サイエンスパーク株式会社

サイト内検索
お問い合わせ

教育現場に求められるセキュリティ対策とは

 令和6年1月に文部科学省から教育情報セキュリティポリシーに関するガイドラインが改訂されました。このガイドラインは、地方公共団体の教育委員会が教育情報セキュリティポリシーの策定や見直しを行う際の参考情報として提供されています。教育情報セキュリティの基本理念と考え方について解説し、時代の変化に合わせて改訂されています。
 近年、GIGAスクール構想の推進やクラウドサービスの活用が進み、個別最適な学びや協調的な学びを実現するための基盤が整ってきました。さらに、校務DXに関する取りまとめでは、パブリッククラウド環境を前提とした次世代の校務DXの姿が示され、セキュリティの重要性が強調されています。
 教育DXの進展に伴い、教育機関におけるセキュリティ対策がますます重要になっています。地方公共団体や教育委員会は、教育情報セキュリティポリシーを策定し、その実施を推進することが求められていますが、教育機関における独自のセキュリティポリシーの策定率が令和5年の時点で50%と低い状況です。しかし、今回の改訂により教職員の働き方の自由度は向上されていますので、セキュリティ対策は必然的に必要となってくると考えています。

 今回の記事では、令和6年1月に公開された教育情報セキュリティポリシーに関するガイドラインの差分とそのポイント、およびそのセキュリティ対策についてご紹介いたします。

目次

1.教育情報セキュリティポリシーに関するガイドラインの改訂内容
2.クラウドサービスの活用
3.クラウドストレージを活動する際の課題と対策

1.教育情報セキュリティポリシーに関するガイドラインの改訂内容

今回、改訂された内容のポイントは、下記の通りです。

(1) 教育現場におけるパブリッククラウドの活用を前提とした記載内容の拡張

 パブリッククラウドとプライベートクラウドが混合しないようにクラウドの定義を明確化。各ネットワーク統合を前提として、パブリッククラウド活用におけるセキュリティ対策の必要性が追記。

(2) 各種関連法令、方針の改訂、改正に伴う対応

 地方公共団体における情報セキュリティポリシーに関するガイドラインへの対応などを実施。昨今のサイバー攻撃(例:ランサムウェア、Emotet、フィッシング)の特徴と対策についても記載されています。

(3) 各自治体における教育情報セキュリティポリシーの策定推進に向けた読みやすさの向上

 ガイドラインの全体的な校正の見直しや教育現場での活用が想定されるパブリッククラウドサービスを例示。自治体がセキュリティ対策を検討する際に考慮すべきサービスの対象を明確化しています。

2.クラウドサービスの活用

 ガイドラインでは、「第3章 教育現場におけるクラウドの活用について」が大きく変わっています。クラウドサービスの利用におけるメリット、定義や分類などクラウドサービスを教育現場で大きく活用することを訴求する内容になっています。
 また、クラウドサービスにおいては、プライベートクラウドだけではなく、パブリッククラウドの活用にも触れており、パブリッククラウドを検討する場合には、クラウド事業者の信頼性の確認だけではなく、監査報告書などからクラウド利用者がサービス利用の可否を判断することが求められています。クラウドサービスの情報セキュリティを把握するための第三者認証等の活用として、ISO/IEC 27001や米国FedRAMP、政府情報システムのためのセキュリティ評価制度(ISMAP)などが挙げられています。

3.クラウドストレージを活動する際の課題と対策

(1) 課題

 教育現場では、ネットワーク環境を校務系、校務外部接続系、学習系と分けて運用している形が従来の方式でした。つまりは、境界型のセキュリティ対策を行うことで、機密情報に対して外部からアクセスをできないようにする対策となっていました。

 今後は、ネットワーク構成が大きくかわります。
 クラウドサービスを軸として、様々な環境下で職員の方々は業務を行うことができるようになります。
 しかしながら、機密情報(生徒の成績や個人情報など)を学習端末と同じ環境からアクセスできてよいのかなどの課題がでてきます。クラウドサービスは、基本的に1つのテナントに対して、1ユーザーに1種類のアクセス権限という形となっているため、環境に応じたアクセス権限を切り替えることは難しいです。
 環境毎にクラウドサービスを契約する方法もありますが、コスト増や職員への業務負担が発生してしまうため現実的ではありません。

(2) 対策

 教職員の方々が働きやすいようにネットワーク構成が変わることは、非常に素晴らしいことですが、やはりセキュリティ対策は必要となります。機密性の高い情報は、職員室のネットワークからしかアクセスさせないなど機密性の高い情報を保護することが重要です。
 クラウドサービスは、ユーザーの認証をID/PWや多要素認証などで行いますが、どの場所からアクセスしてきたのか(ローケーションの判別)まで実施するサービスは少ないことが現状です。
 弊社が提供しているCL-UMP(クランプ)は、ユーザーがどの環境からアクセスしてくるのかを自動で判別し、場所に応じてユーザーのアクセス権限を切り替えることが可能です。

 ユーザーは従来通りにクラウドサービスへアクセスを行うだけ、特別な操作は不要です。ログイン操作を行うとバックグラウンドでCL-UMPがユーザーの場所を判別し、適切なアクセス権限に切り替えてくれます。これにより、職員室では、機密性の高い情報の操作を行い、学習環境から同じアカウントでクラウドサービスへログインした際には、機密性の高い情報は閲覧できないなどのコントロールが可能です。
 また、生徒に対しても有効にすることで、クラウドサービス側の設定とCL-UMPのに二重設定を行うことで、クラウドサービス側の設定ミスによる情報漏えいの防止にもつながります。

CL-UMPの詳細については、下記サイトをご覧ください。