高等学校でも1人1台の端末整備が進み,ICTの活用が広がっています。その中で,外部からの不正アクセスやUSBの紛失など,情報セキュリティに関する事案も増えており,セキュリティ対策の重要性が高まっています。
今回は文科省が公表している「教育情報セキュリティポリシーに関するガイドライン」から,学校における情報セキュリティについて,考え方や注意すべきポイントについて確認していきます。
- 「教育情報セキュリティポリシーに関するガイドライン」とは?
- 情報資産は大きく3つに分類
- 端末整備推進に伴う新たなセキュリティ対策
- 教育情報ネットワークの在り方を明確化
- 情報資産の取り扱い
- 注意すべき行動
- 【おまけ】クイズ
- 参考サイト
「教育情報セキュリティポリシーに関するガイドライン」とは?
文部科学省は,令和4年3月に「教育情報セキュリティポリシーに関するガイドライン」の改訂版を公表しました。
このガイドラインは,学校における情報セキュリティポリシーの策定や見直しを行う際の参考となるよう,情報セキュリティポリシーの考え方や内容を示したものです。
以下の文部科学省のホームページから読むことができます。
併せて作成されているハンドブックは,図やコラムが充実しており読みやすいものになっています。
ガイドラインは平成29年10月に策定され,社会の変化に応じて今までに3回の改訂が行われてきました。以下の表に改訂の流れをまとめました。
| 時期 | 改訂内容 | 改訂の背景 |
|---|---|---|
| 令和元年12月/第1回改訂 | ・クラウドバイデフォルトの流れを反映 ・情報資産分類の見直し |
GIGAスクール構想の始動時に対応 |
| 令和3年5月/第2回改訂 | 校務・学習系をネットワーク分離しないクラウド前提の【目指すべき構成】の明確化 | GIGAスクール構想の前倒しによる,1人1台端末配備などの急速な学校ICT環境整備の推進に対応 |
| 令和4年3月/第3回改訂 | ・アクセス制御による対策の詳細な技術的対策の追記 ・ネットワーク分離による対策,アクセス制御による対策を明確に記述 |
(対策方針や組織体制の在り方などの基本的な方針の変更は無し) |
それではガイドラインの内容を見ていきましょう。
情報資産は大きく3つに分類
まずは,学校で扱う情報資産が「校務系」「学習系」「校務外部接続系」の大きく3つに分類されることを確認しておきます。
| 校務系情報 | 学習系情報 | 校務外部接続系情報 |
|---|---|---|
| 学校・学級の管理運営,学習指導,生徒指導,生活指導等に活用することを想定しており,かつ,当該情報に児童生徒がアクセスすることが想定されていない情報 | 学校における教育活動において活用することを想定しており,かつ当該情報に教員及び児童生徒がアクセスすることが想定されている情報 | 校務系情報のうち,インターネット接続を前提とした校務で利用される情報 |
| 例)成績,出欠席及びその理由,健康診断結果,指導要録,教員の個人情報 | 例)児童生徒のワークシート,作品 | 例)保護者メールや学校ホームページ |
|
|
|
|
校務系情報は生徒の成績など機微な情報を含むため,外部はもとより生徒からもアクセスできないよう対策をすることが必要です。
そのため,学習系システムとはネットワークを分離することが推奨されてきました。
端末整備推進に伴う新たなセキュリティ対策
第2回の改訂では,コロナ禍で1人1台端末の整備が急速に進んだことを踏まえ,新たに必要なセキュリティ対策や,クラウドサービスの活用を前提としたネットワーク構成等の課題へ対応するための内容が盛り込まれました。
①1人1台端末の活用における新たなセキュリティ対策
Webフィルタリングやマルウェア対策など,クラウドを安全に利用するためのセキュリティ対策について記載されています。
②1人1ID化に対する新たなセキュリティ対策
ICTの活用にあたっては,端末だけでなく生徒のID管理についても考慮する必要があります。
例えば,進級・進学時にIDの変更が不要となるよう,IDを変えずに属性情報を更新を行うようにすることや,シングルサインオンを導入しサービスを効率的に活用するといった内容が書かれています。
教育情報ネットワークの在り方を明確化
学校現場では従来より,校務系・学習系のデータを分離し,インターネット接続を制限することで,外部からの不正アクセスや感染のリスクをなくそう,という考え方が一般的でした。
ですが,ガイドラインの改訂にあたり,ローカルブレイクアウト※構成およびクラウドサービスの利活用を前提とし,ネットワーク分離を必要としない認証によるアクセス制御を前提とした構成が目指すべき構成として明確化されました。(下図参照)
このようにクラウドを前提とした構成が明示されたことは,ネットワーク分離が推奨されてきた学校現場においては,大きな改訂ポイントと言えそうです。
※ローカルブレイクアウト:学習系など一部の通信を学校から直接インターネットへ接続する構成
情報資産の取り扱い
ガイドラインの初版では,「情報資産の持ち出し」=「学校外に情報資産を持ち出すこと」と記載されていました。
改訂版では,「組織外部」=「教育委員会・学校が構築・管理している環境(本ガイドラインが適用されているクラウドサービスや学校外での利用が認められている情報端末等を含む環境)の外」と明示され,クラウドは「組織内部」という扱いになりました。
第三者機関による認証 (ISO/IEC27017,27018 )等に基づき、適切にセキュリティ基準を満たしていると判適切にセキュリティ基準を満たしていると判断の上で教育委員会・学校が構築・管理・採用している環境は,クラウドの利用を含め「組織内部」と整理できるため,クラウドへのアップロードは「組織外部への情報資産持ち出し」や「情報の外部送信」にあたらない
【引用】教育情報セキュリティポリシーに関するガイドラインハンドブック(令和4年3月) p.11 コラムより
ここでもクラウドの積極的な活用が推奨されていることが分かります。
注意すべき行動
その他にも,情報セキュリティインシデントにつながりかねない注意すべき行動として以下のような例が挙げられています。
学校だけでなく,一般企業でも同様のことに注意しておきたい内容です。
【おまけ】クイズ
やみくもに制限をかけるのではなく,適切なセキュリティ対策を講じ,日常的にICTを活用していくことを目指した内容になっていました。
最後に,情報セキュリティに関するクイズを用意しましたので,是非チャレンジしてみてください。
第1問:
生徒用の端末の配備が完了した。安全のため,ログインのパスワードを定期的に更新させるようにしよう。〇か×か?
答え(ここをクリック)
×
これまではパスワードの定期的な変更が推奨されていましたが,定期的な変更をすることによりパターン化し簡単なパスワードになってしまう・使い回しをしてしまう等の理由から,パスワードを定期変更する必要はなく,流出時に速やかに変更する旨が政府より示されています。
第2問:
ファイルを添付してメールを送信する際には,安全のため,1通目でパスワード付きの添付ファイルを送り,2通目に解除用のパスワードのメールを送ろう。〇か×か?
答え(ここをクリック)
×
パスワード付きzipファイルを用いてマルウェア対策製品を回避するマルウェアが存在する・宛先が間違っていた場合にファイルとパスワードの両方が間違った宛先にそのまま届いてしまう等の理由から,セキュリティリスクの増大につながるとされています。
第3問:
本校ではGoogle Workspaceを利用している。生徒が提出したレポートをドライブにアップロードした。この行為は,「組織外部への情報資産の持ち出し」にあたる。〇か×か?
答え(ここをクリック)
×
第三者機関による認証 (ISO/IEC27017,27018 )等に基づき,適切にセキュリティ基準を満たしていると判断の上で教育委員会・学校が構築・管理・採用している環境は,クラウドの利用を含め「組織内部」と 整理できるため,クラウドへのアップロードは「組織外部への情報資産持ち出し」や「情報の外部送信」にあたりません。
