教育情報セキュリティポリシーに関するガイドライン7

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

ガイドライン、と聞くと私は「やったー！　いろんな専門家のいろんな知見が集まって解説してくれているこんなラッキーなことはない、私一人で調べるよりよっぽど早い。本当にありがとうございます！！」と思って見に行きます。自分で一から調べるのも糧になりますが、既に知見が集まっているのならそれをもとに、批判的に読み、自分にあてはめて落とし込んでいくことができるとよりいいなと思っています。

ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

第３章 地方公共団体における教育情報セキュリティの考え方
（補足）技術的対策に関する考え方

さて、基本理念を一通り見てきました。理念は大事ですが、セキュリティを高めるためには技術が必要ですね。その対策についての考え方が掲載されています。

なお、「ここに記されている内容は、主な対策の考え方を記載したものであり、全ての対策を網羅したものではない。対策については、参考資料を参照しつつ、各教育委員会で整理・判断されたい。」という注釈がここにも入っています。これだけやったらいいというものではなく、これらは抑えておいた方がいいけれど、実態に合わせてちゃんと考えてね、という意識が紙面からにじみ出てくるようです。

（１）学校が保有する重要性が高い情報に対するセキュリティ強化

学校は、重要な情報をたくさん持っています。児童生徒の成績はもちろん、身体的特徴、経済的事情等流出したらとても大変な情報がたくさん存在しています。それらの情報は、事故であっても流出することは許されません。セキュリティ強化を考えなければならないことですね。

主な対策として3つ挙げられています。

• 標的型及び不特定多数を対象とした攻撃等による脅威への対応
• 児童生徒によるアクセスリスクからの回避
• アクセス権管理の徹底がされていない学習系システムへの重要性分類Ⅱ以上の保管の原則禁止

行政職の皆様は、庁舎内でもこれらのリスクについて対策がされ、研修がされ、ルールが決められていることをご存知でしょう。学校では児童生徒によるアクセスリスクがありますので、ついうっかりで子どもを加害者にしないためにも、学習系と校務系の分離とアクセス管理は徹底する必要がありますね。

（２）学校単位で重要性が高い情報を管理するリスクの低減

これはあちこちで何度も申し上げていることですが、学校にパソコンが何百台単位で存在するのに、学校に情報システム課はありません。情報システムを専門で管理する人も運用する人もいません。役所では必ず情報システム課があるはずです。何名の職員がそこにいますか？　何台のパソコンを運用管理していますか？

そもそも、学校単位でセキュリティを強化しろ、と言っても、では誰がどのように専門的にそればかり考えていられるかというと、そのような人は誰も存在しないのです。片手間でセキュリティを強化しろ、というのは無理な話ですね。

したがって、主な対策が4点あげられています。

• 校務系システムについて、クラウドの活用も含めた教育委員会による一元管理
• 学校のインターネット接続環境の一元管理によるセキュリティ対策強化
• 校務系システム及び学習系システムへのアクセス権限に関する最小権限の原則の徹底と通信の暗号化等の実装による安全管理措置の実施
• 大規模災害に備え、学校設置のシステムからの大規模災害対応済データセンター・自治体システム設置のデータセンターやクラウドサービスの活用への移行の推奨

上から2番目はなかなか難しいことを言っているのですが、センターサーバーに集約し、そこでフィルタリングを実施するという方法は、目に見えるセキュリティ対策としての宣伝効果はありますが、トラフィックが増大し、授業に支障をきたすようではいけません。ガイドラインにも注釈として直収型やローカルブレイクアウトなどを活用するように、とありますが、ここは難しいところです。

（３）教職員による人的な重要性が高い情報の漏えいリスクの最小化

基本的に、先生は善良で性善説の人が多い印象を受けます。少し変わっていたとしても、大体の先生が「子供が主語」で話すとお話をよく聞いてくださいます。ただ、全員が全員善良かというと、そうとは容易には言い切れませんし、善良な先生が過失やうっかりで情報漏洩を起こすリスクを否定することもできないのが現実です。

そして情報漏洩は、もちろん起こそうとして起きているものではありませんが、発生してしまった後では意味がありません。なので事前にルールと対策が必要だというわけですね。主な対策が2つ挙げられています。

• 管理されたUSBメモリ等の電磁的記録媒体以外の使用禁止
• 電磁的記録媒体の暗号化の徹底

これらは導入・徹底を図ろうとすると先生方から猛反発を受けることの多い方法です。ですが、これは結局大部分の先生方の身を守るために必要な施策であって、行政職の皆様の導入時のご説明の手腕にかかっています。「大変だけどやっておくとあなたの身の潔白が証明されますよ！」というニュアンスを先生方にわかっていただく必要があり、わかっていただけると先生方はびっくりするくらいきちんと守ってくださいます。

ガイドラインのこのページの冒頭でも述べられているように、これらですべてではありませんし、これらをすべて実施しないといけないわけでもありません。自治体の実態に合わせて、よく考えて、何を実施し、どのような優先順位をつけるか、ということがとても重要です。

来週は第３章 地方公共団体における教育情報セキュリティの考え方　図表：学校におけるネットワーク等の構成のイメージ　を読んでいきます。