現在、組織のDXは国を挙げての取り組みとなり多くの企業がその対策に乗り出しています。一方でデジタル化・IT化が道半ばの業種もあり、その一つが幼稚園、小学校、中学校、高等学校などの教育機関です。文部科学省は、情報活用能力を、言語能力と同様に「学習の基盤となる資質・能力」と位置付け、2020年から新学習指導要領に情報教育・ICT活用教育を採用しました。さらにその下支えとして、学校のICT環境整備を目的に、「GIGAスクール構想」を提唱しました。
これらの教育現場におけるICT化やDX推進において忘れてはならないのが「情報セキュリティ」です。今回は、「GIGAスクール構想」の提唱から4年が経過し、「NEXT GIGA」と呼ばれる新たな局面を迎えている教育現場にフォーカス。さらにICT化やDX推進を目指す中で必要となるセキュリティ対策を、文部科学省が公開する「教育情報セキュリティポリシーガイドライン」を基に解説します。

教育業界に求められる「働き方改革」とは

企業における「働き方改革」はコロナ禍への対応と相まって急速に浸透しました。そして今、教育現場においても「働き方改革」が求められており、教育DXの果たす役割がキーとなると考えられます。文部科学省は2019年に「公立学校の教師の勤務時間の上限に関するガイドライン」を策定。勤務時間外の労働の目安は、1ヶ月で45時間、1年間で360時間以内など、勤務時間外の労働についての目安が示されています。しかし、実際は様々な要因から未だ多くの教員がこれを超える時間で勤務しています。「教師＝労働環境が過酷」という構図が、教職員不足を招く一因にもなっていると考えられ、労働環境整備は急務と考えられます。では、どのようにして対策していけばよいのでしょうか。

正しい労働時間の把握

一般企業と異なり、学校には「労働時間に対する給与」や「時間外労働」という概念がありません。また雇用形態も様々なため、勤怠管理には多くの課題があり中々進みませんでしたが、勤務状況の客観的把握が法律で義務付けられたことにより平均73％の学校にタイムカードや勤怠管理システムが導入されました。文部科学省は100％を目指したいと示しています（令和2年調査）。働き方改革の促進のためには、教職員の労働時間を正しく把握することから始めることが重要です。

既存業務の見直し

多忙極まる教員の勤務時間外労働の見直しには、何より既存業務の見直しが重要です。文部科学省も、これまで当たり前に行っていた業務や行事の見直しを行うことを示しています。実際に時間外勤務の大きな要因である部活動に伴う休日出勤や長時間残業を、地域の専門家に移管する取り組みも始まっているようです。専門家に指導を委託することで、生徒の競技力向上にも繋がるため、良い取り組みと言えるのではないでしょうか。
事務員の人員補強・分業
学校業務は、教員免許を保有していなくても行える業務があります。例えば成績管理や学校行事の運営などは教員資格が無くても行える業務と考えられます。現在教師が行っている業務を洗い出し、それを分業する事務員を増やすという取り組みも有効と考えられます。

業務の効率化

教職員の業務を減らす・見直すだけでなく、効率化を図る事も重要です。効率化することで業務負担や工数を減らし、労働時間の削減に貢献できます。例えば連絡事項の電子化・メール化などで印刷時間やコスト削減に繋がる上に、情報のやり取りをスピーディーかつ円滑にすることも可能です。この業務の効率化にはICT化が大きく貢献します。

進む「教育ICT」とは

文部科学省は2015年以降、教育現場におけるICTを積極的に推進しています。ICT化を推進する目的として、教職員の長時間労働の解消、生産年齢人口の減少による教職員不足の解消などが挙げられます。ICT化の取り組みの一つであるGIGAスクール構想はコロナ禍で加速、生徒へのPC配布やリモート授業の実施など、教育現場のICT化が強制的に実施されました。
さらに文部科学省は、児童・生徒のIT対応力向上による国際競争力の育成などを目的に、小中高のプログラミング教育を必修化、ICT活用として授業にデジタル教材を導入するなど、教育ICTを積極的に推進しています。

NEXT GIGAとは

GIGAスクール構想で、教育現場におけるICT化が進んだ昨今、「NEXT GIGAスクール」という言葉も聞かれるようになりました。「NEXT GIGAスクール」とは、「アフター GIGA」や「GIGA2.0」とも呼ばれ、文部科学省が推進しているGIGAスクール構想の第2段階を表す言葉です。2019年2月に文部科学省から発表されたGIGAスクール構想によって、生徒に端末1人1台体制が達成できたものの、その後の活用が進んでいない、実は使っていないPCが教室の片隅にあるなどの課題をもつ学校法人も少なくないと言われています。GIGAスクール構想を、単なるデジタル化で終わらせない様、従来の手段や手法を大きく転換させる必要があります。ここでポイントとなるのが、教育DXです。
教育DX（デジタル・トランスフォーメーション）とは、「デジタル技術を活用することで、カリキュラムや教育手法や、教職員の業務改革など、学校教育のあり方を革新すること」を指します。「アフターGIGAスクール」で起こり得る、単にアナログをデジタルに置き換えるだけでなく、教育現場の改革を実現することが学校に求められています。

校務DXを推進する、教育情報セキュリティポリシーに関するガイドラインとは

学校法人が校務DXを推進するにあたり、セキュリティ面で参考となるのが「教育情報セキュリティポリシーに関するガイドライン」です。
教育ICTを担保する存在が「情報セキュリティ」であり、学校法人において「情報セキュリティ」のルールブックとなるのが、文部科学省「情報セキュリティポリシーに関するガイドライン」です。
「情報セキュリティポリシーに関するガイドライン」は平成29年10月に誕生しました。日本年金機構の大規模情報漏洩事件が発生した後だったこともあり、当時はインターネットを介したインシデントを防ぐことを目的に誕生しました。ちょうどマイナンバー制度における自治体の情報システム強靭化対策が始まった頃で、総務省のガイドラインに沿った形で作成されています。その後、時勢に合わせて改定を行い、令和6年1月に最新版が公開されました。

＜教育情報セキュリティポリシーの改版遷移＞

号	改版年	概要
第1版	H29・10月	ネットを介した不正アクセス防止などの情報セキュリティ対策を目的 →ネットワーク分離を推奨
第2版	R1・12月	クラウド利用を見越した対策を明確化し、事業者向けの事項も追加。 →GIGAスクール構想を見据えた改定
第3版	R3・5月	クラウドサービス活用を見据えた在り方、端末整備に伴う対策を追加 →1人1台環境で対応できるセキュリティ対策を追記
第4版	R4・3月	アクセス制御による対策・導入環境別の対策を具体的に明記 →学校の置かれた環境を考慮した選択できるセキュリティを記載
第5版	R6・1月	GIGAスクール構想第二期を見据えた →例として強固なアクセス制御による対策等を追記

●令和6年1月改訂の背景と具体的な項目

令和6年1月の改訂では、大きく分けて3つの改訂が行われました

①「GIGAスクール構想の下での校務の情報化の在り方に関する専門家会議」の提言（※２）等を踏まえた教育情報セキュリティの考え方の提示

教育におけるパブリッククラウドの活用を前提とした記載の充実	• 「クラウドを利用したシステム運用に関するガイダンス」（令和4年４月）（※1）等に基づき、パブリッククラウドとプライベートクラウドクラウドの混同を避けるためクラウドの定義を明確化 • ネットワーク統合を前提としたパブリッククラウド活用における適切なセキュリティ対策（例：重要な校務系情報を取り扱う場合は、強固なアクセス制御（※2）による対策を講じること、教職員端末上で重要な情報を表示する際の、児童生徒への誤表示や、児童生徒による不正閲覧が発生することのないよう適切な運用ルールを定めること等）の必要性を追記

※1 https://www.nisc.go.jp/pdf/policy/infra/cloud_guidance.pdf
※2 本ガイドラインにおける「強固なアクセス制御」とは、「GIGA スクール構想の下での校務DX について～教職員の働きやすさと教育活動の一層の高度化を目指して～」
（https://www.mext.go.jp/content/20230308-mxt_jogai01-000027984_001.pdf)（令和5年3月8日）p.18 に示されている、インターネットを通信経路とする前提で、内部・外部からの不正アクセスを防御するために、利用者認証（多要素認証）、端末認証、アクセス経路の監視・制御等を組み合わせたセキュリティ対策を指す。

②関連法令・指針の改訂・改正に伴う対応

改定・改正された関連法令・指針について、教育委員会や学校現場での運用に即した対応を追記

②-1 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（令和５年３月）（※3）への対応	•クラウドサービスの利用に関する情報セキュリティの国際規格（JISQ27017）に基づいたセキュリティ対策（例：クラウドサービスの利用終了時にクラウドサービス事業者に確認・合意すべき事項など）を記載 • 機器の廃棄及びクラウドサービス利用時における情報資産の廃棄等の管理規定について解説を充実 • 昨今のサイバー攻撃（例：ランサムウェア、Emotet、フィッシング）の特徴と対策について記載
②-2 政府機関等のサイバーセキュリティ対策のための統一基準群（※4）への対応	• 最新版の用語定義の反映 • クラウドサービスの定義・分類が明確に伝わりやすくなるよう構成・解説等の見直し
②-3 「個人情報保護法」（令和３ 年改正）への対応	• 令和３年改正の趣旨を記載 • 地方公共団体ごとに定める個人情報保護条例の多くが個人情報を取り扱う際に個人情報保護審議会への諮問答申を得ることとしていた実態を踏まえて記載していた「諮問答申の際に整理すべき項目の例」について、令和5年4月1日の同改正法の全面施行をもって類型的に審議会等への諮問を要件とする条例を定めることは、法改正の趣旨に照らして許容されないこととされたことを踏まえ削除

※3 https://www.soumu.go.jp/main_content/000873096.pdf
※4 https://www.nisc.go.jp/policy/group/general/kijun.html

③各自治体における教育情報セキュリティポリシーの策定推進に向けた読みやすさ向上のための構成等見直し

各自治体の状況に応じた対策基準・実施手順の策定を容易にするため構成・内容を改訂	• ガイドライン全体の構成を見直し（第１編 総則、第２編 対策基準、第３編 付録） • クラウド活用に関する基本的な考え方を第１編第３章に集約することで閲覧性を向上 • 教育現場での活用が想定される主なSaaS型パブリッククラウドサービス（学習eポータル、デジタル教科書、デジタルドリル、協働学 習支援サービス、デジタルコンテンツ配信サービス、校務支援システム、学校ホームページ作成サービス、緊急連絡網サービス等）を 例示し自治体がセキュリティ対策を検討する際に考慮すべきサービスの対象を明確化 • 第２編の対策基準について、具体的に追記修正（例：人的セキュリティ・SaaS型パブリッククラウド利用に関する対策基準） • 第２編内の対策基準の記載箇所を適正化するとともに、記載ボリューム・表現を見直し • 第３編 付録 に用語集を追加

引用：教育情報セキュリティポリシーに関するガイドライン（令和6年1月）改訂説明資料

今回の改定では、強固なアクセス制御を基にしたネットワーク統合を前提とし、パブリッククラウドを活用する際の適切なセキュリティ対策の重要性についても詳しく記載されています。

要注意！改正個人情報保護法による対応

また、本ガイドラインには直接明確に指摘されている訳ではないですが、個人情報保護の観点で、2022年4月施行の改正個人情報保護法に関連した対応も抑えておく必要があります。というのも、これまで学校法人における個人情報保護ルールは、民間企業とは別の独立したルールの元、制定されていましたが、2022年4月以降は、個人情報保護委員会が一括して管理することとなり、ルールが官民一本化されました。
これにより、個人情報保護法のルールが厳格化されています。これまでの個人情報保護の基本的な原則には変更はありませんが、情報漏洩時はこれまで以上にしっかり対策を行う必要があります。

LANSCOPEで守る教育情報セキュリティ

ここからは、教育情報セキュリティガイドラインに示されているルールを具体的にどのように守っていけばよいかご紹介します。

＜LANSCOPE エンドポイントマネージャークラウド版で対応できる項目＞

4.4.4 教職員等の利用する端末や電磁的記録媒体等の管理	【例文（9）】教育情報システム管理者は、インターネットへ接続をする場合、教職員等のパソコン、モバイル端末に対して不適切なウェブページの閲覧を防止するWebフィルタリング等の対策を講じなければならない。
5.5.2. 教職員等の遵守事項	【例文（10）⑤】教職員等は、ウェブで利用できるフリーメールサービス等を統括教育情報セキュリティ責任者の許可無しに使用してはならない。

LANSCOPE エンドポイントマネージャー クラウド版では、Webの閲覧を制御・禁止することが可能です。URLやキーワードで指定すると必要なものまで閲覧できなくなるなど不都合が発生します。そこでWebフィルタリング機能を使えば、指定したカテゴリに対して抵触するサイトを自動で判別・制御することができます。例えばウイルス感染などの原因となる怪しいサイトの閲覧を排除する支援が可能です。

6.6.1. コンピューター及びネットワークの設定管理	【例文（3）①】統括教育情報セキュリティ責任者及び教育情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
7.7.2 教育情報セキュリティポリシーの遵守状況の確認・管理	【例文（2）】CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、教職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

LANSCOPE エンドポイントマネージャークラウド版では、どの部署の・誰が・いつ・何をしたのか、というログをリアルタイムに取得できます。取得した操作ログは2年間（ログ保存オプションの導入で最大5年）保存され、検索による抽出とCSVファイルによる出力が可能です。

9.9.2. SaaS 型パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項	【例文(2)①】クラウド利用者は、クラウド事業者がどのような規範に基づい てサービス提供するか開示を求め、クラウド利用者の準拠する法令、情報セキュリティポリシーを確認し、それらとの整合を確認しなければならない。（クラウド事業者の準拠する認証制度、個人情報保護指針、プライバシーポリシー、情報セキュリティに関する基本方針及び対策基準、保守運用管理規程 等）

クラウドサービスの利用には安全性を確保する必要があります。見分け方としては、第三者機関のセキュリティ認証を獲得しているサービスかどうかも判断基準となります。例えばクラウドセキュリティの国際規格である「ISO/IEC27017」や「ISO/IEC27018」といった認証が挙げられますので、検討しているクラウドサービスがあれば確認しましょう。

LANSCOPEエンドポイントマネージャークラウド版はクラウドセキュリティの国際規格「ISO/IEC 27017」の認証を取得しています。クラウドサービスのための情報セキュリティ管理策の実践と規範がなされていることを認定する国際規格のため安心してご利用いただけます。

＜LANSCOPEサイバープロテクションで対応可能な項目＞

4.4.4 教職員等の利用する端末や電磁的記録媒体等の管理	【例文（8）】教育情報システム管理者は、パソコンやモバイル端末におけるマルウェア感染の脅威に対し、ウイルス対策ソフトの導入等の対策を講じなければならない。なお、OSによっては標準的にウイルス対策ソフトを備えている製品、OSとしてウイルス感染のリスクが低い仕組みとなっている製品などもあるため、実際に運用する端末において適切な対策を講じること。強固なアクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産を取り扱う端末に対し、当該端末の状況および通信内容を監視し、異常、あるいは不審な挙動を検知する仕組み（ふるまい検知）等の活用を検討し、適切な対策を講じること。
6.6.4. 不正プログラム対策	【例文（1）④】所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。 【例文（2）①】教育情報システム管理者は、その所掌するサーバ及びパソコン等の端末を守るため、コンピュータウイルス等の不正プログラムへの対策を講じなければならない。

LANSCOPE サイバープロテクションは、AIを活用した次世代型のアンチウイルス対策ツールです。従来型では検知が難しい未知・亜種のマルウェアやランサムウェアを99%の高精度で検知することが可能です。検知エンジンは「CylanceProtect」「Deep Instinct」の2種類から選択できます。攻撃を受ける前に止める事ができ、なぜ攻撃を受けてしまったのか原因をクリックだけで調査することができます。（※EDRはCylanceProtectのみ）

他にも、教育情報セキュリティポリシーに関するガイドラインに示してある対策に対応することが可能な製品・サービスをご提供しています。詳しくはホワイトペーパーにまとめていますので、是非ご一読ください。