学校での情報セキュリティ対策はどうすべき？現状や具体策を徹底解説

「学校で情報教育が進んでいるけれど、セキュリティ面はどうなっているの？」
「学校の情報セキュリティを高めなければいけないが、どんな対策が有効だろう？」

教育現場にITCが普及し始めている現在、そんな疑問を持っている方も多いのではないでしょうか。
2019年に政府から「GIGAスクール構想」が打ち出され、それを踏まえて2021年3月には全国の児童生徒に「1人1台端末」の支給がほぼ完了しました。
が、そのスピードに反して、セキュリティ面の対策は追いついていない学校も多くあり、その充実が急務となっています。

というのも学校には、教師や児童生徒の個人情報をはじめ、重要な情報資産が保管されています。
それに対して、以下のセキュリティリスクが想定されるのです。

・サイバー攻撃
・不正アクセス
・情報流出
・自然災害、火事、事故、停電、パンデミックなどの不測の事態

これらに備えて学校側は、以下のような対策を講じるのが望ましいでしょう。

・セキュリティポリシーの策定
・情報セキュリティ教育
・接続／経路制御
・アクセス制御
・なりすましメール対策
・校内LANのセキュリティ強化

そこでこの記事では、学校における情報セキュリティに関して解説していきます。
まずは現状から知っておきましょう。

◎学校における情報セキュリティの現状
◎「GIGAスクール構想」と情報セキュリティの必要性
◎学校における情報資産の例
◎学校で想定されるセキュリティインシデント

これを踏まえて、実際の対策について考えていきます。

◎文部科学省「教育情報セキュリティポリシーに関するガイドライン」とは
◎学校で行うべき情報セキュリティ対策

最後まで読めば、学校でどのような情報セキュリティを実施すればいいかがわかるはずです。
この記事で、あなたの学校がさまざまなデジタルの脅威から守られるよう願っています。

1. 学校における情報セキュリティ

教育現場もITC化が進み、プログラミングの授業が小学校から必修化された現在、学校における情報セキュリティの確立は新たな課題となっています。

そこでまず、現状はどのようになっているのか、なぜ情報セキュリティが重要なのかを考えてみましょう。

1-1. 学校における情報セキュリティの現状 

実は全国の学校では、教育現場へのICT導入のスピードに対して、情報セキュリティ体制の整備は追いついていない部分があります。

以下のグラフを見てください。
文部科学省による「令和2年度　学校における教育の情報化の実態等に関する調査」から、「有害情報への対応状況」を調査したデータです。

これを見ると、「フィルタリングをしている」学校は全体の98.8％、「ウイルス対策をしている」のは 99.5％ とほぼすべての学校が対応しています。

出典：文部科学省「令和2年度　学校における教育の情報化の実態等に関する調査」

が、同じ調査で「教育情報セキュリティポリシーの策定状況」を見てみると、学校向けのセキュリティポリシーをきちんと策定しているのは全体の66.4％に過ぎません。

出典：文部科学省「令和2年度　学校における教育の情報化の実態等に関する調査」

また、少し古いデータですが、同じく文部科学省「平成29年度　学校における教育の情報化の実態等に関する調査」では、「学校CIOの設置状況」を調査しています。
学校CIOとは学校におけるICT化の担当責任者ですが、設置している学校は44.4％のみです。

出典：文部科学省「平成29年度　学校における教育の情報化の実態等に関する調査」

このように、ウイルスなどへの対策はできていても、根本的なセキュリティに対する方針や体制は整っていないのが現状なのです。

1-2. 政府が推進する「GIGAスクール構想」

そんな中、2019年に政府からは「GIGAスクール構想」が打ち出されました。
これは、以下の2つの目的のために、学校のにおけるICT環境の整備をはかるものです。

これを実現するために、「児童生徒1人1台端末の整備」と「校内通信ネットワークの整備」を推進し、そのために大きな予算も割いています。
特に、新型コロナウイルス感染症の蔓延により、臨時休校やリモート授業に踏み切る学校が急増したことを受け、この取り組みは加速しました。

その結果、2021年3月時点で全自治体のうち97.6 ％が、1人1台の端末を用意することができたそうです。（文部科学省「GIGAスクール構想の最新の状況について／2021年3月19日」より）

1-3. セキュリティ対策の不備からトラブル・事件が発生

ただ、ネットワークと端末が急速に行き渡ったことにより、セキュリティ面での問題が浮き彫りになりました。
たとえば、生徒の個人情報などを狙った外部からの不正アクセスや、生徒自身による不用意な情報漏洩などのリスクです。

中でも、ICT推進校である東京・町田の小学校では、セキュリティ対策の甘さから大きな問題が起きニュースになりました。
この学校では、児童1人に1台ずつクロームブックを配布しましたが、IDを出席番号含むわかりやすい数字に、パスワードを全員共通の「123456789」にしていたそうです。
その結果、児童同士の「なりすまし」が横行し、嫌がらせなど人間関係のトラブルが多発したといいます。
さらに、クロームブックには利用時間に制限がかけられておらず、ゲームでもYouTubeでも使い放題でした。

そんな中で、チャット内で何人かの児童が特定の女児の悪口を書き込む「いじめ」が始まりました。
その内容は、「なりすまし」によって女児本人も同級生たちも閲覧できたそうで、2021年11月、いじめられていた女児は自殺してしまったのです。

このように、学校ではまだITリテラシーが未熟な教師や生徒が多数います。
不正アクセスや情報漏洩が起きやすい状況を放置していたり、意図せず重大なインシデントを招いたりする恐れが多々あるのです。
そのようなことが起きる前に、情報セキュリティの多角的な強化が急務だというわけです。

2. 学校における情報資産の例

ただ、「学校で扱う情報に、盗まれて困るようなものはないのでは？」と考える方もいるかもしれません。
もちろんそんなことはありません。
学校には、本人が秘密にしたい個人情報や、悪用されやすいデータなどの「情報資産」が多数保持されています。
その具体的な例を見てみましょう。

【学校における情報資産の例】

出典：文部科学省「教育情報セキュリティの現状」資料

このように、生徒の氏名・住所・連絡先・写真といった個人情報や進路の情報、職員の住民票、戸籍、保険証などの写しや給与の情報など、万が一外部に漏洩したらさまざまな形で悪用されかねないものばかりです。

これらの重要情報、機密情報を守るために、学校のセキュリティ対策は厳重にしなければならないのです。

3. 学校で想定されるセキュリティインシデント

では、学校で具体的にどんなセキュリティインシデント（＝事件）が起こり得るのでしょうか？

文部科学省が発表した「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）では、「情報セキュリティの脅威」として以下のような例を想定しています。

【情報セキュリティの脅威】

出典：文部科学省「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）

まとめると、以下の4点です。

・サイバー攻撃
・不正アクセス
・情報流出
・自然災害、火事、事故、停電、パンデミックなどの不測の事態

3-1. サイバー攻撃

まず懸念されるのが「サイバー攻撃」です。
前述のように学校には、通常では入手できない生徒や職員の多岐にわたる個人情報が保持されています。
これを第三者が意図的に盗んだり改ざんしたりするため、ネットワークに侵入して攻撃を仕掛けます。

多様な手口がありますが、具体的な例としては以下のようなものが想定されます。

・ランサムウエア：マルウエアの一種で、これに感染すると利用者はシステムへのアクセスができなくなる
この制限を解除することと引き換えに、金銭を要求される
・標的型攻撃：特定の組織や個人をターゲットにしてメールなどでマルウエアに感染させるファイルやURLを送付する
・DOS攻撃：ウェブサイトやサーバをダウンさせてサービスを停止させる　など

3-2. 不正アクセス

「不正アクセス」はサイバー攻撃の一種ですが、学校の場合は生徒や職員によって行われる懸念があります。

「1-2. 政府が推進する『GIGAスクール構想』」でも事例を挙げましたが、アクセス権限のない者がIDやパスワードを不正に取得してシステムやサービスにログインするケースです。

ログインすること自体も問題ですが、その結果機密データを盗まれたり改ざんされたり、「1-2. 政府が推進する『GIGAスクール構想』」で解説したようななりすましによる被害なども起こり得ます。

3-3. 情報流出

デジタル情報は、サイバー攻撃や不正アクセスでも盗まれますが、それ以外にも流出の危険があります。
学校の場合、生徒に1人1台の端末を渡すとなると、数が多いだけに端末や記録媒体自体を紛失する可能性も高まります。
そうなると、そこから重要な情報が流出するリスクが懸念されるでしょう。

また、子どもがPCの扱いに慣れていないがために、誤った操作で情報をインターネット上に公開、拡散してしまう恐れもあり、情報流出のルートはさまざまです。

3-4. 自然災害など不測の事態

もうひとつのリスクは、自然災害や火災、事故や停電などの不測の事態が起こった際に、システムやデータが破損したり失われてしまうことです。
重要なデータが消失してしまうと、場合によっては学校運営に支障をきたすこともあり得ます。

そのようなことのないよう、データは日頃からバックアップを作成するなど、BCP対策をとることも必要でしょう。

4. 学校で行うべき情報セキュリティ対策

さて、ここまでで学校での情報セキュリティに関しての基本知識は説明しました。
そこでこの章では、具体的にどんな対策をとるべきかを挙げていきましょう。
といっても、対策方法は千差万別です。
ここではその中から代表的なものを5点紹介します。

・セキュリティポリシーの策定
・情報セキュリティ教育
・接続／経路制御
・ID／パスワード管理
・校内LANのセキュリティ強化

4-1. セキュリティポリシーの策定

まず、情報セキュリティポリシーはかならず作成しましょう。
これは、どのようなセキュリティ対策を実施するか、学校の方針や行動を決める指針です。

「1-1. 学校における情報セキュリティの現状」でデータを示したように、教育現場向けのセキュリティポリシーを策定している学校は66.4％だけでした。
が、学校での情報セキュリティ対策を講じるに当たって、セキュリティポリシーは最初に定めるべき基本です。

文部科学省の「教育情報セキュリティポリシーに関するガイドライン」でも、セキュリティポリシーの策定は「教員及び児童生徒が、安心して学校においてICTを活用できるようにするために不可欠な条件」と述べています。

具体的な策定手順は、以下のように進めましょう。

1）策定の組織決定（責任者、担当者の選出）
2）目的、情報資産の対象範囲、期間、役割分担などの決定
3）策定スケジュールの決定
4）基本方針の策定
5）情報資産の洗い出し、リスク分析とその対策
6）対策基準と実施内容の策定

出典：総務省 国民のための情報セキュリティサイト「情報セキュリティポリシーの策定」

内容は、「基本方針」「対策基準」「実施手順・運用規則など」という構成が基本です。

出典：総務省 国民のための情報セキュリティサイト「​​​​情報セキュリティポリシーの内容」

さらにくわしくは、「5.　文部科学省「教育情報セキュリティポリシーに関するガイドライン」とは」を参照してください。

4-2. 情報セキュリティ教育

また、教職員、生徒ともに十分な情報セキュリティ教育も必要です。
セキュリティに関する意識が低い、もしくは知識がないことで、不用意に情報を漏洩してしまったり、サイバー攻撃の被害にあってしまう恐れがあるからです。

特に教職員は、研修などを実施してITリテラシーを高めてください。
最近は、e-ラーニングで学べる講座もありますので、取り入れてみてもいいでしょう。

4-3. 接続／経路制御

学校で生徒がICTを活用するのは、あくまで学習のためです。
学習や教育に関係のない情報は、少なくとも校内では必要ありません。
が、インターネットを利用する限り、娯楽に関わるアプリや子どもに悪影響を及ぼす情報に簡単にアクセスできてしまいます。

それらから生徒を守り、学習に専念させるためには、インターネットの接続制御、経路制御が必須です。
具体的には、以下のような対策が有効でしょう。

・フィルタリングソフトの導入
・検索エンジンのセーフサーチの有効化
・セーフブラウジングの有効化

4-4. ID／パスワード管理

「1-2.　政府が推進する『GIGAスクール構想』」で例を挙げた町田の小学校のケースは、IDとパスワードに関する認識の甘さが原因のひとつでした。
このような「なりすまし」が起こらないためには、IDとパスワードの管理を厳重にする必要があります。

具体的には、以下のような対策を徹底しましょう。

・パスワードはなるべく桁数を多く、大文字、小文字、数字、記号などを取り混ぜたものにする
・ID／パスワードは自分以外には教えない
・ID／パスワードを複数人で共有しない
・ID／パスワードを複数のサービスで使い回さない
・端末にID／パスワードや認証情報の記録を残さない
・2段階認証を用いる

4-5. 校内LANのセキュリティ強化

GIGAスクール構想には、「校内LANの整備」も含まれているため、各学校では校内LANを構築しているでしょう。
ただ、LANであっても不正アクセスなど外部からのセキュリティリスクが避けられません。

・アンチウイルスソフト
・通信の暗号化

といった対策で、LANのセキュリティを強化してください。

5. 文部科学省「教育情報セキュリティポリシーに関するガイドライン」とは

さて、前章でも説明したように、学校における情報セキュリティの基本は「セキュリティポリシー」を策定することです。
これについては、文部科学省が「教育情報セキュリティポリシーに関するガイドライン」を公表していますので、これをベースに取り組むのがおすすめです。

そこで、このガイドラインの内容をわかりやすくまとめておきましょう。

5-1. 情報セキュリティ対策の基本的考え方

まず、学校の情報セキュリティでは、「何を」「何から」「どのように」守るのかを明確にしておく必要があります。

ガイドラインでは、以下のように定義されています。

出典：文部科学省「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）

「2. 学校における情報資産の例」で例を挙げた情報資産を、「3. 学校で想定されるセキュリティインシデント」で説明した脅威から、さまざまな対策を講じて守る必要があります。

この「どのように」については、「人的セキュリティ」「物理的セキュリティ」「技術的セキュリティ」の三位一体で守ることが推奨されています。

具体的な方法は、「4. 学校で行うべき情報セキュリティ対策」を参照してください。

出典：文部科学省「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）

5-2. 学校で扱う情報資産は「校務系情報」「学習系情報」「公開系情報」の3種

次にガイドラインでは、学校で扱う多様な情報資産を種類と重要度で分類して、それぞれに守り方を変えるように勧めています。

これによると、学校で扱う情報資産は大きく以下の3種に分けられます。

・校務系情報：成績処理や児童生徒の指導記録など

・学習系情報：児童生徒が授業等で活用するワークシートなど

・公開系情報：学校要覧など

これらを重要度に応じて分類し、守り方を変える必要があります。
重要度の高いものは教職員しかアクセスできないように制限する、また重要度は低くても、学習内容に関する情報など校外に公開する必要がないものは、不要な流出を避ける、といった対策を講じてください。

出典：文部科学省「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）

5-3. 組織体制の確立

「1-1. 学校における情報セキュリティの現状」で、学校のセキュリティ対策はまだ方針や体制が整っていないケースが多いことを指摘しました。

それに対してこのガイドラインでは、対策の基本は組織体制を確立することだと述べています。

そこで、教育委員会が学校と協力して、セキュリティ対策の方針策定や組織体制づくりを進めてください。
具体例としては、以下のような組織体制が考えられます。

出典：文部科学省「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）

この組織図のポイントは、学校内だけで完結せず教育委員会と自治体も連携していることです。
その理由として、「教育委員会と学校だけでは、専門的な知見を有している職員の不在等により十分な情報セキュリティ体制を構築することが難しい場合が多いこと、新たな情報セキュリティインシデントの共有及び対策等は、部局ごとではなく、地方公共団体が一体となって対策を講ずることが望ましいこと」が挙げられています。

そのため、教育情報セキュリティの最高責任者＝CISOとしては、自治体の副市長などがふさわしいでしょう。
また、教職員には毎年1回以上の情報セキュリティ研修が推奨されています。
さらにくわしくは、「教育情報セキュリティポリシーに関するガイドライン」ハンドブック」を読んでみてください。

6. まとめ

いかがでしたか？
学校での情報セキュリティについて、知りたいことがよくわかったかと思います。
ではあらためて、要点をまとめてみましょう。

◎学校で想定されるセキュリティインシデントは、
・サイバー攻撃
・不正アクセス
・情報流出
・自然災害、火事、事故、停電、パンデミックなどの不測の事態

◎学校で行うべき情報セキュリティ対策は、
・セキュリティポリシーの策定
・情報セキュリティ教育
・接続／経路制御
・アクセス制御
・なりすましメール対策
・校内LANのセキュリティ強化

以上を踏まえて、あなたの学校が十分な情報セキュリティ対策を実施できるよう願っています。

出典：文部科学省「教育情報セキュリティポリシーに関するガイドライン」ハンドブック（令和4年3月）