DISの教育ICT総合サイト

文部科学省 教育情報セキュリティポリシーに関するガイドライン【前編】

2019年03月13日 記事

文部科学省は、平成29年10月に「教育情報セキュリティポリシーに関するガイドライン」を策定した。また、11月には内容をわかりやすく噛み砕いた「ハンドブック」も公開し、いずれも文部科学省公式サイトから入手できる。

このハンドブック策定にも関わった、シスコシステムズ合同会社インダストリー事業推進部、林山耕寿氏にガイドラインの意味や狙いを解説していただいた。

シスコシステムズ合同会社インダストリー事業推進部、林山耕寿氏

「文部科学省は、教育の情報化を以前から推進してきました。その中で、平成28年に佐賀県で起きた県立高校の教育情報システムへの不正アクセスによる個人情報漏洩事件を機に、文部科学省が教育情報セキュリティの考え方をガイドラインとして示す必要があるということで策定されたのが、このガイドラインです」。

ICT教育は急速に普及をし、生徒がタブレットやパソコンなどを使って授業を受ける、そのために学校内に無線LAN設備を整える、というのは当たり前になりつつある。一方で、学校では、成績などの重要情報や、健康診断などによる健康情報などの個人情報を多数取り扱っている。

教育機関のICT化が進むのに比例をして、重要情報が不正アクセスをされるリスクは増大していく。この問題に対処するために、策定されたのがこのガイドラインだ。

 

ガイドラインは文部科学省のホームページから入手可能。まずは、平易な言葉で書かれた「ハンドブック」を一読することをお勧めする。

ガイドラインやハンドブックに記されている内容は、自治体・行政向けのセキュリティポリシーと基本的な部分は重なっている。しかし、教育機関ならではの特殊事情がある。

「行政機関では、情報端末を職員以外の外部の人が使うということはまずあり得ません。しかし、教育機関では情報端末を使うのは教職員だけではありません。生徒も教育ネットワークにアクセスし、パソコンやタブレットを使います。ここが大きく異なる点です」。

 

林山氏は、教育機関のセキュリティを考える時には、まず「教育機関にどのような情報資産があって」「どのような脅威から守るべきなのか」を整理し、それぞれに優先度をつけて、「どのように守るのか」といったセキュリティ対策を組み立てていくことが重要だと言う。

ガイドラインでは、5つの脅威が考えられるとしている。

1)内部の者による情報資産の窃取・改ざん等

2)自然災害等による情報資産の減失等

3)児童生徒のいたずら等による情報資産の窃取・改ざん等

4)悪意のある外部の者による情報資産の窃取・改ざん等

5)教職員の過失による情報資産の漏えい・紛失等

林山氏は、各教育委員会、各教育機関などセキュリティ対策を行う際には、この5つの脅威に優先度をつけて考えることが重要だという。「例えば、1)は性善説に立てば、民間企業と比べた場合に優先度は高くはないとも考えられます。一方で、沿岸部など自然災害リスクの大きな地域では2)の優先度が高いなど、それぞれの地域、学校により、さまざまあると思います」。

さらにきちんと評価しておくべきなのが4)の悪意のある外部の者による攻撃だ。教育機関がICT化を進めることで、悪意のある外部の者による不正アクセスのセキュリティリスクが高まっている。さらに、学校には重要な個人情報が蓄積されていて、しかもそれが経済価値を生み出すということが知られるようになってきているという。教育機関に対する攻撃は増え始めており、今後とも増えていくと見ておかなければならない。

情報セキュリティ対策をするには、まず「何を」「何から」「どのように」守るのかを明らかにし、それぞれの優先順位をつけた上で、各セキュリティ対策を考えていくのが重要。

どの脅威を優先して考えていくかは、地域や学校ごとに事情が異なるが、ガイドライン全体で共通した重要な考え方として示しているのが、「校務系ネットワークと学習系ネットワークの分離」だ。

教育機関のネットワークを「校務系」「校務外部接続系」「学習系」の3つに分離し、それぞれの間でネットワークを分離しアクセス制御を行う。「学習系」は主に生徒と教職員が利用し、インターネットにも接続をする。日々の学習に利用する。「校務系」は教職員が成績処理などの校務に使うもので、教職員のみがアクセスができ、しかもインターネットには接続しない。教職員専用の閉鎖ネットワークとすることで、外部からの不正アクセス、過失による情報流出、生徒による不正アクセスを未然に防ぐ。

しかし、校務の中には、保護者や関係機関と電子メールで連絡を取るなどインターネットが必要な業務もある。そのために、校務系とは別に校務外部接続系ネットワークを用意しておく。こちらはインターネットには接続しておくが、成績や健康といった重要情報は扱わないようにする。

この3つのネットワークに分離をし、それぞれのネットワーク間でアクセスができないようにしておくことをガイドラインは求めている。

 

「このガイドラインには、法的な強制力はありません。しかし、なにかセキュリティ事故が起きた時は、ガイドラインへの遵守状況というのは必ず問われることになるかと思います。ですので、検討しないという選択肢はありません」。

もちろん、検討をしたものの、予算などの関係でガイドラインに記された内容すべてに準拠できなかったということはありえるとしても、すべての教育機関、教育委員会が検討をしておかなければならない。

本ガイドラインおよびハンドブックは、文部科学省ホームページの右上にある「サイト内検索」で、「教育情報セキュリティポリシー」で検索することで見つかる。関係者はぜひ一度目を通しておきたい。

 

 

Cisco Start 文教セレクションページ

 

教育ICT関連記事一覧ページにもどる

 

ページトップに戻る