文部科学省「情報セキュリティポリシー ガイドライン」改訂のポイントと、便利かつ安全な環境の実現に向けて
ガイドライン改訂で変わったこと・変わらないこと
令和 3 年 5 月に「文部科学省情報セキュリティポリシーに関するガイドライン」(以下、「ガイドライン」と言います) が改訂されました。ガイドライン改訂に関する説明資料 (注 1) では「ネットワーク分離を前提としない」などクラウド時代に対応した新しい考え方が説明されています。
(注 1) 教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料
図 1 ガイドライン改訂に関する説明資料 (抜粋)
新ガイドラインでは校務系・学習系の両方でクラウドを活用することが「目指すべき構成」であると明記されています。「目指すべき構成」が実現されると教育環境は以下の図に示すとおり、どこからでも・どんな端末からでも自由に利用できる利便性の高いものに進化すると考えられます。
図 2 目指すべき教育環境
では、この改訂によりガイドラインの内容はどう変わったのでしょうか。また、これまでと変わらないのは何でしょうか。
変わらないのは「教員」「児童・生徒」「外部」に分ける考え方、変わったのはその区別をどんな技術で実現するかということです。
学校現場ではさまざまな情報を扱いますが、それらの情報は、成績や進路に関する情報などの「教員だけが見てよい情報」、教材や課題など「教員と児童・生徒が見る情報」、校外とのメールのやりとりやインターネットでの検索など「外とのやりとり」の 3 種類に大別することができます。
これまでのガイドラインではその 3 種類を分離する (混じり合わないようにする) ことを、ネットワークを分けることで実現していました。「教員だけが見てよい情報」を扱うネットワークに児童・生徒が入り込まないようにすることで、「教員だけが見てよい情報」が児童・生徒の目に触れないようにし、また、インターネット接続を制限することで、外部からの不正アクセスやマルウェア感染のリスクをなくそうという考え方です。
しかし、ここで問題になるのは以下の 4 点です。
- 実際には教員の業務では 3 種類の情報すべてを使うため、教員はそれぞれのネットワーク用の端末を使い分けなければならない。また、異なるネットワークの間で情報をやりとりする必要があり、ネットワークを厳密に分離することが困難。
- 校務・教務でクラウドを活用するためにはインターネット接続が必要不可欠だが、その点が考慮されていない。
- 児童・生徒が端末を持ち帰って学習することが考慮されていない。
- 情報の持ち出しは「禁止」という考え方であり、学校外との情報共有が考慮されていない。また、教員が作業をする場所が職員室(学校)に限定される。
図 3 ネットワーク分離の考え方と実際
これらの問題点を克服し、クラウド時代に合ったセキュリティを実現するため、新しいガイドラインでは以下の技術的な対策を実施することが求められています。また、マルウェア等の攻撃手段が日々巧妙化しており、従来のガイドラインに沿った対策では対処しきれなくなっていることも、新しい対策が求められている理由の 1 つです。
表 1 新しいガイドラインで求められている技術的対策
(注 2)「教育情報セキュリティポリシーに関するガイドライン」(令和 3 年 5 月版) ハンドブック「5-4 技術的対策 (1)児童生徒ID・PW」および「6-4 技術的対策 (2)教職員の個人認証強化」「6-4 技術的対策 (3)アカウント情報の使い回し防止」
(注 3) 同「5-4 技術的対策 (2)端末のセキュリティ(管理設定)」「6-4 技術的対策 (4)潜在的なセキュリティリスクへの対応」
(注 4) 同「5-4 技術的対策 (3) 学校外での利用(持ち帰り)を前提とした際の技術的ポイント」
(注 5) 同「6-4 技術的対策 (5)外部への情報資産持ち出しリスクへの対応」
以上を踏まえて改訂前後のガイドラインを比較すると、以下のような考え方の変化を読み取ることができます。
表 2 改訂前後のガイドラインの考え方の変化
図 4 新旧ガイドラインの比較
繰り返しになりますが、「教員」「児童・生徒」「外部」という分け方は以前と変わりません。しかし、「教員」も「児童・生徒」もクラウドを積極活用する時代となった今、「インターネットにつながっているか」がセキュリティの基準として意味をなさなくなったことを受け、新しい時代に適した考え方・技術によるセキュリティが必要になりました。文部科学省による情報セキュリティポリシーに関するガイドラインの改訂もこの流れに沿ったものであると言えます。
新ガイドライン対応の環境を実現するには
先ほど説明したゼロトラストおよび情報漏洩対策を実現する上で中核となるセキュリティ製品が Microsoft 365 A5 です。次の表に示すとおり、Microsoft 365 A5 に含まれる各種機能を利用することにより、改訂後の新しい文部科学省情報セキュリティポリシーに沿ったセキュアな教育環境を実現することができます。
図 6 新ガイドラインで求められる対策とマイクロソフト製品の対応
表 4 新ガイドラインで求められる対策とマイクロソフト製品の対応
教育委員会様向けオンラインセミナーのご案内
日本マイクロソフトはガイドラインの改訂に際し、教育委員会様を対象に、ゼロトラストの考え方に基づいたこれからのセキュリティのあり方をご説明するオンラインセミナーを開催いたします。
本セミナーでは、いち早く省内情報システムをゼロトラスト型のセキュリティへ移行することを決めた文部科学省様より、マイクロソフトソリューション採用の経緯などをご紹介いただき、各教育委員会でガイドライン改訂への対応を検討される際にお役立ていただける情報をお届けいたします。
さらに、日本マイクロソフトからは、Microsoft 365 Educationを軸としたゼロトラストの考え方と、教育委員会における導入のポイントや活用例をご紹介いたします。校務や教務運営、端末の持ち帰り対応等、教育現場や先生の働き方にもたらすメリットの数々について先行事例を交えてわかりやすく解説いたしますので、ぜひご参加くださいませ。
オンラインセミナー概要
テーマ: 「教育情報セキュリティポリシーに関するガイドライン」改訂への対応ご提案- 校務も教務も1台の端末で完結! クラウドを徹底活用して安全かつ便利に運用 –
日時: 2021 年 9 月 3 日 (金) 16:00-17:10
実施形態: オンラインセミナー
お申込み: こちらから
対象: 教育委員会ご関係者様、教職員、教育関係者
参加費用: 無料
登壇者:
- 文部科学省 大臣官房政策課サイバーセキュリティ・情報化推進室 情報システム専門官 (併) 室長補佐 福井 孝典氏
- 日本マイクロソフト株式会社 パブリックセクター事業本部 文教営業統括本部 統括本部長 中井 陽子
- 日本マイクロソフト株式会社 パブリックセクター事業本部 文教営業統括本部 文教営業本部 モダンワークスペシャリスト 山越 梨沙子
お問合せ先
マイクロソフトではクラウドをフルに活用した先進的かつ安心・安全な学びの環境を実現するため、教育機関のお客様をご支援させていただいております。クラウド時代の新しい学習環境実現に向けてお役に立ちたいと考えております。ぜひ弊社までご連絡ください。
なお、当ブログでは新ガイドラインに沿った教育環境を実現するための技術について次回以降でさらに詳しくご紹介してく予定です。
教育機関ご担当者様向け お問い合わせ窓口
電話番号: 0120-933-308
メール: [email protected]
受付時間: 9:00-17:30
月曜日~金曜日 (祝祭日、年末年始、マイクロソフト休業日を除く)
関連情報
「教育情報セキュリティポリシーに関するガイドライン」公表について:文部科学省 (mext.go.jp)
「教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明 – YouTube
ホーム | Microsoft Education
Microsoft Education Blog | Microsoft EDU (英語)
執筆者:
日本マイクロソフト株式会社 クラウド&ソリューション事業本部
テクノロジー ソリューション プロフェッショナル 教育部門担当
廣瀬 望