教育情報セキュリティポリシーに関するガイドライン(令和6年1月)

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

重要：はじめに

「時代の要請に合わせて」ガイドラインの内容は大きく変化してきました。以前にも何度も書いていますが、初版は「校務に使うサーバー等機密情報を扱うのはオンプレミス推奨」だったガイドラインが、いかにクラウドを安心安全に使うかなどに意識が変わってきています。

教育委員会の方とお話しする際に、「教育情報セキュリティポリシーに関するガイドライン」を読んでいらっしゃる場合、いつのものなのか、ということも確認が必要です。「なんでそんなことを聞くんだ」と仰る先生もいらっしゃるかもしれませんが、「１年か２年に一度改定されているので、いつ頃読まれたのか教えていただきたくて……」と正直にお伝えすることも多いです。「え、改訂されてるの？」から「そんな頻繁に変わってるの？　なら読む意味なくない？」まで、様々な感想をいただきます。

書かれている内容全部がひっくりかえって、１から覚えなおす必要が出てくる、ということは考え難い状況です。ですので、一度読まれた後、１年に１回は読み返されると良いのでは、と思います。１回読んだら全部頭の中に入るという人はなかなか存在しないので、私もよく読み返しています。（それでも忘れてしまう内容が多々あります）

令和元年以降GIGAスクール構想の実現によって１人１台端末を持っているという状態になりました。学習指導要領の「個別最適化の学び」「協働学習での学び」について、実行のハードルが大きく下がりました。

ずっと以前から校務のDX化は叫ばれてきましたが、この「はじめに」では「令和 5 年 3 月には「GIGA スクール構想の下での校務 DX について～教職員の働きやすさと教育活動の一層の高度化を目指して～」を取りまとめ」と述べられています。強調されているのは「今後の教育情報システムのあるべき姿として校務系ネットワークと学習系ネットワークの統合及びパブリッククラウド環境を前提とした次世代の校務 DX の姿を示すとともに、パブリッククラウド上で学習系・校務系情報を取り扱うに当たってこれまでの境界防御型セキュリティに代わって、強固なアクセス制御による対策を前提とするセキュリティの考え方が導入された。」というところです。

境界防御型セキュリティは、「内部は安全」の認識で、外部と内部を分けるところにセキュリティの重点を置く、というような考え方です。それだと、クラウドの場合「じゃあ一体内部ってどこ？」となってしまいがちですね。また、内部から攻撃を仕掛けられたらやりたい放題になりかねません。ですので、強固なアクセス制御、ガイドラインでは「インターネットを通信経路とする前提で、内部・外部からの不正アクセスを防御するために、利用者認証（多要素認証）、端末認証、アクセス経路の監視・制御等を組み合わせたセキュリティ対策」と引用されています。

セキュリティは、「守る」ことに重点を置くので、とても大変です。攻撃する方は片っ端からいろいろ試して「あ、効いた」が１回でもあれば攻撃できますが、守る方は１回でも攻撃されればダメなわけで、守備の穴を見つけてはふさぎ見つけてはふさぎ、という非常に地味な作業になります。

相手の攻撃は日に日に進化しますから、守備も進化しなければならないのですが、皆さんお感じの通り、「守備力強化」にお金を出そうとか、力を割こうとか、なかなか人間思わないものです。やっていることは本当に地味なことですし、「何もなかった」が最高の結果になります。そうなると、「何も起こってないんだから予算を削減してもいいだろう」にすぐ持っていかれそうになります。

それで、何か起こった時「どうなってるんだ」ということになりますから大変です。守備が強いことはとても強みになりますから、きちんと必要なお金をかける、ということも皆さんにご納得いただけるようご説明させていただきます。

来週は教育情報セキュリティポリシーに関するガイドライン（令和6年１月版）はじめに　の続きを読んでいきます。