教育現場に必要な技術的セキュリティ対策とは？

教育現場の情報セキュリティを語る前に、まずは情報セキュリティの基本的な考え方について、前提条件を整理させてください。情報セキュリティの出発点は、「どの組織の、何を守るか」を定義することです。これは行政機関であっても、民間企業であっても共通の考えとなります。教育現場では、教育委員会や学校 (小・中・高・特別支援学校など)(注3) が、その対象組織となり、守るべき情報資産は、端的には以下のように定義されています (注4)。

1. 教育ネットワークや情報システム、関連設備、電磁的記録媒体
2. 教育ネットワークや情報システムで扱う情報 (これらを印刷した文書を含む)
3. 教育情報システムの仕様書やネットワーク図などのシステム関連文書

また、これらの情報資産には、「機密性」「完全性」「可用性」という3つの要素があり、これらを維持することが情報セキュリティ対策の基本となります (表1)。

余談ですが、近年では「すべての通信を疑い、毎回検証する」、ゼロトラストという考え方が主流となっています。詳細は割愛しますが、その中核となる機能が「認証」です。「アクセスしてきた本人が本当に正当な利用者かを確認する仕組み」を指し、この認証で検証する要素を複数個にすることでより強固に、他のシステムと連携させることでより便利に情報資産を利用することができます。ここまでが情報セキュリティに関する基本的な考え方です。

情報セキュリティの基本的な考え方を踏まえた上で、教育現場では、民間企業とは異なる特有の事情があります。例えば、「校務系ネットワーク」と「学習系ネットワーク」が分かれていることは、現場の教職員であればご存知のとおりかと思います。それ以外にも文部科学省は、「1. 児童・生徒・保護者の存在」「2. 情報の変容」「3. GIGAスクール構想とクラウド活用」の3点を教育現場の特徴として挙げています (注6)。それぞれを簡単に解説します。

各自治体や学校は、これら情報セキュリティの基本と教育現場特有の考慮点を鑑みながら、具体的な対策を検討する必要があります。情報セキュリティ対策は、大きく物理的セキュリティ対策、人的セキュリティ対策、技術的セキュリティ対策に細分化でき、今回は技術的対策にのみ絞ってお話をします。文部科学省は、教育現場における技術的対策を以下のカテゴリで分類しています。
 

教育現場では、セキュリティと利便性のバランスが重要です。多要素認証やリスクベース認証は、ID・パスワードに加えて生体情報などを用いることで、より厳密な本人確認を可能にします。これにより、情報資産への不正アクセスを防ぐことができます。一方で、利便性を損なわないために導入されるのが、「シングルサインオン (SSO)」です。これは、一度の認証で複数のサービスにアクセスできる仕組みで、パスワード管理の負担を軽減します。ただし、ID・パスワードが漏えいした場合、連携したすべてのサービスが危険にさらされるため、パスワードの強度や管理方法には十分な注意が必要です。
加えて、教職員や児童・生徒へのルール設定やITリテラシー教育など、人的セキュリティ対策も併せて実施することが求められます。

ネットワークの安全性を確保するためには、通信の暗号化によって第三者の盗聴を防ぎ、Webフィルタリングで有害サイトへのアクセスを制限することが基本です。さらに、不正アクセス検知・遮断の仕組みを導入することで、外部からの攻撃や内部の異常通信を早期に発見し、被害を最小限に抑えることができます。

教育現場では、端末の管理も重要です。
モバイル端末管理 (MDM) により、端末の設定や利用状況を一元管理し、紛失時には遠隔でデータを削除する「ワイプ」機能も活用できます。また、許可されていないアプリのインストールを防ぐことも可能です。アンチウィルスは、既知のウィルスを検知・駆除する基本的な対策です。なお、教職員が私物端末 (BYOD) を使用するケースもあるため、シャドーITの調査や、許可された端末以外の通信を遮断するクライアント認証の導入も有効です。

最後に、データ暗号化は、万が一情報が漏えいした場合でも、内容を第三者に読まれないようにするための重要な対策です。暗号化されたデータは、学校が管理する端末でのみ閲覧可能にすることで、被害の範囲を限定できます。
ただし、端末ごと盗まれてしまった上で、ID/パスワードが推測できてしまうと、暗号化の効果が薄れるため、端末管理とユーザー情報の厳重な管理が不可欠です。これらは、物理的・人的セキュリティ対策と併せて整備する必要があります。

以上が、各要素の解説となります。ここまで読んでいただくと、概要がなんとなく見えてきた方もいらっしゃるかと思います。同時に、「では、認証、ネットワーク、端末、データをどの順番で実施すべきか」という問いも聞こえてきそうです。こちらは「ケースバイケース」というなんともありきたりな回答になってしまいますが、一般的な情報セキュリティ保護の観点から考えると、まず全ての領域の情報資産を把握するところがスタート地点になります。各領域において、自分たちがどんな情報資産を持っているのかを明確にし、その上で何がリスクであり、どの領域に注力して投資をしていくかを判断する必要があります。

ただし、これらの前提を一切抜きにしてフラットに、これまでのセキュリティの歴史を考えるとするならば、校内のネットワークには、すでにファイアウォールを導入されているケースがほとんどでしょう。また直近であった、GIGAスクール構想の影響を受け、児童・生徒の端末と、認証で利用される学習者用のアカウントに関しては、従来の認証システムや端末管理システムなどで特定されていると推察します。

一方で、コロナ禍以前からみられる教職員の労働環境の過酷さや、昨今のニュースから見て取れる人材不足、クラウドの不適格な利用や、USBフラッシュメモリーの紛失などによるインシデントの発生を鑑みるに、教職員の端末や認証、およびクラウドに関わるネットワークに関しては早急に新たな対策を講じるべきではないかとも考えます。

喫緊では、NEXT GIGAの更改も迫ってきているかと思いますので、お心当たりのある方は、まずはこちらの観点をお持ちいただいて、調達業者さまと打ち合わせをしてみてはいかがでしょうか。

教育現場における技術的セキュリティ対策の導入は、児童・生徒や保護者の情報を守るための重要な取り組みです。
文部科学省の「教育情報セキュリティポリシーハンドブック」には今回取り上げることができなかった、セキュリティポリシーや物理的セキュリティ対策、人的セキュリティ対策についても詳しく記載されていますので、ぜひご一読ください。

また、本記事は説明や文字数の関係上、大きな割愛や一部私見によるものも含むため、より厳密かつ詳細な定義に関しましては、「教育情報セキュリティポリシーに関するガイドライン」をご参照いただき、より一層の理解を深めていただけますと幸いです。
私の活動が一人でも多くの教職員の皆さま、ひいては児童・生徒・保護者の一助となることを願い、結びの挨拶とさせていただきます。