TECHNOLOGY

テクノロジー

今求められる教育情報セキュリティへの対策とは。文科省がガイドラインを策定

2017年10月文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を発表した。
学校教育を守るため、ITセキュリティ体制の整備が急務となっている。現代の脅威に対し、学校はどのような対策を打ち立てるべきなのか。
学校のITセキュリティの現状と課題を見ながら、有効策とするためのポイントについて考える。


学校が考慮すべき情報リスクとは

より効率の良い学習体制をつくるために、ICT(情報通信技術)の教育への導入を促進するという国の指針が公表されたことを受け、現場ではタブレットや電子黒板などの情報端末の利用が進められている。

急激に変化する学校環境の中で、情報リスクへの管理体制の整備が急がれる。
2017年10月には、文部科学省が設置した「教育情報セキュリティ対策推進チーム」による「教育情報セキュリティポリシーに関するガイドライン」が公表された。
教育情報セキュリティポリシーの基本的な考え方としては、次の6項目が挙げられている。

  • ・組織体制の確立
  • ・生徒による機微情報へのアクセス制御
  • ・標的型攻撃等への対策実施
  • ・教育現場の実体を踏まえた情報セキュリティ対策の確立
  • ・教職員の情報セキュリティ意識の醸成
  • ・教職員の業務負担軽減とICTを活用した多様な学習の実現

具体的には情報資産の分類を行い、責任者による適切な管理が求められる。
また、サーバーの設置、配線・電線の保守管理といった物理的セキュリティ、教職員や取扱者に対するルール設定や教育といった人的セキュリティ、標的型攻撃や不正アクセス、情報漏えいに対する技術的セキュリティについても規定している。

こうした厳密な管理が要求される背景としては、学校の情報リスクに対する危機管理の甘さが指摘されている。
過去の事例として挙げられるのは、パソコンの紛失や盗難による児童・生徒の重要な情報の漏えい、不用意な添付ファイルの操作によるウイルス感染、Winnyなどファイル共有ソフトによる情報流出といった事件である。
不用意な行動、故意、悪意の結果に関わらず、情報リスクへの意識の欠如は、学校運営や児童・生徒の将来に大きな影響を及ぼしかねない。
学校全体で情報リスクへの管理を強化し、前時代には存在しなかった脅威に対する、最大限の防御態勢を準備する必要がある。


学校のITセキュリティ対策の現状と課題

教育機関を対象に行った調査によると、各施設で情報セキュリティポリシーが策定されながら十分な機能を果たしていないケースが多く見られた。

例えば、教職員個人の責任について規定しながら、それを管理する責任者や管理者の役割が明確でない場合も少なくない。
統括的な役割が果たされないため、最終的な責任は個人に任せられているのが現状だ。情報セキュリティポリシーの作成や運用を、セキュリティ関連会社に丸投げしており、形式上のものになっているところもある。
セキュリティポリシーをまとめた冊子は、専門用語の羅列であるため、現場で深く理解が得られず、中にはほとんど目が通されていない可能性もある。

同じ調査によると、個人情報の紛失・盗難・漏洩やウイルス感染の拡大など、情報リスクに関わる事故や問題発生の多くは一般教職員によるものだ。
もっともリスクが高まる部分でありながら、理解の浸透が不十分である。これまで情報セキュリティポリシーが策定されていながら、十分な認知が得られていなかった背景としては、情報リスク教育が情報教育担当者などのごく一部に対するものにとどまってきたことが考えられる。

一般教職員のITリテラシーの低さから、重大性への認識が薄く、教育の第一線では情報リスクについての施策がなされてこなかった。
情報セキュリティに関するニュースがたびたび報じられながらも、学校で働く人にとっては自分のこととして受け止められることはなかった。


学校が行うべきITセキュリティの具体策

文部科学省が提示する「教育情報セキュリティポリシーに関するガイドライン」に沿ったITセキュリティを行っていくためには、どのような具体策を進めていけば良いのだろうか。

財団法人コンピュータ教育開発センターが作成、配布している「学校情報セキュリティ・ハンドブック」によると、最初に行うべきは問題意識の共有とされている。
過去に起こった情報リスクに関わる具体的な事例を確認し、学校運営が常に危険にさらされていることを現場の人間全員が認識しなければならない。
次に情報資産の洗い出しを行う。情報システムや記憶媒体、職員のパソコンなどに保存されているすべての情報データを確認し、分類・整理を行う。
危険性を低下させるためには、重要度の高いものほど管理者を少なくしておく必要がある。

リスク対応策の検討では、個人情報漏洩、情報消失、業務停止、情報モラルなど具体的な脅威についての評価を行い、脅威度の度合いを数値化する。
脅威度が高く緊急性を要するものから、それぞれに有効な対策を検討していく。セキュリティポリシー作成にあたっては、学校向け情報セキュリティポリシーのひな形が提供されているが、自校なりにカスタマイズして現状に即したものとしていかなければ実際の脅威に対して効力がない。


学校におけるITセキュリティのポイント

文部科学省では学校のICT化にあたり、情報化の統括責任者であるCIO(Chief Information Officer)の設置を推奨している。
ICT環境整備と教育の質の向上のための活用を包括的に進めていくためには、適切なマネジメントが行われなければならない。

ITセキュリティ対策の現状を見ても、各教職員への情報リスク管理教育の浸透についての責任者の不在が課題とされている。
学校CIOの多くは校長がその任を果たしており、必ずしもITの専門知識を必要とするものではない。適宜、外部のICT技術者の知識を得ながら、ICT導入や情報セキュリティの責任の所在を一元化していく。

ITセキュリティ対策の運用・管理においても、統括責任者の配置は重要なポイントとなる。
加えてセキュリティポリシー運用にあたっては、チェックシートを活用して実施状況を適宜監視する体制が必要となる。
ルールが適用されてしばらくすると緩くなりがちだが、情報リスクは日々複雑化しながら拡大している。セキュリティに詳しいアドバイザーを置くか、定期的にセキュリティサービスを利用するなどして、刷新されることが求められる。

情報リスクは物的財産だけではなく、生徒や保護者への人的被害にまで及ぶ。
ITセキュリティへの認識の欠如がときに重大な危険を招く可能性があることを、学校運営に関わるすべての人員に周知徹底することが最大のポイントとなるだろう。


<参考・参照元>
ICT教育とは?日本で取り組まれている現状|こどものミライ
教育情報セキュリティポリシーに関するガイドライン - 文部科学省
学校における情報セキュリティの現状と課題 - CEC
CEC 財団法人 コンピュータ教育開発センター | 学校情報セキュリティライブラリ
学校のICT化のサポート体制の在り方について(教育の情報化の計画的かつ組織的な推進のために)(本体)第2章 学校のICT化におけるCIOについて-文部科学省

あわせて読みたい記事!