公的機関や民間企業を取り巻く脅威が高まり続けるなか、「情報セキュリティ」はIT施策の様々なテーマの中でも大きなウェイトを占めるようになった。
しかしながら、セキュリティ対策の理念や取り組みは、民間企業、自治体や教育機関、医療機関など、組織の形態によって共通する部分と異なる部分があるため、なかなか情報共有が進んでいないのが現実だ。そこで本連載では、これからのセキュリティ対策を考える自治体、教育機関、医療機関、民間企業すべてに参考となる情報の提供を目指したい。
企業IT専門誌、公的機関向け専門誌双方の編集者を経験し、現在「組織と情報セキュリティ」をテーマに取材・執筆を行っている筆者が、様々な組織におけるセキュリティ対策が、どのような理念にのっとって行われてきたのか、そして実際のモデルケースを追っていく。

>「セキュリティ対策ヒストリー&モデル」記事一覧

第三回となる今回も、前回に引き続き、豊島区区民部税務課長(前・同区CISO兼政策経営部 情報管理課長)の高橋邦夫氏へのインタビューの内容をQ&A形式でお届けする。
なお今回は、文部科学省の教育情報セキュリティ対策推進チームの副主査という同氏の立場から、同チームで検討を進めている教育情報セキュリティポリシーに関するガイドライン(案)のポイントなどについて持論を展開してもらった。

豊島区税務課長 高橋邦夫氏

学校におけるセキュリティ対策「基本方針」のポイントは、首長部局との共有

──2017年7月4日に文部科学省から「教育情報セキュリティポリシーに関するガイドライン(案)」が公表されました。同省の教育情報セキュリティ対策推進チームの副主査としてガイドラインの作成に携わっている立場として、特に強調したいポイントはどこでしょうか。

高橋氏:今回のガイドラインというのは、地方自治体が設置する学校(公立の小学校、中学校、義務教育学校、高等学校、中等教育学校、特別支援学校)を対象とした情報セキュリティポリシーの策定や見直しを行う際の参考となるよう策定を進めているものとなります。
私としては、その中でも(ガイドライン案の)第一章「総則」のところを、まずは注目していただければと思っています。なぜならばそこには、“地方自治体の学校における情報セキュリティ対策は、教育委員会だけで行うのではなく、首長部局との協働で取り組むことが大事だ”という見解が集約されているからです。

学校教育の世界で情報セキュリティ対策が進んでいない背景としては、やはり体制面の問題が挙げられるでしょう。
縦割り構造の弊害で、現在は教育委員会と首長部局での対策がそれぞれバラバラとなってしまいがちです。しかし、一般的に教育委員会のITリテラシーというのは、首長部局と比較して低い傾向にあり、本来必要であろうレベルの対策を独自に施すのは難しいというのが現実なのです。

「教育情報セキュリティポリシーに関するガイドライン(案)」より

そうした状況を踏まえて、ガイドライン(案)では、情報セキュリティ対策における基本的な考え方を定める「基本方針」については、敢えて教育委員会側でつくる必要はないとしました。ここは、総務省が示す「地方公共団体における情報セキュリティポリシーに関するガイドライン(現在のものは2015年3月に更新)に基づいてそれぞれの地方自治体の首長部局で策定した基本方針に従うべきとしたのです。
もしも教育現場でセキュリティ侵害事件等が発生したならば、最終的には首長が前に出ていくことになるわけですから、その意味でも当然と言えるでしょう。

セキュリティ対策の実施手順に関する6つの基本的な考え方

──セキュリティ対策の基本方針は各地方自治体(の首長部局)側で定めたものを共有するとのことですが、ではガイドラインでは、セキュリティポリシーに関して教育委員会側でどのような内容を決めるよう促しているのでしょうか。

高橋氏:「情報セキュリティポリシー」というのは、「基本方針」だけではなく、これに基づいて全ての情報システムに共通の情報セキュリティ対策の基準を定めた「対策基準」も含めた総称となります。今回のガイドラインが対象にしているのは、セキュリティポリシーの中でもこの対策基準なのです。
基本方針、それに対策基準の内容を具体的なシステムや手順、手続に展開して個別の実施事項を定める「実施手順」については、ガイドラインの対象には含んでいません。

「対策基準」の基本的な考え方は、大きく次の6つとなります。

1 組織体制を確立すること
2 児童生徒による機微情報へのアクセスリスクへの対応を行うこと
3 インターネット経由による標的型攻撃等のリスクへの対応を行うこと
4 教育現場の実態を踏まえた情報セキュリティ対策を確立させること
5 教職員の情報セキュリティに関する意識の醸成を図ること
6 教職員の業務負担軽減及びICTを利活用した多様な学習の実現を図ること

こうした考え方に基づいて、ガイドライン(案)の第二章では、情報セキュリティ対策における組織体制や、情報資産の分類と管理方法、物理・人的・技術的それぞれのセキュリティ対策、運用方法、外部サービスの利用、評価・見直しなど、様々な見地から具体的な対策基準をまとめています。

「教育情報セキュリティポリシーに関するガイドライン(案)」より。「三層の構え」を基本に、教育現場に合わせてカスタマイズされている

児童生徒には「1人1ID」が望ましい

──ガイドライン(案)では、教育情報システムの不正利用を防止するために2要素認証が推奨されていますね。学校における認証のあり方についての見解をお聞かせください。

高橋氏:まず確実に言えるのは、少なくとも教員が成績管理や家庭問題といったセンシティブな情報を扱うに際しては、システムや端末を使用する際に2要素認証などの強固な認証手続きが必要だということです。それは当然なのですが、一方で児童生徒に関してはそこまで高度な認証を求めるよりは、パソコンなどの台数を増やすことに費用を使うべきかと考えます。

むしろ私個人としては、現状の「1クラスに1つのID」ではなく、「児童生徒1人に1つのID・パスワード」を配付する方がいいのではないかと、機会がある度に話しています。例えば、学校の授業で児童生徒がPCを使う際、今は教員がクラス全員に向けて、「じゃあパスワード◯×△と入れてください」とやっているわけです。
しかし今後の教育現場でのICT活用のあり方を考えれば、一人一人にユニークなIDを配付して、個々の児童生徒の発達に応じた教育コンテンツ等を提供することが必要となるはずです。パスワードがクラス共通であるうえ、学年が上がる度にIDが変わり、パスワードも変わるという現在の状況では、個々の発達に応じた教育は難しいでしょう。
加えてICTのリテラシー教育という側面からも、クラス全員で同じパスワードを使いまわすというのは好ましくないですよね。

──なるほど、パスワードの管理方法を学ぶこともICT教育では大切ですものね。

「スマートスクール」による教員の働き改革に期待

──2017年7月4日に総務省と文部科学省が「スマートスクール・プラットフォーム実証事業」と「次世代学校支援モデル構築事業」を連携して実施するとして、両事業の取り組みについての提案を公募しました。こうした動きについてどう見ていますか。

高橋氏:ICTを活用した教育や校務システムを導入するスマートスクール等については、教員のワーク・ライフ・バランスの実現という意味でも注目すべきでしょう。クラウド上にデータセンターを構築して、校務系と学習系のネットワークを統合(論理分割)することで、教員が自宅からでも安全にアクセスして運用できることが実証できれば、オーバーワークが問題視されている教員の働き方についても、大きく変革できるのではないでしょうか。

──ICT活用によって目指すべき目標を見据えたうえで、そのために必要となるセキュリティ環境を構築するというアプローチは、ビジネスの世界でも踏まえるべきですよね。
2回にわたり、ありがとうございました。

【著者プロフィール】

企業IT・地方自治体系ライター 小池晃臣(株式会社タマク代表)
元地方自治をテーマとした月刊誌の編集者&エンタープライズIT雑誌の副編集長。現在はフリーとなり、主に企業や公共機関のIT活用事例の取材、経営者や首長へのインタビューを中心に活動。唯一の自慢は、日本の全都道府県庁所在地制覇。
現在、月刊「自治体ソリューシン」(ぎょうせい)にて、自治体によるAIやIoT活用の取り組み事例を追う「イノベーションでソリューション」を連載中。

>「セキュリティ対策ヒストリー&モデル」記事一覧