パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

教育とICTのいま #06/教育情報セキュリティポリシーと学校のICT(第2回)

f:id:sky-pca:20191020115429p:plain

KUコンサルティング 代表:高橋 邦夫

文部科学省 教育情報セキュリティ対策推進チーム 副主査。元 豊島区役所CISO(情報セキュリティ統括責任者)

 

子どもたちの学びのために安心してICTを活用できるようにすることが目的

ガイドラインの目的とは

本ガイドラインをお読みになるときには、ぜひ第1章の総則に注目していただければと思います。第2章には技術的な内容が多く、ネットワークの分離はどうするのか、二要素認証はどのように行うのか、といったことが書かれています。しかし第1章には、文部科学省の思惑が反映されています。

その内容をかいつまんでご紹介しますと、まず各自治体で情報セキュリティポリシーを作りましょうということが書かれています。

f:id:sky-pca:20191025101324p:plain

 

f:id:sky-pca:20191025101327p:plain

 

これまでは、学校が中心になって情報セキュリティポリシーを作っていました。しかし、情報セキュリティポリシーの性質上、同じ自治体の公立学校で、同じICT環境が整備されている限りは、やはり同じルールで運用した方が良い。ですから、教育委員会が主体となってルールを作りましょうということにしています。

教育委員会といえども地方公共団体の一部ですので、万が一、何らかのセキュリティ事故が発生したとき、最後に責任を問われるのは首長です。ぜひ首長部局と一体となって、具体的には情報システム部門の力も借りて、情報セキュリティポリシーを作ってください。そして、私が最も注力したのは、学校における情報セキュリティは学校のICT活用を進めるものでなければならないという点です。その点で、首長部局の公務員が守るべき情報セキュリティとは少し異なります。

f:id:sky-pca:20191025101327p:plain

なぜ教育情報セキュリティポリシーの策定をするのか。それは「教員及び児童生徒が、安心して学校においてICTを活用できるようにするために不可欠な条件」だからです。つまり、学びが中心であり、それを妨げるようなルールではいけません。第2章だけを見ると、あれもこれもやらなければならない、新しいツールも導入しなければと、学びの妨げになるようなことも考えてしまうかもしれません。しかし大前提として、子どもたちの学びのために「安心してICTを活用できるようにする」ことが目的だということを、ぜひともお含みおきください。

教育情報セキュリティポリシーを策定するとき、首長部局で運用されている情報セキュリティポリシーを、そのまま使用するのが最も簡単ではあります。しかし、それでは「インターネットと接続してはいけない」などといった、さまざまな制約を受けます。ですから、教育委員会が主体となって策定していただきたいのです。その際は、まず皆さまの学校にどんな情報が存在するのかを棚卸していただきたいと思います。意外と情報資産が整理されないまま、あれもこれもやってはいけないというルールにしてしまうケースが多く見受けられます。

例えば、「ファイルをUSBメモリに保存してはいけない」というルールがあるとします。しかし学校にある情報は、USBメモリに保存して外部に持ち出してはならない情報ばかりではないはずです。

情報資産を棚卸して、学校の中にはこういう種類の情報が存在し、そのうち「USBメモリで持ち出して良いのはここまで」「校外で扱って良いのはここまで」といった基準を作り、全員が同じように理解していれば、きっと正しく運用できるはずです。

また、ご意見としてよく伺うのが「ガイドラインを示されても、実施する予算はありません」「文部科学省は、補助金も交付していないじゃないか」という話です。ガイドラインの第1章にも書かれているとおり、初めから最も高いセキュリティレベルを実現できるわけではありません。たとえ何千万円、何億円もの予算を使って機器をそろえたとしても、急に情報セキュリティのレベルが高くなるわけではありませんので、しっかりとPDCAサイクルを回して、少しずつ高めていただければと思います。その上で、最初の第一歩として何から取り組めばいいのかは、次の①から⑥を意識して考えてみてください。

f:id:sky-pca:20191025101336p:plain

【図1】のように、情報セキュリティポリシーの最上位になる「基本方針」は首長部局と同じにしてください。そして「対策基準」と言われる各論部分を教育委員会で策定します。この対策基準の内容は、首長部局と異なっていて構いません。加えて、それに準じた運用ルールを作る必要があります。それが「実施手順」で、対策基準に基づいた各学校のルールブック「実施手順書」を作っていくという構成になっています。

f:id:sky-pca:20191025100149p:plain

現状を踏まえた実効性あるポリシーを

ここまでお話ししたことをまとめると、下記の5点になります。

f:id:sky-pca:20191025101341p:plain

まずは、先生方にも、子どもたちにも1人に1つIDを付与することから

ここにも示したとおり、各教育委員会が学校のICT整備状況を確認して、自分たちの組織の現状を踏まえた実効性のある情報セキュリティポリシーを策定していただきたいと思います。

例えば、教員1人1台のコンピュータの整備が完了していない学校で、ほかの自治体と同じ情報セキュリティポリシーを運用するのは無理があります。そのときは、まず先生方に1人1台のコンピュータを整備して環境を整え、1人に対して1つのIDを付与することから始めてください。

実は、全員にIDを付与していないケースが多く、何人かの先生方で同じIDを使い回している事例も見聞きしますが、私はこれが一番危険な状態だと思っています。子どもたちに対しても同じです。

まだ、子どもたちに1人1台のコンピュータを整備することは難しいとは思いますが、少なくともIDは1人ひとりに付与すべきです。同じIDを共有すると、同じIDを使用するほかの子どもの情報も見ることができてしまいます。ぜひ、1人に対して1つの IDという環境を整えた上で、このガイドラインに沿った情報教育セキュリティポリシーを運用していただきたいと思います。

ガイドラインでは、ネットワークを分離して、調べ学習などを行う学習系システムや校外との連絡などに使用する校務外部接続系システムといったインターネットに接続しても良いものと、機微情報を扱う校務系システムなどインターネットに接続してはいけないものを、はっきりと分けることになっています。

このモデルになったのは、総務省が打ち出した「自治体情報システム強靱性向上モデル」です。

総務省では一斉に補助金をつけて、各都道府県にはセキュリティクラウドを作り、それらを活用して運用する形で実施しました。しかし今回、文部科学省はそれほどの予算は獲得できませんでした。ですから皆さまには、一歩ずつこの「あるべき姿」に向かっていってくださればいいと考えています。

ただ、まったく予算がないわけではありません。皆さまもご存じのとおり、「教育のICT化に向けた環境整備5か年計画」として、2018年から2022年まで毎年1,805億円の地方財政措置が講じられています。つまり、情報セキュリティにかかる経費も教育のICT整備の費用として、地方財政措置の対象になります。

文部科学省が、この5か年計画の策定とともに取りまとめた「2018年度以降の学校におけるICT環境の整備方針」でも「『教育セキュリティポリシーに関するガイドライン』を踏まえたセキュリティ対策を講じていること」と示されていますので、ぜひ、ご一読いただければと思います。

 

※学校とICTフォーラム(東京会場 2019年4月27日)講演より

※本原稿内で使用している図表は、発表資料より抜粋しております