令和3年5月「情報セキュリティポリシーの改定」についてのご紹介

令和3年5月に、「教育情報セキュリティポリシーガイドライン」が改定されました。今回は、「教育情報セキュリティポリシーガイドライン」の改定のポイントについて、ご説明させていただきます。

今回の改定では、以下の2点が特に強調されています。
1.端末整備に伴う新たなセキュリティ対策の充実
2.教育情報系ネットワークのあり方を明確化


それぞれのポイントについて、見てみましょう。

1.端末整備に伴う新たなセキュリティ対策の充実について

GIGAスクール構想で一人一台端末が実現し、文具のようにそれを授業や家庭学習に取り入れるということになると、学校の持っている情報や、児童生徒の情報がこれまで以上にデジタル化されて残ることになります。
そのため、端末整備に伴う新たなセキュリティ対策の充実が必要不可欠になります。では、どのような点に気を付けてセキュリティ対策をすればよいのでしょうか?
改定教育情報セキュリティポリシーでは以下の点に注意を呼び掛けています。

1人1台端末の活用における新たなセキュリティ対策の追加1
(出典「教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料
令和3年5月改訂
https://www.mext.go.jp/content/20210528-mxt_jogai02-000011648_001.pdf
(最終閲覧日2021年6月17日))

特に一人一台端末と、クラウドサービスを前提とした一人1ID化に対する新たなセキュリティ対策の追加にも言及されています。

1人1台端末の活用における新たなセキュリティ対策の追加2
(出典「教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料
令和3年5月改訂
https://www.mext.go.jp/content/20210528-mxt_jogai02-000011648_001.pdf
(最終閲覧日2021年6月17日))

また、今回の改定ではシングルサインオンについて言及され、システムをまたいで一度のログインで多くのシステムを使えるようにという文言が追加されました。

これまで、異なるシステムへアクセスする場合には、都度そのシステムへのログインをする必要がありました。これが一度のログインで済むようになるほか、これまで多くのパスワードを管理する必要があったのが、多要素認証とシングルサインオンを組み合わせることで、一つのパスワードの管理で済むようになり、かつ本人でないと認証が不可能になるため、パスワードの紛失や流出に伴うセキュリティ危機の可能性が低く抑えられるようになりました。*1

その他にも、児童生徒一人1ID化によって、ある子供のデータを書き換えたり、取り出したりする際に、IDへアクセスして情報を書き換え、情報が必要な場合はIDを渡す、という方法で情報のやり取りが出来るようになり、一つ一つ情報の入出力を行わなくても情報をまとめてシステムへ入出力する、というようになることが期待できます。

このように、今回のセキュリティポリシー改定では、セキュリティを強固にした上で、より便利に校務にICTを活用する、という考え方がされています。

次に、教育情報ネットワークのあり方の明確化についてみてみましょう。

これまでの学校のネットワーク構成には、学校からインターネットへ接続、またはセンター集約型接続の2つが多く用いられてきました。学校、または教育委員会にサーバーを置いて情報を管理する、といういわゆるオンプレミス型の運用をされてきた自治体様も多いかと思います。

現状の構成
(出典「教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料
令和3年5月改訂
https://www.mext.go.jp/content/20210528-mxt_jogai02-000011648_001.pdf
(最終閲覧日2021年6月17日))

今回の改定では、クラウドサービスの活用が前提となる構成が推奨されています。なぜクラウドサービスが必要なのか、クラウドはセキュリティ面で危険なのではないか、と考える先生方もいらっしゃるのではないかと思います。

ここで、クラウドサービスを用いるメリットとデメリットを挙げてみましょう

クラウドサービスを用いるメリット
  • 状況に応じて資源の分配を柔軟に行うことができる*1
  • だれがどの情報へアクセスしたかが一元管理の元でわかりやすくなり、問題発生時の原因特定が行いやすくなる
  • ネットワークへ接続するための機器を減らすことができる為、ボトルネックの特定と改善がしやすい*3
  • 業者の選定、契約内容に注意を払い、適切なサービスを選択することで、よりセキュリティの強固な場所へデータを保管することができる*1

    (ガイドラインにも例として記載されていますが*2、情報をお金へ置き換えてみて、銀行へお金を預けることが危険か否か、ということを考えていただければ良いと覆います。何重にも張り巡らされたセキュリティ、強固な金庫があることを考えると、多くの人は自宅でお金をすべて管理するより、銀行へお金を預けた方が「安全」と考えるはずです。

クラウドサービスを用いるデメリット
  • 何らかの原因でクラウドサービスが停止した場合、全てのサービスが停止する可能性がある
  • 契約時にクラウドサービス側、利用者側でそれぞれの役割分担・責任分界点を明確にしておかないと、問題発生時の対応が難しくなる*1

  そのため、クラウドサービスを利用するにあたっては、

  • どんなことが起きた場合に、誰が責任を負うか、どう対処するかを事前に明確化しておく
  • 業者との契約時に、安全保障にどのような方法を用いているのか、インシデント発生時にどの様に対応するのかを明確にしておく
  • データの保全や事業者が二次的に情報を利用しないことを契約に盛り込むなど、セキュリティ条項を明確化した上で契約を結ぶ

  といったことが必要になります。

また、現状の地方公共団体における個人情報の取り扱いに関しては、地方公共団体ごとに定められた個人情報保護条例に準拠する必要があり、クラウドサービスを活用して個人情報を取り扱う場合には、個人情報保護審議会へ諮問答申を得ることが必要な自治体も多く、その点にも注意が必要です。*3

これらのメリット、デメリットを踏まえたうえで、日々の校務や授業からネットワークの利用状況や必要なサービスを検討し、徐々にクラウドサービスの利用へ移行していくのがよろしいかと思います。

過渡期の構成と目指すべき姿
(出典「教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料
令和3年5月改訂
https://www.mext.go.jp/content/20210528-mxt_jogai02-000011648_001.pdf
(最終閲覧日2021年6月17日))

GIGAスクール構想による一人一台端末を文具として有効活用するためには、従来のネットワーク構成よりも通信量の負荷が大きくなります。

動画視聴やオンラインテストをストレスなく、かつ大規模に行うには、従来の構成のネットワークでは通信量が足らない、あるいは保守性、価格などのコスト面で厳しいことが予想されます。そこで、クラウドサービスを、メリットに書いた点を上手く活用することで、問題を解決しようというわけです。

「クラウドって危ないんじゃない?」「クラウドってよくわからない」という先生方もいらっしゃるかと思います。しかし、クラウドサービスは、しっかりと準備をして、正しい知識の元で運用することで、安価で、かつセキュリティを確保した上で児童生徒にICT機器の使用環境を提供することが可能になります。そのため、一人一台端末が整備されるこの機会に、クラウドサービスを用いた教育情報系ネットワークへ、少しずつ移行をご検討いただければと思います。

ここまでお読みくださいまして、ありがとうございました。今回は、情報セキュリティ対策における留意点とクラウドサービスを用いた教育情報系ネットワークについて簡単にご説明させていただきました。

次回は、情報セキュリティにおける個々の情報資産の取り扱いなどについて、より詳しくご説明をさせて頂きたく思います。

<参考文献>

*1教育情報セキュリティポリシーに関するガイドライン (令和 3 年 5 月版)(最終閲覧日2021年6月17日)

*2教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)(最終閲覧日2021年6月17日)

* 3教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料令和3年5月改訂(最終閲覧日2021年6月17日)