文部科学省は1月末、「教育情報セキュリティポリシーに関するガイドライン」改訂版を公表した。今回の改訂は、①「GIGAスクール構想の下での校務の情報化の在り方に関する専門家会議」の提言等を踏まえた教育情報セキュリティの考え方の提示、②関連法令・指針の改訂・改正に伴う対応、③各自治体における教育情報セキュリティポリシーの策定推進に向けた読みやすさ向上のための構成等についての見直しを目的に実施し、最新版の用語定義を反映している。本改訂のねらいを高橋氏が解説した(2月19日教育委員会対象セミナー講演より)。
「教育情報セキュリティポリシーに関するガイドライン」改訂版が公表されました。
今回の改訂版は、今後のさらなる改訂のための最初の一歩といえるもので、先んじて公表したのは理由があります。
それは「各教育委員会のセキュリティポリシー策定」の推進のためです。
文科省調査によると、独自のポリシーを策定していない教育委員会が約5割あり、うち首長部局と同様のポリシーとしている教育委員会が3割強となっています。しかし首長部局は3層分離が基本となっており、クラウド活用を前提としたポリシーではありません。クラウド活用を前提としていないポリシーのままでクラウド活用を前提とした教育を進めようとするとルール違反につながります。
そこで「読みやすさ向上」を目的としたガイドライン改訂を早々に出すことで、独自のセキュリティポリシー策定に着手して頂きたいという考えです。
これは「首長部局を無視して教育向けのポリシーを策定する」という提案ではありません。首長部局の基本方針に則りつつ、教育のためのポリシーすなわち「学校を対象とした対策基準」を教育委員会として策定することを本ガイドラインでは提案しています。それを受け、学校では、学校独自で実施手順を考えるという構造とし、各学校ならではの微調整を可能としています。
中には「うちは校務をクラウド化していないのでクラウドを前提としたポリシー策定は不要である」という意見もあるかもしれません。
確かに、文科省調査によると「オンプレミスで校務を運用している」教育委員会は4割弱あり、自宅から校務支援システムを活用できない教育委員会は7割以上(システム未導入を含むと9割以上)となっています。さらに校務支援システム以外の業務システムであっても校外からできる環境にあるのは1割以下です。校務のクラウド活用は肌感覚以上に進んでいないという現状です。
これまで校務は、安全性を図るためにネットワーク分離されたオンプレミス環境で行うのが常識であったため、発展途上の段階です。これをフルクラウド化していこうというのが文科省の方針です。
そこで本ガイドラインはフルクラウド化前であっても実現が可能である「ユーザ認証」を徹底すること=アクセス制御の仕組みの導入から始めることを推奨しています。
アクセス制御とは、誰がどのような情報にアクセスを可能とするのかを整理・対策するものです。校務DXは進んでいなくても子供の学びに関したクラウド活用は進んでいる、という自治体もあるでしょう。端末の持ち帰りも推奨されています。持ち帰りの際にはアカウント管理やログ管理といった運用に対するアクセス制御の考え方はこれまで以上に重要となります。
校務用端末や児童生徒用端末において、必要な対策を実現するセキュリティ製品を複数組み合わせて情報を守る仕組みがゼロトラストの仕組みです。多要素認証やSSO(シングルサインオン)、通信経路の暗号化、Webフィルタリング、MDM、アンチウイルス、データ暗号化、IDSなどの仕組みがあり、例えば児童生徒用端末であればMDMやアンチウイルス、データ暗号化、等により安全を講じることが考えられます。
中でもユーザ認証の徹底は、ゼロトラストネットワークでは必須となる仕組みであり、対策基準を考える際の基本となるものです。
例えば管理職はどのような状況であればどの情報にアクセスしても安全か、教員はどうか等を整理し利便性の面も考えながら必要な対策を講じるのです。それが「学校を対象にした対策基準」です。
まずは本ガイドライン改訂をきっかけに、現在のクラウド環境を活かしかつ安全も図ることができるような「クラウド活用を前提とした学校向け対策基準」の策定への着手をお願いしたいと考えています。
本ガイドラインは次年度以降さらにアジャイル方式でアップデートすることを予定しています。
教育委員会は、まずはデジタル化で紙やUSBからの情報漏えいを止めるとともにクラウド活用の際は認証規格の取得を確認して下さい。
また事業者は、すべての製品にセキュリティ対策機能を標準装備するとともにセキュリティについては総合的な提案をお願いしたいと考えています。
教育家庭新聞 教育マルチメディア号 2024年3月4日号掲載
