2021年5月末、教育情報セキュリティポリシーに関するガイドラインの改訂版が
文科省から公表されました。
「教育情報セキュリティポリシーに関するガイドライン」とは、各教育委員会が
教育情報セキュリティポリシーの策定や見直しを行う際の参考として、
基本理念や検討する際の考え方を解説したものです。
今回公開された資料は4つあります(正誤表はあとから追加されました)
①教育情報セキュリティポリシーに関するガイドライン(令和3年5月)改訂説明資料
②教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)
③教育情報セキュリティポリシーに関するガイドライン(令和3年5月)
④教育情報セキュリティポリシーに関するガイドラインの第2回改訂(令和3年5月) 正誤表(令和3年6月30日)
一応、教育委員会向けの資料ではあるのですが
日本の教育やその周辺の環境におけるセキュリティに興味がある方は
目を通しておいて損はありません。
特に、②のハンドブックがわかりやすく書かれています(コラムが特におすすめ!)
この記事では、主にそのハンドブックの内容を何回かにわけて深く掘り下げます。
- 教育委員会のご担当者さま(情報教育システム担当者)
- 校長先生(教育情報セキュリティ管理者)
- システム担当の先生(学校教育情報セキュリティ・システム担当)
- 学校のセキュリティに興味がある保護者の方
- その他、学校のセキュリティに興味があるすべての方
改訂の変遷(超ざっくり)
教育情報セキュリティポリシーに関するガイドラインは、時代の流れに合わせて今回2回目の改定がされました。
どのように変遷してきたか超ざっくりまとめています。
| 公表時期 | 西暦 | 版 | 内容 |
|---|---|---|---|
| 平成29年10 月 | 2017年 | 初版 | 年金機構での情報漏洩や佐賀県の不正アクセス事件などを受けて、校務系と学習系ネットワークの分離。保守的なセキュリティ。主にオンプレミス環境を想定。 |
| 令和元年12月 | 2019年 | 改定1回目 | クラウドバイデフォルトの流れを反映。情報資産分類の見直し。 |
| 令和3年05月 | 2021年 | 改定2回目 | GIGAスクール構想による1人1台端末のセキュリティ充実化。教育情報ネットワークの目指すべき構成が明確化。←イマココ🌟 |
このようなガイドラインの内容の中核となる考え方を解説したものがハンドブックです。
ハンドブックについて解説記事書いても解説の解説になっちゃうけど…まあ気にしない。
第1章 児童生徒1人1代端末の時代における教育情報セキュリティ
地方公共団体における情報セキュリティ
令和2年12月に閣議決定されたデジタル・ガバメント実行計画の示す方向性に従って
クラウドサービスを活用することを原則としながら
セキュリティを確保していく必要があると述べられています。
各府省は、引き続き、クラウドサービス利用方針に基づき、政府情報システムを整備する際には、対象となる行政サービス・業務、取り扱う情報等を明確化した上で、メリット、整備の規模、費用等を基に、各種クラウドサービスの利用を原則として検討する。
これを支援するため、政府情報システムについて、共通的な基盤・機能を提供する複数のクラウドサービス(IaaS、PaaS、SaaS)の利用環境(「(仮称)Gov-Cloud」)を整備し、早期に運用を開始する。また、各府庁がクラウドサービスの利用の検討を行うに当たり、技術的な助言等を行う。
KPI:政府情報システムにおけるクラウドサービスの活用数
デジタル・ガバメント実行計画 全体版 P20
デジタル・ガバメント実行計画とは
「デジタル・ガバメント実行計画」とは、データ環境の整備や行政手続のオンライン化などを実現するために、2018年1月に発表された施策のこと。
この実行計画のなかに「サービス設計12箇条」というものがあり(P10〜)
第8条 自分で作りすぎない のなかに
クラウドサービスの活用を検討することについて述べられています。
クラウドサービスの特徴
今までは5年に1回程度インストールしてマニュアルを配り運用、という流れででしたが、クラウドサービスを活用すれば、特に作業をしなくても随時最新機能へのアップデートが行われるという恩恵をうけることができる、と述べられています。
ガイドライン改定の背景
今までのようにガチガチのセキュリティのままでは、これから1人1台端末の環境において日常的で自由な学習を行うことに支障があることがあります。
それぞれの現場で最適な環境を考えるために、ガイドラインも改定する必要があったということが述べられています。
授業はもとより休み時間や家庭学習等においても、児童生徒が日常的にクラウドサービスにアクセスすることが当たり前となります。 従って 、児童生徒の自由な学習に支障が出ないよう、コミュニケーションツール(メールやチャットなど)やクラウド連携機能などを不用意に制限しすぎることなく、正しいセキュリティを実現することこそが、学校現場の 1 人 1 台環境において必須となります。
「教育情報セキュリティポリシーに関するガイドライン」(令和3年5月版)ハンドブック P4
第2章 教育情報セキュリティポリシーに関するガイドラインの目的と適用範囲
情報セキュリティポリシー対策基準
セキュリティポリシーには基本方針と対策基準があります。特に、このガイドラインの中で具体的な記載をしているのは「対策基準」であるということが述べられています。
時代の流れに合わせて、基準や方針といったポリシーの見直しが求められているんですね。
また、ピラミッドの一番下の「実施手順」については、具体的な手順をまとめたマニュアル的なもので、実態を踏まえて整備していくことが必要と述べられています。
「教育情報セキュリティポリシーに関するガイドライン」(令和3年5月版)ハンドブック P6
第3章 情報セキュリティ対策の基本的考え方
情報セキュリティ対策には
何を何からどのように守るかを明らかにする必要があると述べられています。
ガイドライン本編に書かれている具体的な事象を図にまとめました。
MDMってなに?
MDMとは「Mobile Device Management」の略称で、スマートフォンやタブレット端末といったモバイルデバイスを管理するためのシステムです。
児童生徒に配布する端末にこのMDMを入れておくと、たとえばこんなメリットがあることが多いです(使っているシステムの種類によって機能に違いがある場合があります)
- 一括管理ができるので、急な設定変更があっても対応が簡単にできる
- 不要なアプリを起動したりインストールされるのを防ぐ
- 確実にOSのアップデートを行い脆弱性をふさぐ
- 万が一、端末の盗難や紛失があったときに、遠隔で端末をロックしたりデータを削除したりできる
パスワードに関する誤解
セキュリティの考え方は日々アップデートされていますが
最近アップデートされたものの中で
パスワードに関するものが2つ取り上げられています
①メール添付された暗号化zipのパスワードを2通目のメールで送るのは意味ない
通称「PPAP」と呼ばれる手法ですが、意味がないだけではなく
ウイルススキャンなどのセキュリティチェックがうまく効かなくなることがあるので
リスクが増すことがあることが知られています。
②パスワードの定期変更を強制するのは意味ない
かつては「パスワードは3ヶ月に1回変更しましょう」のようなルールが定番でしたが
それをサービス提供側が強制するのはよくないと言われるようになりました。
変更を強制されると、人間はどうしても単純なパスワードをつけてしまうからです。
定期的に変更するよりも、
長くて複雑で使い回しをしないパスワードをずっと使い続けるほうがよく
万が一、漏洩したときにはすぐに変える、というのがポイントです。
良いパスワードの考え方はこの記事にまとめてありますので良かったらどうぞ
今使っているパスワードが漏えいしていないか心配な方はこちら
パスワードを自分で考える方法の他にも
パスワードマネージャーなどのツールを使うのも良いと思います。
第1章〜第3章まとめ
- 教育情報セキュリティポリシーに関するガイドラインに2回めの改定がありました
- 便利なクラウドサービスを活用することを原則としながら、セキュリティを確保していく方針
- クラウドサービスには今までのシステムと勝手が違う部分がある、ツールとしてうまく使っていこう
- 第1章〜第3章は前フリ、本編は第4章以降
- コラムにかなり良いことが書いてあるので読むべき
長くなったので今回はこのへんで。次の記事はこちら
