教育情報セキュリティポリシーに関するガイドラインの概要
平成29年10月に、文部科学省にて策定された「教育情報セキュリティポリシーに関するガイドライン」(以下、教育セキュリティガイドライン)は、地方公共団体が設置する公立小中学校などを対象としています。
GIGAスクール構想に基づいて1人1台端末をもつ児童・生徒が安心かつ安全にICTを活用した学習ができるよう情報セキュリティポリシーの策定や見直しを行う際の参考として活用されています。
教育機関において対応すべき6つのポイント
教育セキュリティガイドラインにおいて前提として対応すべき考え方が6項目あります。
①組織体制の確立
「学校における情報セキュリティ対策の考え方を確立させるためには、情報セキュリティの責任体制を明確にしておく必要がある」と明記されています。
例えば、最高情報セキュリティ責任者(CISO)は、副市長等、地方公共団体における情報セキュリティポリシーに関するガイドライン(以下、「自治体ガイドライン」)と同一の者とされています。また、教育委員会は、学校における情報システムの開発、設定の変更、運用、見直し等の権限や情報セキュリティの遵守に関する教育、訓練等についての責任を基本的に持っています。
例)
組織体制を確立することで、セキュリティインシデントが発生した場合にスムーズに連携し対応が進められます。また、セキュリティ対策を講じる際に役割分担が明確になっていることで、抜け漏れのない対策につながるなどのメリットがあります。
②児童・生徒による重要度の高い情報アクセスリスクの回避
学校が保有する重要性が高い情報の児童・生徒による不正アクセス事案も発生しています。そのため、児童・生徒が見ることを想定していない情報等にはアクセスさせないよう対策を行うことが求められています。
例えば、以下の事項が対策として当てはまります。
・特定のファイルサーバーには、生徒がアクセスできないようアクセス制限をかける
・ドキュメントなどのパスワード保護を行う
・クラウド上に置いてある情報の場合は、クラウドサービスの閲覧権限を制限する
等
③標的型攻撃などの脅威への対応
学校ホームページへのアクセスや運用、教職員によるメールの活用、さらには、学習活動におけるインターネットの活用等が行われていることから、標的型及び不特定多数を対象とした攻撃への対策を講ずる必要があります。
■ガイドライン記載の対応例
AまたはBの対応を行う
A)校務系システムと学習系システム間の論理的、または物理的な分離
→各システムを複数台の端末に使い分ける方法で、インターネット分離とも言われます。
B)各システムにおけるアクセス権管理
→端末を分離せず、1台の端末で運用する代わりにアクセス制御を徹底する管理方法です。
④教育現場の実態を踏まえた情報セキュリティ対策の確立
児童・生徒が活用する情報システムにおいて、児童・生徒の扱う情報に個人情報が含まれる場合があります。対策として、格納している情報へのアクセスを特定の者しかアクセスできないように制御した上で、データそのものにパスワードなどを設定し暗号化を行う方法があります。
また、成績処理等の業務を自宅で行うことを目的として、教員が個人情報を自宅に持ち帰る場合があります。持ち帰り時に情報漏洩が発生するリスクを軽減するために、重要性が高い情報を持ち出す場合は、暗号化などの対策を講ずる必要があります。持ち出し時の具体的な対策方法として、機密情報が含まれるファイルをUSBメモリに書き出す際に自動的に暗号化する方法があります。
⑤教職員の情報セキュリティに関するリテラシーの醸成
研修等を通じて、教職員の情報セキュリティに関する意識の醸成を図ることが求められています。
教職員において、成績や生徒指導関連等の重要性が高い情報を取り扱うこともあります。
重要度の高い情報を扱う際に、セキュリティインシデントが起きやすい状況や、気を付けるべきポイントやリスクを把握するだけでも、教職員の重要度の高い情報を取り扱う際の意識の向上や情報漏洩防止につながります。
⑥ICTを活用した多様な学習の実現
情報セキュリティ対策を講じることで校務事務等の安全性を高めつつ、教員の業務負担軽減へとつながる運用となるようICTを活用した多様な学習を推奨しています。
これまで、紙と黒板を使って授業をしていた場合と比較して、先生がプロジェクターや電子黒板を使った授業を行い、生徒はパソコン・タブレット端末を使って学習することで、より効果的に学習ができるといわれています。ICTを活用することで、先生の業務効率向上につながり、児童・生徒のスキル向上に効果があるといわれています。
児童・生徒自身が、動画や音声などを使って楽しく学習ができ、分からないことも繰り返して理解できるまで確認しなおすことができます。紙と比較して容易に反復学習ができるようになりますので、これまで授業についていけなかった生徒も、自分のペースで学習を進めることができます。
文部科学省の「令和3年度における教育の情報化の実態等に関する調査結果」では、教育用コンピュータ1台あたり0.9人の児童・生徒が保有している結果が発表されています。よって、児童・生徒における1人1台端末としては普及が進んでいるように見受けられます。
参照:文部科学省「令和3年度における教育の情報化の実態等に関する調査結果」
https://www.mext.go.jp/content/20221027-mxt_jogai02-000025395_100.pdf
1人1台端末が普及したことで、ICTを活用した学習を円滑に進めるために、セキュリティ対策の実施が求められております。
改定点や追加された項目
・これまでの改定一覧
令和3年、令和4年において改定が続けて行われています。以下では、それぞれの改定箇所について紹介します。
■令和3年5月の改定概要
令和3年5月の改定では、昨今の急速な技術的進展として、主にGIGAスクール構想の実現に対応するため、ローカルブレイクアウトに関する記述や、クラウド利用時における内容が追加されました。
■令和3年5月の改定項目
令和3年5月の改定では、主にクラウドサービスを前提としたネットワーク構成の整理がされていることに加え、GIGAスクールに関連したセキュリティ対策について明記されています。
クラウドサービスを利用することで、事業者と教育委員会などの利用者との責任分界において、利用者側の責任が軽減されるメリットがあります。
参照:文部科学省「教育情報セキュリティポリシーに関するガイドライン(令和4年3月)」
https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf
ガイドラインには、利用するクラウドサービスの機能として自然災害対策(BCP対策)がなされていることの確認が推奨事項として明記されていることや、情報資産が組織内部から組織外部(家庭や地域、事業者等)に電子メール等で送信される場合は、情報資産分類に応じた対応を実施することなどが記載されています。
例えば、電子メールなどで重要性分類Ⅲ以上の情報を外部に送信する際の注意事項としては、限定されたアクセスの措置設定として、アクセス制限や暗号化などを行わなければならないと記載されています。
個人情報など重要性の高いデータが含まれる電子メールやUSBなどを外部に渡す場合の対応策としては、ファイル自体に暗号化をし、特定の人以外は閲覧できないよう管理することなどがあげられます。
■令和4年3月の改定概要
今回(令和4年3月)の改定では、対策方針や組織体制の在り方などの基本的な方針の変更はありませんが、前回(令和3年5月)のガイドライン内容の一部をより改良しています。
①「アクセス制限による対策」の表現を明確化させ、②アクセス制御による対策を講じたシステム構成を実現することが改定の理由です。
■令和4年3月の主な改定項目
①「アクセス制限による対策」の表現を明確化
アクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産を取り扱う端末に対して、ファイルの暗号化等の措置により、不正アクセスや教員の不注意等による情報流出への対策を講じなければならない旨が追加されています。
例えば、ファイル暗号化、マルウェア対策、適切なWebページの閲覧防止などの端末におけるセキュリティ対策を行い、厳密に管理をする必要があります。
②アクセス制御による対策を講じたシステム構成
端末に保存したファイルを暗号化し、暗号鍵を保持しない利用者は情報の閲覧等ができない仕組みとしてファイルの暗号化が追加されたほか、マルウェア対策としては、ふるまい検知活用の検討が新たに推奨されています。
また、インターネットへ接続をする場合、教職員等のパソコン、モバイル端末に対して不適切なウェブページの閲覧を防止する対策を講じなければならないとして、「フィルタリング」の利用が推奨事項として明記されました。
ガイドラインに沿ったセキュリティ対策
■ファイル暗号化:「InterSafe FileProtection」
ALSIは、今回の改定①、②で対策として追加されたファイル暗号化を実現するソリューション「InterSafe FileProtection」を提供しています。ファイル保存時に自動で暗号化するだけでなく、指定したフォルダーにファイルを移動するだけで暗号化を実施することもできます。また、ファイル自体に暗号化とアクセス権付与を実施しているため、ファイルの保存場所を問わず、暗号化状態が維持されます。
令和4年4月に施行された改正個人情報保護法にて、流出時の報告が義務化されましたが、InterSafe FileProtectionは電子政府が推奨する暗号化アルゴリズム:AES 256bit形式を採用しており、高度な暗号化に該当するため、万が一個人情報が流出した場合であっても報告義務が免除されます。
暗号化したファイルは、パスワードレスでいつも通りダブルクリックで開くことができ、拡張子が変わることもありません。このようにユーザーの利便性を損なわず、現場の混乱が少ない点も特長です。
■130万台以上での利用実績を誇る安定運用のWebフィルタリングサービス「InterSafe GatewayConnection」
ALSIではクラウド型のWebフィルタリングサービス「InterSafe GatewayConnection」を提供しています。Windows、Chrome OS、iOSのWebアクセスをコントロールすることができ、場所やネットワークを問わずフィルタリングを行うことでどこでも安全なインターネット利用を実現します。
本サービスは今回の改定ポイント②アクセス制御による対策を講じたシステム構成に対応しています。
■構成イメージ
参考までに、学校環境にフィッシンング対策製品とファイル暗号化製品を加えた場合、以下のような構成が想定されます。
まとめ
急速な学校ICT環境整備の推進を踏まえ、1人1台端末を活用するために必要なセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成等の課題に対応するため、ガイドラインが継続的に改定されています。
令和4年の教育セキュリティガイドラインの改定では、主に「ネットワーク分離」を行った場合と、「アクセス制御」として対策を講じたシステム構成の場合においての留意すべき事項の明確化や、ファイル暗号化、マルウェア対策、フィルタリング対策などが新たに追記されました。
教育現場ではICTのさらなる利活用が推進されており、今後もそうした変化にあわせたセキュリティ対策が必要となるでしょう。
学校現場や教育委員会におけるセキュリティ対策に関するご相談はALSIへ!
また、いじめの早期発見・予防に関連するご相談も承ります。
お困りごとやお力になれることがございましたら、お気軽に弊社へお問い合わせください。