学校の情報資産を守る必須の情報セキュリティ対策

　社会生活でICTの役割が増す中、小学校・中学校の情報教育も大きく変わろうとしています。2020年度から順次、全面実施される新学習指導要領の総則において、児童生徒の情報活用能力が「言語能力と同様に学習の基盤となる資質・能力」として位置づけられると同時に、学校のICT環境整備とICTを活用した学習活動の充実に配慮することが明記されました。

　例えば小学校でのプログラミング教育の必修化であったり、紙の教科書に加え、一定の条件のもとでデジタル教科書の利用が可能になることなども、ICTの利活用による変化の一例です。

後を絶たない不正アクセスや記憶媒体の紛失

　こうした学校のICT活用を積極的に進めるには、情報セキュリティ対策の強化が必須です。学校には児童生徒の指導要録、成績、進路希望、健康診断票など機微な情報が数多く保管されており、これらの情報が外部に流出するような事態になれば、その学校はもちろん、教育委員会や自治体の責任も免れません。

　ところが、現状の学校の情報セキュリティ対策は、紙ベースでの情報管理レベルから脱却できていないケースも見られます。文部科学省は「教育情報セキュリティポリシーに関するガイドライン」(平成29年10月：以下：ガイドライン)を公表していますが、各自治体でのポリシーが不明確なケースも少なくありません。

　そうした状況の中、情報セキュリティの不備を突いた外部からの不正アクセスや、教員の情報保護意識の希薄さから児童生徒の個人情報が含まれたUSBメモリーや書類を紛失するといった事案が後を絶ちません。

　児童生徒や保護者の個人情報などが窃取された事案の1つに、ある県で2015～2016年にかけて発生した学校教育ネットワークへの不正アクセスがあります。

　不正アクセス禁止法の疑いで逮捕された少年は、校内無線LANを悪用して校務用サーバーと学習用サーバーに不正アクセスし、氏名、ID、住所、電話番号、業務用メールアドレス、模擬試験偏差値など成績関係、生徒指導調査報告資料など生徒指導関係、進路希望調査など進路指導関係、学校行事のスナップ写真などの個人情報を窃取。個人情報を盗まれた人数は、合計1万4000人以上に及ぶものでした。

　この事案を受けて、教育委員会では不正アクセスの要因となった校内無線LANの24時間運用を止め、夜間や閉校日などの不使用時は停止にしました。また、ID、パスワード管理の強化や教職員の情報セキュリティ研修などの対策も打ち出しました。

　ほかにも、個人情報が含まれたUSBメモリーを紛失する事案も相次いで発生しています。また別の県では、市立中学校の教諭が個人情報を含むUSBメモリーの紛失を2019年2月に公表。USBメモリーには生徒指導に関する記録3人分と、前任校の修学旅行参加者名と活動時の写真78人分の個人情報が保存されていました。校外でUSBメモリーを拾ったと市民からの届けがあり、紛失が判明したものです。

校務系サーバーは教育委員会で一元管理

　学校の情報セキュリティ対策が喫緊の課題とはいえ、基本的には、学校内に情報セキュリティの専門家は配置されていません。そのため、ICT活用に関わる教職員の負担やコストを考慮しながら、教育委員会が外部の専門家と協力して、情報セキュリティ対策を一元的に推進していくほうが現実的です。

　学校のICT環境は大きく分けて校務系と学習系があり、それぞれのネットワーク、サーバー、アプリケーションについて設計・構築、保守・運用、情報セキュリティ対策を考える必要があります。

　中でも、ポイントは機微情報を数多く保管する校務系のサーバーの設置場所です。設置場所として校内、庁舎内のケースがよく見られますが、運用管理する教育委員会にとっては、日々の管理や法定点検のたびに対応したりなど、管理の稼働負担が発生してしまいます。データセンターやクラウドを使えば、管理業務をアウトソーシングでき、運用の負担を下げられます。さらにクラウドを利用すれば、最適なサーバーリソースを柔軟に用意することができます。

　また、データセンターやクラウドでは、災害への備えや情報セキュリティ対策が取られています。校内、庁舎内のサーバーよりも、データセンターやクラウド利用のほうが継続性を担保できます。

校内ネットワークの分離でアクセス制御

　学校では、成績表など児童生徒に関わる多くの機微情報を扱っています。そのため、校務系システムへの不正アクセスを防ぐために、ネットワークのアクセス制御を考える必要があります。

　文部科学省のガイドラインでは、校務系システムに対する不正アクセスを防ぐため、児童生徒が利用する学習系システムや、教職員のウェブ閲覧やインターネットメールなどの校務外部接続系システムとの通信経路を分離することを明記しています。

　校内ネットワークの分離方法は、物理的にネットワークを分離する以外に、同じネットワークを論理的にバーチャルLANで分離する方法もあります。2つを分離するだけでなく、ウイルス感染などのリスクを回避するため、校務用端末についてはインターネット接続を禁止するといった対策も必要です。

　また、児童生徒が職員室の校務用端末を不正操作する可能性もあるため、教職員の認証方法を強化することが必要です。校務系システムにログインするID、パスワードの使い回しを禁止することはもちろん、生体認証やアクセスするたびにパスワードが変わるワンタイムパスワードなど、2つの認証方法を組み合わせた二要素認証で、不正アクセスを防ぎます。

　このようなアクセス制御を行うことで、児童生徒に関わる機微情報を悪意ある脅威から守り、情報漏えい対策を施す必要があります。

教職員の情報セキュリティ意識を醸成

　システム的にいくら情報セキュリティ対策を強化しても、学校の情報資産を取り扱う教職員がルールを守らなければ、不正アクセスや情報流出のリスクは低減できません。USBメモリーの紛失など、情報セキュリティ事案の多くは教職員の過失によるものが多いことから、情報セキュリティの意識を教職員一人ひとりが持つことが求められます。

　そのため、教職員の情報セキュリティ意識を醸成するための研修を定期的に実施することや、情報セキュリティ事故の疑いのある事案の速やかな報告などのルール徹底を図り、被害を最小限に抑える環境整備が重要です。

　ガイドラインでは、「教職員が注意すべき行動」や「教職員がしてはいけない行動」など、情報セキュリティレベルを維持するためのポイントが明記されていますので、一度目を通し、改めて自分の行動を見直してみてはいかがでしょうか。

　近年のICT技術や情報セキュリティ技術の進化は目覚ましいものがあります。情報セキュリティ分野の専門家ではない教育委員会や学校の教職員にとって、上記のような対策を導入し、運用するのは難しくなっています。その道の専門家である外部事業者に情報セキュリティやシステム運用を委託する方法が現実的です。ただ、学校の重要な情報資産を扱う可能性があることから、技術的なスキルだけでなく、実績や信頼性などを十分に考慮して事業者を選択しなくてはなりません。