最新版「教育情報セキュリティポリシーに関するガイドライン」に見る教育現場における情報セキュリティとは？

文部科学省が公開する「教育情報セキュリティポリシーに関するガイドライン」（以下、本ガイドライン）が 2024 年 1 月に改訂され、パブリッククラウド利用ならび個人情報保護法や関連ガイドライン改訂に伴う見直しが行われています。
今回は改訂された箇所を中心に、教育現場における情報セキュリティについて解説します。

「なりすまし」に関する記載が増加

今回改訂された本ガイドラインにおいては「なりすまし」による不正アクセスと、その対策に関して非常に多く追記されました。背景として、2024 年度より、パブリッククラウド上でデジタル教科書の導入開始ならびに民間の学習 e ポータルを経由した文部科学省の CBT（Computer Based Testing）システムである MEXCBT（メクビット）^※ の運用が本格化することに伴い、ID とパスワードを用いた単一要素認証への危機感の表れと見られます。今後教育現場において不正アクセス事件が増加していく傾向が予測されています。
2023 年 9 月には、クラスメイトの ID とパスワードの一覧表を撮影し、嫌がらせを目的とした不正アクセス事件が発覚しており、今後類似の不正アクセス事件は教育現場において年々増加し、大きな社会問題に発展する可能性を秘めていると考えられます。

（出典）文部科学省「教育情報セキュリティポリシーに関するガイドライン」

※: MEXCBT（メクビット）とは：文部科学省が開発したオンライン学習システムで、子どもたちの学びを充実させるため、オンライン上で試験を受けるなど場所を問わずに端末を通じてオンライン学習に取り組むことができる CBT（Computer Based Testing）システム。2021 年 11 月から希望する全国の小・中・高等学校で活用が始まっています。

教育現場における不正アクセス対策とは？

本ガイドラインでは、不正アクセス対策として、利用者認証（多要素認証）、端末認証、アクセス経路の監視・制御等を組み合わせたセキュリティ対策を「強固なアクセス制御」と称して表現されています。複数ページに渡って何度も言及されていることから、今回の本ガイドライン改訂において文部科学省が最も伝えたい思いであることが伺えます。

（出典）文部科学省「教育情報セキュリティポリシーに関するガイドライン」

強固なアクセス制御において、「端末認証」については電子証明書を利用する旨が記載されており、電子証明書を教職員ならびに児童生徒が利用する個々の端末へインストールすることにより、電子証明書を持つ端末のみアクセスを許可するといった仕組みです。

（出典）文部科学省「教育情報セキュリティポリシーに関するガイドライン」

また、「強固なアクセス制御」の中の 1 つである「利用者認証（多要素認証）」として、ID とパスワードを用いた認証に電子証明書を用いた認証を加えることにより、多要素認証の環境も実現可能となります。
なお、多要素認証については BLOG：多要素認証（MFA）とは？で詳しく解説しています。

国による学校の ICT 環境整備の動き

文部科学省は 2024 年 1 月 22 日、2024 年度学校の ICT 化に向けた環境整備に係る地方財政措置について、都道府県・指定都市教育委員会に事務連絡を出しており、2024 年度も自治体が行う 1 人 1 代端末の整備経費として 373 億円、それ以外の学校 ICT 環境整備経費に 1,432 億円の地方財政措置を講じる予定となっています。

（出典）文部科学省「学校 ICT 環境整備に係る地方財政措置（令和 6 年度）

また、新たな教育の ICT 化に向けた環境整備 5 か年計画を中央教育審議会にて検討を進めており、2024 年内には内容が公開される見込みです。これらの動きを踏まえ、校務系・学習系ネットワークの統合ならびゼロトラストの思想を取り入れたシステムへのリプレイス、学校で利用する端末のセキュリティ対策が今後急速に進んでいくものと考えられます。

（出典）文部科学省「GIGA スクール構想の下での校務 DX について～教職員の働きやすさと教育活動の一層の高度化を目指して～」

マルチ OS 対応、柔軟な電子証明書の配付

「サイバートラストデバイス ID」は、学校現場で多く導入されている ChromeOS（Chromebook）をはじめ、Windows、iPadOS / iOS、Android、macOS に対応しています。
また、電子証明書の配付においても、これから新しい端末を生徒へ配る前であれば、管理者にてキッティング時に電子証明書のインストール、既に端末を生徒へ配布済みであれば MDM（Mobile Device Management：モバイルデバイス管理）を利用した配付または MAC アドレスなどの端末固有の識別子による電子証明書の配付が可能なため、管理者が許可していない端末に電子証明書がインストールされてしまうといったリスクにも対処できます。

「サイバートラストデバイス ID」は初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラストデバイス ID」の導入をぜひご検討ください。
なお、「サイバートラストデバイス ID」では、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットをご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。

教育情報セキュリティポリシーに関するガイドライン適合に必要なポリシー策定

サイバートラストでは、デバイス ID をはじめ「教育情報セキュリティポリシーに関するガイドライン」の要件となっています「物理的セキュリティ」「人的セキュリティ」「技術的セキュリティ」「運用」「評価・見直し」など、情報セキュリティ対策を徹底するには、対策を組織的に統一して推進することが必要であり、そのためには組織として意思統一し、明文化された文書として、情報セキュリティポリシーの基本方針を定めなければなりません。

サイバートラストは、情報セキュリティコンサルティングサービスを通じ、情報資産の棚卸しや規定づくり、そして教職員へのセキュリティ教育などを行っています。数多くの情報セキュリティ対策の相談を受けてきたノウハウで課題解決のお手伝いをいたします。

また、情報セキュリティ対策は「組織の状況」「新たな脅威」「新しい法律の施行」といった社会的な状況に応じて、定期的に直しを行う事で、その有効性を維持することができます。継続的な取り組みとするには、学校や自治体が教職員に対して、コンプライアンス活動と浸透を行い、情報セキュリティ意識と行動を望ましい方向に誘導することが有効です。