ブログ
CBTでのセキュリティリスクとは?リスクの種類や対策を解説
- CBT
CBTは、パソコンを使用した試験方式として多くの資格試験や国家試験で導入が進んでいます。紙の試験に比べて採点の効率化や即時結果通知などのメリットがある一方で、デジタル化に伴うセキュリティリスクへの対策が必要です。この記事では、CBTにおけるセキュリティリスクの種類や、不正行為を防止する方法、個人情報保護のための対策について解説します。
CBT試験におけるセキュリティリスク
CBT(Computer Based Testing)は、コンピューターを活用した試験方式の総称で、全国の専用試験会場において、パソコンを利用して試験の出題および解答を行う試験実施方法です。
従来の紙ベースの試験(PBT)と比較して、採点業務の効率化や受験者への迅速なフィードバックが可能になるなど、さまざまなメリットがあります。一方で、セキュリティリスクもあることを理解し、適切な対策を講じることが必要です。
まずは、CBTで考えられる主なセキュリティリスクについて解説します。
個人情報漏えいのリスク
CBTでのセキュリティリスクとして、個人情報漏えいのリスクが挙げられます。CBT試験では、受験者の氏名や顔写真、受験履歴、スコアデータなどの個人情報がデジタル形式で管理されています。そのため、不正アクセスやマルウェア感染により、これらの情報が外部に流出する可能性もゼロではありません。
特に、データベースのセキュリティ対策が不十分な場合、大量の個人情報が漏えいしてしまうリスクも高まります。個人情報の漏えいは、受験者のプライバシー侵害だけでなく、試験主催者の信頼性を大きく損なう要因となるため、厳重な対策が必要です。
また、漏えいした情報が悪用されることで、二次被害が発生することも考えられます。近年では、サイバー攻撃の手法も高度化しており、常に最新のセキュリティ対策を行わなければなりません。
システム障害のリスク
CBTでは、システム障害のリスクも考えられます。試験中のシステムダウンやネットワーク障害によって受験者が試験を継続できなくなったり、試験データの破損や消失で受験結果が正確に記録されなかったりするリスクもあります。
このようなシステム障害は、受験者に大きな不利益をもたらすだけでなく、試験の公正性や信頼性を揺るがす事態につながりかねません。そのため、障害発生時の対応手順を明確にし、バックアップ体制を整備しておくことが不可欠です。定期的なシステムメンテナンスや負荷テストを実施することで、障害の発生を未然に防ぐ取り組みも考える必要があります。
不正行為のリスク
CBTでは、試験問題の画面キャプチャや外部への持ち出しなどの不正行為も考えられます。また、試験会場内での不正な閲覧や、デジタルデバイスの持ち込みによる不正も起こる可能性があります。
受験者による不正行為があると、試験が公正に行われず、適切な評価ができなくなるため、不正行為を未然に防ぐ仕組みづくりが重要です。技術的な対策だけでなく、試験会場での適切な監督体制の構築も必要でしょう。
CBTについて詳しくは以下の記事をご覧ください。
CBTでの不正行為を防止するには?
CBTでの公正性を保つためには、不正行為を効果的に防止する仕組みが不可欠です。技術の進歩に伴い、不正行為の手口も巧妙化しているため、試験主催者は常に最新の対策を講じなければなりません。ここでは、CBTでの不正行為を防止するための具体的な方法について紹介します。
本人認証システムの導入
CBTでの不正行為を防止する方法として、本人認証システムの導入が挙げられます。受付で本人認証システムを用いて、本人確認書類と受験者の顔で、本人確認を行うことで、替え玉受験やなりすましの抑制が可能です。あらかじめ登録された顔写真と一致しないと試験が受けられないため、本人確認の精度が高まります。
また、写真付き身分証明書による確認と組み合わせることで、本人確認の確実性を高められます。近年では、AI技術を活用した顔認証システムの精度も向上しており、より確実な本人確認が可能です。多層的な本人認証システムを導入すれば、不正受験のリスクを大幅に低減できるでしょう。
試験環境の制限
試験環境を制限することでも、CBTでの不正行為を防止できます。試験中は特定のアプリケーション以外の起動を制限し、外部との通信を遮断することが重要です。
また、試験会場では試験監督員による監督・監視のもとで試験を行うことで、カンニングなどの不正行為を防げるでしょう。試験監督員は試験会場内を巡回し、受験者の行動を常に監視するといった、不審な動きを早期に発見できる体制を整えることが重要です。
さらに、ショートカットキーを無効化し、試験問題以外のプログラムや画面をブロックするといった方法も有効です。こうした技術的な制限により、受験者が不正行為を行いにくい環境を構築できるようになります。
ランダム出題システムの活用
試験問題をランダムに出題したり、受験者ごとに異なる問題を出題したりすることで、カンニングのリスクが低減されます。また、問題の順序や選択肢の配置を変更する仕組みを構築すれば、隣の受験者と同じ問題が表示されず、カンニングを起こりにくくできるでしょう。
問題プールから毎回異なる組み合わせで出題するランダム出題システムを活用すれば、受験者間での情報共有を困難にし、試験の公平性を高める効果的な対策となります。ただし、ランダム出題を採用する際は、受験者間で難易度の差が生じないよう、調整を行うことが必須です。
個人情報保護のために必要なセキュリティ対策
CBTにおいて受験者の個人情報を適切に保護することは、試験を主催するにあたっての責務といえます。個人情報保護法をはじめとする関連法規を遵守し、受験者のプライバシーを守ることは、試験の信頼性を維持する上で欠かせません。最後に、個人情報保護のために必要なセキュリティ対策について解説します。
暗号化とアクセス制御
個人情報保護のために必要なセキュリティ対策として、暗号化とアクセス制御が考えられます。試験問題はインターネット回線上で送受信されるため、SSL技術などを用いた強固な暗号化は必須です。通信データが暗号化されることで、漏えいや紛失のリスクを低減できます。
また、多段階認証やIP制限の導入も効果的です。不正アクセスを防止し、許可された担当者のみがデータにアクセスできる環境を整備することができるでしょう。このような技術的な対策を行うことにより、個人情報の安全性を高めることができます。もし不正なアクセスがあったとしても、迅速に検知し、対応できる体制を整えておきましょう。
組織的な情報管理体制の整備
組織的な情報管理体制の整備は、試験を実施する組織として必ず行っておくべきことだといえます。定期的な研修を通じて、スタッフの情報管理に対する意識を高めるようにしましょう。
具体的には、マニュアルとフローを整備し、ヒューマンエラーを防止する体制を構築したり、個人情報の取り扱いに関する明確なルールを定め、全スタッフに周知徹底したりするといったことが考えられます。このような対策を行えば、組織全体のセキュリティレベルの向上につながります。
また、情報セキュリティマネジメントシステムを構築・運用する規格であるISO 27001認証(ISMS認証)やプライバシーマークを取得したりする取り組みも重要です。その過程において組織としてのセキュリティに対する意識も高まり、セキュリティリスクの低減につながります。
委託先の管理
CBTの運営を外部に委託する場合は、契約書に個人情報保護についての項目を盛り込むことが必須です。委託先における個人情報の取り扱い方法、管理体制、セキュリティ対策の内容などを契約の際に明確にしておきましょう。さらに、委託先に対する定期的な監査と報告体制を整備し、セキュリティ対策の実施状況を確認することで、委託先におけるリスクを管理できるようになります。
委託先の選定においても、セキュリティ体制が整っている事業者を選定することが大切です。委託契約終了時には、委託先が保有する個人情報を確実に返却または削除させることも忘れてはなりません。
CBTのセキュリティ対策には管理体制の整備が重要
CBTでは、個人情報漏えいやシステム障害、不正行為などのセキュリティリスクがあり、公正な試験を実施するためには、適切なセキュリティ対策を行う必要があります。また、セキュリティ対策は一度実施して終わりではなく、継続的な改善が重要です。定期的なリスク評価を実施し、新たな脅威に対応できる体制を維持するとともに、組織全体での意識向上を図ることが求められます。
プロメトリックは、プライバシーマークと、ISO 27001認証を取得しており、国家試験にも採用される厳格なセキュリティ体制を構築。受験者が安心して試験を受けられる環境を提供しています。プロメトリックのCBTは、会場数と会場の品質、セキュリティ、海外ネットワークなどが強みです。全国どこの試験会場でも同一の条件で試験を実施しています。CBTを検討される際は、受験者が安心して試験を受けられる環境を提供しているプロメトリックにぜひご相談ください。
CBT導入についてのご質問、運用のご相談、料金についてなど
ご不明な点がございましたら、まずはお気軽にお問い合わせください。