アフターGIGA、セキュリティの脅威から学校の情報資産を守るために
目次
第一章 アフターGIGAスクール ICT活用で教員の働き方改革
文部科学省のGIGAスクール構想によって、児童生徒1人1台の端末や高速大容量の校内ネットワークの配備が進みました。コロナ禍ではオンライン授業の必然性もあって、教育のICT化は加速しています。Chromebook、iPad、Windowsと種類も台数も増えた端末やアカウント管理など教職員の負担が増えた一面もあるでしょう。かねてより教員の長時間勤務が問題視される中、整備が進んだICT環境を活用し「統合型校務支援システム」を導入することで「教員の働き方改革」につなげるというねらいもGIGAスクール構想にあります。「統合型校務支援システム」で煩雑で膨大な校務を効率化し教員の負担を軽減、ワーク・ライフ・バランスを実現しつつ、児童生徒と向き合う時間を確保して豊かな学びへとつなげる、そんな効果が期待されています。
第二章 校務系情報資産には「機微な個人情報」が集中
学校には多くの「情報資産」があります。「情報資産」とは学校で扱う情報の全てです。一般に公開する前提のパンフレットやWebサイトのコンテンツ、児童生徒の学習系の情報や記録、厳重に管理が必要な名簿、成績、教員の人事情報など、それら情報そのもの、記載したファイルや電子メールといったデータ、データを格納するパソコンやサーバー、記録媒体も全て「情報資産」です。
「情報資産」を機密性・完全性・可用性で分類し適切に守る
文部科学省の「教育情報セキュリティポリシーに関するガイドライン」では、情報資産を大きく校務系、学習系、公開系と3つのカテゴリーに分け、漏洩させない(機密性)、改ざんさせない(完全性)、いつでも扱える状態を保つ(可用性)という3つの観点から4段階の重要性分類を例示しています。公開可否、万が一脅威にさらされてしまった時の影響度によって「情報資産」を整理分類し、メリハリをつけて適切にセキュリティの脅威から守らなければなりません。
「教育情報セキュリティポリシーに関するガイドライン(令和3年5月版)ハンドブック」(文部科学省)
(https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf)より引用し加工
「統合型校務支援システム」で教員が扱うデータ
「情報資産の例示」を見てもわかるように校務系、つまり「統合型校務支援システム」で教員が扱うデータには、万が一そのセキュリティが侵害された場合、教職員、児童生徒、学校事務や教育活動に重大な影響を及ぼす重要度の高い「情報資産」が集中しています。
例えば、成績情報、保健情報、児童生徒ならびに教職員の個人情報など機微な情報ばかりです。これらは教職員以外がアクセスできないよう強い対策が必要です。
第三章 学校の「情報資産」をどう守るのか
セキュリティの脅威に備えるといっても「情報資産」へのアクセスを全て制限してしまっては本末転倒です。誰にも使わせないのが最も安全という考えではICT環境やクラウドサービスを導入した意味がありません。強固なセキュリティ対策のもと、教員がリスクなく、そしてできるだけ負担なく使えなければならないのです。安全性と利便性の両面を考慮したバランスが重要になります。
アフターGIGA、クラウドサービス前提の対策は「ゼロトラスト」が必須
アフターGIGAの現在、学習環境、「統合型校務支援システム」ともにクラウド利用が前提となりつつあります。教員の働き方改革や、コロナ禍のような予測不能な事態への備えとしてのリモートワークにおいてもクラウド利用は有効です。
「教育情報セキュリティポリシーに関するガイドライン」の2021年5月の改訂で、政府の基本方針であるクラウド・バイ・ディフォルト原則にそって教育現場でもクラウドの活用促進がうたわれたことからも、今後のさらなる加速は明らかです。
オンプレミス型(構内にシステムを設置する方式)が主流であった時は、校務系と学習系の通信経路そのものを徹底して分離し、物理的に相互にアクセスさせない境界防御型の対策がなされていました。しかしクラウド環境でこれは限界があり、「ゼロトラストセキュリティ」が重要になります。
「教育情報セキュリティポリシーに関するガイドライン(令和3年5月版)ハンドブック」(文部科学省)
(https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf)より引用し加工
ゼロトラストとは
ゼロトラスト(zero trust)とは、「全てのアクセスを信頼しない、セキュリティリスクが潜んでいる」という前提に立った考え方です。クラウドサービスが原則でネットワークや端末の限定が困難となり様々な脅威がある中、全てのアクセスを信頼せず、検査を徹底して認証します。
第四章 二要素認証から始めるゼロトラストの取り組み
ゼロトラストの考え方に基づく対策は、端末の監視やログの分析、IAM(Identity and Access Management)、認証強化など複数を組み合わせる必要があります。高度で複雑な対策には多岐にわたる知識、コストが必要で導入や運用管理への不安も大きいでしょう。
そこで、まず手始めに認証部分の強化から取り組むことをお勧めします。非常にシンプルで効果的、費用や運用管理コストを抑えて短期間に導入しやすいからです。
二要素認証とは
通常、端末のログイン認証にID・パスワードを使用しますが、流出や脆弱なパスワードによるなりすましといった脅威がつきまといます。端末へのログイン認証を強化する方法として二要素認証があります。「知識情報」「生体情報」「所持情報」の3つの要素のうちの2つの要素を組み合わせることで認証の強化を図るのが二要素認証です。教職員が使用する端末へのログイン認証をセキュアにするのですから、オンプレミス型、クラウド型に関わらず有効な対策であることは言うまでもありません。
Yubi Plusの二要素認証
ID・パスワードを知っていること(知識情報)、教員専用のUSBセキュリティ鍵を所持していること(所持情報)の組み合わせでセキュアなログイン認証を実現します。いつものID・パスワード入力に続けて、USBセキュリティ鍵をポートへ挿入、センサー部にタッチするという手軽な操作で、教員の個人認証が強化されます。
Yubi Plusの二要素認証 の流れ
第五章 統合型校務支援システムも二要素認証で 〜API連携
「統合型校務支援システム」には機微な情報が集中しており、教職員以外がアクセスできないよう強いセキュリティ対策が必要です。同時にその対策が教員の負担や重圧とならない配慮も欠かせません。やはり安全性と利便性のバランスが重要なのです。Yubi Plusは主要な「統合型校務支援システム」とAPI連携して二要素認証機能を提供しています。端末へのログインと同じ簡単な操作で教員の負担を増やすことなく、「統合型校務支援システム」のログイン認証を強化しその入口を守ります。
API連携で二要素認証が可能な統合型校務支援システム一覧
- EDUCOMマネージャーC4th/株式会社 EDUCOM(エデュコム)
- Te-Comp@ss/株式会社 文溪堂
- デジタル校務/株式会社 内田洋行
- Win Bird 校務支援データベース/ウィンバード株式会社
API連携統合型校務支援シシテム一覧(2022年2月時点)
まとめ
- アフターGIGAスクールでは「統合型校務支援システム」による教員の働き方改革を促進
- 機微な個人情報を扱う校務系の情報資産は強固なセキュリティ対策が必須
- 学習系・校務系ともにクラウド化が加速しゼロトラストが一般的に
- ゼロトラストセキュリティは認証部分の強化からのスタートがオススメ
- Yubi Plusの二要素認証で、安全性と利便性のバランスよく校務システムの認証を強化