育記録が表示される場合にはサポートアクセスを文書化するべきです。

TSplus リモートサポート 無料トライアル

コスト効果の高いmacOSおよびWindows PCへの出席および不在のリモートアシスタンス。

無料トライアルを開始

学校とベンダーのためのFERPAの責任

FERPA準拠は機関の責任です。ソフトウェアは管理をサポートできますが、学校がポリシー、ユーザーの役割、契約、アクセスルール、及び適切な使用を決定します。

学校のITチームの責任

学校のITチームはFERPAを運用管理に翻訳する必要があります。リモートアクセス環境では、それは強力な認証、役割ベースのアクセス、安全な輸送、監視、ユーザートレーニング、ベンダーガバナンスを意味します。

FERPAは、学校が教育記録からの個人を特定できる情報へのアクセス要求および開示の記録を維持することを求めており、関与する当事者とその正当な利益を含みます。これにより、学生記録に関わるシステムにとって監査可能性が重要になります。

ソフトウェアベンダーの責任

ベンダーはFERPAを製品バッジとして扱うべきではありません。アメリカ合衆国教育省は、学校の教育データを扱う第三者サービスプロバイダー、ベンダー、および契約者向けに特にガイダンスを提供しています。

FERPAに準拠した使用をサポートするベンダーは、顧客が安全なアクセスを構成し、不必要なデータ処理を制限し、資格情報を保護し、関連するコントロールを文書化し、無許可の再開示を避けるのを助けるべきです。 契約は定義するべきです 許可された使用、機密性、下請け業者、データの削除または返却、サポートアクセスおよびインシデント通知。

コンプライアンスの決定を所有する

この記事は、ITチーム向けに技術的および運用上のガイダンスを提供し、学生情報に関するシステムのセキュリティを確保するための基本を身につける手助けをします。法的助言として扱うことはできません。学校、地区、大学は、FERPA規則を適切に検証し、解釈を明確にし、ベンダー契約を精緻化し、資格のある法的顧問またはプライバシー担当者と共に開示慣行を定義する必要があります。

他の学生および子供のプライバシー規則について知っておくべきこと

米国の規制は、より広範なオンライン範囲を持っています。

FERPAはアメリカ中心ですが、教育ITチームはしばしばより広範なプライバシーフレームワークに基づいて運営されています。COPPAは、13歳未満の子供を対象としたウェブサイトやオンラインサービスの運営者、または13歳未満の子供から個人情報を収集していることを実際に知っている運営者に適用されます。

生徒の権利保護修正法(PPRA)は、米国教育省が管理する別の米国の学生プライバシー法です。教育省はFERPAとPPRAを管理および施行する学生プライバシー法として特定しています。

ユニセフからのグローバル指針:

2024年、UNICEFのECA地域事務所は、実用的な4部構成の報告書を発表しました。 学校におけるデータ保護 PDFとして利用可能です。パート1は状況を設定し、パート2はデータ保護とプライバシーに関して、収集および処理中にコンプライアンスを確保することに関心があります。これには、重要な考慮事項と関連する行動に基づいて設定された義務、ガイドライン、およびステップが含まれます。

その間、パート3と4は、テクノロジーを活用した教育と学習、そしてサイバーセキュリティ対策に焦点を当てています。後者の分野は、データへのリモートアクセスと処理に直接関連しており、考慮すべき点や行動も強調されています。

ヨーロッパとGDPR

グローバル教育プログラムにおいて、欧州連合一般データ保護規則(GDPR)は子供の個人データに対する特定の保護措置を含んでいます。欧州委員会は、親または保護者の同意が、加盟国によって異なる13歳から16歳の年齢制限まで必要とされる場合があると説明しています。

国別規制

世界各国では、オンライン特有の規制が若い公衆に向けたサービスの枠組みを設定しています。二つの例:

  • 英国のICO年齢適切設計コードは、子供がアクセスする可能性のあるオンラインサービスに対して15の基準を設定しています。このコードは、サービス設計における組み込みの保護と子供の最善の利益を強調しています。
  • フランス教育省によるいじめを抑制するための手順や、日常の学校活動の中で学生データを保護するためのガイドラインに関する出版物。

FERPAリモートアクセスチェックリスト学校用

学生記録を含む可能性のあるシステムへのリモートアクセスを拡張する前に、学校のITチームは以下のコントロールを確認する必要があります。

  1. 知識が広まるように、可能な限り偽名、頭字語、その他の手段を使用して識別することや、複雑なコンプライアンスパスワードを使用することなどの基本事項について注意を払ってください。
  2. 教育記録を表示できるリモートアプリケーションとデスクトップを特定します。
  3. アプリケーションとサードパーティのベンダーを評価し、最も安全と承認されたものを使用します。
  4. ユーザーグループを正当な教育的関心にマッピングします。
  5. スタッフ、管理者、外部サポートユーザーのために多要素認証を強制します。
  6. グループ、ユーザー、そのニーズ、および許可されたアプリやアクセス領域を計画し、定期的に監査します。
  7. 各ユーザーグループが必要とするアプリケーションのみを公開します。
  8. 不要なクリップボード、ファイル転送、印刷機能は可能な限り無効にしてください。
  9. IPアドレス、国、役割、または適切な場合の勤務パターン(時間)によってリモートアクセスを制限します。
  10. 学生記録を個人デバイスに不必要にローカルダウンロードすることを避けてください。
  11. 学生データを含むシステムへのログアクセス。
  12. FERPAの使用、再開示および削除条項についてベンダー契約を確認してください。
  13. 教師、スタッフ、サポートチームに安全なリモートアクセスの行動についてトレーニングを行います。
  14. 定期的にユーザーにサイバーリスクとデータを安全に保つ方法について認識を高める。

このチェックリストはFERPAコンプライアンスプログラムの代わりにはなりません。むしろ、ITチームにリモートアクセスおよびリモートサポートワークフローにおける回避可能な露出を減らすための実用的な基準を提供します。

TSplusがFERPA準拠のリモートアクセスをサポートする方法

TSplusは、学校がFERPAに準拠した管理を実施するのを支援する、安全なリモートアクセスおよびインフラ保護プラットフォームを提供します。しかし、ソフトウェアだけで機関が準拠すると思うのは誤解を招くことになります。正しく実装され、使用される場合、TSplusスイートのようなソフトウェアは、FERPAに配慮した運用をサポートするために、アクセス、認証、監視、強化の管理を学校が実施するのを助けます。

TSplus Advanced Security

アプリサーバーのための360°サイバー保護

TSplus Advanced Securityは、私たちの最前線のセキュリティ製品です。実際、部分的には、FERPAのリモートアクセスはサーバーの保護とアクセス制限に依存しています。TSplus Advanced Securityはアプリケーションサーバーのセキュリティのために開発されており、したがって脅威に対する最前線での360°ガードです。 ブルートフォース保護 例えば、これはWindowsの失敗したログイン試行を監視し、繰り返し失敗した後に不正なIPアドレスを自動的にブロックする機能です。

堅牢なセキュリティ機能

教育環境では、これにより公開されたリモートアクセスインフラストラクチャに対する不正アクセス試行のリスクを軽減できます。学校は、地理的保護を使用して選択された国からのみリモートアクセスを許可したり、IP制限を使用してプライベートおよびホワイトリストに登録されたIPアドレスへのアクセスを制限することもできます。

FERPAに準拠するための構成

推奨されるFERPA対応の設定には、ブルートフォース保護の有効化、適切な場合に地理的にアクセスを制限すること、管理アクセスのためのIPホワイトリストの維持、および使用が含まれます。 ランサムウェア保護 サーバーの強化の一環として。

TSplus リモートアクセス

教育利用

TSplus Remote Accessは、学校が教育者、学生、ITスタッフ向けにWindowsアプリケーションとデスクトップを公開するのを支援します。教育ソリューションとして、教育および学術環境向けに安全なマルチユーザーのRemote Desktop AccessとApplication Deliveryを提供します。

FERPAに適応したコントロールの適用

FERPAの観点から見ると、価値は制御されたアクセスです。すべてのユーザーにフルワークステーションやネットワークへの広範なアクセスを与えるのではなく、ITチームは必要なアプリケーションのみを公開できます。教師は成績管理アプリケーションへのアクセスを受け取る一方で、登録担当者は学生記録ソフトウェアへのアクセスを受け取り、学生はラボアプリケーションのみを受け取ります。グループとユーザーは、時間やデバイスに応じて細かく設定可能です。

MFAとログインセキュリティ

このソフトウェアは、HTML5およびRemoteApp接続を含むWebポータルのための二要素認証もサポートしています。MFAが有効なユーザーに対して、当社のドキュメントでは標準のMicrosoft Remote Desktopクライアント接続が拒否されることを強調しており、これによりより安全なウェブベースのアクセスパターンがサポートされます。

TSplusサーバーモニタリング

FERPAは単にアクセスをブロックすることだけではありません。学生データが処理される可能性のあるシステムへの可視性を維持することも重要です。TSplus Server Monitoringは、サーバー、ウェブサイト、アプリケーション、ユーザーに関する履歴データとリアルタイムデータを提供し、リモートワークインフラストラクチャのためのリアルタイムレポートとアラートを提供します。

教育ITチームにとって、監視は過負荷のサーバー、異常な使用パターン、パフォーマンスの問題、リモート学習や管理システムに影響を与える可用性の問題を検出するのに役立ちます。監視自体がFERPAの遵守を証明するわけではありませんが、責任と運用のレジリエンスをサポートします。

TSplus リモートサポート

TSplus Remote Supportは、チームやクライアントのために、有人および無人のリモート支援を提供します。TSplusは、リモートデスクトップ制御、画面共有、有人支援、無人メンテナンス、リモートトレーニングをサポートしています。

FERPAに配慮したサポートのために、学校は技術者が必要なものだけにアクセスできるようにサポートワークフローを構成する必要があります。学生情報が表示される可能性がある場合、参加型セッションが好ましいかもしれません。無人アクセスは、管理されたデバイス、文書化された目的、および承認されたメンテナンスウィンドウに制限されるべきです。

TSplusの開発倫理とポジショニング

FERPA準拠は教育機関に属し、法的合意、内部ポリシー、技術的保護措置によって支えられています。TSplusのソフトウェアは、製品とサービスを通じてこれらの保護措置を提供するのに役立ちます:安全なリモートアクセス、サーバーの強化、ネットワーク監視、制御されたサポート。

開発倫理の観点から、プライバシー・バイ・デザイン、データ最小化、顧客のコントロールが中心となります。リモートアクセスソフトウェアは、学生のコンテンツへの不必要なアクセスを避け、管理者に設定の選択肢を提供し、安全なデフォルトをサポートし、学校が最小特権を適用しやすくする必要があります。

堅牢で慎重に開発された製品を通じて、TSplusは学校のIT管理者や高等教育チームがFERPAリスクを軽減しながら、リモートアクセスを実用的に保つ手助けをすることを目指しています。

結論

FERPAは、学生の教育記録を保護し、学校がリモートアクセス、リモートサポート、サードパーティソフトウェアを管理する方法に直接影響を与える米国の教育法です。ITチームにとって、FERPAは認証、最小特権、セキュアなセッション、監査可能性、ベンダーガバナンス、そして規律あるサポートワークフローに変換されます。

TSplus Advanced Security そして、実際にTSplusのソフトウェア全体が、学校がより安全なリモートアクセス環境を構築するのを助けることができ、各機関がそれぞれのニーズや使用法に合わせて設定を調整する余地を残します。最終的なFERPA準拠は、各機関のポリシー、設定、契約、法的レビューに依存します。TSplusを無料で試して、FERPA準拠のアクションがTSplusソフトウェアのようなシンプルで多用途なツールによって大いにサポートされることを発見してください。

TSplus リモートアクセス 無料トライアル

デスクトップ/アプリアクセスのための究極のCitrix/RDS代替。安全で、コスト効果が高く、オンプレミス/クラウド

無料トライアルを開始

共有:

Facebook Twitter LinkedIn

さらなる読書

TSplus Remote Desktop Access - Advanced Security Software

リモートデスクトップはハッキングされる可能性がありますか?予防のための実用的なリスクスコア

リモートデスクトップはハッキングされる可能性がありますか?はい、リモートデスクトップはハッキングされる可能性があります。実用的なリスクスコアを使用して露出を減らし、アイデンティティを強化し、RDP、HTML5ポータル、およびVDIアクセスを保護してください。

記事を読む →
back to top of the page icon