GIGAスクール構想実現に向けたセキュリティ対策とは?

クラウドを前提とした1人1台端末の活用へ向け、2021年5月、文部科学省では『教育情報セキュリティポリシーに関するガイドライン』の第2回改訂を行った。今回の改訂のポイントと、改訂後に寄せられた質問について、文部科学省の須原愛記氏が解説する。

クラウド活用を前提に
改訂ポイントは大きく2つ

須原 愛記

須原 愛記

文部科学省 初等中等教育局 学校デジタル化プロジェクトチーム 専門官

児童生徒の1人1台端末環境の実現を背景に、情報セキュリティ対策は、教師及び児童生徒が学校で安心してICTを活用するために必要不可欠となっている。

文部科学省では2017年10月、学校において安心してICTを活用するための対策や考え方を整理した『教育情報セキュリティポリシーに関するガイドライン』(以下「ガイドライン」)を策定した。

「セキュリティポリシーは組織ごとに策定されるものなので、本ガイドラインは各教育委員会で策定する際の参考として位置付けています」と文部科学省・初等中等教育局・学校デジタル化プロジェクトチーム専門官の須原愛記氏は話す。

ICT環境は常に進歩していることから随時見直しを行うが、ガイドラインでは、現在の基本的な考え方として6項目を明記している。

「特に項目2の“児童生徒による重要性の高い情報へのアクセスリスク対策”は、学校現場特有の特徴的な内容です。これらの考え方をもとに、セキュリティポリシーを策定する必要があります」

ガイドラインは2019年12月に、GIGAスクール構想における1人1台端末及び高速大容量の通信環境を一体としたICT環境整備の推進を受け、クラウド活用に向けた1回目の改訂を行った。さらに2021年5月、1人1台端末を活用するために必要な新たなセキュリティ対策や、クラウドサービス活用を前提としたネットワーク構成などの課題に対応するために2度目となる改訂が行われた。

「今回の改訂ポイントは大きく2つ。1点目は端末整備推進に伴う新たなセキュリティ対策の充実。2点目は、教育ネットワークの在り方の明確化です」

新たなセキュリティ対策の充実では、1人1台端末の整備や1人1ID化における新たな対策を整理。続いて、教育ネットワークの在り方では、過渡期としてのローカルブレイクアウト構成や今後目指すべき校務系・学習系のネットワーク分離を必要としない、認証によるアクセス制御を用いたネットワーク構成について説明している。

新たなセキュリティ対策と
教育情報ネットワークの在り方

1点目の新たなセキュリティ対策の充実では、1人1台端末の活用における新たなセキュリティ対策を追加している。主な対策として〈クラウドサービス利用における留意点〉〈Webフィルタリング〉〈マルウェア対策〉〈不正インストール防止〉〈モラル教育〉がある。クラウドサービスの日常的な活用や、利用するネットワーク・場所にとらわれないセキュリティ対策が必要となるため、その点について記述を充実している。

特に〈不正インストール防止〉については、端末管理機能であるMDM(Mobile Device Manage ment)について3点の補足説明を追加している。1点目は端末の一元管理、2点目は端末の盗難・紛失時の情報漏えい対策としての遠隔管理、3点目は適切なポリシーを端末に適用することによる不正ログイン・不正インストールの防止などの活用を促している。

1人1台端末及びクラウドサービス利用を前提とした1人1ID化に対し、ID管理についても〈ID登録・変更・削除〉〈多要素認証〉〈シングルサインオン(一度のユーザ認証で複数の異なるサービス認証と利用を可能にする仕組み)〉といった対策について整理している。

2点目の教育情報ネットワークの在り方では〈現状の構成〉〈過渡期の構成〉〈目指すべき構成〉として整理。

「今回の改訂においては、一部の通信を直接インターネットに接続するローカルブレイクアウト構成と、クラウド活用を前提とし、ネットワーク分離を必要としない、認証によるアクセス制御を前提とした構成について、明記しています」

今後の、“目指すべきネットワーク構成”としては、認証によって適切にアクセス制限をすることで、ネットワーク自体を分離する必要はないとしている(図)。

図 目指すべき構成

画像をクリックすると拡大します

「利用サービスは、クラウドシステムを想定しており、場所、端末が接続するネットワークに依存することなく利用できることを想定しています」

そのほか、情報資産の『持ち出し』『外部送信』について、利活用の弊害になるケースがあったため、内容を適正化。また、クラウドサービスで個人情報を取り扱う際に個人情報保護審議会に諮る上で整理すべき7つの主な項目例を提示している。

第2回改訂後の主な質問と回答

改訂ポイントの解説に加え、須原氏は、第2回改訂後に寄せられた主な質問に対する回答を解説した(表)。

表 「ガイドライン」に対する主な質問と回答について

画像をクリックすると拡大します

昨年9月にデジタル庁が設置され、教育分野においても、デジタル庁と文部科学省が協力し、教育データ利活用の方向性を検討している。

「今後も、技術や環境の変化を踏まえながらガイドラインの改訂などを行い、教育現場でのICT活用が安全に進められるよう取り組んでいきます」と須原氏は締めくくった。