教育情報セキュリティポリシーに関するガイドラインの概要
2017年10月、文部科学省が「教育情報セキュリティポリシーに関するガイドライン」を公開しました。本ガイドラインは、地方公共団体が設置する小・中学校や高等学校を主な対象としつつも、内部部局や教育委員会等も対象に含む包括的な内容となっており、学校における情報セキュリティの考え方を整理したものです。教育委員会や学校が情報セキュリティポリシーの作成や見直しを行う際に参照すべきガイドラインとして作成されました。
2019年12月には、教育委員会や学校がICT環境整備をSociety 5.0時代に即して柔軟に進められるよう内容を見直し、主にクラウドサービスに関する考え方などを改め追記した教育情報セキュリティポリシーに関するガイドライン改訂版(2019年12月発行)を公開しました。政府が推進する「GIGAスクール構想」を実現するために推奨されるシステム運用形態、クラウドに焦点を当てた点が主な改訂版ガイドラインの特徴です。
※教育情報セキュリティポリシーに関するガイドライン(令和4年3月)はこちら■教育情報セキュリティポリシーに関するガイドライン
遡ること1993年6月、文部科学省は学校において計画的にICT環境整備を図るため第2期教育振興基本計画を閣議決定。
計画に基づき、現在各学校において次のような具体的な対応が開始しています。
- 成績処理や出欠管理、健康診断表、保健室管理、指導要録の管理などを効率的に行う「統合型校務支援システム」の普及
- 小学校におけるプログラミング教育の必修化
- 紙の教科書に代わり一部でデジタル教科書を使用
このように、教育現場においても例外なくICTの活用が進んでいます。
一方、学校には指導要録や答案用紙、生徒指導等の記録、進路希望調査票、児童生徒の住所録など重要かつ機密性の高い情報が保管されている点は変わりありません。
上述のとおり、学校が保管している機密情報に不正アクセスする事例も実際に発生しており、児童生徒や外部の者による不正アクセスを防止するためにも、学校における情報セキュリティ対策が急がれていることは言うまでもありません
このような背景から、学校での情報セキュリティ対策の考え方を整理するため、文部科学省の教育情報セキュリティ対策推進チームが策定したのが、教育情報セキュリティポリシーに関するガイドラインです。
■Society 5.0における教育の変化
政府の第5期科学技術基本計画(10年先を⾒通した5年間の科学技術の振興に関する総合的な計画)の中で打ち出されたSociety 5.0は、サイバー空間とフィジカル空間(現実社会)が⾼度に融合した「超スマート社会」を未来の姿とし、主にモノづくりの分野で活用されているネットワークやIoTを様々な分野や領域へまで浸透させようとする一連の取り組みを表すものです。 教育分野もその一つです。Society 5.0における教育の分野では、AI技術が発達した社会を牽引することができる人材を育てることを目標とし、デジタル技術と人とが共存していく新しい時代に貢献できる人材の育成に力を注ぎます。
平成29年・30年度の新学習指導要領では、情報活用能力が言語能力と同様に「学習の基盤となる資質・能力」と位置付けられ、プログラミング等の情報処理分野の内容が学習カリキュラムに盛り込まれました。教育の現場においてもAI等の先端技術を駆使することが求められ、各学校で積極的にICTを活用するよう、「教育のICT化に向けた環境整備5か年計画(2018年~2022年)」を策定し、必要な経費に対しての政府予算も確保されました。今まで一斉一律だった授業形式や、同学年集団と学校の教室に限定されていた学習スタイルが、個人の能力や進度、関心に合わせた授業形式が可能となり、学習進度や課題に応じて異学年との協同学習や教室外への様々な施設にまで学習の場を拡げられるよう変化していきます。
また、並行して政府が推進する「GIGAスクール構想」において、本構想実現に向けての取り組み(GIGAスクール構想の実現パッケージ)の一つに「教育情報セキュリティポリシーに関するガイドライン」の改訂が含まれています。教育現場のICT環境に安心・安全なセキュリティ対策を講じられるよう、情報セキュリティポリシーの作成や見直しを施す際に参照すべき重要なガイドラインとされています。
■GIGAスクール構想とは?
子供たち1人1人に個別最適化され、創造性を育む教育ICT環境を提供できるよう、義務教育を受ける児童生徒1人に1台端末と、学習の場である学校に高速大容量の通信ネットワークを一体的に整備する取り組みです。平成29年・30年の新学習指導要領で定められたカリキュラムを着実に実施していくとともに、教員の教育課程から教職員配置までの一体的な制度の見直しや、教員のICT活用指導力の向上、情報モラル教育をはじめとする情報教育の充実など、端末・ICT環境のハード面の整備のみならず教員への情報教育というソフト面からも体制を整えていく構想です。
■教育情報セキュリティポリシーに関するガイドラインの想定読者
教育情報セキュリティポリシーに関するガイドラインは、地方公共団体が設置する学校 を対象とした教育情報セキュリティポリシーの考え方や内容を解説したものです
対象読者は次のとおり、幅広い業種・職位に及びます。
- 教育情報セキュリティポリシーの策定担当者
- セキュリティ上の職責を担う者
ガイドラインが定めるのは教育情報セキュリティの基本方針と対策基準とあり、具体的なセキュリティ対策の実施手順は、各組織や学校が 個別に策定することとされています。■ガイドラインの法的拘束力
教育情報セキュリティポリシーに関するガイドラインには、違反したとしても法的な強制力はありません
ガイドラインはあくまでも教育情報セキュリティの基本方針と対策基準のみを定めたものです。
一方、このようにセキュリティポリシーへの違反を発見した教職員等への報告義務も課されており、セキュリティ対策担当者以外も、最上位の基本方針を定めた本ガイドラインは必ず理解しておくべきです。
教育情報セキュリティポリシーに関するガイドラインを理解する
教育情報セキュリティポリシーに関するガイドラインでの基本的な考え方と、情報セキュリティ対策基準として挙げられている9つのテーマは次のとおりです。
■ガイドラインの基本的な考え方
このガイドラインは次の6つの基本的な考え方に基づき策定されています。
- 組織体制を確立すること
- 児童生徒による機微情報へのアクセスリスクへの対応を行うこと
- インターネット経由による標的型攻撃等のリスクへの対応を行うこと
- 教育現場の実態を踏まえた情報セキュリティ対策を確立させること
- 教職員の情報セキュリティに関する意識の醸成を図ること
- 教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること
各教育委員会や学校ではガイドラインが示す対策基準を参考にして、各学校での運用ルールの見直しを行うよう促されています。
また、「自然災害時など危機管理対策との連携も重要」として情報セキュリティ対策と自然災害時の対策との連携も指示されています。
■情報セキュリティ対策基準の9つのテーマ
教育情報セキュリティポリシーに関するガイドラインは、次の9つのテーマを順に説明しています。
| テーマ | 内容 |
|---|---|
| 対象範囲及び用語説明 | 対象となる行政機関・学校などの範囲、情報資産の範囲および用語に関する内容 |
| 組織体制 | 情報セキュリティ対策に取り組むための組織体制、権限および責任に関する内容 |
| 情報資産の分類と管理方法 | 機密性・完全性・可用性もしくは重要性に基づいた分類と、分類に応じた取り扱いに関する内容 |
| 物理的セキュリティ | サーバーの設置や配線・電源および情報システム室、通信回線及び通信回線装置、パソコン・モバイル端末・USBなどの管理に関する内容 |
| 人的セキュリティ | 教職員等の遵守事項や、情報セキュリティに関する研修・訓練、情報セキュリティインシデントを認知した場合の報告義務、ID及びパスワード等の管理に関する遵守事項などに関する内容 |
| 技術的セキュリティ | コンピュータ及びネットワーク、情報システムへのアクセス制御、システムの開発・導入・保守、および不正プログラム・不正アクセスに対する対策、セキュリティ情報の収集などに関する内容 |
| 運用 | 情報システムの監視や情報セキュリティポリシーの遵守状況の確認、侵害時・例外時の対応、および違反時の懲戒処分などに関する内容 |
| 外部サービスの利用 | 外部委託をおこなう際の必要事項や、約款に基づき提供されるサービスの利用時・ソーシャルメディアサービスによる情報発信時の対策などに関する内容 |
| 評価・見直し | 監査の実施とその方法、自己点検の定期的な実施に関する規定と活用方法、および教育情報セキュリティポリシー及び関係規程等の見直しなどに関する内容 |
■教育情報セキュリティポリシーに関するガイドラインの特徴
物理的セキュリティ、人的セキュリティ、技術的セキュリティについて個別に解説し、セキュリティポリシーの運用やセキュリティ評価について解説するという流れは、他のガイドラインともほぼ共通の流れでしょう。
教育情報セキュリティポリシーに関するガイドラインで特徴的なのは、例文などで使用される教育機関独自の用語や組織解説です。
“統括教育情報セキュリティ責任者”、“教育情報システム管理者”、“校務系サーバー”、“校務外部接続系サーバー”など、教育機関以外に所属する読者にはほぼ馴染みのない用語です。
市町村などからITリソース管理を外部委託されたシステム管理会社の担当者など一般企業の社員では、初耳という用語ばかりです。
教育施設のセキュリティ管理という特殊な対応を行うためには、行政担当者から外部委託される一般企業まで、独特な学校用語も含めて本ガイドラインの内容は必ず理解しておかなくてはならないことは間違いありません。
■教育情報セキュリティポリシーに関するガイドラインの理解
本ガイドラインは163ページにも及ぶ公的文書です。
「記載している例文は、参考としやすくするため公立小学校及び中学校等の設置者である市を想定して記述している」とされているものの、例えば次のような公的文書の独特な構成で執筆されています。
1. ・・・・・・・
1.1 ・・・・・・・
1.1.1 ・・・・・・・
(1) ・・・・・・・
① ・・・・・・・
② ・・・・・・・
(ア) ・・・・・・・
(イ) ・・・・・・・
一般企業の方が原文を読むと、何が書いてあるのか分かりにくいというのが正直な感想ではないでしょうか。
また、想定読者も教育情報セキュリティポリシーの策定担当者からセキュリティ対策を実践する者、各学校内のインフラ担当者から市町村職員まで、各々が元々持っている技術的知識のレベルに幅があります。
どの読者もガイドラインをしっかりと理解するには、セキュリティ対策に関する知見をもった者が情報を整理し直す必要があるでしょう。
この度、ゾーホージャパン株式会社は、この教育情報セキュリティポリシーに関するガイドラインをしっかりと理解できる「教育情報セキュリティポリシーに関するガイドラインの実践におけるヒント」を無料で公開いたしました。
セキュリティ対策を指示する立場から実践する立場の方まで、是非この資料を教育情報セキュリティポリシーに関するガイドラインへの対応に役立ててください。
「教育情報セキュリティポリシーに関するガイドラインの実践におけるヒント」では、オリジナルの図解をふんだんに活用して、ガイドラインをどの読者層にも分かりやすく解説することを主眼においた資料となっています。
教育情報セキュリティポリシーに関するガイドラインへ対応するには
教育情報セキュリティポリシーに関するガイドラインへの対応には、IT運用管理ソフトウェアの活用が効果的です
IT運用管理ソフトウェアを低コストで提供するブランド「ManageEngine(マネージエンジン)」では、本ガイドラインに準拠したセキュリティ対策を行うためのソリューションや製品を提供しています。
■ガイドラインへの準拠を支援するソリューション
ManageEngineでは、教育情報セキュリティポリシーに関するガイドラインの適用をITサービスマネジメント(ITSM)の観点から支援するソリューションを提供しています。
ManageEngineが提供するソリューションの詳細は、次の文教向けソリューションのご提案資料をご参照ください。■文教向けソリューションを実現するManageEngine製品
上述の文教向けソリューションを実現するManageEngine製品は次のとおりです。(製品名をクリックすると、各製品紹介ページを参照できます。)
ITサービスマネジメントソフト「ServiceDesk Plus」
統合ログ管理/簡易SIEMソフト「EventLog Analyzer」
ファイアウォール/UTM/プロキシ ログ管理ソフト「Firewall Analyzer」
Active Directory ログ監査ソフト「ADAudit Plus」
Active Directory 運用管理ソフト「ADManager Plus」
Active Directory パスワードセルフ管理ソフト「ADSelfService Plus」
脆弱性パッチ管理ソフト「Endpoint Central」
特権ID管理ソフト「Password Manager Pro」
ManageEngineに関するお問い合わせや見積り依頼は、以下の連絡先をご利用ください。