GIGAスクール構想により、多くの小中学校では1人1台の環境が整い、利活用が進めるなかでメリットや課題が浮かび上がってきたことと思います。一方で、高等学校における環境整備は今年度以降に本格化する見込みです。そこで今回は、さきごろ改訂された文部科学省の「教育情報セキュリティポリシーに関するガイドライン」に焦点を当て、そのねらいや重要なポイントについて解説を行いながら、1人1台の環境構築や現在の運用を見直すヒントを提供できればと思います。
「教育情報セキュリティポリシーに関するガイドライン」改訂のねらい
そもそも、「教育情報セキュリティポリシーに関するガイドライン」(以下、「ガイドライン」)とは、文部科学省が、地方公共団体が設置している各学校に向けて、情報セキュリティポリシーの策定や見直しを行う際の参考となるよう、学校における情報セキュリティポリシーの考え方や内容を示したもので、初版は2018年10月に策定されました。
今回、コロナ渦において端末の整備が大幅に前倒しになったことを受けて、1人1台端末における運用について重点的に言及するため、今年5月に2度目の改訂が行われました。
ちなみに1回目の改訂は、2019年12月に行われています。ちょうどGIGAスクール構想が発表された直後の話です。クラウド・バイ・デフォルトの原則から、クラウドサービスの利用に対応するよう一歩踏み込んだ記述が話題になりました。その一方で、初版で示された対策のための基準や例文が、各地でがんじがらめのセキュリティポリシーを生み出してしまったことを踏まえ、ガイドラインそのものを参考資料とするようなやや腰の引けた記述になったという経緯があります。
ですから、今回の改訂は、これだけ急ピッチで進んだ1人1台の環境において、一定の指針を示すことが必要だという背景を押さえておきましょう。とはいえ、本来は数年かけて調整を図りながら進めていくところを大急ぎで環境整備をしたがゆえに、先日もN市の議会でのやりとりがニュースを騒がせていたように、各地でさまざまな事態が引き起こされていることもまた事実ですから、当然そうしたことへの解決策としての意味合いも込められていると解釈すべきでしょう。
なお、本来は新年度に合わせて公表したかったようですが、公表がなんとも中途半端な時期になったのは、年度末に起きた個人情報漏洩問題を引きずったとの観測がもっぱらです…トホホ
「ガイドライン」の構成を知る
今回の改訂で「ガイドライン」は以下の3つの資料の構成に刷新されました。
①教育情報セキュリティポリシーに関するガイドライン改訂説明資料
②教育情報セキュリティポリシーに関するガイドラインハンドブック
③教育情報セキュリティポリシーに関するガイドライン
①は改訂の目的や背景、重要なポイントについて8ページにまとめたものになります。大枠を確認するのであれば、この資料をまず読んで概観を捉えるのがよいでしょう。
②は「ガイドライン」の内容をぎゅっと凝縮させたもので、情報セキュリティ対策の基本的な考え方から、1人1台端末・クラウド利活用時の情報セキュリティ対策、個人情報の取り扱いまでを49ページにまとめたものになります。とてもわかりやすくまとまっているため、これでしっかりとポイントを把握するのがオススメの読み方です。
③はいわゆる「ガイドライン」本体になります。網羅的に詳細まで記述されていますが、ただ、これは総ページ数が177ページの大作になっており、正直言って読むのはなかなかしんどい作業になります。本体は実務を進める際の参考にするのがよいでしょう。
「ガイドライン」の改訂のポイント
①改訂説明資料および②ハンドブックを元に、改訂のポイントを見ていくと、「セキュリティ対策の充実」「教育情報ネットワークの在り方の明確化」の2つのポイントが示されています。
画像キャプション:「改訂説明資料」で示された今回の改訂のポイント
「セキュリティ対策の充実」では、クラウドサービスの日常的な活用や、利用するネットワーク・場所にとらわれないセキュリティ対策が必要なため、クラウドの帯域確保などクラウドサービス利用時の留意点、不適切なWebページの閲覧を防ぐためのWebフィルタリング、マルウェア対策、MDMによる不正ソフトのインストールの防止、モラル教育といった点が強調されています。
ですから、もし、現在採用しているクラウドサービスがあるのであれば、適切なセキュリティ対策が実装されているのか、フィルタリングやマルウェア対策がどのように対応されているかを今一度確認しておくとよいでしょう。
例えば、Google のクラウドサービスである Google Workspace for Education は情報セキュリティ管理における国際規格に準拠しています。無償で提供されている Fundamentals でも Google 独自の重層的なセキュリティを搭載することで、別のフィルタリングソフトを導入することなく円滑にクラウドサービスを利用することができます。世界で1億7千万人以上がこのサービスを利用していますが、セキュリティの脅威に屈することなく、安心して利用できていますので、有効な選択肢となるでしょう。
また、MDMの採用による不正インストールの防止についても言及がされていますが、Google が開発した教育機関向けの端末である Chromebook には、 CEU(Chrome Education Upgrade)という 専用の MDM(Mobile Device Management)があります。 CEU を利用すれば、学校で使う端末にユーザー設定やセキュリティ、端末情報などの設定をブラウザ上から一括で行うことができます。例えば、授業に必要のないアプリのインストールを防いだり、OSのバージョンを一括で管理することで、スムーズな授業の進行を支えてくれます。
「セキュリティ対策の充実」では、このほかにも、1人1ID化に対する新たなセキュリティ対策の追加として、個々のID管理が必要なため環境整備の段階から運用を踏まえてID登録・変更・削除を行うことや、CBTを視野に入れた他要素認証、一度の認証で各種サービスを利用できるシングルサインオンなども強調されています。
一方、「教育情報ネットワークの在り方の明確化」の点では、学校がインターネット接続する際の方法として、これまでのような学校単独型やセンター集約型に加えて、一部の通信を直接インターネットへ接続するローカルブレイクアウト構成が追加されています。
ただ、こうした一連の方式については、「過渡期」という表現が用いられており、将来的には、ネットワーク分離を必要としない 認証によるアクセス制限を前提とした構成が初めて示されました。
これはクラウドの環境を最大限生かすために、教育委員会や学校も極力設備を持たずにクラウド化することで、利便性向上とコスト削減のメリットを図ることができます。また、ネットワーク分離をしない点は、端末やネットワークに依存することなく重要性の高い情報へのアクセスには多要素認証の導入や、学習者用端末を学校のアクセスポイントのみに接続を制限するなどの技術的対策、運用体制の整備などの人的セキュリティ対策を合わせて実施することで、十分なセキュリティを確保することが可能だと提示されました。
繰り返し強調されているMDMとは
さきほど不正ソフトのインストールを防ぐためにMDMの導入が推奨されているとご紹介しましたが、「ガイドライン」のハンドブックでは、MDMの重要性が繰り返し指摘されていることも特徴的です。
例えば、「第3章情報セキュリティの基本的な考え方」では、その重要性が示されています。一括の端末管理により、教師の維持管理をラクにするという運用面での負担軽減のメリットも紹介されています。
画像キャプション:第3章情報セキュリティの基本的な考え方
また、「第5章GIGAスクール構想における児童生徒1人1台端末・クラウド利活用時の情報セキュリティ対策」では、技術的な対策としてMDMに言及されており、学校内外など利用する場所にかかわらず、ポリシーの展開は必要なタイミングで随時行い、ログイン・アプリケーションの利用履歴ログ等は、必要な際に閲覧できる環境を整えることが推奨されています。
例えば、Chromebook の CEU(Chrome Education Upgrade)を利用すれば、ライセンス数に応じた端末の200項目以上のセキュリティ設定が可能です。こうした機能を有効に活用して、生徒が安心して端末を活用できる環境していくことが大事なポイントになるでしょう。
画像キャプション:CEU(Chrome Education Upgrade)でできること
また、 Chromebook はブラウザベースのPCになりますので、OSの機能として標準でウイルス対策機能が搭載されています。また、常にOSにアップデートされていて、アクセスをするたびにそれが自動的に適用される仕様となっています。
これにプラスして CEU(Chrome Education Upgrade)を利用することにより、生徒が有害なサイトにアクセスしないようにするアクセス制限、不正アプリのインストール防止、必要に応じて端末の操作ログが取れる、こういった管理ができるようになります。
さらに、万が一紛失した時、管理者はすぐにその端末を遠隔でロックして第三者の利用を防ぐことができます。盗難に遭って初期化されても、強制的に管理下に戻すことで第三者による悪用を防ぐことができます。
今回の「ガイドライン」改訂では、1人1台に対応したクラウドの活用と適切に端末を利用するために留意すべきポイントが強化されました。持ち帰りを前提とした運用の設計、それに伴うセキュリティの配慮が重要なポイントとなっています。Chromebook と CEU(Chrome Education Upgrade)、Google Workspace for Education を適切に設計することで、これらのポイントを踏まえた学習環境を構築することができます。
まとめ
今回は、「教育情報セキュリティポリシーに関するガイドライン」(以下、「ガイドライン」の改訂のポイントをご紹介しながら、1人1台の環境構築の要件を整理しました。
電算システムでは、Chromebook の導入や CEU のライセンス販売、Google Workspace for Education の導入を中心に学校現場におけるDXを支援しています。学校現場における豊富な導入実績を誇る弊社ならではのご提案も可能です。Google for Education などの導入や活用についてお困りごとなどございましたら、お気軽にお問い合わせいただければと思います。
また、YouTubeチャンネルでは、Google for Education に関わる各種動画を配信しています。ぜひ、ご覧ください。
■DSK Education YouTubeチャンネル
https://www.youtube.com/channel/UCFRLP_UQtdfsAdusWBLMacA
