本記事では、令和4年3月に一部改訂された「教育情報セキュリティポリシーに関するガイドライン」(文部科学省策定)に関して、内容を解説するとともに、このガイドラインの背景にある社会全体における環境変化や今後意識すべきセキュリティ対策のポイントをご紹介いたします。あくまでSCSKの見解となり、内容を保証するものではありませんので、ご了承ください。
ガイドライン策定と令和4年3月改訂の背景
日本の教育分野におけるICT活用は国際的に見ても遅れを取っている状況があります。文部科学省はこの危機的状況に警鐘を鳴らし、教育現場においても早期にネットワーク環境が整備されるよう、GIGAスクール構想(※1)やその実現に向けたICT環境整備の推進活動などを積極的に実施しています。一方で、セキュリティポリシーは組織ごとに異なっており、どの組織も一定以上のセキュリティ基準を担保できている状況とは言えません。ICT化推進に伴い、学校でもオンプレミスからクラウドへの環境移行も加速している中で、教育現場においてもこれまで以上にセキュリティの脅威にさらされ、標的型攻撃やフィッシング等による被害も拡大しています。そのような背景から、各教育委員会や学校が情報セキュリティポリシーの策定や見直しを行う際の参考となるよう、文部科学省によって平成29年10月に「教育情報セキュリティポリシーに関するガイドライン」を策定されました。このガイドラインは、これまでに2回(令和元年12月、令和3年5月)改訂されており、今回3回目となる令和4年3月改定の背景には、クラウドサービスが急速に進化・発展し、社会全体がクラウドの活用へとシフトしている状況が大きく関わっているのです。
※1.GIGA=Global and Innovation Gateway for Allの略語で、学校に高速大容量のネットワーク環境(校内LAN)の整備を推進し、義務教育段階の児童生徒一人ひとりが端末を持ち、十分に活用できる環境の実現を目指して文部科学省が推進している施策。
ガイドラインの概要
教育情報セキュリティポリシーに関するガイドラインは、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づいた6つの基本理念に、学校を想定した「対策基準」を定めています。本来、情報セキュリティポリシーは、地方公共団体すべてを包括するポリシーであることが重要ですが、学校は児童生徒も想定した情報セキュリティ対策を講ずる必要があるため、地方公共団体の情報セキュリティポリシーを基本としながらも、学校現場にあわせた適切な「対策基準」が必要です。その「対策基準」の部分が、本ガイドラインの対象範囲となりますが、令和4年3月改訂版では、GIGAスクール構想をはじめとした各施策とクラウドへの適切なアクセス実現のための「実施手順」についても示されています。
<6つの基本理念>
①組織体制を確立すること
②児童生徒による重要性が高い情報へのアクセスリスクへの対応を行うこと
③標的型及び不特定多数を対象とした攻撃等による脅威への対応を行うこと
④教育現場の実態を踏まえた情報セキュリティ対策を確立させること
⑤教職員の情報セキュリティに関する意識の醸成を図ること
⑥教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること
教育現場を脅威から守るための「教育情報セキュリティポリシー」とその実施手順
本ガイドラインでは、学校で取り扱う情報資産について、機密性・完全性・可用性を踏まえ、重要性を分類し、その重要度等に応じた適切な取り扱い例なども明示しています。
(情報資産の例示)
SCSKによる注目ポイント
本ガイドラインにも記載されていますが、GIGAスクール構想などの取り組みによって、学校や教育現場が急速にICT化へ舵を切っているなか、情報セキュリティへの対策は十分とは言えない状況です。企業のみならず学校などの教育現場においても、多くの機密データや個人情報を取り扱っている以上、教育現場に関わる担当者に対するセキュリティ意識向上の取り組みが非常に重要であると考えます。また、今回の令和4年3月改訂版において特に注目ポイントと言えるのが、「多要素認証」(※)に関する記述が増えている点です。情報資産の重要性による分類については、先に述べていますが、重要度の高い資産においては特に多要素認証によって、アカウントの保護とセキュアなアクセスを担保することが重要です。
(※)多要素認証(MFA:Multi-Factor Authentication)とは、パスワードや秘密の質問などにあたる「知識情報」、携帯電話やハードウェアトークンなどの「所持情報」、指紋や静脈・声紋などの「生体情報」の認証における3要素のうち、2つ以上を組み合わせて認証を行うこと
弊社では、多要素認証デバイス「YubiKey」を利用した多要素認証ソリューションのご提案が可能ですので、ぜひお気軽にご相談ください。詳細を知りたい方はこちら。
次回の解説記事第2弾は、学校教員に関する情報セキュリティ資産の管理についてとなります。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部