教育用クラウド?学習履歴? 複雑化しそうな時こそシンプルに。〜情報セキュリティの原則に立ち返る〜

情報セキュリティの三大要件
情報セキュリティの三大要件

国(総務省や文部科学省)から、教育クラウドや学習履歴の活用のメリットや、整備の課題などについて相次いで資料が公表されました。

整備を進める教育委員会では、検討すべき部分が多様化し、どこから手をつけてよいのか頭を抱えてしまいそうな事態に陥りそうですが、

情報セキュリティの観点から考えた時に、最も注意すべきなのは

「利用者の理解・意識の向上、利用実態の把握」

ではないかと思います。

クラウドという雲の上も大切ですが、

現場で行われている"日々の利用という足元"の方が、実は大切ではないですか?

改めて「情報セキュリティの三大要件」など、シンプルな原則に立ち返ってみましょう。

という記事です。

各種の参考情報へのリンクも貼っていますので、資料集的にもご活用ください。

 

 

 

令和元年7月5日、総務省より

「教育現場におけるクラウド活用の推進に関する有識者会合 報告書」

が発表されました。

その中で4つのメリットが整理されています。

(1) 教職員等の負担・コストを軽減

(2) データを安全・安心に保全・利活用

(3) 児童生徒数や利用の増減等に即応

(4) 時間や場所、端末等の違いを超え、切れ目なく活用

 

課題も整理されていますが、改めて導入の難しさを感じます。

 課題1:クラウドの導入理由を関係部局に説明するための手続き上の負担が大きい

 課題2:校務系・学習系ネットワークの通信経路分離が必須であり、クラウドの場合は閉域網や専用線環境などコスト負担が大きい

 課題3:教育委員会は、情報システム係る知識や情報が不足。クラウド構築のノウハウや体制等に不安を抱え、システムの設計に自信が持てない

 課題4:「教育情報セキュリティポリシーに関するガイドライン」の重要性分類2の幅が広く、多くのシステムで必要以上のセキュリティ対策が求められる

 ※重要性分類2:セキュリティ侵害が学校事務および教育活動の実施に重大な影響を及ぼす情報

  例:学籍関係、成績関係、指導関係、進路関係、健康関係、児童・生徒に関する個人情報、学校教職員に関する個人情報、教職員に割り当てた機密性の高い情報(ID/PASS等)

 課題5:自治体の個人情報保護条例において、個人情報保護審査会の討議が必要であり、手続きコストが膨大

 課題6:校務系の統合型クラウドのシステムが整備されつつあるが、都道府県-市町村による共同クラウドは進んでおらず、データの標準化を検討すべき

※各課題は、総務省の報告書の内容をもとに筆者が要約。

報告書では、これらの課題に対して「国が検討すべき事項」として、クラウド・バイ・デフォルト(クラウドの検討からスタートする)など、様々な提言をまとめています。

 

その数日前、令和元年6月25日には、文部科学省より

「新時代の学びを支える先端技術活用推進方策(最終まとめ)」

が発表されました。

4つの推進施策

(1) SINETの初等中等教育への解放

(2) クラウド活用の積極的促進

(3) 安価な環境整備に向けた具体的モデルの提示

(4) 関係者の意識の共有と専門性を持った人材の育成・確保のための取組の推進

が示されています。

特に(2)については、

「教育情報セキュリティポリシーに関するガイドラインの改定」

 1:パブリッククラウドの利用を前提とした記述の整理

 2 :サーバ・ネットワークの構築方法の整理

 3:情報資産分類の見直し・柔軟化

についても言及されています。

 

今後、学校における教育ICT環境整備を進める際には、

「クラウド環境や、クラウド上での情報の取り扱い(教育情報セキュリティ)に関する検討が必要になりそうだ」

ということは、広く認識されていくだろうと思われます。

 

さて。

教育クラウド環境(オンプレミスではない環境 ※学校にファイルサーバを置かない環境)を構築し、必要と思われるセキュリティ対策を盛り込んだとして、

セキュリティ>利便性

という状況となってしまったら、日々の利用はどうなるでしょうか。

 

大きな情報漏洩インシデント(情報を盗まれ、警察沙汰になった)が発生した教育委員会では、

セキュリティ>>>>>利便性

となり、学校現場からは

「ICTって、便利なものではなかったの?」

「完全に不便さがオーバーテイクしている」

という声すら聞かれる状況となりました。

多額な費用をかけてまで実現すべき姿、なのでしょうか。

 

教育クラウドの導入・利活用は、今後実現すべきものと考えていますが、利用現場という足元をおろそかにした整備となっては、曇り空。

下手をすると雨雲、雷鳴が待っていて、誰も家から出ない(利活用されない)状況となる。

これでは避けたいところです。

 

 

では、「日々の利用という足元」について。

 

情報セキュリティインシデント(事件・事故)の要因は、

「利用者や構築業者・保守業者などを含む関係者の人的なミス」

であることも少なくありません。

(紛失・置き忘れ、誤操作、不正アクセス、の3大要因が70%を閉めるという報告もあります。)

2018年情報セキュリティインシデントに関する調査報告書

教育情報セキュリティ内部監査調査例
教育情報セキュリティ内部監査調査例

学校現場で人為的ミスを防ぐための方策は実行されているでしょうか?

 

大きなシステムの導入を検討する前に、明日から取り組むことができることとして

「利用者の理解・意識の向上」

「利用実態の把握」

について、ぜひご検討ください。

 

その際、細々としたことよりも、

先ずは、シンプルな原則を全員で共有しましょう。

 

【情報セキュリティの三大要件:CIA】

 企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」「完全性」「可用性」に関する脅威から保護することです。

総務省「国民のための情報セキュリティサイト」より

 

「機密性」「完全性」「可用性」は、情報セキュリティの原則を示す「三大要件」とされています。

英語の頭文字を併せて「CIA」と呼ばれることもあります。

それぞれの内容について、利用者としての視点も併せて書くと、

 

「機密性」(Confidentiality)

 正当な権利・権限を持つものだけが利用できる状態を維持すること。

 個人認証、アクセク権の管理、暗号化、立ち入り制限、など

利用者としては

・与えらたIDやパスワードを失念しない、人に教えない。使いまわさない。

・認証デバイス(USB地トークンなど)を他人に貸さない、共有しない。

・情報の持ち出しについては規定の手続きを行う。印刷物も同様。

など

 

「完全性」(Integrity)

 正当な権利・権限を持たない者による変更ができない状態(情報が正確で完全な状態)を維持すること。改ざんの防止や、追跡など。

 利用者情報の管理、利用履歴(操作ログ)の管理、など

利用者としては

・入力ミスに注意する

・勝手にユーザーを追加したり、権限を変更したりしない

・変なサイトを閲覧しない。変なリンクをクリックしない。変なファイルをダウンロードしない。

 

「可用性」(Availability)

 正当な利用者が情報資産を必要な時に利用できる状態を維持すること。情報を提供しているシステムが安定稼働している状態。

 データバックアップ、ネットワーク冗長化(二重化)、など

利用者としては

・勝手に共有フォルダの構成を変えない、不用意にファイルやフォルダを削除しない

・勝手にサーバの電源を落とさない

・勝手にネットワークを増築しない

 

ということになるでしょうか。

 

さらに、全体で共通認識しておきたいのは

 

「おかしいな?と思ったら、すぐに相談、報告する」

 

風通しの良さは、とても大切です。

相談、報告がない人(学校)は大丈夫か?という見方のほうが良いかもしれません。

 

それと、教育委員会サイドでは、

「利用実態の把握」

これも非常に重要です。

 

利用実態の調査を行なっていますか?

内部監査、実施していますか?

利用実態を把握して、改善策を検討し実行していますか?

 

システム側で強固なセキュリティ対策を施しても、利用者の操作ミスなど、人為的な要因が情報セキュリティのインシデントにつながります。

 

他地域からの異動により、人が入れ代わる公立学校では特に、

教育情報セキュリティに関する継続的な啓発と内部監査が不可欠です。

 

クラウド環境の検討の前に、

三大要件など、原則の理解や意識の向上に努め、

利用実態の把握から、現在のセキュリティ対策や教育情報ポリシーを改善できる体制の構築をお勧めします。

 −−−−−

最後に

弊社では、

・Webシステムを利用した「利用実態調査」(利用者は数分で回答、瞬時に集計完了)

・利用実態調査に基づいた教育情報セキュリティ内部監査

などの業務を実施しています。

 

ご興味のある方は、こちらまでお問い合わせください。