GIGAスクール構想master study ニュースGIGAスクールICT基礎中学校小学校文科省高等学校

【先生向け:要点解説】「厳しい制限」は古い?!GIGAスクール構想時代の教育情報セキュリティポリシーとは?(文部科学省)

令和3年5月、文部科学省が『教育情報セキュリティポリシーに関するガイドライン』の第2回改訂を行いました。
学校現場では、GIGAスクール構想によって急速にICT環境が整備されるのと並行して、「ICTの活用前提のセキュリティ対策」に移行する必要があります。

本記事では、『教育情報セキュリティポリシーに関するガイドライン』の中で、現場の先生方が理解しておくべき内容を抜粋して解説。
情報セキュリティの基本から理解しておくべきポイントまで、GIGAスクール構想以前とは異なる部分もありますのでぜひご覧ください。

 

▼【教育委員会・管理者向け】改訂された部分を中心に解説した記事はこちら
【徹底解説】『教育情報セキュリティポリシーに関するガイドライン』の第2回改訂ポイントとは?

 

 

【目次】
■ 「とにかく制限・禁止」は古い?不用意な制限を解放し、正しいセキュリティの実現へ
■ 公表された資料は3つ
■ 「何を・何から・どのように守る?」情報セキュリティ対策の基本
■ ポイント1:「クラウド」は組織内
■ ポイント2:児童生徒のITリテラシーを高める第一歩として、行動規程を共有する
■ ポイント3:児童生徒のアカウント名は複雑化させない
■ ポイント4:安全なパスワードを作成する
■ ポイント5:多要素認証や二段階認証を活用することで、パスワードの強度とセキュリティのバランスを取る
■ ポイント6:先生が留意すべき行動3つ

 

「とにかく制限・禁止」は古い?不用意な制限を解放し、正しいセキュリティの実現へ

社会全体のデジタル化が加速していく中で、学校教育でも「GIGAスクール構想」に基づき、児童生徒の1人1台端末配備などの学校ICT環境が推進されました。

児童生徒の端末利用は、これまでの教室やパソコン教室など限定された環境から、授業だけでなく家庭学習等においても日常的に活用し、クラウドサービスにアクセスすることが当たり前となります。

そこで文部科学省は、GIGAスクール構想に適した情報セキュリティを確立し、各教育委員会・学校に最適な環境を選択いただくための参考として、令和3年5月に『教育情報セキュリティポリシーに関するガイドライン』(以下、ガイドライン)の第2回改訂が行われました。

これまでの「セキュリティ対策=制限」ではなく、「セキュリティ対策=活用前提での正しい対策」に切り替える必要があります。不用意に制限しすぎることなく、正しいセキュリティを実現することこそが、これからの学校現場で必須です。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

公表された資料は3つ

今回の第2回目改訂により公表された資料は3つです。

 

 

 

 

「何を・何から・どのように守る?」情報セキュリティ対策の基本

情報セキュリティ対策は、学校で安心してICTを活用するために不可欠です。本来、対策はICT環境を利活用することを目的に行われるべきであり、対策自体が目的化してしまい、利活用に不便や制限がかかってはいけません。

まずは基本として、教育現場における情報セキュリティ対策とは「何を」「何から」「どのように」守るのか?それは以下となります。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

▪️何を:「学校で扱う重要な情報資産を」
学校で扱う情報資産は、その属性と重要度により仕分けし、重要度に応じて守り方を変える必要があります。また、児童生徒の1人1台端末も管理対象となります。

 

ガイドラインでは「機密性」「安全性」「可用性」という3つの観点から影響度を評価し分類されています。分類毎に守り方やシステムを分けて管理することが求められます。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

児童生徒端末を管理する上で、端末のシステム設定などを統合的・効率的に管理できるMDMの採用が前提となっています。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

▪️何から:「外部・内部の脅威から」
外部・内部の脅威とは、主に以下が挙げられます。

 

  • 機密情報の漏えい
  • 不正アクセス
  • データの改ざん
  • 情報の滅失

 

▽悪意ある人間による故意的なものだけでなく、過失や自然災害等が原因になることも考えられます。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

▪️どのように:「技術・ルール・扱う人の意識を統合して守る」
情報セキュリティ面で脆弱性があると、そこから脅威が侵入しやすくなります。情報資産を脅威から守るためには、「人的セキュリティ」「物理的セキュリティ」「技術的セキュリティ」等の対策を総合的に行うことが重要です。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

以上のように、「情報セキュリティ対策」は、あらゆる脅威から、情報資産の重要性に応じて、人的・物理的・技術的な対策を総合的に行う必要があります。

脅威は常に存在します。しかし大切なのは、脅威があるから「ICTを活用しない」「厳しく制限する」のではなく、脅威の特徴や予防法を正しく理解し、事前の対策を行うこと。そして、ICTがもたらす価値を子供たちだけでなく先生方も享受できるようにすることです。

次からは、情報セキュリティに対して、先生が理解しておくべきポイントをお伝えしていきます。

 

ポイント1:「クラウド」は組織内

GIGAスクール構想では、学習系のシステムはクラウド利用を前提としています。そんな中、先生からよくあるお声が「クラウドに学校内の情報を格納しても大丈夫なのか?」というもの。

ここで改めて整理しておきたいのが、「クラウドは組織内」です。
第三者機関によりセキュリティ基準を満たしていると判断の上、教育委員会や学校が構築・管理・採用している環境は、クラウドの利用を含め「組織内部」です。

つまり、所属組織のクラウドへのアップロードは「組織外部への情報資産持ち出し」や「情報の外部送信」にあたりません。(※但し、クラウドにアップロードされたものを外部へ共有することは、「組織外部への情報資産持ち出し」や「情報の外部送信」となります。)

 

  • 子供たちが作成した学習記録をクラウドにアップロード
  • クラウド上で先生と児童生徒及び児童生徒間のコミュニケーション

 

なども組織内での話。積極的にクラウドを活用していただければと思います。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

ポイント2:児童生徒のITリテラシーを高める第一歩として、行動規程を共有する

新学習指導要領では、言語能力と同様に“情報活用能力”が「学習の基盤となる資質・能力」に位置付けられています。つまり、子供たちが実社会で活かせる情報活用能力を育み、身につけるためには、学校でのICT活用は必須です。

そこで、1人1台端末環境を安全かつ効果的に活用し、情報活用能力を育成するために、まず児童生徒に共有するべき項目が以下に示されています。これらをしっかり共有し理解してもらうことは、人的なセキュリティ対策にも直結します。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

ポイント3:児童生徒のアカウント名は複雑化させない

児童生徒アカウントを作成する際のポイントは2つ。

 

  • シンプルかつ個人が識別可能
  • 同一組織内で重複しない

 

例えば、複雑にしたことで誰のアカウントか判別できず、アカウント名と個人を紐付ける資料を別途作成する、などはセキュリティの観点からも本末転倒です。

ガイドラインでは、適切なセキュリティ上の対応を行った上で、アカウント名は複雑化させないことを強く推奨しています。

 

ポイント4:安全なパスワードを作成する

前述の「アカウント」は個人識別可能で複雑化しないことを推奨されていますが、一方「パスワード」を設定する際は、個人情報から推測できるものや安易なものを避ける必要があります。

総務省は、安全なパスワードの作成条件として以下を示しています。

 

  1. 名前などの個人情報からは推測できないこと
  2. 英単語などをそのまま使用していないこと
  3. アルファベットと数字が混在していること
  4. 適切な長さの文字列であること
  5. 類推しやすい並び方やその安易な組合せにしないこと

 

参考) 総務省「国民のための情報セキュリティサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

 

また、内閣サイバーセキュリティセンターからは、パスワー ドの定期的な変更はセキュリティリスクが高まるため、流出が疑われる際に速やかに変更する旨が示されています。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

ポイント5:多要素認証や二段階認証を活用することで、パスワードの強度とセキュリティのバランスを取る

パスワードは複雑性が高いほどセキュリティの強度が上がりますが、学校での運用については、子供たちの発達段階に応じ適宜見直しが必要です。

また、先生方は重要性が高い情報を日常的に扱うため、多要素認証や二段階認証を活用することで、なりすましの防止だけでなく、パスワードの強度とセキュリティのバランスを取ることが可能です。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

ポイント6:先生が留意すべき行動3つ

情報セキュリティに関する先生方の意識が低いと、重大な情報セキュリティインシデントにつながりかねません。ガイドラインでは、情報セキュリティインシデントにつながりかねない行動と対応方針の例をまとめています。

先生一人ひとりが「重要な情報資産を扱っている」という意識を持ち、内容の把握と理解をしていただけたらと思います。

 

①情報セキュリティインシデントが発生しやすい注意すべき行動

まずは、情報セキュリティインシデントにつながりかねない注意すべき行動です。
情報資産の外部への送信や、USBメモリ等で情報を持ち出す際など、日々十分に注意することが必要です。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

②情報セキュリティレベルを維持するために「してはいけない」行動

次に、情報セキュリティレベルを維持するために「してはいけない」行動について。
端末やサーバ、ネットワークそれぞれにセキュリティ対策を講じ、外部からの脅威を総合的に防御している中、

 

  • 外部からアプリケーションを取り入れる際に安全確認をしない
  • 私物端末を学校に持ち込み学校のネットワークに接続する

 

など、セキュリティレベルを低下させる行為となる「してはいけない」行動が示されています。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

③保護者への説明

最後は保護者への説明です。
1人1台端末環境では、家庭内でも端末を利用することになります。つまり、情報セキュリティインシデントの発生場所が学校外になることも想定されます。
ガイドラインでは、教育情報セキュリティ管理者が中心となり、学校内外での端末運用ルール等を明確にし、特に学校外での利用に際しては、児童生徒の保護者への説明及び協力依頼をすることが推奨されています。

 

情報セキュリティ対策は、常に時代に則して変化し続ける

今後も、テクノロジーの発展は急速に進むと予想されます。
子供たちが、変化の激しい社会を生き抜く力や、実社会でICTに対応できる力を育むためには、テクノロジーの面で教育だけが社会から取り残されないようにすることが重要です。

文部科学省は、今後も時代の流れに則してガイドラインを随時アップデートしていくため、自治体や学校におけるセキュリティ対策も見直し、セキュリティを確保した上で適切に活用していくことが求められる、としています。

前例のない教育変革を担われる先生方にとって、少しでもこの記事がお役にたてましたら幸いです。

 

教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)より引用

 

▼【教育委員会・管理者向け】改訂された部分を中心に解説した記事はこちら
【徹底解説】『教育情報セキュリティポリシーに関するガイドライン』の第2回改訂ポイントとは?

 

 

\ ICT授業で活用できる教材テンプレートが “無料” で使い放題! /
Google for Education を使ったICT教育を進める先生の
「あったらいいいな」が見つかる総合プラットフォーム『Master Study』
↓画像をクリックして詳しい内容をチェック!

 

ICT教育推進やGIGAスクール構想に関するご相談はストリートスマートへ

株式会社ストリートスマートは、2017年にGoogle 認定の Google for Education Professional Development Partner(専門的能力開発パートナー企業:「PDパートナー」)に認定されました。そして、これまでの教育機関への総合的なICT導入支援実績が認められ、2020年に国内で初めて Transformation (変革)分野のSpecialization取得パートナーとして Google より認定されました。

自治体や教育現場の皆さまが効率的かつ負担なくGIGAスクール構想やICT教育を推進できるよう、学校常駐型のICT総合支援員各種研修など、ICTの導入から活用推進まで、さまざまなアプローチで皆さまに寄り添った支援を行っております。

お困りごとやお力になれることがございましたら、お気軽に弊社『Education事業部お問い合わせ窓口』へお問い合わせください。

 

〈Education事業部 お問い合わせ窓口〉

メールアドレス:info-edu@street-smart.co.jp
お問い合わせフォーム:https://master-education.jp/contact/

 

最新情報は弊社サイトMASTER EDUCATIONからご覧ください。

<MASTER EDUCATION>
https://master-education.jp/

 

※社内利用以外の二次利用は禁止されたコンテンツです。
※本資料に記載されている弊社の商号(株式会社ストリートスマート)以外の商号は
第三者の商号です。また、本資料に記載されているシステム名及びサービス名等、
並びにシステムのアイコン及びユーザーインターフェースのスクリーンショット等に
関する商標権及び著作権等の一切の権利は第三者に帰属しているため、原則として、
当該第三者の許諾なく利用することはできません。

 

Chromebook や Google Workspace for Education に
関するご相談はお気軽に

お問い合わせ

この記事を読んだ方にオススメの記事