自治体通信ONLINE
  1. HOME
  3. 自治体向けサービス最新情報
  5. 学校現場の情報セキュリティ対策について・実施事例【自治体事例の教科書】
自治体向けサービス最新情報2020.06.28

学校現場の情報セキュリティ対策について・実施事例【自治体事例の教科書】

学校現場の情報セキュリティ対策について・実施事例【自治体事例の教科書】

平成28年に学校教育ネットワークに対する不正アクセスがあり、約1万人分の生徒の成績関連書類や生徒指導関連書類、個人情報が流出する事件がありました。重要な情報を多大に抱える学校現場は、どのような情報セキュリティ対策を行っているのでしょうか。

【目次】
■事例1.【10項目の情報セキュリティ対策】佐賀県
■事例2.【基本方針を定める】東京都青梅市
■事例3.【細やかな規定を定める】宮城県大河原町

事例1.【10項目の情報セキュリティ対策】佐賀県

佐賀県教育委員会では、平成28年12月に策定された佐賀県学校教育ネットワークセキュリティ対策実施計画に基づき、平成30年度も引き続き実施計画に掲げるすべての項目(10項目)について取り組みを実施しました。

1項目めとしては、無線LAN運用時間帯の見直しです。これは平成28年度より継続して実施されています。セキュリティを確保するために、校内無線LANの運用時間帯を24時間ではなく、機能を稼働する時間を制限します。それにより、セキュリティ事件・事故が発生する可能性は低くなるとされています。

2項目めとしては、業務ソフト導入時のセキュリティチェックの強化です。これについては、平成29年度の契約時にセキュリティ項目等を含めた仕様書に変更しました。これは、業務ソフトの開発企業と販売業者が異なることがあり、販売業者が十分に理解していないことがあるため、要求仕様にセキュリティ項目を含めることや検収時にセキュリティ監査を含めたチェック項目を検討するというものです。

3項目めとしては、アカウント(ID、パスワードの管理)の強化です。平成28年度よりシステム側でパスワード条件を設定することにしています。

4項目めとしては、重要アカウントを含む文書類のオフライン管理の徹底です。このため、平成28年度より重要アカウントを含む文書を配布しないことと決定しています。また、オンラインで利用することが必要な場合は、教育総務課の許可を必要とすることになっています。

5項目めとしては、セキュリティ、システム監査の実施です。平成29年度より全県立学校への内部監査を教育総務課担当が継続して実施しています。これは、各教職員の端末の使用状況に係る監査と校内LAN監査について実施しています。また、平成30年度に「諸調査集計・分析システム」の外部監査も実施しました。

6項目めとして、関係者(教育委員会、学校、業者等)による情報共有体制の確立があります。平成28年度に関係業者によるメーリングリストおよび会議システムを構築し、継続して実施されています。あわせて、佐賀県教育情報システム(SEI-Net)を利用し、学校へ外部で発生したことも含めて、セキュリティインシデント(保安上の脅威となる事象)等の情報共有を実施しています。

7項目めとして、セキュリティ文化の確立が挙げられています。佐賀県教育委員会では、平成28年度に運用ルール集を策定し、全県立学校職員に対し訪問研修を実施しました。平成29年度からは全県立学校教職員に対するeラーニング研修を継続して実施しています。ほかにも、平成28年度よりSEI-Netを利用し、「不信メール到達に関する注意喚起」等の情報を発信しました。平成30年度は、eラーニングによる全県立学校教職員に対する研修に加え、公立学校教職員への各種研修会に情報セキュリティのカリキュラムを加えました。また、佐賀県教育委員会の事務局職員に対しても研修を実施しました。生徒向けには、各県立学校において、情報モラル教育に関する年間指導計画を作成し、情報セキュリティを含めた情報モラル研修等を実施しています。

8項目めとして、佐賀県教育委員会による情報の把握・統制があります。これについては、平成29年度より、教育総務課情報システム・セキュリティ担当を設置し、システム運用等を総括することになりました。

9項目めは、デジタルコンテンツのインストール方法の改善です。平成29年度より教育総務課の許可のもと、運用事業者のみが作業可能に変更することにしています。

10項目めとして、生徒端末規約の策定があります。これについては、学習用パソコン運用について利用規約を作成し、生徒、保護者はネットワーク接続申請を行うこととしています。

佐賀県教育委員会は、これらの実施計画に定める情報セキュリティ対策にしっかりと取り組んでいくことで、不正アクセス等の脅威から守っていきたいとしています。

事例2.【基本方針を定める】東京都青梅市

青梅市教育委員会は、学校情報セキュリティ基本方針を打ち出しています。これは、さまざまな脅威に対する抑止や予防として、組織的かつ体系的に取り組み、安全管理対策を実施するにあたっての基本的な考え方を定めることを目的として策定されました。情報資産を、故意(盗聴、不正アクセス、改ざん、破壊、窃盗等)、過失(入力ミス、操作ミス等)、災害(火災、地震等)、故障等による損傷などの脅威から守るため、次の5つの情報セキュリティ対策を立てています。

1つ目は、人的セキュリティ対策です。情報セキュリティに関する権限や責任および遵守すべき事項を定め、周知および徹底を図るとともに、十分な教育と啓発を行うために必要な対策です。

2つ目は、物理的セキュリティ対策です。情報システムの設置場所および情報の保管場所等への不正な立ち入りをなくすための物理的な対策となります。

3つ目は、技術的セキュリティ対策です。情報資産を不正アクセス等から保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術的対策となります。

4つ目は運用等における対策です。これは情報システムの監視および情報セキュリティ対策の遵守状況の確認といった運用面の対策のことです。

5つ目は緊急時におけるセキュリティ対策です。緊急事態が発生した場合に、迅速かつ適切な対応が可能となるような危機管理対策です。これらの対策基準および実施手順に違反した者に対しては、青梅市教育委員会が厳正に対処することが明記されています。また、情報セキュリティ監査を実施することにもなっており、青梅市教育委員会は、基本方針、対策基準および実施手順が遵守されていることを検証するため、定期的に監査を実施するものとしています。

事例3.【細やかな規定を定める】宮城県大河原町

次期学習指導要領では、情報活用能力育成やプログラミング教育等、より一層の教育の情報化が求められています。学校がこれに積極的に対応するためには、すべてのネットワークおよび教育情報システムが高度な安全性を有することが不可欠な前提条件となります。

そのため、宮城県柴田郡大河原町は、学校の情報セキュリティ対策を整備するために、大河原町教育情報セキュリティポリシーを定めました。教育情報セキュリティポリシーは、学校が保有する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたもので、安定的な規範である必要があります。

しかし一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化に対して、柔軟に対応することも必要なことです。このようなことから、教育情報セキュリティポリシーは、一定の普遍性を備えた「教育情報セキュリティ基本方針」と、状況の変化に対応する「教育情報セキュリティ対策基準」から構成されています。

そのうち、教育情報セキュリティ対策基準では、教職員は、外部からデータまたはソフトウェアおよびアプリを取り入れる場合には、必ずウイルスチェックを行うことやソーシャルメディアサービスの利用については成りすまし対策を行うこと、退職時は情報資産を返却するなど具体的に定めています。ネットワークの責任体制、障害時の対処方法および連絡順なども、細部にわたって規定されています。

〈参照元〉

佐賀県_佐賀県教育委員会ホームページ
(https://www.pref.saga.lg.jp/kyouiku/kiji00369133/index.html)

佐賀県_佐賀県学校教育ネットワークセキュリティ対策検討委員会提言書
(https://www.pref.saga.lg.jp/kyouiku/kiji00351508/3_51508_25075_up_7t66188r.pdf)

佐賀県_佐賀県学校教育ネットワークセキュリティ対策実施計画
(https://www.pref.saga.lg.jp/kyouiku/kiji00352541/3_52541_31393_up_4p1nqv5t.pdf)

東京都青梅市_青梅市立学校情報セキュリティ基本方針
(https://www.city.ome.tokyo.jp/uploaded/attachment/10518.pdf)

宮城県大河原町_大川原町教育情報セキュリティポリシー
(https://www.town.ogawara.miyagi.jp/secure/2904/sekipori.pdf)

 

電子印鑑ならGMOサイン 導入自治体数No.1 電子契約で自治体DXを支援します
自治体通信 事例ライブラリー