大学を狙った標的型攻撃や、校務システムの機微情報を狙うネットワーク侵害、ランサムウェアへの感染など、国内でのサイバー攻撃被害が目立っている。ウイルスに感染すると機微情報の漏えいやデータの破損など甚大な損害が発生することから、現在検討が進んでいる、文部科学省「教育版の情報セキュリティポリシー」では、校務系・学習系のネットワーク分離など総務省ガイドラインや自治体情報システム強靱性向上モデルに則った方向が求められる方向だ。今後、教育現場ではどのような準備を行っていかなければならないのか。
豊島区区民部税務課 高橋邦夫課長 |
「教育情報セキュリティポリシーガイドライン(初版)」策定に向けて文部科学省では「教育情報セキュリティ対策推進チーム」(以下、「対策推進チーム」)を昨年9月に設置して検討を進めている。現在最終整理中で、今夏にはパブリックコメントが求められそうだ。対策推進チーム副主査を務めた高橋邦夫課長(豊島区区民部税務課)にこれまでの議論の流れと今後の方向性を聞いた。
会議では、学校の実情と特殊性を洗い出し、各教育委員会・学校が教育の情報化を安心・安全に進めるための基盤となる「教育情報セキュリティポリシーガイドライン」を検討しました。検討のたたき台は、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成27年3月改訂)及び「新たな自治体情報セキュリティ対策の抜本的強化に向けて」報告(平成27年11月)などです。
最初に時間をかけて議論をしたのが、学校における配慮事項や守るべき情報の整理など、学校の実情と特殊性の洗い出しです。ここでは、校務系・学習系それぞれについて、高セキュリティで扱うべき「機微情報」と、そこまで高セキュリティを求めなくてもよい事項があるということ、学校HPなど校務であってもインターネットに接続する必要がある業務などを整理。ガイドラインにはその特殊性に対応した仕組みを記述する方向になりました。
平成28年8月5日付の文部科学省による通知文は「校務系と学習系のネットワークを分離すること」という内容でした。ネットワーク分離については、同じ校務系であっても「機微情報」を扱う業務を明確化する、など学校の特殊性に配慮しつつ、それ以外の大枠は総務省の報告に準じるという当初の予測通りになりそうです。
では具体的に総務省ガイドライン等と学教育情報セキュリティポリシーガイドラインではどのような点が異なるでしょうか。
まず、技術的セキュリティについてですが、総務省ガイドライン等では、PC等の管理、アクセス制御、不正プログラム対策、不正アクセス対策などが求められています。一方、学校においては、総務省「自治体情報システム強靭性向上モデル」の考え方を踏襲しつつ、インターネット分離や二要素認証については校務系の機微情報に、ファイルの暗号化については、校務系に加えて学習系の機微情報にも求める方向です。
何が機微情報にあたるかについては、ガイドラインの例示を参照しつつ、教育委員会が判断することになるでしょう。
物理的セキュリティについては、総務省ガイドラインでは、サーバ等、情報システム室等、通信回線等、職員等のPC等の管理に「物理的な対策を講じる」こととなっています。こちらも教育版のガイドラインでは、学習系情報については教員の負荷が高くなりすぎないように、高セキュリティを求めない方向です。
このほか、情報セキュリティ対策を推進するための組織体制の構築や情報セキュリティ研修の実施、情報資産の監視、情報セキュリティポリシーの遵守状況の確認、侵害時の対応、外部委託業者の選定基準、監査など、総務省ガイドライン等に則ることになるでしょう。外部への不審な通信や管理者端末以外からの管理者ログオンなど重要情報への不正アクセス状況や情報資産の不正な持ち出しなどを監視・対策できる仕組みも必要と考えます。
これまで教育委員会任せであった「監査」についてもガイドラインに示されることになりますから、大きな前進といえます。ポリシーを作るだけではなく、その後も定期的に監査をすることで常に見直しができる体制づくりが求められています。
会議では、ポリシーを策定する主体は教育委員会の担当者であり、学校現場はそれを遵守するという立場、子供は、学校に指導される立場にあることが整理されました。
今後、教育委員会は、教育情報セキュリティポリシーガイドラインに示された「あるべき姿」と現状を照らし合わせ、どうすれば「あるべき姿」に、より近づくことができるのかを検証、首長部局の助言を受けつつ、各自のポリシーを策定して体制を整備することになります。
将来的な理想の姿と、すぐに対応できる直近の姿が異なる可能性もありますが、現状を見直すことは、セキュリティ意識の高まりにもつながります。これにより、ガイドライン策定の目標の1つが達成されたことにもなります。
首長部局との連携も重要です。情報セキュリティの専門家を学校に設置することは難しいことです。そこでシステムの導入やガイドライン策定、監査などあらゆる面において連携を求める方向です。
多くの首長部局は既に「地方公共団体における情報セキュリティポリシーに関するガイドライン」に則った整備を経験しているわけですから、その経験値はぜひ生かして頂きたいですね。
校務系の情報、学習系の情報それぞれが分類・整理されることで、これまで教育委員会任せであった情報セキュリティに明確な方向性を示すガイドラインとなるでしょう。これにより現状のやり方が変わる場合も出てきます。
まずは、安心・安全に校務の情報化を進めるために情報セキュリティの確保は必要なことであると共通認識すること。昨年度末には教育委員会や小中高等学校等の教職員等を対象にしたセキュリティ研修が集中的・全国的に開催されました。教育情報セキュリティポリシーガイドライン公表と並行して、研修の展開や説明会の実施については今後、さらに拡大されることが予想されており、積極的な参加が求められます。