令和6年1月に文部科学省から教育情報セキュリティポリシーに関するガイドラインが改訂されました。このガイドラインは、地方公共団体の教育委員会が教育情報セキュリティポリシーの策定や見直しを行う際の参考情報として提供されています。教育情報セキュリティの基本理念と考え方について解説し、時代の変化に合わせて改訂されています。
　近年、GIGAスクール構想の推進やクラウドサービスの活用が進み、個別最適な学びや協調的な学びを実現するための基盤が整ってきました。さらに、校務DXに関する取りまとめでは、パブリッククラウド環境を前提とした次世代の校務DXの姿が示され、セキュリティの重要性が強調されています。
　教育DXの進展に伴い、教育機関におけるセキュリティ対策がますます重要になっています。地方公共団体や教育委員会は、教育情報セキュリティポリシーを策定し、その実施を推進することが求められていますが、教育機関における独自のセキュリティポリシーの策定率が令和5年の時点で50%と低い状況です。しかし、今回の改訂により教職員の働き方の自由度は向上されていますので、セキュリティ対策は必然的に必要となってくると考えています。

　今回の記事では、令和6年1月に公開された教育情報セキュリティポリシーに関するガイドラインの差分とそのポイント、およびそのセキュリティ対策についてご紹介いたします。

目次

1.教育情報セキュリティポリシーに関するガイドラインの改訂内容
2.クラウドサービスの活用
3.クラウドストレージを活動する際の課題と対策

1.教育情報セキュリティポリシーに関するガイドラインの改訂内容

今回、改訂された内容のポイントは、下記の通りです。

2.クラウドサービスの活用

　ガイドラインでは、「第3章 教育現場におけるクラウドの活用について」が大きく変わっています。クラウドサービスの利用におけるメリット、定義や分類などクラウドサービスを教育現場で大きく活用することを訴求する内容になっています。
　また、クラウドサービスにおいては、プライベートクラウドだけではなく、パブリッククラウドの活用にも触れており、パブリッククラウドを検討する場合には、クラウド事業者の信頼性の確認だけではなく、監査報告書などからクラウド利用者がサービス利用の可否を判断することが求められています。クラウドサービスの情報セキュリティを把握するための第三者認証等の活用として、ISO/IEC 27001や米国FedRAMP、政府情報システムのためのセキュリティ評価制度(ISMAP)などが挙げられています。

3.クラウドストレージを活動する際の課題と対策

　今後は、ネットワーク構成が大きくかわります。
　クラウドサービスを軸として、様々な環境下で職員の方々は業務を行うことができるようになります。
　しかしながら、機密情報(生徒の成績や個人情報など)を学習端末と同じ環境からアクセスできてよいのかなどの課題がでてきます。クラウドサービスは、基本的に1つのテナントに対して、1ユーザーに1種類のアクセス権限という形となっているため、環境に応じたアクセス権限を切り替えることは難しいです。
　環境毎にクラウドサービスを契約する方法もありますが、コスト増や職員への業務負担が発生してしまうため現実的ではありません。

　ユーザーは従来通りにクラウドサービスへアクセスを行うだけ、特別な操作は不要です。ログイン操作を行うとバックグラウンドでCL-UMPがユーザーの場所を判別し、適切なアクセス権限に切り替えてくれます。これにより、職員室では、機密性の高い情報の操作を行い、学習環境から同じアカウントでクラウドサービスへログインした際には、機密性の高い情報は閲覧できないなどのコントロールが可能です。
　また、生徒に対しても有効にすることで、クラウドサービス側の設定とCL-UMPのに二重設定を行うことで、クラウドサービス側の設定ミスによる情報漏えいの防止にもつながります。

CL-UMPの詳細については、下記サイトをご覧ください。