教育情報セキュリティポリシーに関するガイドラインの改訂ポイントとは?
文部科学省の指導により、学校のICT化に向けた環境整備が進められています。
学校現場で、コンピュータや情報通信ネットワークなどを用いて学習活動を行うとともに、統合型校務支援システムを用いた業務の推進が行われています。このような取り組みが進む一方で、セキュリティ関連の事故も発生しており、外部からの不正アクセスや媒体の紛失などへの対策もより重要となりました。
こうした状況を受けて、文部科学省では「教育情報セキュリティポリシーに関するガイドライン」を発表しました。
教育情報セキュリティポリシーは時代の変化に即して改訂されており、各組織や学校のIT担当者にとって注目すべき内容となっています。
本記事では、教育情報セキュリティポリシーの概要とともに、改訂のポイントについて解説します。
教育情報セキュリティポリシーに関するガイドラインの概要と目的
文部科学省は2017年10月に、「教育情報セキュリティポリシーに関するガイドライン」を策定しました。その内容を紹介します。
ガイドラインの概要
教育情報セキュリティポリシーに関するガイドライン」は、学校におけるICTのセキュリティに関する考え方を定めた文書です。
学校運営において懸念される情報の漏えいや消失、不正アクセスによる情報の搾取や改ざんなどを防ぐために有効な、さまざまな取り組みが掲載されています。教育現場ということで大人だけではなく、子どもが使用することも念頭においた対策も盛り込まれています。
具体的には、組織体制の確立、児童・生徒のアクセスリスクへの対応、教職員のセキュリティに関する意識の熟成、などの6つの基本理念に基づいた対策基準の例がまとめられています。
ガイドラインが必要とされる背景
全国の児童・生徒が1人1台の端末を持ち、個人に合った学びが得られるようにするGIGAスクール構想をはじめ、教育DXの推進によって、学校・教育現場でのICTの活用が進んできました。
一方で、トラブルも起きやすくなっています。例えば、個人情報への不正アクセスや、媒体の紛失などの事例が報告されています。児童・生徒が日常的に端末を使用するなか、インターネット上でトラブルに巻き込まれる可能性も高まっています。
文部科学省は2023年3月8日に、「GIGAスクール構想の下での校務DXについて~教職員の働きやすさと教育活動の一層の高度化を目指して~」を公表しました。同資料には、今後の校務DXの方向性や、取り組むべき施策などが示されています。
*参考:GIGAスクール構想の下での校務DXについて~教職員の働きやすさと教育活動の一層の高度化を目指して~|文部科学省
ガイドラインの目的
「教育情報セキュリティポリシーに関するガイドライン」は、不正アクセスや情報流出、ITリテラシー不足によるトラブルなどから教育現場を守るために策定されたガイドラインです。学校でICTの活用が一般化するなかで、教職員や児童・生徒が安心して活用できるように文部科学省が策定しました。
これまでにも複数回改訂が行われました。詳しい改訂内容は次章で紹介します。
実施手順は各組織、各校で定める
ガイドラインでは文部科学省と総務省によって基本方針や対策基準が策定されていますが、具体的に実施する際の手順は各組織、学校が定めることとなっています。
ガイドライン改訂の背景
「教育情報セキュリティポリシーに関するガイドライン」は2017年の策定以降、IT環境を巡る変化や、GIGAスクール構想の前倒しもあり、随時改訂されています。
デジタル環境は常に変化していくため、改訂についても目を通しておくことは重要です。
GIGAスクール構想の前倒し
GIGAスクール構想における1人1台端末を実現し、クラウドサービスを利用するにあたり、セキュリティ対策や通信環境の強化への取り組みが必要となりました。
また、2020年に始まったコロナ禍に伴い、当初2023年度に整備完了予定であったGIGAスクール構想が前倒しで実施されたこともあり、急速な普及への対応として新たなセキュリティの枠組みが必要になったことも改訂の背景です。
教員の端末持ち出しに関するガイドライン
これまでは、教育機関内にサーバーや通信回線を設置し、オンプレミス型のシステム環境で校務を行うのが一般的でした。
しかし、授業でのクラウドサービスの利用が増え、教職員の働き方について効率化を図るためにクラウドを活用する動きも強まりつつあり、ガイドラインの改訂が必要となりました。クラウドサービスはインターネット経由で提供されるため、情報漏えいや不正アクセスへの対策についての情報も追記されています。
ガイドライン改訂の具体的な変更箇所
ここからはより詳しく、改訂のポイントについて紹介します。
端末整備推進に伴う新たなセキュリティ対策に関する改訂(令和3年5月改訂)
児童・生徒が1人1台、学習者用端末を持つことを想定して、学校内外で端末を使用する際や、クラウドサービスを活用する際のID管理などのセキュリティ対策の記述が追加されました。
児童・生徒が転出や卒業、退学などで移動する際の管理の重要性についても記載されています。
教育情報ネットワークのあり方に関する改訂(令和3年5月改訂)
1人1台の端末を活用する際の、新たな教育情報ネットワークについて整理することについて改訂しています。
ネットワーク分離を必要としない認証によるアクセス制御を前提に、目指すべき構成が明確化されました。
具体的には、機密性の高い情報へアクセスする際は多要素認証を導入することや、学習者の端末を学習用システムへのアクセスのみに制限することで、校務システムなどへの不正アクセスを防止するといった対策が求められます。
校務用端末に関する詳細なセキュリティ対策を追記(令和4年3月改訂)
パソコンやモバイル端末を適切に管理するための対策が追加されています。
モバイルでの端末利用は、盗難や紛失、情報漏えい、不正利用に対する防止策が必要になります。リスクベース認証、挙動から悪意あるプログラムを見つけ出す「ふるまい検知」「マルウェア対策」「暗号化」「SSO(シングルサインオン)」の有効性などについて記述されました。
「教職員等の遵守事項」に校務端末の持ち出しに関する記述を適正化(令和4年3月改訂)
教職員が、情報資産の不正使用や、不適切な取り扱いによるコンピュータウイルス感染や情報漏えいを防ぐためにルールが定められています。改訂では、端末の持ち出しに関する記述が適正化されました。
ネットワーク分離による対策を講じている場合、教育ネットワークに接続する端末は原則持ち出し不可ですが、情報セキュリティ管理者の許可のもと、必要最小限の範囲で持ち出しが可能とされました。
一方、アクセス制御による対策を講じている場合は、端末を学校外に持ち出すことを一律に禁止するのではなく、情報セキュリティ管理者が持ち出しの許可について検討することが明記されました。その際、アクセス制御により安全性が担保できることを確認した上で、業務上必要な場合に限り持ち出しを認めるといった運用が想定されます。このように、ネットワーク構成に応じて、端末の持ち出しに関するルールの適正化が図られました。
「コンピュータ及びネットワークの管理」中、校務端末の使い分けに関する記述を適正化(令和4年3月改訂)
ネットワーク分離による対策をしたシステム構成を利用する際には、ネットワークによって端末を使い分けるように指導しています。
一方、アクセス制御による対策を講じたシステム構成の場合は、アクセス制御を徹底すれば、1台の端末での運用が可能としています。
強固なアクセス制御でのセキュリティの確保を追記(令和6年1月改定)
強固なアクセス制御による対策が具体的に明示されました。
例えば教職員が使用するネットワークや端末は、機密度が高い情報・データを扱います。そのため「多要素認証」「SSO」「通信経路の暗号化」「Webフィルタリング」「MDM」「アンチウイルス」「データ暗号化」「IDS/IPS」の導入によるセキュリティ確保が必要となります。
随時改訂が行われるため常に最新のガイドラインを参照することが必要
2017年10月に文部科学省によって「教育情報セキュリティポリシーに関するガイドライン」が公表されました。同ガイドラインは、主に地方自治体が設置している小・中・高校でのICT環境におけるセキュリティの考え方を取りまとめたものです。
文部科学省では、GIGAスクール構想をはじめ教育機関のDXを推進していますが、急激に変化したICT環境に慣れる間もなく、運用ミスなどによるトラブルも発生しています。そこで、文部科学省は公表している「教育情報セキュリティポリシーに関するガイドライン」について、随時改訂を行っています。
ガイドラインの内容を各校の運用ルールに落とし込み、操作ミスなどによるトラブルが発生しにくい使い方をルール化することで、安全な状況で、ICTによる生徒のための教育と、教員のための働きやすさを実現しましょう。
インテックでは、文部科学省のGIGAスクール構想や、教育情報セキュリティポリシーガイドラインに沿って『校務のクラウド化支援』を提供しています。
インテックの『ID認証サービス(認人)』や『マネージド型クラウドサービス(EINS/SPS Managed)』『WAF構築サービス』で構成したネットワークと、統合型校務支援システム、クラウドストレージを組み合わせて、校務で必要となるシステムをクラウド上で利用できるようにするサービスです。
教育DXを進めていく際にセキュリティでの不安をお持ちの企業・教育施設のご担当者は、ぜひ一度ご相談ください。
*インテックが提供する「校務のクラウド化支援」の詳細はこちらのページをご覧ください
校務のクラウド化支援*事例紹介ページにて高岡市教育委員会様の取り組みについても詳しく紹介しています。
事例紹介最新版文部科学省セキュリティガイドラインに則した校務のクラウド化で、教職員の働き方が変化!
支えるのは「技術・制度・運用が揃った教育情報セキュリティ管理基準」と「インテックの技術力」
公開日 2024年05月17日
資料ダウンロード
-
ゼロトラストセキュリティで実現!安全な校務のクラウド化とは
これまで学校現場では、内部ネットワークのなかにサーバを構築し、限定した場所や端末から内部ネットワークを利用する「オンプレミス」でのシステム形態が主流となっていました。しかし、これからはどこからでもアクセスして校務が行える「クラウド化」の実現が求められます。
クラウド化をゼロトラストセキュリティで安全に実現するためのポイントを紹介します。
お問い合わせ
Webから問い合わせるあわせて読まれているコラム
関連する商品・サービス
- 校務のクラウド化支援
- 可用性、安全性に優れた環境で、校務支援関連システムを利用いただけるゼロトラスト型のID/端末認証環境、クラウド基盤をご提供いたします。
- ID認証サービス(認人)
- クラウドサービスの認証を一括で管理するクラウド認証サービス
- マネージド型クラウドサービス(EINS/SPS Managed)
- 専門スタッフがオーダーメイドで環境構築から運用まで対応するクラウドサービス
- WAF構築サービス
- 公開Webサービスへの攻撃などの脅威に対応するためのサービス