アフターGIGA

導入フェーズ教育ICT定着期

【2022年】アフターGIGAにおける
教育現場のセキュリティ対策について解説

2022.07.01

GIGAスクール構想により1人1台端末の整備は急速に進みましたが、すでに次のミッションとしてセキュリティ対策の実施が求められています。この状況を踏まえて、国は情報セキュリティポリシーに関するガイドライン定め、改訂を重ね続けています。本記事ではこのガイドラインをもとに、情報セキュリティポリシーの概要や、アフターGIGA時代に求められるセキュリティ対策をご紹介します。

「教育情報セキュリティポリシーに関するガイドライン」の策定と改訂

GIGAスクール構想により教育現場へのICT導入が進んでいる昨今、 ますます情報セキュリティ対策の重要性が高まっています。

本章では、教育現場における情報セキュリティ対策の指針として策定された「教育情報セキュリティポリシーに関するガイドライン」についてご紹介します。

教育情報セキュリティポリシーに関するガイドラインとは

情報セキュリティ対策を適切に実施し、情報管理を万全なものとするため、国(文部科学省)は「教育情報セキュリティポリシーに関するガイドライン」(以下「ガイドライン」)を定めました。
本ガイドラインでは、各教育員会や公立学校が情報セキュリティポリシーの策定や見直しを行う際に参考にできるよう、教育現場における情報セキュリティポリシーの考え方や内容が示されています。

初版は平成29年(2017年)に策定され、1人1台端末の整備やマルウェアをはじめとする感染被害への対応など、時代とともに変わる要請を踏まえ、改訂を重ねています。

初版~第3回改訂までの流れと背景

ガイドラインはこれまでに3度改訂されています。それぞれの改定内容や背景は以下の通りです。

初版では、学校教育におけるICTの積極的な活用が求められる中、組織体制や情報資産分類、一元的なセキュリティ確保の考え方について解説しています。

令和元年(2019年)12月の第1回改訂では、GIGAスクール構想における1人1台端末と高速大容量の通信環境の整備推進を受けて、クラウド利活用に関する考慮事項を追記しました。

令和3年(2021年)5月の第2回改訂では、1人1台端末を有効活用するために必要な新たなセキュリティ対策や、クラウドサービスの活用を前提とした校務系と学習系のネットワーク構成のあり方などを明確化しました。

そして、令和4年(2022年)3月の第3回改訂では、GIGAスクール構想に適した情報セキュリティを確立する必要性が高まったことから、アクセス制御による詳細な技術的対策を追記するとともに、「ネットワーク分離による対策」、「アクセス制御による対策」を明確に記述しています。

特にアフターGIGAにおけるセキュリティの観点からは、第2回、第3回の改訂が重要なポイントです。

教育情報セキュリティポリシーの概要

以下では、ガイドラインで示されている情報資産のカテゴリーと特徴、機密性の分類について概観したうえで、特に保護すべき2つのシステムについてご紹介します。

情報資産のカテゴリーと特徴、機密性について

ガイドラインでは、情報資産を校務系、学習系、公開系という3つのカテゴリーに分けています。
校務系は学校や学級を運営するうえで不可欠な情報資産です。教職員の人事情報や児童生徒の学籍・成績・指導・進路関係の情報などが含まれます。
学習系は教育活動で活用される情報資産です。児童生徒が授業で取り組むワークシートなど、学習活動を通して生成される情報などが含まれます。
公開系は、学校紹介パンフレットや学校行事のしおりなど、外部への公開が前提の情報資産です。そのため、機密性は高くありません。

これらの情報資産は、「機密性」(情報を漏えいさせない)、「完全性」(情報を改ざんさせない)、「可用性」(情報をいつでも扱える)という3つの観点から重要度が評価され、セキュリティ侵害が起きた場合の影響度が4段階ⅠからⅣで分類されています。

※「教育情報セキュリティポリシーに関するガイドライン」(令和3年5月版)ハンドブックをもとに作成

保護すべき2つのシステム

上記のうち、最優先で保護すべきシステムは、児童生徒の成績や出欠など、学校・学級を運営するうえで活用する「校務系システム」です。校務系システムのセキュリティ侵害が発生すると、教職員または児童生徒の生命、財産、プライバシーに重大な影響を及ぼす可能性や(重要度分類Ⅰ)、学校事務及び教育活動の実施に重大な影響を及ぼす(同分類Ⅱ)可能性があります。
また、校務系情報のうち、保護者メールや学校ホームページなど、インターネット接続を前提とした校務で利用される「校務外部接続系システム」の保護も重要です。

このように、教育現場には保護すべき情報・システムが多々ありますが、セキュリティ対策の実情はどのようになっているのでしょうか。以下では、アフターGIGA時代のセキュリティ対策の状況を見ていきます。

アフターGIGA時代の「セキュリティ対策」

教育現場における現在のセキュリティ対策状況と注意すべきこと

現状の教育現場におけるセキュリティ対策にはさまざまな盲点があります。特に、「校務系端末」「校務系情報」「校務系外部接続系情報」など、教職員側でのセキュリティ対策は実施できていない教育現場が多くあります。
たとえば、USBメモリなどのメディアや印刷による外部への情報の持ち出しや、外部から支給端末へ無許可でのソフトウェア取り込みが挙げられます。

また、利用端末のウイルス対策ソフトウェア設定を無断で変更したり、私物端末を学校のネットワークに接続したりする行為も、情報セキュリティレベルを低下させる可能性があるため避けなければなりません。
さらに、盗聴・盗み見の危険があるフリーWi-Fiでの校務系ネットワークへの接続や、推測が簡単な短いパスワード(数字4桁など)の使用も、情報漏えいのリスクを高めます。

校務系セキュリティ対策としての「ネットワーク分離」

校務系情報・端末を守るためには、学習用端末で校務データにアクセスできないようにする「ネットワーク分離」が有効です。ネットワーク分離をしておらず、学習用端末で校務データにアクセスできる場合、出席や成績情報などのデータを児童生徒が閲覧できてしまい、外部に情報漏えいするリスクがあります。

新たなセキュリティの考え方「ゼロトラスト」

学習用端末が普及した現在、「ゼロトラスト」という新たなセキュリティのあり方が求められています。
ゼロトラストとは、「全ての通信を信頼しない」という考え方です。

従来の「境界防御型」のセキュリティでは、ネットワーク内部は安全との前提があり、外部との境界にセキュリティを構築していました。一方、ゼロトラストでは学校の内外に関係なく、全てのものに信頼がないことを前提として、各端末やネットワークにセキュリティ対策を施します。

アフターGIGAの教育現場では、以上のようなセキュリティ対策の重要性が高まっています。
こうした状況においては、セキュリティ対策をサポートしてくれる信頼できるパートナーが必要です。

重要性が高まる「セキュリティ対策」をDISがサポート

全国の教育現場で教育ICTに関する豊富な運用支援実績を持つDISなら、アフターGIGA時代に適したセキュリティを実現するためのさまざまなソリューションをご提案可能です。
また、ハード面が整備された教育現場で、今後必要とされる保守のサポートや、教職員向けの研修サービスも提供しています。

以下の資料では、アフターGIGAのセキュリティ対策に関してより詳細に解説しています。教育現場への提案をお考えの方は、本資料をご覧のうえお気軽にご相談ください。

関連資料のご紹介

児童生徒・教職員ともに守るアフターGIGA時代に必要なセキュリティ対策とは

本資料では、 アフターGIGA時代に重要なセキュリティ対策について知るべきセキュリティリスクと重要となるポイントをわかりやすくまとめています。教育現場へセキュリティソリューションの提案される予定がある方はぜひご参考ください!

資料ダウンロード