【解説記事②】教育情報セキュリティポリシーに関するガイドライン（文部科学省策定）

2022年6月19日2023年8月22日

本記事では、令和4年3月に一部改訂された「教育情報セキュリティポリシーに関するガイドライン」（文部科学省策定）に関して、内容を解説するとともに、このガイドラインの背景にある企業や組織を取り巻くセキュリティ環境や今後意識すべき対策のポイントをご紹介いたします。あくまでＳＣＳＫの見解となり、内容を保証するものではありませんので、ご了承ください。

今回は、学校教員における情報セキュリティ資産の管理についての解説となります。

教員における情報資産管理

多くの教員が、一般企業と同様に業務でデバイスを利用していますが、不正アクセス防止のため、ログイン時にはID・パスワードによる認証に加えて多要素認証（※1）の実施をするなど、使用目的に応じて適切な措置がとられていなくてはならない、と本ガイドラインで明記されています。教員がアクセスする情報には、学籍情報や児童生徒の成績・健康診断の結果など個人情報にあたるデータも多く、情報漏洩のリスクを可能な限り小さくする必要があります。また、教育現場の実態として、成績処理等を自宅で行うために、教員が個人情報を自宅に持ち帰る場合もあり、実際に個人情報が書き込まれた電子データを紛失することにより懲戒処分等を受けた教員がいることも事実としてあります。さらには、校務系システム等のクラウドサービス活用が広がってきており、コスト削減や情報システムの迅速な整備、テレワーク環境の実現等に寄与する可能性が大きい一方で、不正アクセスや情報流出のリスクも高まっています。特に機微な情報資産となる校務情報を守るために、教員一人ひとりがデバイスの紛失等に気を付けることは当然として、紛失してもインシデントにならないような対策が早期に必要となります。実際の対策として、以下が本ガイドラインにも記載されています。

（注１）モバイル端末の持ち出しを許可した場合にも、モバイル端末は常に携行することを教職員等に周知する必要がある。特に交通機関（電車、バス、自家用車等）による移動時の携行に際しては、紛失、盗難等に留意する必要がある。

（注２）共用しているモバイル端末の持ち出しでは、管理者が不明確になりやすく、その結果として所在不明になりやすいので特に注意する必要がある。

（注３）持ち出し専用パソコンによる情報の持ち出しにおいては、万一当該パソコンを紛失した場合に、記録されている情報を容易に特定するため、日常においては当該パソコンに情報を記録しないようにし、持ち出し時においては持ち出し情報が必要最小限であるかどうか確認を行った上で情報を記録し、返却時においては情報の完全削除をするといった運用を行う必要がある。

（注４）テレワークを導入する場合は、認証による本人確認手段の確保と、通信する情報の機密性に応じて、ファイル暗号化、通信経路の暗号化等の必要な措置を取ることが求められる。なお、テレワークセキュリティ対策については、「テレワークセキュリティガイドライン（第5版）」（令和3年5月総務省）を参照されたい。

（注５）教職員の場合、仕事の持ち帰りが多い実態に鑑み、校務系情報については、その多くが個人情報であることを改めて認識し、各地方公共団体において安全管理措置（安全確保の措置）を徹底すること。

※1 取り扱う情報の重要度等に応じて前述したパスワード等の知識認証、生体認証（指紋、静脈、顔、声紋等）、物理認証（ICカード、USBトークン、トークン型ワンタイムパスワード等）のうち、異なる認証方式2種類を組み合わせた多要素認証を利用することによって、よりセキュリティ機能は強化されることになる。

教員のシステム利用をよりセキュアに使いやすく　～シングルサインオン＋多要素認証の導入～

教育現場においても校務系システムや校務外部接続系システム、学習系システム等、複数のシステムへ一日の間に何度もアクセスする機会が多くあります。本ガイドラインには、各システムへのアクセス制御を行い、利用者登録を厳格に行うとともに、そのIDとパスワードを厳重に管理する必要があるとの記載にあわせ、教職員等の負担を十分考慮した仕組みを導入することが望ましいとして、シングルサインオン（※2）と多要素認証の併用についても記載しています。昨今クラウドサービス活用が増える教育現場において、シングルサインオンを用いることで認証にかかる手間を大幅に減らすことが出来るでしょう。

アクセス制御による対策を講じたシステム構成等においては、情報セキュリティ管理者の包括的承認を行う等、運用実態や教職員等の負担も考慮し検討する必要がある。また、端末アクセス時のログインパスワードの徹底、多要素認証の利用を行い、不正アクセスを防ぐことが重要である。

※2 一度のID・パスワードによるユーザー認証によって複数のシステム（クラウドサービスやアプリケーション等）の利用が可能になる仕組み。

ＳＣＳＫによる注目ポイント

情報デバイスを使用することは業務効率化となる反面、悪意ある攻撃者へ攻撃手段を提供することともいえます。本ガイドラインにもある通り、デバイスを管理し、仮に紛失等が発生してもただちにクリティカルなインシデントにならないような対策をするべきであり、ＳＣＳＫとしては情報の重要度によって多要素認証を用いることを推奨しております。ＳＣＳＫが取り扱う多要素認証デバイス「YubiKey」は、その有効なツールの一つとなります。スマートフォン等を利用して多要素認証を行うことも可能ですが、学校現場でスマートフォンを使用する場合は、個人（プライベート）端末を使用することになるでしょう。その個人端末の管理をどうするのかという問題もありますし、個人のスマートフォンを本人認証に使用することは、セキュリティ上の懸念が残るともいえます。セキュリティに特化した物理セキュリティキーで多要素認証を行う方が運用面、セキュリティ面から優れているといえます。

実際の運用現場においては、利便性が低いツールは受け入れられません。セキュリティを求めるあまり、使い勝手が悪くなると、そのツールは使わなくなるか、或いはユーザーが抜け穴を探すことに繋がってしまいます。（参考リンク：人間特性に起因：誰も使いたがらないセキュリティツールはゴミ箱行き）多要素認証を実現することは、ユーザーにとって認証のステップを従来（ID・パスワード）より１つ増やすことになり、その認証回数が使用サービスの分だけ増加することとなります。シングルサインオンと多要素認証を組み合わせて使うことによって、セキュリティ性と利便性を担保することができるのです。