2023.04.10
  • twitter
  • facebook
  • はてなブックマーク
  • 印刷

意外と知らない"校務のクラウド化とセキュリティ"(第2回) ―教育現場のセキュリティ対策―

回でクラウドサービスが教育の現場でも普及し始めていることが分かりました。現在、多くの学校の先生は職員室でしか使えない校務用端末と、教室や自宅でも使える学習用端末の2台を支給されていますが、端末やネットワークを変更して、1台の端末で両方の作業を可能にした自治体も出てきています。それに伴い、新たに対応すべきセキュリティ対策にはどのようなものがあるのでしょうか。また、国はどのように方針を定めているのでしょうか。第2回では、学校のネットワークセキュリティについて考えていきましょう。

3.文部科学省「教育情報セキュリティポリシーガイドライン」とは

学校のネットワークセキュリティについて、国はどのような方針を定めているのでしょうか。文部科学省では、「教育情報セキュリティポリシーに関するガイドライン」を策定し、情報セキュリティの考え方や内容を示して、ポリシー策定の参考とするよう働きかけてきました。

教育情報セキュリティポリシーに関するガイドライン改訂履歴

発出 改訂履歴 概要 ポイント
2017(平成29)年10月 初版 各教育委員会・学校が情報セキュリティポリシーの作成や見直しを行う際の参考としてガイドラインを作成。 教育委員会による校務系サーバの一元管理を推奨。
2019(令和元)年12月 第一回改訂 国のクラウドバイデフォルトの方針や学校のICT環境整備推進の方針を受けて改訂。  ↓
 ↓
 ↓
 ↓
クラウドの活用を推奨
 ↓
 ↓
 ↓
 ↓
 ↓
 ↓
 ↓
GIGAスクール構想
2021(令和3)年5月 第二回改訂 1人1台端末の整備が本格的に推進されることにより、学校内外での日常的な端末の活用や、クラウドサービス活用にむけたID管理など、新たに対応すべきセキュリティ対策について整理。
2022(令和4)年3月 第三回改訂 1人1台端末の活用段階に入ることにより、持ち出し・持ち込みへの対策を規定することや、利用するネットワークや場所にとらわれないセキュリティ対策が必要であることが記載される。

初版では教育委員会による校務系サーバの管理(オンプレミス)が求められていますが、改訂版ではクラウドの活用が推奨されるようになり、それに伴いガイドラインの方向性も変更されてきました。最新の方針では「利用するネットワークや場所にとらわれないセキュリティ対策」が求められていますが、それはどのようなセキュリティ対策なのでしょうか。

4.ゼロトラストとは~従来型とゼロトラストの比較~

そこで求められるようになったのが「ゼロトラスト」セキュリティ対策です。ゼロトラストとは2010年にアメリカの調査会社フォレスターリサーチのレポートの中でジョン・キンダーバーグ氏が提唱した「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」というセキュリティの考え方です。「ゼロトラスト」とはどのような仕組みなのでしょうか。従来型の仕組みと比較することで考えてみましょう。

従来型では、セキュリティ機器を使って、ネットワークを外部と「分離する」ことで安全を担保してきました。しかし、ゼロトラストでは分離を行わない代わりに、接続するものすべてを信頼しません。認証も「ID・パスワード+顔認証」など、複数要素で行うほか、通信や端末同士の接続についても不審な動きがないかを監視します。そして、不正なアクセスや、コンピュータウィルスの感染などがあった場合には検出・対処します。このように対策を複数要素で十分に行うことで、端末を自由に使いつつ、セキュリティを高めることができるのです。ネットワークが分離されていないため、セキュリティポリシーガイドラインの方向性の通り、「利用するネットワークや場所にとらわれ」ずに、利用することができます。具体的な対策の要素には、例えば次のようなものがあります。

現在は過渡期なので、プライベートクラウドに校務支援システムを置き、閉域網(限られた利用者のみが利用可能なネットワーク)接続用の無線ルーターを持ち帰ったり、仮想デスクトップ(画面転送)を利用して、自宅からアクセスできるようにしている自治体もありますが、データの内容や持ち出し期間を校長に申請して許可を得るといった手続きを踏んで、USBメモリなどで情報を持ち出している学校がまだまだ多いようです。

MM総研の2022年9月29日に公表した調査結果によると、回答のあった1,306自治体のうち、校務支援システムを導入している自治体は全体の70%。内訳は、66%がオンプレミス型などのパッケージシステムを利用、クラウド型の校務支援システムを利用している自治体はわずか4%でした。またMM総研によると、主要な機能をすべてクラウド上で提供する校務支援システムメーカーは1社に留まるそうで、供給側の対応も求められていることがわかります。

5.学校のデジタル変革と個人情報保護

適切な対策を行いながらクラウドに移行することで、様々なメリットがあることはわかりました。しかしながら、従来の対策の仕方から大きく変わる部分があるため、自治体の条例の規定をクリアできないことが今まで多くありました。総務省「地方自治情報管理概要~電子自治体の推進状況(令和元年度)~」によれば、9割以上の都道府県・市区町村では「個人情報保護条例」で、オンライン結合(通信回線による電子計算機その他の情報機器の結合により、実施機関の保有する個人情報を実施機関以外のものが随時入手し得る状態にすること)を制限していました。そのため、クラウドサービスを活用して個人情報を取り扱う場合には、条例そのものを改正したり、個人情報保護審議会へ諮問答申を得ることが必要になったりすることもありました。しかし、4月からデジタル変革に追い風が吹きます。2023年4月1日施行の改正個人情報保護法によって、⾃治体間で異なる点があった個⼈情報保護法制に全国共通のルールが適⽤されることに伴い、原則オンライン結合の制限規定が撤廃されます。個人情報保護審議会への諮問などの手続きが不要になるのです。

ICTの活用は、学校の働き方改革を進める大きなカギとなります。ネットワークの環境は、ICTの利便性にも大きく影響するため、教育委員会や学校は、文部科学省が定めた指針も参考にしながら、学校規模やコスト、現状の情報資産などを鑑みて、優先順位を決めながら整備を進めることが必要です。事業者などにも相談しながら、正しく怖がり、正しく対策していきましょう。

内田洋行 地域デジタル化推進部 関谷 理紗

※当記事のすべてのコンテンツ(文・画像等)の無断使用を禁じます。

ご意見・ご要望、お待ちしています!

この記事に対する皆様のご意見、ご要望をお寄せください。今後の記事制作の参考にさせていただきます。(なお個別・個人的なご質問・ご相談等に関してはお受けいたしかねます。)

pagetop