InterSafe NEWS

  1. >
  2. >
  3. >

特集

待ったなし!教育機関における情報セキュリティ対策

2017年04月:vol.006

文部科学省は、20167月に発表された「2020年代に向けた教育の情報化に向けた懇談会」の最終まとめ等をふまえ、「教育版の情報セキュリティポリシー」のガイドライン策定に向けて検討を実施。教育委員会・学校における情報セキュリティ対策について助言などを行うことを目的に、「教育情報セキュリティ対策推進チーム」を設置した。 

本記事では、同チームで主査を務める会津大学の山崎文明特任教授に、教育機関における情報セキュリティ対策の現状と課題、いま求められる情報セキュリティ対策、今後の展望などについてお話をうかがった。

 

情報セキュリティ対策の遅れは全国の教育機関に共通した課題

 

006photo_1.jpg

会津大学

特任教授
山崎文明氏

昨今、一般企業や自治体のみならず、教育機関においても深刻な情報漏洩事件・事故が多発している。その中でも代表的なものが、20166月に発覚した佐賀県の教育情報システムに対する不正アクセス事件だ。

この事件では、17歳の少年ほか複数のメンバーが佐賀県の教育ネットワーク(SEI-Net)に侵入。教育情報システムから県内の中・高校の教員/生徒の住所、電話番号、成績・評価といった個人情報を盗み出していた。侵入の手口は、メンバーの生徒が正規のIDとパスワードを使ってSEI-Netにログインし、独自に開発したプログラムで脆弱性を攻撃するというもの。最終的にはSEI-Netと各校の無線LANネットワークから914355名分の個人情報の漏洩が確認され、日本の教育分野では過去最大規模の情報漏洩事件となった。しかもこの事件は、少年が別件で逮捕された際に家宅捜索で押収したPCから盗んだ情報が発見されて発覚したもので、メンバーらは2年近くにわたって不正アクセスを続けていた事実も明らかになっている。

 

かねてより佐賀県は「情報通信技術教育先進県」を標榜し、全国に先駆けて教育のIT化を進めてきた。2014年からは、すべての県立高校で生徒1人ひとりに学習用PCを持たせており、その上で生徒がSEI-Netを使ってデジタルテストを受けたり、学校からの連絡を確認できるしくみを構築していた。この点について山崎教授は「この事件では、佐賀県が先進のシステムを導入していたにも関わらず、ネットワークの設定や運用などに問題があり、情報セキュリティ対策も甘かったことが浮き彫りになりました。これは全国の教育機関に共通した課題であり、こうしたシステムに侵入されると、大量の個人情報が漏洩してしまうことがわかります」と語る。

 

 

技術面、運用面まで含めた幅広い議論を通じ「ガイドライン」策定

 

 

この事件を受けて文部科学省は201674日、全国の教育委員会に対してセキュリティ対策を徹底するよう通知した。89日には、文部科学省の有識者会議が「教育情報セキュリティのための緊急提言(案)」をまとめ、Webで発表している。

 

この中では、緊急に行うべき対応として以下の8項目の提言が示された。

 

①ネットワーク分離

校務系と学習系のネットワークを分離する

②学習系システムへの個人情報の格納禁止

やむを得ない場合は暗号化を実施

③校務システムのデータセンター(クラウド含む)化

教育委員会による管理、もしくは外部委託を行う

2要素認証

校務系、学習系双方への2要素認証を導入

⑤構築時および定期監査の実施

システム構築時に加え、定期的にセキュリティ監査を行う

⑥ログ保持、パスワード変更

セキュリティポリシーの検証、アクセスログを6ヶ月以上保存、デフォルトパスワードの変更などを実施

⑦実践的研修

全学校・全教職員に向けて、実践的なセキュリティ意識向上のための研修を実施

⑧教育委員会事務局の体制強化

事務局に情報システム専門課・係を設置、首長の情報システム担当との連携を強化

 

 

さらに文部科学省は97日、「教育情報セキュリティ対策推進チーム」を設置。チームの主査に山崎教授が就任し、「教育版の情報セキュリティポリシーガイドライン」(初版)の策定を進めている。このガイドラインは、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」をベースに、学校の実情に対応した枠組を構築し、教育の情報化を進めるための基盤とすることを目指しており、対象は当面、公立小学校、中学校、義務教育学校、高等学校、中等教育学校および特別支援学校となる。

 

同チームでは、学校における情報資産の分類とそのあり方を検討するとともに、物理的セキュリティや校務用端末・学習用端末の管理、自宅作業等に伴う情報資産の持ち出し、研修体制などについても討議している。また、ネットワークのアクセス制御や無線LANの盗聴対策などの技術面、情報システムの監視や万が一の事故・事件の際にとるべき対応などの運用面についても幅広く検討していく方針だ。

 

8割の教育委員会が課題を抱える不足しているのは人材、予算、時間、知識

 

教育情報セキュリティ対策推進チームでは、これまでに4回の会合を実施している。第1回の会合では、教育情報セキュリティに関する現状、今後の論点について討議。第2回会合では、佐賀県学校教育ネットワークセキュリティ対策検討委員会の提言、「教育情報セキュリティポリシー策定及び対策実施状況に関するWEBアンケート調査」の結果について議論がされた。

佐賀県学校教育ネットワークセキュリティ対策検討委員会の提言においては、運用上の課題として管理者パスワードの設定・管理が挙げられている。また、予兆時の対応(教員が校内LANにアクセスできなかったときに、その重大性を理解できず情報共有が遅れた)や運用後のセキュリティ監査が不十分だったと指摘しており、SEI-Netを含む情報システムの運用に瑕疵があったことがうかがわれる。

 

そして、全国600の教育委員会を対象に実施したアンケート調査からは、教育委員会のほとんどが情報セキュリティ対策に関する課題を抱えている実態が明らかになったという。その内容について山崎教授は「教育委員会の約8割が何らかの課題を抱えています。具体的にいえば、学校現場の情報セキュリティに対する関心の低さに加え、人材や予算、時間、知識の不足などです。また、町村の教育委員会では、約6割がセキュリティポリシーを策定していません。その理由としては、できる人がいない、時間がない、作成の方法がわからない等が挙げられています」と解説する。

 

完璧なセキュリティ対策は存在しないがもっとも優先すべきは暗号化

 

3回会合のテーマとなった情報区分では、一般公開情報、秘匿するもの、そして両者の中間にあるものに区分されるとした。難しいのは、中間に位置する情報の扱いで、現状は、以下のように分類されているという。

 

 

校務系システム

3秘匿情報(暗号化)

2B比較的機密性の高い情報(暗号化)

2A比較的機密性の低い情報

1一般公開情報

 

学習系システム

2B比較的機密性の高い情報(暗号化)

2A比較的機密性の低い情報

1一般公開情報

 

「セキュリティ対策は優先順位を明確にしてから取り組む必要がありますが、現状では完璧なものは存在しないというのが常識です。それゆえ、まずは情報が漏洩したとき、どうやって被害の拡大を防ぐのかを考えなくてはなりません。そういう意味でも、私自身は暗号化を最優先で導入すべきと考えており、会合でも暗号化は必須というコンセンサスができつつあります。この内容が踏襲されれば、ガイドラインに暗号化が盛り込まれることになるでしょう」と山崎教授は語る。

 

ただし、教育現場における実際の運用を考えると、いかに教職員に暗号化を意識させないか、負担を減らせるかがカギとなる。

「保存するだけで自動的に暗号化される手法が望ましいと思います。これなら教員の負担を極小化でき、情報区分に関係なく、丸ごと暗号化しても利便性を損なわずに済みます」(山崎教授)。

 

2017年度に実証実験、2018年度に全国展開を予定

 

教育情報セキュリティ対策推進チームでは、当初、2016年度内のガイドライン策定を予定していたが、議論が続いていることもあり、20176月ごろにずれ込む見込みだ。山崎教授は「ガイドラインの策定後、2017年度の下期からいくつかのモデル校や教育委員会を選び、実証実験をスタートする予定です。そして翌2018年度より、全国へと展開していくスケジュールを考えています」と将来の展望を語った。

 

カテゴリ一覧
月別アーカイブ
ページトップへ戻る