2025年度までに次世代の校務DXを実現するため、文部科学省では「校務系・学習系ネットワークの統合」「校務支援システムのクラウド化」「データ連携基盤ダッシュボードの創出」に取り組んでいる。そのための準備として「教育情報セキュリティポリシーに関するガイドライン」次の改訂と「次世代の校務デジタル化推進実証事業」が進んでいる。改訂のポイントと教育情報に関するセキュリティの重要性について、「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」で座長を務める髙橋邦夫氏(合同会社KUコンサルティング代表社員)と、セキュリティ製品を提供・開発しているCYLLENGE(旧プロット)の津島裕代表取締役社長が討議した。
髙橋邦夫
教育情報セキュリティポリシーに関するガイドライン改訂に係る検討会座長
■髙橋 次世代校務DX実現の準備として進んでいるのが、次世代の校務デジタル化推進実証事業(以下、校務DX事業)、統合型校務支援システムのクラウド化、そして「教育情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)の改訂であり、本ガイドライン改訂で今回最重要視している点は「各教育委員会のセキュリティポリシー策定」の推進です。
■津島 具体的にはどのような内容でしょうか。ネットワーク統合のためにゼロトラストネットワークを構築する上でのコストや対策についても触れますか。
■髙橋 第一の目的をセキュリティポリシー策定とし、2022年3月版で「参考資料」となっている「情報セキュリティ対策基準の例」も本文に示します。また、個人情報保護法が完全施行されたことについても触れています。
文科省調査によると、独自のポリシーを策定していない教育委員会が約5割あります。うち首長部局と同様のポリシーとしている教育委員会が3割強ありますが、首長部局は3層分離が基本となっており、クラウド活用を前提にした内容ではありません。
しかし校務DXによりクラウド化を進め利便性を上げるほど、ユーザの意識や運用に関するリテラシーが求められます。セキュリティポリシー即ちルールがない状態での運用・活用は大変危険です。
ID管理やゼロトラストネットワークに関しては現ガイドラインの参考資料でも示した13項目の例示に留め、細目や情報資産の洗い出しに関してはさらに次の改訂とし校務DX事業の成果も踏まえて進めます。
今後策定予定のICT環境整備指針との連携も図ることとなるでしょう。今回の改訂は、次の改訂も見据えたものといえます。
コストについては、校務DXにより上がるコスト、下がるコストがあることが予想されており、公表予定のハンドブックに盛り込みたいと考えています。
津島裕
㈱CYLLENGE代表取締役社長
■津島 ネットワーク統合によりリスクが高まる可能性についての対応が必要であると感じています。
弊社ではコロナ禍、リモートワークやメンテナンス用に利用していたSSL―VPN機器経由で社内ネットワークに侵入され、社内データ等をダークウェブ(標的型攻撃により取得した機微な情報等が公開される。アクセスには特殊通信経路が必要)に公開され、提供しているクラウドサービスがストップしました。自社で提供しているセキュリティ製品には侵入されず、顧客情報は窃取されなかった点は不幸中の幸いでした。
■髙橋 それは大変でしたね。VPN機器の脆弱性を狙うサイバー攻撃は継続して起こっているとレポートされています。各機器に脆弱性が発見され次第、迅速に対応することが大前提ですが、ゼロデイ攻撃という「修正パッチがリリースされていない」時期に攻撃されることもあります。
■津島 いわゆる二重脅迫型ランサムウェアです。予想以上に大変な経験でした。
データロック後、「身代金を支払わないとデータを復旧しない」、応じないと「データを拡散する」と二重に脅迫されます。弊社はすぐに個人情報保護委員会に報告・相談しましたが、中には攻撃を受けたことを隠す、もしくは大幅に報告を遅延する企業や自治体もあるようで、それが相手にわかると「攻撃を受けたことを公表する」という脅しもあるようです。
警察からは「身代金は決して支払わないように」と指導されました。身代金の支払いは反社会的勢力への資金提供とみなされる場合もあり、企業としては致命的です。
■髙橋 身代金を支払っても、解決にはなりません。支払ってデータが回復したことに安心してしまい、そのままでいると同じような手法で侵入され、同じ被害が繰り返されます。また、そもそもデータが回復する保障もありません。
攻撃を受けたことを隠し、それが明るみになったときのペナルティも大変なコストになります。個人情報漏えいの経緯は個人情報保護委員会で公開されることとなります。
■津島 この被害を受け、ダークウェブを定期的に監視すると共にテレワーク関連はゼロトラストの概念を採り入れて再構築・運用していますが、誰がどのような条件でアクセスすべきかを細かく設定する必要があり、運用負荷が上がることを実感しています。
■髙橋 校務DXではクラウドバイデフォルトとしてネットワークを統合して利便性を高めることを目的にしていますが、これまでのようなオンプレミスの情報システム中心の時とは異なる運用が必要になります。
その際は、どのような資産がどのような重要性を持つかを理解してリスク対策を施さなければなりません。セキュリティポリシー策定はそのためのものです。
「クラウド運用をしていないからポリシー策定は不要」なわけではありません。
■髙橋 校務DX事業では、秋田県と山口県で実証を進め、校務のクラウド化を進めていますが、2自治体の環境構成は大きく異なります。それぞれについてどう管理し、リスクを最小化できるかも検討します。今年度末には課題を洗い出し、校務DXガイドライン(仮称)を策定する予定です。
■津島 弊社にご相談頂く案件で最も多いのが「USBメモリの利用を廃止したい」というものです。弊社ではファイルサーバをクラウド化し、オンラインでつながりながらサーバ内で編集できる仕組みとして「SmoothFileクラウド」を提供しており、個人情報が含まれたファイルの流出を防ぐフィルタリング機能もあります。このほか「USBを特定端末でしか使えないように設定する」「USBメモリ内のデータを暗号化する」など、ハード的な対策は様々ですが、それと共にユーザの意識を高める両輪が必要であると感じます。
■髙橋 どのような製品を選んだとしても、セキュリティ意識を高める人的対策は重要です。
どんなに仕組みを強固にしても、標的型攻撃は日々巧妙になっており、ユーザのセキュリティ意識が低いと、簡単にウイルス攻撃を受けてしまいます。「アクシデントが発生した、ここに電話をかければサポートする」「ポイントを獲得した、クリックして受け取って」等のポップアップメッセージを見て電話をかけたりクリックしたりしてウイルス感染してしまう例はとても多いです。これは、攻撃を受けるためのドアを開けるようなものです。疑わしいメールやメッセージについては必ず上長や専門機関に相談する等を根付かせるなどセキュリティ意識を高めていくことです。
■津島 標的型攻撃は、脆弱性を見つけてそのリストを販売するグループ、それを購入して実際に攻撃・身代金を要求するグループ等分業が進み、巧妙化・ビジネス化しています。ランサムウェアを拡散すると報酬があるというアフィリエイトの仕組みもあります。最新の脅威について知るためにも、継続的な研修は必要ですね。
弊社ではeラーニングとテストがセットになった標的型攻撃メール対策訓練「CYAS(サイアス)」を提供しており、無料から始められます。怪しいメールを受信したり怪しいポップアップメッセージが出たりしたときに上長に報告することも必須としており、定期的にバージョンアップしています。
■髙橋 標的型攻撃による被害は甚大で国の存亡にかかわります。教員も子供も、標的型攻撃の危険をもっと認識しなければなりません。
eラーニングとテストがセットになっている仕組みは有効です。ある企業の情報を扱う部門は、定期的にテストを受けて100%正解しないと業務ができません。私も毎年受けています。首長部局でもマイナンバーを扱う職員は定期的にテストを行っています。
教育委員会や学校でも「聞いて終わる」研修ではなく、テストと一体化した研修とすること、かつその内容を専門的な知見から助言・更新してくれる仕組みを組み込むことは望ましいでしょう。
■髙橋 GIGAスクール構想も軌道に乗り始め、個別最適な学びと協働的な学びに向けた次のステップとしてGIGAスクール構想第2期が始まるところです。OECDのPISA2022でも日本の子供たちの頑張りが成果として表れていました。
GIGAスクール構想を校務にも生かし、働きやすく指導しやすくなる飛躍の年になるように、しっかり安心安全な環境を検討して参ります。
■津島 弊社がインターネット関連事業をスタートした当初は受託による開発が中心でした。今回のトラブルを経験したことで、安心安全について社会貢献していきたいとより強い思いを持つことができました。
しかし弊社製品のみであらゆる脅威に対応できるわけではありません。トータルにアドバイスできる企業を目指し、1月5日よりCYLLENGE(サイレンジ)と社名変更し、決意を新たにしているところです。サイバーとチャレンジの造語から生まれた社名とし、始めの一歩としてベトナムに現地法人を設置しました。東南アジアのセキュリティ意識はまだ高いとはいえず、日本品質を届けたいと考えています。今後も、日本の安全を海外製品ではなく日本の製品で守り、教育業界についてもサービス提供に留まらず、総合的にアドバイスできるようにしたいと考えています。
●改訂・改正された法令・指針に基づいて学校・教育委員会が運用する際の対応を追記
●ハンドブックの表現や内容をガイドラインで反映するなど読みやすさを向上
●オンプレミスのみを想定した書きぶりを見直し
●各対策(人的・技術的・物理的・運用)を適切な箇所に記載
●サーバ機器管理に廃棄等について加筆
●PC教室等の学習者用端末や電磁的記録媒体の管理を追加
●教職員の遵守事項を大幅加筆
●教育委員会事務局職員の遵守事項を新規追加
●不正プログラムについて、Emotet、ランサムウェア、フィッシングについて加筆
●クラウドサービスの情報セキュリティを把握するための第三者認証等の活用を新規で追加
●クラウドサービス活用の際の審議会対応項目を削除
●権限・責任等一覧表を大幅修正
東京都豊島区役所CISOなどを経て2018年合同会社KUコンサルティングを設立。総務省地域情報化アドバイザー/文部科学省ICT活用教育アドバイザー。文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」座長、同「教育データの効果的な活用を見据えた教育情報システムの在り方に関する調査研究事業推進委員会」座長、同「GIGAスクール構想の下での校務の情報化の在り方に関する専門家会議」委員ほか
2018年に創業50周年を迎えた情報セキュリティ専門家集団。ファイル送受信の効率化、ファイルやメールの無害化対策、標的型攻撃メール対策などを自社開発で提供。2024年1月より社名をCYLLENGE(サイレンジ)に変更
教育家庭新聞 新春特別号 2024年1月1日号掲載
