トレンド

教職員の働き方改革で進むICT化で必ずチェックしておきたい2022年3月改定の文科省「教育情報セキュリティガイドライン」を解説

Written by ねこずきのねこ。

広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。

教職員の働き方改革で進むICT化で必ずチェックしておきたい2022年3月改定の文科省「教育情報セキュリティガイドライン」を解説

教育情報セキュリティポリシーに関するガイドラインを解説

文部科学省のガイドラインで示してある教育現場に求められる情報セキュリティ対策を解説します

資料をダウンロードする

現在、企業のDX化は国を挙げての取り組みとなり多くの企業がその対策に乗り出しています。一方でデジタル化・IT化が発展途上な業種があります。その一つが幼稚園、小学校、中学校、高等学校などの教育機関です。文部科学省は、2020年から新学習指導要領に情報教育・ICT活用教育を採用、さらにその下支えとなる「GIGAスクール構想」が推進されました。そして最近話題の「教職員の働き方改革」など、教育現場が今大きく変わろうとしています。

ICT化において忘れてはならないのが「情報セキュリティ」です。今回は、大きく変わろうとしている教育現場にフォーカス。さらにICT化を実現することで必要となるセキュリティ対策を、2022年3月に改訂された、文部科学省「教育情報セキュリティポリシーガイドライン」を元に解説します。

教育業界に求められる「働き方改革」とは

企業における「働き方改革」はコロナ禍への対応と相まって急速に浸透しました。そして今、教育現場においても「働き方改革」が求められています。文部科学省は2019年に「公立学校の教師の勤務時間の上限に関するガイドライン」を策定。勤務時間外の労働の目安は、1ヶ月で45時間、1年間で360時間以内など、勤務時間外の労働についての目安が示されています。しかし、実際は様々な要因から未だ多くの教員がこれを超える時間で勤務しています。「教師=労働環境が過酷」という構図が、教員不足を招く一因にもなっていると考えられ、労働環境整備は急務と考えられます。では、どのようにして対策していけばよいのでしょうか。

関連ページ

日本教職員組合2021年 学校現場の働き方改革に関する意識調査

正しい労働時間の把握

一般企業と異なり、学校には「労働時間に対する給与」や「時間外労働」という概念がありません。また雇用形態も様々なため、勤怠管理には多くの課題があり中々進みませんでしたが、勤務状況の客観的把握が法律で義務付けられたことにより平均73%の学校にタイムカードや勤怠管理システムが導入されました。文部科学省は100%を目指したいと示しています(令和2年調査)。働き方改革の促進のためには、教職員の労働時間を正しく把握することから始めることが重要です。

既存業務の見直し

多忙極まる教員の勤務時間外労働の見直しには、何より既存業務の見直しが重要です。文部科学省も、これまで当たり前に行っていた業務や行事の見直しを行うことを示しています。実際に時間外勤務の大きな要因である部活動に伴う休日出勤や長時間残業を、地域の専門家に移管する取り組みも始まっているようです。専門家に指導を委託することで、生徒の競技力向上にも繋がるため、良い取り組みと言えるのではないでしょうか。

事務員の人員補強・分業

学校業務は、教員免許を保有していなくても行える業務があります。例えば成績管理や学校行事の運営などは教員資格が無くても行える業務と考えられます。現在教師が行っている業務を洗い出し、それを分業する事務員を増やすという取り組みも有効と考えられます。

関連ページ

【概要】学校における働き方改革に関する取組の徹底について(通知)
2.学校及び教師が担う業務の明確化・適正化

業務の効率化

教職員の業務を減らす・見直すだけでなく、効率化を図る事も重要です。効率化することで業務負担や工数を減らし、労働時間の削減に貢献できます。例えば連絡事項の電子化・メール化などで印刷時間やコスト削減に繋がる上に、情報のやり取りをスピーディーかつ円滑にすることも可能です。この業務の効率化にはICT化が大きく貢献します。

関連ページ

学校における働き方改革について(文部科学省)

進む「教育ICT」とは

文部科学省は2015年以降、教育現場におけるICTを積極的に推進しています。ICT化を推進する目的として、教職員の長時間労働の解消、生産年齢人口の減少による教職員不足の解消などが挙げられます。ICT化の取り組みの一つであるGIGAスクール構想はコロナ禍で加速、生徒へのPC配布やリモート授業の実施など、教育現場のICT化が強制的に実施されました。
さらに文部科学省は、児童・生徒のIT対応力向上による国際競争力の育成などを目的に、小中高のプログラミング教育を必修化、ICT活用として授業にデジタル教材を導入するなど、教育ICTを積極的に推進しています。


教育情報セキュリティポリシーに関するガイドラインとは

教育ICTは、教育現場の抱える課題を解決し、日本がこれから目指していく社会を実現するために無くてはならない存在です。それを担保する存在が「情報セキュリティ」です。セキュリティと聞くと、厳しく制限することで利便性が損なわれるというイメージがあるかもしれませんが、必ずしもそうとは限りません。セキュリティ対策は安心・安全に業務を行うための支援をし、時に人の行動を客観的に証明することで守ってくれる存在でもあります。そして、学校法人において「情報セキュリティ」のルールブックとなるのが、文部科学省「情報セキュリティポリシーに関するガイドライン」です。

「情報セキュリティポリシーに関するガイドライン」は平成29年10月に誕生しました。日本年金機構の大規模情報漏洩事件が発生した後だったこともあり、当時はインターネットを介したインシデントを防ぐことを目的に誕生しました。ちょうどマイナンバー制度における自治体の情報システム強靭化対策が始まった頃で、総務省のガイドラインに沿った形で作成されています。その後、時勢に合わせて改定を行い、令和4年3月に最新版が公開されました。

<教育情報セキュリティポリシーの改版遷移>

改版年 概 要
第1版 H29・10月 ネットを介した不正アクセス防止などの情報セキュリティ対策を目的
→ネットワーク分離を推奨
第2版 R1・12月 クラウド利用を見越した対策を明確化し、事業者向けの事項も追加。
→GIGAスクール構想を見据えた改定
第3版 R3・5月 クラウドサービス活用を見据えた在り方、端末整備に伴う対策を追加
→1人1台環境で対応できるセキュリティ対策を追記
第4版 R4・ 3月 アクセス制御による対策・導入環境別の対策を具体的に明記
→学校の置かれた環境を考慮した選択できるセキュリティを記載

令和4年3月教育情報セキュリティガイドラインとは

それでは令和4年3月に改訂された内容を見て行きましょう。主な改定内容は2点です。クラウドサービスの利活用、接続数が増えても学校ネットワークが快適かつ安全に運用できる環境構築やルールなどが示されています。高まる個人情報の重要性と、昨今のセキュリティリスクに対応できることを目指した内容となっています。

<令和4年3月の改定ポイント>

  1. アクセス制御による対策の詳細な技術対策の追記
  2. ネットワーク分離による対策・アクセス制御による対策を明確化

1.アクセス制御による対策の詳細な技術対策の追記

公務用端末のセキュリティ対策の追記 リスクベース・振る舞い検知・マルウェア対策・暗号化・SSOの有効性などの記述を充実

アクセス制御による対策を講じたシステムを構築するために、公務用端末におけるセキュリティ対策を追記されています。将来的にゼロトラストを見越した構成も繋がるため、ネットワーク分離構成以上に厳しい対策が求められることになります。

2.ネットワーク分離による対策・アクセス制御による対策を明確化

公務用端末の使い分けについて対策ごとに記述を適正化 ・ネットワーク分離による対策を講じたシステム構成の場合
→ネットワーク毎に複数の端末を使い分ける
・アクセス制御による対策を講じたシステム構成の場合
→アクセス制御を徹底することにより1台の端末で運用
公務用端末の持ち出しに関する記述を適正化 ・ネットワーク分離による対策を講じたシステム構成の場合
→安全管理に関してついて追加措置を定めたうえで許可制にする
・アクセス制御による対策を講じたシステム構成の場合
→情報セキュリティ管理者の包括的承認などによる持ち出し検討

従来のネットワーク分離構成に加え、新たにネットワーク分離を必要としない「認証によるアクセス制御」を前提としたネットワーク構成について明確化されました。クラウドサービスの利活用を見越したもので、ゼロトラストを目的としたユーザー認証の徹底されたネットワーク構成における在り方が追記されています。

ちなみにこの新たなネットワーク構成は、PCが生徒1人1台となった環境の課題解決としても有効です。例えばローカルブレイクアウトなどの仕組みや、シングルサインオンなどのシステムの導入などで、これまで課題だったネットワーク帯域の混雑解消や、生徒のID管理の効率化(毎回ログインすることによる授業の遅れ等)にも貢献できます。

「認証によるアクセス制御」を前提としたネットワーク構成は、従来の「ネットワーク分離構成」採用時に、管理工数や体制構築が課題となっていた学校の代替案として有効です。

ここでポイントなのが、承認によるアクセス制御を使用した環境・ネットワーク分離環境、どちらの環境もセキュリティ対策に有効であるという点です。ガイドラインでは、学校の状況や今の構成を加味した上で選択して構築することと示してあります。

関連ページ

教育情報セキュリティポリシーに関するガイドライン(令和4年3月)

要注意!改正個人情報保護法による対応

また、本ガイドラインには直接明確に指摘されている訳ではないですが、個人情報保護の観点で、2022年4月施行の改正個人情報保護法に関連した対応も抑えておく必要があります。というのも、これまで学校法人における個人情報保護ルールは、民間企業とは別の独立したルールの元、制定されていましたが、2022年4月以降は、個人情報保護委員会が一括して管理することとなり、ルールが官民一本化されました。
これにより、個人情報保護法のルールが厳格化されています。これまでの個人情報保護の基本的な原則には変更はありませんが、情報漏洩時はこれまで以上にしっかり対策を行う必要があります。

<従来の考え方>

  1. 利用目的を特定し用途を本人に開示。それを超えての利用はNG
  2. 適正・安全に管理すること(情報漏洩させない)
  3. 第三者へ提供することは禁止(本人の同意が必要)
  4. 本人から求めがあれば、開示・訂正・利用停止の措置をとる(適宜適切に対応)

<改正により全法人に影響がある内容例>

  • 漏えい時(おそれがある場合も)は、迅速に個人情報保護委員会と本人告知が義務化
  • 報告義務化違反に罰則あり

関連ページ

7割がいまだ未対応!?改正個人情報保護法で押さえるポイント6選をわかりやすく解説

LANSCOPEで守る教育情報セキュリティ

ここからは、教育情報セキュリティガイドラインに示されているルールを具体的にどのように守っていけばよいかご紹介します。

PC・モバイルを一元管理できるエンドポイントセキュリティ「LANSCOPE」を例に一部をピックアップしてご紹介します。今回は4回目の改定で追加された項目を中心にご紹介します。

1.4.4 教職員等の利用する端末や電磁的記録媒体等の管理 ⑦モバイル端末のセキュリティ
モバイル端末を学校外で業務利用する場合は、端末の紛失・盗難対策として、前述のように普段からパスワードによる端末ロックを設定しておくことが必要である。また、紛失・盗難に遭った際は、遠隔消去(リモートワイプ)や自己消去機能により、モバイル端末内のデータを消去する対策も有効である。

LANSCOPEでは、位置情報を取得することで盗難紛失時の捜索に役立ちます。さらに発見できない場合、リモートでロック・ワイプを行い、情報漏えいを未然に防ぐための支援が可能です。万が一外出や帰宅時にPCを紛失してしまった場合も、すぐに対応が打てます。

1.4.4 教職員等の利用する端末や電磁的記録媒体等の管理 ⑧マルウェア対策
近年のサイバー攻撃は複雑、巧妙化しており、パターンファイルによる不正プログラム対策ソフトウェアでは検知出来ない攻撃が頻発している状況である。こうしたマルウェアを検知するためには、既存のパターンファイルから検出する手法に加え、ふるまい検知が有効である。ふるまい検知とは、既存のパターンファイル情報に依存することなく、各端末における通常時の通信傾向を学習し、そこから逸脱する不審な通信について検知する仕組み。隔離された安全な領域(サンドボックス)で不審なプログラムの挙動を検知することにより、未知の攻撃にも有効である。

LANSCOPEの姉妹製品「CPMS」は、AIを活用した次世代型のアンチウイルス対策ツールです。従来型では検知が難しい未知・亜種のマルウェアやランサムウェアを99%の高精度で検知することが可能です。検知エンジンは「BlackBerry Protect」「Deep Instinct」の2種類から選択できます。攻撃を受ける前に止める事ができ、なぜ攻撃を受けてしまったのか原因をクリックだけで調査することができます。(※EDRはBlackBerry Protectのみ)

1.4.4 教職員等の利用する端末や電磁的記録媒体等の管理 ⑨不適切なウェブページの閲覧防止
アクセス制御による対策を講じたシステム構成の場合、不適切なウェブページへの閲覧を防止する対策として「フィルタリングソフト」、「検索エンジンのセーフサーチ」、「セーフブラウジング」等がある。実現したい機能や実際の運用に応じて適切に整備することが重要である。

LANSCOPEでは、Webの閲覧を制御・禁止することが可能です。URLやキーワードで指定すると必要なものまで閲覧できなくなるなど不都合が発生します。そこでWebフィルタリング機能を使えば、指定したカテゴリに対して抵触するサイトを自動で判別・制御することができます。例えばウイルス感染などの原因となる怪しいサイトの閲覧を排除する支援が可能です。

1.9.2 クラウド サービス の利用における情報セキュリティ対策 校務系システム、学習系システムにおいてクラウドサービスを利用する場合、クラウドの利用者である教育委員会等(以下、クラウド利用者と言う)は、クラウド事業者が、自らの情報資産を預けるに値する安心安全で信頼できるパートナーであることを慎重に確認しなければならない。

LANSCOPEはクラウドセキュリティの国際規格「ISO/IEC 27017」の認証を取得しています。クラウドサービスのための情報セキュリティ管理策の実践と規範がなされていることを認定する国際規格のため安心してご利用いただけます。

クラウドサービスの利用には安全性を確保する必要があります。見分け方としては、第三者機関のセキュリティ認証を獲得しているサービスかどうかも判断基準となります。例えばクラウドセキュリティの国際規格である「ISO/IEC27017」や「ISO/IEC27018」といった認証が挙げられますので、検討しているクラウドサービスがあれば確認しましょう。

他にも、LANSCOPEは、教育情報セキュリティポリシーに関するガイドラインに示してある対策に対応することが可能です。詳しくはホワイトペーパーにまとめていますので、是非ご一読ください。

教育情報セキュリティポリシーに関するガイドラインを解説

文部科学省のガイドラインで示してある教育現場に求められる情報セキュリティ対策を解説します

資料をダウンロードする