DISの教育ICT総合サイト

改訂「教育情報セキュリティポリシーに関するガイドライン」から見る次世代の教育 学びのインフラ基盤を支援するシスコソリューション 前編

2020年03月27日 記事

教育を取り巻く環境が大きく変わろうとしている。2020年度以降順次実施される「新学習指導要領」においては、情報活用能力を言語能力と同様に「学習の基盤となる資質・能力」と位置づけ、育成を図るととともに、学校のICT環境整備とICTを活用した学習活動の充実が明記された。これらの環境により目指しているのは、「誰一人取り残すことのない、公正に個別最適化された学び」の実現だ。

シスコシステムズ 公共事業 事業推進本部 ビジネスディベロップメントマネージャー 自治体・教育ICT事業推進担当の林山耕寿氏。

教育情報セキュリティポリシーに関するガイドライン改訂の背景

ICT環境整備を全国一律で進めていくために文部科学省が打ち出したのが「GIGAスクール構想」だ。学校における高速大容量のネットワーク環境整備や児童生徒1人につき1台の端末整備を2023年度まで継続的に支援していく。

2019年度補正予算では2,318億円が計上されており、ICT機器を活用するための土台作りとして、校内通信ネットワーク整備事業(1,296億円)と、児童生徒1人1台端末の整備事業(1,022億円)の両輪で、令和時代のスタンダードな学校の構築を進めていく。

 

文教分野におけるネットワークインフラの最新動向について、自治体や教育委員会向けのプリセールスを始め、文部科学省が発行している「教育情報セキュリティポリシーに関するガイドライン」ハンドブックの作成支援にも携わったシスコシステムズの公共事業 事業推進本部 ビジネスディベロップメントマネージャーの林山耕寿氏は、GIGAスクール構想について次のように語る。

 

「文部科学省が示すGIGAスクール構想では、『端末・通信ネットワーク・クラウドをセットにした教育ICT環境』を目指すべき次世代の学校・教育現場の姿として掲げています。2017年10月に策定された『教育情報セキュリティポリシーに関するガイドライン』(以下、「ガイドライン」と言う)の初版では、整備の基準がオンプレミスと捉えられがちになっていましたが、2019年12月に改訂され、教育委員会や学校が柔軟かつ効率的に環境整備ができるようにクラウドサービスに関する考え方を追記しています。『クラウド・バイ・デフォルトの原則』などクラウド活用に関する政府の方向性を踏まえ、パブリッククラウドを学校の教育情報システムとして利用する上での考え方を記載しています」

Society 5.0時代を見据え、クラウドを適切に利用するための考え方が追記されている。

ガイドラインの改訂ポイントについて、林山氏は以下の三点を挙げた。

1.第三者認証の活用

2.クラウド利用の留意点

3.インターネット接続

改訂ポイント1:第三者認証の活用

まず第三者認証の活用について解説していこう。

クラウドサービスを利用する際、一つ一つのサービスのセキュリティ対策状況を意識することが望ましいとされているが、自治体や教育委員会の担当者がそれらをすべて確認するのは現実的ではない。そこでガイドラインで示されているのが、「第三者による認証や、クラウドサービス事業者が提供している監査報告書の利用」だ。

 

林山氏は「教育業界では学習コンテンツを提供するクラウド事業者が多くいます。しかし、それらの事業者は新興企業も多く、セキュリティの対策状況がわからないという課題も発生しています。学習コンテンツのデータの中には児童生徒の個人情報に関わるような重要なデータも存在するため、情報セキュリティ対策に関する国際規格『ISO/IEC 27017』『ISO/IEC 27018』や米国政府のクラウドサービス調達基準『FedRAMP』など、第三者認証を取得したクラウドサービス事業者を選定することが望ましいでしょう」と語る。

改訂ポイント2:クラウド利用の留意点

第三者認証を活用し安全性を確認した上で、次に、クラウド利用の留意点にも気をつける必要がある。ここでは、クラウドサービスの特性に起因する六つの特性と、その特性に伴う留意点が解説されている。

 

特性1.マルチテナント

物理リソースを複数の利用者が共用するクラウドサービスの特性と、他の利用者に影響を与える可能性について、適切な安全管理措置が行われていることの重要性を指摘している。

 

特性2.サプライチェーン

インフラ基盤をIaaS事業者から供給を受けて、アプリケーションをSaaSとして提供する事業者の存在と、そこに生じるセキュリティレベルの問題を挙げている。具体的には、IaaS事業者のセキュリティレベルに加えて、SaaS事業者についても適切なセキュリティレベルが確保されていることを確認する必要がある。

 

特性3.グローバル展開

クラウドサービスによっては、管理する情報資産やシステムについて、日本の法令が適用されないケースや、係争時における管轄裁判所が日本国外となるケースが存在する。

クラウドサービス選択時には、自らの情報資産の管理に日本の法令が適用されることや、係争時における管轄裁判所が日本国内となることを留意する必要がある。

 

特性4.サービス利用型の外部委託構造

オンプレミスと比較して、利用者からの過度に詳細なカスタマイズの要求には応えられないことを指摘。業務内容を踏まえたクラウドサービスの選択が求められている。

 

特性5.責任分界点

適切にセキュリティ管理を行う観点から、クラウド事業者と、クラウド利用者のそれぞれの役割分担、責任分界点を明確にする必要がある。

 

特性6.サービスの継続性

クラウド事業者の経営方針に起因して、一方的にサービスが停止される可能性を挙げ、利用停止などに係る契約上の規約の確認が求められている。

クラウドサービス選定時は日本の法令適用を確認しよう

これら六つの特性の中で、特に林山氏が強調したのが特性3のグローバル展開の部分だ。

 

「クラウドサービスは外資企業が提供しているケースが多く、データの所在の確認や係争時の法令適用確認は極めて重要であり、文部科学省は今回、かなり踏み込んだ書き方をしています。もちろん国内データセンターでクラウドサービスを提供している事業者であればベストですが、業務や学習に最適なツールを選定している中で国外データセンターのクラウドサービス事業者を利用するケースもあるでしょう。そうした場合に、どの国の法令が適用されるかを確認し、リスクなどを考慮した上で選択することが重要である、と記述されています」

 

また、取材当日にCisco Webexで出張先から参加したシスコシステムズ 公共システムエンジニアリング シニアSEマネージャーの宮川義彰氏は「セキュリティの考え方として、いわゆるデータを預かるIaaSなどのクラウドサービスと、Cisco Webexのようなデータを通信するSaaSのクラウドサービスでは規制の程度が異なります。論点となっているのはクラウドサービス上でデータを預ける保管場所であり、クラウドサービスの利用を最初から諦めるのではなく、どこに気をつければ利用できるのか検討を進めるのが重要です」と指摘した。

Cisco Webexを利用して出張先から取材に対応するシスコシステムズの宮川義彰氏。

従来のオンプレミス主体のシステム構築からパブリッククラウド利用へ、柔軟な環境構築への転換を促す政府が推進するガイドライン改訂。そしてクラウド利用を促進させるため、GIGAスクール構想で推進しているのが通信ネットワークの環境整備であり、安全にクラウドサービスを利用するためのガイドラインとGIGAスクール構想は密接にリンクしている。

 

中編では、クラウド利用における教育現場の環境整備について、GIGAスクール構想に基づき解説すると同時に、生じる課題を解消するシスコシステムズのソリューションを紹介していこう。

 

中編はこちら

 

後編はこちら

 

教育ICT関連記事一覧ページにもどる

 

ページトップに戻る