教育情報セキュリティポリシーに関するガイドラインの変更点は？

シスコシステムズは、オンラインセミナー2022年3月版「文部科学省セキュリティガイドライン改訂のポイントとセキュリティ対策の最前線」を7月28日に開催する。

目次 Show

【今般のガイドライン改訂経緯と今後の方向性について】
1人１台端末を活用するために必要なネットワーク構成
「教育情報セキュリティポリシーに関するガイドライン」参考資料
1.2情報資産の種類と例
1.4.物理的セキュリティ
1.5. 人的セキュリティ
1.6. 技術的セキュリティ
1.12. 1 人 1 台端末におけるセキュリティ

2022年3月、文部科学省から「教育情報セキュリティポリシーに関するガイドライン」の改訂版が公開された。

今回の改訂では「ネットワーク分離による対策」及び「アクセス制御による対策」の表現適正化や校務用端末における詳細なセキュリティ対策が追記され、2021年5月版からの変更箇所の把握やセキュリティ対策の検討で悩む人も多いのではないか。

同社ではそのような課題に対して、同社のソリューションがどのように対応し、安全・安心・快適にICTを活用した授業の推進を支援できるかを説明するオンラインセミナーを、7月28日13時から開催する。

詳細・申込

関連URL

シスコシステムズ

文部科学省は2021年5月、「教育情報セキュリティポリシーに関するガイドライン」の改訂版を公表した。2019年12月に続く2回目の改訂。1人1台端末整備推進にともなう新たなセキュリティ対策の記述を充実させ、教育情報ネットワークのあり方を明確化している。

「教育情報セキュリティポリシーに関するガイドライン」は、各教育委員会が教育情報セキュリティポリシーの策定や見直しを行う際の参考として、基本理念や検討する際の考え方を解説したもの。2017年10月の策定後、2019年12月にGIGAスクール構想を受けて改訂している。

今回、急速な学校ICT環境整備の推進を踏まえ、1人1台端末を活用するために必要な新たな課題に対応するため、2回目の改訂を行った。改訂ポイントは、「端末整備推進にともなう新たなセキュリティ対策」「教育情報ネットワークのあり方」の2点。

「端末整備推進にともなう新たなセキュリティ対策」では、1人1台の学習者用端末を利活用するにあたり、対策についての記述を充実。クラウドサービスの日常的な活用や、利用するネットワーク・場所にとらわれないセキュリティ対策等を示している。

また、1人1台端末とクラウドサービス活用を前提とした1人1ID化に対する新たなセキュリティ対策を追加。児童生徒ひとりひとりに個別のIDを付与することにともなう、ID管理や運用、ID／パスワードに対する安全管理措置等をまとめている。

「教育情報ネットワークのあり方」については、クラウドサービス活用にともなうセキュリティ対策を実現するため、過渡期としてのローカルブレイクアウト構成や、今後目指すべき校務系／学習系のネットワーク分離を必要としない構成のあり方を明確化した。

この他、情報資産の「持ち出し制限」「外部送信」についても内容を適正化。組織外部への持ち出し制限は、従来の表現では実質禁止ととらえられているケースもあったため、今後のデータ活用に向けてガイドラインに準拠していることを前提としたうえで、利活用が可能となるよう「真にやむを得ない場合に限り情報セキュリティ管理者の判断で持ち出しを可」と見直した。情報の組織外部への送信については「暗号化、パスワード設定を行う」との内容にあらためた。クラウドサービス活用における個人情報保護に関する確認事項も追加している。

2021年5月改訂の「教育情報セキュリティポリシーに関するガイドライン」とハンドブック、改訂説明資料は、文部科学省Webサイトで公開している。

「教育情報セキュリティポリシーに関するガイドライン」令和４年３月一部改訂版を公表

平成29年10月策定、令和３年５月に改訂された「教育情報セキュリティポリシーに関するガイドライン」が、一部改訂され、令和４年３月公開された。ガイドラインハンドブックも同時に公開。今後の推奨ネットワーク構成である「アクセス制御による対策を講じたシステム構成」に円滑に移行するため、詳細な技術的対策を追記。従来の「ネットワーク分離による対策を講じたシステム構成」と今後の「アクセス制御による対策を講じたシステム構成」について書き分けた。本改訂についてはデジタル庁の協力も得ている。

本改訂版では、アクセス制御による対策を講じたシステム構成の場合の技術的セキュリティを大幅に追記。特に校務用端末の取り扱いについて追記が多い（ガイドライン「1.4.4 教職員等の利用する端末や電磁的記録媒体等の管理」）。ふるまい検知やファイルの暗号化、ウイルス感染のない無害化通信を推奨。マルウェア対策や不適切なウェブページの閲覧防止方法などの説明を追加している。

主な改訂箇所は以下。

▼「教職員等の利用する端末や電磁的記録媒体等の管理」に振る舞い検知等の記述を追加

▼「教職員の順守事項」に校務端末の持ち出しに関する記述を修正

▼「コンピュータ及びネットワークの管理」に校務端末の使い分けについて対策毎に記述

今回のガイドラインに「ゼロトラスト・ネットワーク」という文言は記載されていない。「アクセス制御による対策を講じたシステム構成」とイコールで考えるべきか否かも含め、学校での「ゼロトラスト・ネットワーク」の実証を踏まえ整理したうえで本ガイドラインに今後盛り込まれる可能性がある。

以下、本ガイドラインの主な追記・改訂項目を赤字で示した。

【今般のガイドライン改訂経緯と今後の方向性について】

「デジタル社会の実現に向けた重点計画」（令和 3 年 12 月 24 日閣議決定）の方針も踏まえて、クラウドサービスの利用を第一候補として、その検討を行うものとするクラウド・バイ・デフォルト原則に基づくこととしている。各地方公共団体においてもクラウドの活用を念頭に置いてセキュリティを確保していく必要がある。

（補足）技術的対策に関する考え方

（１）学校が保有する重要性が高い情報に対するセキュリティ強化（主な対策）

③アクセス権が管理されていない学習系システムへの重要性分離Ⅱ以上の保管は、原則禁止とする。

（２）学校単位で重要性が高い情報を管理するリスクの低減

（主な対策）

④大規模災害に備え、学校設置のシステムサーバから大規模災害対応済データセンター・自治体設置のデータセンターやクラウドサービスの活用への移行の推奨

（３）教職員による人的な重要性が高い情報の漏えいリスクの最小化

（主な対策）

②電磁的記録媒体の暗号化の徹底

暗号化についてはストレージやファイル等に対し適正なレベルの暗号化を行う

※電磁的記録媒体＝情報資産を扱うサーバ装置（クラウドサービスを除く）、端末、デジタルカメラ、デジタルビデオカメラ、通信回線装置等に内蔵される内蔵電磁的記録媒体、USBメモリ、外付けハードディスクドライブ、DVD-R、磁気テープ、SDカード等の外部電磁的記録媒体

1人１台端末を活用するために必要なネットワーク構成

1人１台端末を活用するために必要なネットワーク構成については「アクセス制御による対策を講じたシステム構成」と「ネットワーク分離による対策を講じたシステム構成」をそれぞれ図版化して示した（下記の図は「アクセス制御による対策を講じたシステム構成」）

インターネットに接続する校務用端末に重要な情報資産が格納される可能性があるため、不正アクセスやマルウェア対策、さらに教員等の不注意による情報流出への対策を実施すること。

「教育情報セキュリティポリシーに関するガイドライン」参考資料

1.2情報資産の種類と例

⑥情報資産の保管

(イ)教育情報セキュリティ管理者または教育情報システム管理者は、情報資産を記録したUSBメモリ等の外部電磁的記録媒体を補完する場合は、外部電磁的記録媒体への書き込み禁止の措置を講じなければならない

⑦情報の送信

電子メール等により重要性分類Ⅲ以上（機密性２A以上）の情報を外部送信する者は、限定されたアクセスの措置設定（アクセス制限や暗号化）を行わなければならない

1.4.物理的セキュリティ

本項では、特にサーバ及び管理区域に関する部分の取扱いについては、主にオンプレミスの場合を想定。クラウドサービスを利用する場合には、「1.9 クラウドサービスの利用」を軸に確認・検討する

1.4.4. 教職員等の利用する端末や電磁的記録媒体等の管理

④教育情報システム管理者は、取り扱う情報の重要度に応じてパスワード以外に生体認証や物理認証等の多要素認証を設定しなければならない。特にアクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産へのアクセスについては、多要素認証を必須とすること。

⑧教育情報システム管理者はパソコンやモバイル端末におけるマルウェア感染の脅威に対し、ウイルス対策ソフトの導入等の対策を講じなければならない。なお、ＯＳによって標準的にウイルス対策ソフトを備えている製品、ＯＳとしてウイルス感染のリスクが低い仕組みとなっている製品などもあるため、実際に運用する端末において適切な対策を講じること。アクセス制御による対策を講じたシステム構成の場合、校務情報等の情報資産を取り扱う端末に対し、当該端末の状況及び通信内容を監視し、異常、あるいは不審な挙動を検知する仕組み（ふるまい検知）等の活用を検討し、適切な対策を講じること。

⑨教育情報システム管理者はインターネット接続をする場合、教職員等のパソコン、モバイル端末等に対して適切なウェブページの閲覧を防止する対策を講じること。

（解説）

アクセス制御による対策を講じたシステム構成の場合、校務・学習等各システム別による端末配備を求めない。また、ワードの解説に以下が追記されている。

⑥ファイルの暗号化

端末に保存したファイルを暗号化し、暗号鍵を保持しない利用者は情報の閲覧等ができない仕組み。教職員等の負担を考慮し、ファイル保存時に児童で暗号化される仕組みも有効。

⑧マルウェア対策

近年のサイバー攻撃は複雑、巧妙化しておりパターンファイルによる不正プログラム対策ソフトウェアでは検知できない攻撃が頻発している。こうしたマルウェアを検知するためには、既存のパターンファイルから県シュルする手法に加え、ふるまい検知が有効である。ふるまい検知とは、既存のパターンファイル情報に依存することなく、各端末における通常時の通信傾向を学習し、そこから逸脱する不信な通信について検知する仕組み。隔離された安全な領域（サンドボックス）で不審なプログラムの挙動を検知することにより、未知の攻撃にも有効。

なお、マルウェアに感染し攻撃を検知した場合には、その根本原因や感染した端末の特定と管理、影響範囲の関係や時系列での不正なふるまいの状況を一元的に把握することができるＥＤＲ（Endpoint Detection and Response）も有効。運用体制・端末のリソース状況・実現したい機能・コストを鑑みて検討すること。

⑨不適切なウェブページの閲覧防止

アクセス制御による対策を講じたシステム構成の場合、不適切なウェブページへの閲覧を防止する対策として「フィルタリングソフト」「検索エンジンのセーフサーチ」「セーフブラウジング」等がある。実現したい機能や実際の運用に応じて適切に整備する。

1.5. 人的セキュリティ

【例文】 (１)教職員等の遵守事項

②モバイル端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限

アクセス制御による対策を講じたシステム構成の場合、情報セキュリティ管理者の包括的承認を行う等、運用実態や教職員等の負担も考慮して検討する

④持ち出し及び持ち込みの記録

アクセス制御による対策を講じたシステム構成の場合は、学校外での端末利用に対して「1.4.4.教職員等の利用する端末や電磁的記録媒体等の管理」に示している適切な安全管理措置が講じられている前提においては、情報セキュリティ管理者の包括的承認を行う等、運用実態や教職員等の負担も考慮し検討する

1.6. 技術的セキュリティ

1.6.1. コンピュータ及びネットワークの管理【趣旨】

アクセス制御による対策を講じたシステム構成の場合、教職員端末での情報資産の管理がより重要。対策等については「1.4.4 教職員等の利用する端末や電磁的記録媒体等の管理」を参照する

例文

(８) ネットワークの接続制御、経路制御等

①統括教育情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、所管するネットワークの内部におけるファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。 ②統括教育情報セキュリティ責任者は、不正アクセスを防止するため、所管するネットワークに適切なアクセス制御を施さなければならない。

（１１）重要性が高い情報に対するインターネットを介した外部からのリスク、児童生徒による重要性が高い情報へのアクセスリスクへの対応

①教育情報システム管理者は、アクセス制御による対策を講じたシステム構成の場合は、各システムにおけるアクセス権管理の徹底をしなければならない。

②教育情報システム管理者は、校務系システムとその他のシステム（校務外部接続系システム、学習系システム）との間で通信する場合には、各システムにおけるアクセス権管理の徹底を行う等の適切な措置を図らなければならない。また、ネットワーク分離による対策を講じたシステム構成ではウイルス感染のない無害化通信など、適切な措置を図らなければならない。

解説

(１１) 重要性が高い情報に対するインターネットを介した外部からのリスク、児童生徒による重要性が高い情報へのアクセスリスクへの対応

ネットワーク分離による対策を講じたシステム構成での考え方に従った場合、校務用端末については、アクセス制御による対策を講じたシステム構成においては、各システムにおけるアクセス権管理の徹底を行うとともに、端末に対して「1.4.4. 教職員等の利用する端末や電磁的記録媒体等の管理」に示している適切な安全管理措置を行うことで、「校務系システム」「校務外部接続系システム」「学習系システム」に接続する端末を 1 台に統合し運用することが可能である。

例文

①アクセス制御

アクセス制御による対策を講じたシステム構成の場合、重要な情報資産へのアクセスについては、当該システムへの認証強度の向上とアクセス権管理を徹底すること。

解説

(１) アクセス制御

各システムへのログインに多要素認証を用いる場合は、シングルサインオンを併用するなど、教職員等の負担を十分考慮した仕組みを導入することが望ましい。また、各システムへのアクセスに対し、端末のIPアドレスやWebブラウザ、場所や時間などが通常と異なる際のリスクを判定し、追加の認証を行う方式であるリスクベース認証を用いることにより重要な情報資産へのアクセスに関するセキュリティを強化することができる。

（３）クラウドサービスの特性に起因する留意点

セキュリティインシデントだけでなく、クラウドサービスに集約される教育データの取り扱いについても IaaS 事業者及び SaaS 事業者にて利用者の意図しない取り扱いをされることが無いよう留意する必要がある。

1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項

クラウド事業者の選定においては、1.9.1（５）で例示した認証規格を参考にすることで、情報セキュリティの確保等が適切に行われていると判断することが可能である。

1.12. 1 人 1 台端末におけるセキュリティ

児童生徒の所有するICT機器を活用するBYOD（Bring Your Own Device）についても、多様なICT端末の活用における有効な選択肢として検討する必要がある。高等学校等において自治体が整備する端末とBYOD端末が同一の教育活動の中で使用されるケースも考えられるため、BYODを行う際には、本ガイドラインを参考にしつつ自治体が整備する端末の環境と同等のセキュリティ対策を講じる必要がある。 BYODについては今後の実証研究などを通して、引き続き環境整備の在り方を検討していく方針であり、本ガイドラインにも随時反映していく。

1.12.2. 児童生徒における ID 及びパスワード等の管理

例えば、パスワードに関しては定期的な更新を求める運用は廃止し、複雑性を満たすパスワードを設定の上、パスワードの流出を検出した際には速やかに新しいパスワードに変更しなければならない。を文末から冒頭の「趣旨」に移動。

用語解説に「ふるまい検知」「マルウェア」「リスクベース認証」などの用語が追記（ハンドブックより）

「教育情報セキュリティポリシーに関するガイドライン（見え消し版）」は変更箇所が一目でわかる

「教育情報セキュリティポリシーに関するガイドライン」ハンドブック令和４年３月版（見え消し版）

教育情報セキュリティポリシーに関するガイドラインの変更点は？