こうして強化！ 学校の情報セキュリティ対策の具体策

　教育の情報化の取り組みが進み、児童生徒による機微情報(※)が校務系サーバで管理されるようになりました。しかし、2016年6月に公表された佐賀県立学校の学校教育ネットワークへの不正アクセス事件のように、児童生徒の個人情報など学校の機微情報が漏えいするなど、学校の信頼性を揺るがす事案が発生しています。学校のICT環境の拡充とともに情報セキュリティ対策の強化は待ったなしの状況です。

　学校への不正アクセスや情報漏えいなどの事案を受けて、文部科学省では2017年10月に「教育情報セキュリティポリシーに関するガイドライン」を公表し、教育委員会や学校が講ずるべき「対策基準」を例示しています。

※児童生徒情報（成績、保健、進路、特性情報　等）、保護者情報など

3つの分野の対策が不可欠

　ガイドラインでは、「地方公共団体及び教育委員会の長をはじめ、全ての職員、教員、事務職員及び外部委託事業者は、学校関係の業務の遂行に当たっては、当該「対策基準」を遵守する義務を負う」と明記しています。それだけに、学校教育関係者は、ガイドラインの内容をしっかり把握する必要があります。

ガイドラインの対策基準では、まず、情報セキュリティポリシーを適用する情報資産の範囲を明確にし、その分類と管理方法を定め、さらに、情報セキュリティ対策を確実に実施するための組織体制の整備も求めています。そして、その上で、「物理的セキュリティ」「技術的セキュリティ」「人的セキュリティ」の3つを規定しています。

　ガイドラインでは、3つの内容をそれぞれ次のように分類しています。

【物理的セキュリティ】
1）サーバ等の管理
2）管理区域（情報システム室等）の管理
3）通信回線及び通信回線装置の管理
4）教職員等の利用する端末や電磁的記録媒体等の管理

【人的セキュリティ】
1）教職員等の遵守事項
2）研修・訓練
3）情報セキュリティインシデントの報告
4）ID 及びパスワード等の管理

【技術的セキュリティ】
1）コンピューター及びネットワークの管理
2）アクセス制御
3）システム開発、導入、保守等
4）不正プログラム対策
5）不正アクセス対策
6）セキュリティ情報の収集

対策を行わなければならない項目は多岐にわたります。何から手をつければいいか、分からないまま時が過ぎている教育関係者も多いのではないでしょうか。

教育委員会が主体となって推進

　冒頭に述べたように、ガイドラインに列挙されたこれらの情報セキュリティ対策を学校関係者は必ず遵守する必要があります。教育委員会や学校は、上記の対策基準を満たすセキュリティを備えたシステムを導入し、運用していかねばなりません。

　3つの対策のうち人的なセキュリティに関しては、学校や教育委員会が主役となって徹底する必要があります。情報セキュリティポリシーの遵守や情報資産の業務以外の使用禁止など、遵守すべき事項の徹底を促します。これは教職員のみならず、非常勤や臨時の職員、外部の委託事業者についても同様です。

　ただ、学校も教育委員会も情報セキュリティ対策の専門家を内部に備えている組織ではありません。脅威が複雑化、多様化する中で最新の情報セキュリティ技術を理解し、必要な対策を施す専門の技術者を確保、育成するのは至難の業といえます。教職員は教育の情報化を推進する主役になる必要がありますが、情報システムの構築・運用は業務ではなく、あくまでユーザーの立場です。

　「餅は餅屋」のたとえではありませんが、「物理的対策」や「技術的対策」については教育情報システムの構築・運用に精通した専門家と協力が必要です。この分野で、教育委員会や学校に求められるのは、「必要な機能を備えている」「使いやすい」という前提条件を満たしつつ、教育情報セキュリティポリシーを遵守した教育情報ネットワーク基盤の選定です。導入事業者とともに中長期にわたって的確に運用し続けることも重要です。

導入実績豊富なシステムと強固なクラウド基盤

　具体的な教育情報ネットワーク基盤として、NTT東日本が提供している統合型校務支援システム「Bizひかりクラウド おまかせ校務」（以下、おまかせ校務）を見てみましょう。小学校・中学校の教職員の校務負担を軽減する校務クラウドサービスです。豊富な導入実績を持つEDUCOM社の統合校務支援システム（以下、校務支援システム）「EDUCOMマネージャーC4th」とNTT東日本の強固なクラウド基盤を組み合わせて、導入・運用が手軽なクラウド型アプリケーションとして、サポート付きで提供するものです。

　校務支援システムには「使いやすい機能」が求められます。クラウド型の「おまかせ校務」はグループウェアや成績管理など利用したい機能をメニューから選択できます。最初は最小限の機能でスタートし、操作に慣れてきたら機能を段階的に追加するなど、オンプレミス型サービスと比較し、効率的に機能を拡張することが可能です。

　次に「情報セキュリティ」。ガイドラインを踏まえ、サービスの提供やデータの保管などの基盤は、災害や不正アクセスなどの対策が施されたNTT東日本データセンターのクラウド基盤を利用します。校務に必要なアプリケーション、ネットワーク機能、サーバ、情報セキュリティ対策、故障・復旧対応などを一元的に提供するほか、サーバの冗長化により、障害時には予備サーバに切り替わり、校務業務の停止時間を少なくします。

　サーバのバックアップ及び実行可否の監視、VPN（仮想閉域網）による不正な通信の防止、サーバへのアクセスに対するログの保存及び監視といった基盤の情報セキュリティ対策も充実しています。24時間365日の故障受け付けなどのサポート体制を整え、教育委員会・学校は安心して「おまかせ校務」を利用できます。

　NTT東日本では、通信回線・ネットワークの構築、その運用・管理なども提供し、教育現場のICT化をトータルでサポートしています。情報システムのセキュリティは一部でも弱点があればレベルが極端に低下します。またシステム全体で連携が取れなければ効率は低下します。そうした意味でNTT東日本のようなトータルサポートは大きな意味を持ちます。教育の情報化やそのセキュリティの強化は、高い視点から全体を見渡して考えることが非常に重要です。