2022.03.25

教育現場

教育情報セキュリティポリシーガイドライン、改訂ポイントをチェック!

文部科学省は2022年(令和4年)3月3日、学校において安心してICTを活用できるよう情報セキュリティ対策や考え方を整理した「教育情報セキュリティポリシーに関するガイドライン」の改訂版を公表しました。

今回の改訂では、政府が推進する「GIGAスクール構想」の実現に向け、学校・教育現場では児童・生徒などへ1人1台端末が配備される一方で、タブレット端末の利活用においてセキュリティ対策やネットワーク構築などの課題に対応するためのアクセス制御による対策などが盛り込まれています。

本記事では、「教育情報セキュリティポリシーガイドライン」の改訂されたポイントを中心にわかりやすく解説していきます。

教育情報セキュリティポリシーガイドラインとは?

「教育情報セキュリティポリシーに関するガイドライン」とは、文部科学省が策定した学校において教職員および児童・生徒が安心してICTを活用できるようにするための対策や考え方を整理したものです。

学校・教育現場では、ICTの活用が進んでいる一方で、児童・生徒や外部者による不正アクセスの事例も実際に発生しています。そのような状況を受け、これらの不正アクセスを防止するためにも、学校・教育現場における情報セキュリティ対策が急務となっていることは言うまでもありません。

「教育情報セキュリティポリシーに関するガイドライン」は、このような背景から学校・教育現場において、情報セキュリティ対策の考え方を整理するために、文部科学省において教育情報セキュリティ対策推進チームが策定したガイドラインとなります。

目的

「教育情報セキュリティポリシーガイドライン」の目的は、教職員及び児童・生徒が学校において安心してICTの活用を可能にするために、各教育委員会・学校が情報セキュリティポリシーの作成や見直しを行う際の参考にするものとして策定されています。

地方公共団体における教育情報セキュリティの基本的な考え方

教育情報セキュリティポリシーガイドラインでは、これからご紹介する6つの基本的な考え方に基づき、策定されています。

  1. 組織体制を確立すること
  2. 児童生徒による重要性の高い情報へのアクセスリスクへの対応を行うこと
  3. 標的型および不特定多数を対象とした攻撃等のリスクへの対応を行うこと
  4. 教育現場の実態を踏まえた情報セキュリティ対策を確立させること
  5. 教職員の情報セキュリティに関する意識の醸成を図ること
  6. 教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること

各教育委員会・学校においては、上記の基本理念を参考にして、情報セキュリティポリシーの作成や運用ルールの見直しを進めていくことが期待されています。

地方公共団体における教育情報セキュリティの基本的な考え方の詳細については、文部科学省の公式サイトにてご確認ください。
≫教育情報セキュリティポリシーに関するガイドライン

教育情報セキュリティーポリシーガイドラインの改訂ポイント

本記事では、「教育情報セキュリティーポリシーガイドライン」における令和3年、令和4年それぞれの改訂ポイントについて詳しく解説していきたいと思います。

令和3年、令和4年それぞれで改訂が続く

「教育情報セキュリティーポリシーガイドライン」は、2017年10月にはじめて策定された指針となります。本ガイドラインは、ICT環境における技術的な進展などを踏まえながら随時見直しを行っていくべきものとされ、令和元年(2019年)12月に第一回目の改訂が実施されました。
次いで、令和3年(2021年)5月に第二回目となる改訂が実施され、この度令和4年(2022年)3月3日に一部改訂版が公表されることになりました。

「教育情報セキュリティポリシーガイドライン」の策定から改訂までの流れについては以下の表をご覧ください。

策定・改訂日 内容
平成29年(2017年)10月/策定 各教育委員会・学校が情報セキュリティポリシーの作成や
見直しを行う際の参考にするものとして策定
令和元年(2019年)12月/第1回改訂 GIGAスクール構想における1人1台のタブレット端末および、
高速大容量の通信環境などのICT環境を整備する推進を受けて、
「教育情報セキュリティポリシーガイドライン」の第1回目の改訂を実施
令和3年(2021年)5月/第2回改訂
  • 1人1台端末を活用するため、新たに必要なセキュリティ対策の実施
  • クラウドサービスの活用を前提としたネットワーク構成などの課題に対応する
令和4年(2022年)3月/第3回改訂
  • アクセス制御による対策の詳細な技術的対策の追記
  • 「ネットワーク分離による対策」、「アクセス制御による対策」を
    明確に記述するために実施
    ※対策方針や組織体制の在り方などの基本的な方針の変更はなし

令和3年の改訂ポイント

令和3年(2021年)5月に実施された第2回目の改訂では、GIGAスクール構想の前倒しにより、1人1台端末配備などの急速な学校ICT環境整備の推進に対応するために、ガイドラインの改訂が行われています。なお改訂ポイントは大きく以下の2点となっており、それぞれ明確に記述されています。

  • 端末整備推進に伴う新たなセキュリティ対策
  • 教育情報ネットワークの在り方について

令和4年の改訂ポイント

つづいて、令和4年(2022年)3月に公表された「教育情報セキュリティーポリシーガイドライン」では、対策方針や組織体制の在り方などの基本的な方針の変更はなく、第2回目に改訂されたガイドラインが一部改訂されたものとなります。令和4年の改訂版では、おもに以下の箇所について追記、記述されています。

  • 「教職員等の利用する端末や電磁的記録媒体等の管理」にふるまい検知等の記述が追加
  • 「教職員の順守事項」に校務端末の持ち出しに関する記述を修正
  • 「コンピュータ及びネットワークの管理」に校務端末の使い分けについて記述

なお、これらの改訂ポイントの詳細については、次項より順を追って詳しく解説していきます。

端末整備推進に伴う新たなセキュリティ対策の改訂ポイント

まず第2回目の改訂において、ポイントの一つとなる「端末整備推進に伴う新たなセキュリティ対策」では、具体的な取組みとして以下の2つが挙げられています。

1人1台端末の活用における新たなセキュリティ対策の追加

学校・教育現場において、1人1台の端末配備と利活用をしていくにあたり、クラウドサービスが日常的に活用されることになります。それに伴い、端末やクラウドサービスを利用するネットワークや場所にとらわれないセキュリティ対策の記述を充実化していくと明記しています。具体的な対策については以下のとおりです。

対策項目 概要
クラウドサービス利用における留意点 クラウドサービスの日常的な活用に必要なネットワーク帯域の確保や、クラウドサービス利用における同時接続数などの留意点を整理。また、クラウドサービス事業者において適切にセキュリティ対策を実施していることを確認するための契約内容及び第三者認証などの確認内容を充実
Webフィルタリング 児童生徒が端末を利用する際に、不適切なWebページの閲覧を防止するための対策を整理
マルウェア対策 児童生徒が自分専用の端末を活用する機会が増えることにより、インターネットなど外部からのリスクに直接晒される機会も増えることから、端末におけるマルウェア対策について整理
不正ソフトインストール防止 MDM(※1)などによる不正ソフトウェアのインストール防止、セキュリティ設定の一元管理、端末の盗難・紛失における遠隔からの端末のロックやデータ消去などの対策を整理
モラル教育 1人1台端末整備により、持ち帰り学習も推進することが想定されるため、学校のみならず家庭で利用する際に保護者によるリテラシー教育の必要性について追記。また、学校と保護者の連絡体制を整備することについて留意点を整理

参照:教育情報セキュリティポリシーに関するガイドライン資料より

※1)MDM(モバイル端末管理:Mobile Device Management):タブレットやスマートフォンなどのモバイル端末を一元管理するシステム。学校・教育現場ではGIGAスクール構想の標準仕様として採用されている。

MDMの機能やできることについては、以下の記事で詳しく解説しています!
≫MDMとは?基本機能や目的、選定ポイント、メリットデメリットを徹底解説

1人1ID化に対する新たなセキュリティ対策の追加

児童・生徒1人ずつに対し個別のIDを付与することで、学びを蓄積しながらも、教員やAIによるフィードバックが行われることで、個別に最適化された学びを提供できると期待されています。
しかしその便利さが高まる一方で、個人が利用する学習用ツールやクラウド上のアプリケーションのIDやパスワードに対して、安全な管理を行うことも必須となってきます。
そのため、教育情報セキュリティポリシーガイドラインでは、以下で挙げる1人1IDにおけるセキュリティ対策について記述を充実するとしています。

対策項目 概要
ID登録・変更・削除 児童・生徒の入学から卒業までのライフサイクルに沿ったIDの管理を行う
多要素認証 基本認証(ID/パスワード)以外の認証(多要素認証)を組み合わせてセキュリティを高める
シングルサインオン(SSO:Single Sign-On) 複数のサービス利用を加味したシングルサインオンを導入する

シングルサインオンでどのようなことができるのか?については、以下の記事で詳しく解説しています!
≫シングルサインオンの仕組みや機能については以下の記事をチェック!

教育情報ネットワークの在り方についての改訂ポイント

令和3年(2021年)5月に実施された第2回の改訂では、教育情報ネットワークの在り方についても大きな改訂ポイントになっています。具体的な以下の3つの改訂ポイントについて順にみていきましょう。

ネットワーク分離を必要としない構成の明確化

教育情報ネットワークの在り方における一つめの改訂ポイントとして、ネットワーク分離を必要としない認証によるアクセス制御を踏まえた構成を明確化すると言ったことが挙げられます。
これは、一部の通信を直接インターネットへ接続するローカルブレイクアウト構成および、クラウドサービスの利活用を行うことが前提として置かれています。

情報資産の「持ち出し」「外部送信」の適正化

情報資産を扱うにあたり、「持ち出し制限」「外部送信」についても内容が適正化されています。とくに組織外部への「持ち出し制限」については、これまでの表現において実質禁止と捉えられており、利活用の弊害になっているケースが少なからずありました。

この点において適正化が図られ、今後のデータ活用に向けてガイドラインに準拠することを前提として、「真にやむを得ない場合に限り、情報セキュリティ管理者の判断で持ち出しを可」と見直しが行われ、利活用ができるよう表現が適正化されています。

個人情報保護に関する確認事項の追加

改正個人情報保護法に準じて、クラウドサービス活用における個人情報保護に関する確認事項が追加されています。クラウドサービスにて個人情報を取り扱う際には、個人情報保護審議会に諮る上で必要とされる主な項目例が以下のとおり整理されています。

項目例
クラウド活用の目的
システムの対象範囲
本人(保護者)同意の要否
セキュリティリスクに対する技術的対策
インシデント発生時の責任分界点の明確化(クラウド事業者側の体制含む)
クラウド事業者の二次利用に対する対策
クラウド事業者の第三者認証取得の有無

教職員等への管理、遵守事項の記載追加のポイント

つぎに、令和4年(2022年)3月に公表されたガイドラインの改訂ポイントについてみていきましょう。まずは改訂ポイントの一つめとなる「教職員等への管理」「遵守事項の記載」などについてご紹介していきます。

教職員等の利用する端末や電磁的記録媒体等の管理

教職員が利用するPCやモバイルデバイス、電磁的記録媒体などが適切に管理されていない場合は、端末の紛失や盗難、情報漏えいなどに遭うリスクがあります。ガイドラインでは、このような被害を防止するために以下のような対策を講じるよう明記されています。

対策項目 内容
ログインパスワード OSやソフトウェアにログイン時、パスワードを使用することで、機能の不正利用を防御できる。
電源起動時のパスワード(BIOSパスワード) PCの起動時、OSが起動する前に入力するパスワードにBIOSパスワードの設定をすることでオペレーティングシステムが自動起動しない。
電源起動時のパスワード(ハードディスクパスワード) ハードディスクパスワードを設定することで不正利用を防御できる。
多要素認証の利用 取り扱う情報の重要度等に応じて、パスワード等の知識認証、生体認証(指紋、静脈、顔、声紋等)、物理認証(ICカード、USBトークン、トークン型ワンタイムパスワード等)のうち、異なる2つの認証方式を組み合わせた多要素認証を利用することでセキュリティ強化を図る。
セキュリティチップの暗号化機能 セキュリティチップ搭載のPCや電磁的記録媒体等のハードディスクの暗号化機能を利用することでハードディスク装置を抜き取られても不正利用を防御できる。
ファイルの暗号化 端末内のファイルを暗号化することで、暗号鍵を保持しない利用者は情報の閲覧等ができないようにする。
モバイル端末のセキュリティ モバイル端末を学校外で業務利用する場合、端末の紛失・盗難対策として、普段からパスワードによる端末ロックを設定することが必要。また紛失・盗難された場合は、遠隔消去(リモートワイプ)や自己消去機能により、端末内のデータを消去する対策も有効。
マルウェア対策 マルウェアを検知するためには、既存のパターンファイルから検出する手法に加え、ふるまい検知が有効。
不適切なウェブページの閲覧防止 アクセス制御による対策を講じたシステム構成の場合、不適切なWebページへの閲覧防止対策として「フィルタリングソフト」、「検索エンジンのセーフサーチ」、「セーフブラウジング」等を用いて、適切に整備することが重要。

人的セキュリティとしての教職員等の遵守事項規定

つぎに、教職員等が情報資産を扱う際に多様な脅威から「どのように」守るのかという手段についても記載されています。起こりうる過失によるセキュリティ上のリスクを最小限に抑えるための対策基準として以下の4つが明記されています。

教職員等の遵守事項

教職員等が情報資産を扱う際に、不正利用や適正な取扱いを怠った場合における情報漏えいのリスクを防ぐために、以下のとおり遵守すべき事項を明確に規定するとしています。

項目
教育情報セキュリティポリシー等の遵守
業務以外の目的での使用の禁止
モバイル端末や電磁的記録媒体等の持ち出し及び教育委員会・学校が構築・管理している環境の外部における情報処理作業の制限
支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用
持ち出し及び持ち込みの記録
PCやモバイル端末におけるセキュリティ設定変更の禁止
机上の端末等の管理
退職時等の遵守事項

非常勤及び臨時の教職員への対応

教育情報セキュリティ管理者は、非常勤及び臨時の教職員等を採用する際は、情報セキュリティポリシー等のうち守るべき内容を理解させることが必要です。また、必要に応じて情報セキュリティポリシーの遵守の同意書への署名を求めることもあると記載されています。
PCやモバイル端末の機能については、非常勤の教職員等の業務内容によって不必要な機能は制限することが適切であるとしています。

情報セキュリティポリシー等の掲示

教職員等が情報セキュリティポリシーを遵守することを前提として、イントラネット等に掲示する方法を取るよう明記されています。
これにより、つねに教職員等が最新の情報セキュリティポリシー及び実施手順を閲覧できるようにしなければなりません。

外部委託事業者に対する説明

ガイドラインでは、外部委託事業者に対する説明についても記載されています。

昨今では、外部委託事業者の内部管理が不十分であることから、情報の漏えい等が発生する事例が多発しています。そのため事業者(外部委託事業者から再委託を受けた事業者を含む)等に情報システムの開発及び運用管理を委託する場合については、教育情報システム管理者は、契約の遵守を求めることが必要とされています。
また、委託の業務範囲に従い、情報セキュリティポリシー及び実施手順に関する事項を説明する必要があります。

コンピュータ及びネットワークの管理

つづいて、「コンピュータ及びネットワークの管理」については、以下のとおり校務端末の使い分けにおいて21の対策が明記されています。
なお、それぞれの対策に関する詳細については、文部科学省の公式サイトにて掲載されているガイドラインをご確認ください。

参照:教育情報セキュリティポリシーに関するガイドライン(令和4年3月)

対策項目
1 文書サーバ及び端末の設定等 12 複合機のセキュリティ管理
2 バックアップの実施 13 特定用途機器のセキュリティ管理
3 他団体との情報システムに関する情報等の交換 14 無線LAN及びネットワークの盗聴対策
4 システム管理記録及び作業の確認 15 電子メールのセキュリティ管理
5 情報システム仕様書等の管理 16 電子メールの利用制限
6 ログの取得等 17 電子署名・暗号化
7 障害記録 18 無許可ソフトウェアの導入等の禁止
8 ネットワークの接続制御、経路制御等 19 機器構成の変更の制限
9 外部の者が利用できるシステムの分離等 20 無許可でのネットワーク接続の禁止
10 外部ネットワークとの接続制限等 21 業務以外の目的でのウェブ閲覧の禁止
11 重要性が高い情報に対するインターネットを介した外部からのリスク、児童生徒による重要性が高い情報へのアクセスリスクへの対応

まとめ

今回は、「教育情報セキュリティポリシーガイドライン」の改訂されたポイントを中心にわかりやすく解説してきました。GIGAスクール構想の実現に向け、学校・教育現場では急速なICT環境の整備が行われていますが、安心してICTを活用できるような情報セキュリティ対策は必須です。教育関係者の方は、本ガイドラインを活用し安全かつ快適なICT教育を推進していきましょう。