校務と学習の境界が消えるとき、セキュリティはどうあるべきか
──セキュリティ対策全般について、現在の教育現場が抱える課題にはどのようなものが存在していますか。
現状の大きな課題はいくつかあります。
まず、先ほど触れたとおり、多くの学校や教育委員会では依然としてユーザー認証が脆弱であることです。特に児童生徒の1人1台端末では、いまだにユーザーIDと固定パスワードが認証方法の中心となっています。
次に、校務系データと学習系データの境界が曖昧になりつつあることです。現在、学習系と校務系の垣根がなくなり始めています。今後はオンラインテスト(CBT)やデジタル教科書が学習系で稼働し、学習系から校務系データにアクセスする場面も増えるため、これまでのように「校務は機微情報、学習は非機微」という定義が崩れてしまうのです。これにより、学習系システムにも校務系システムと同レベルのセキュリティが必須となるという課題があります。
さらには人的な要因、つまり教職員や児童生徒の情報セキュリティ意識の醸成も大きな課題です。どれほど技術的な対策を講じても、最終的には人がセキュリティを破ってしまう可能性があります。利便性とセキュリティは相反するため、現場の先生方は抵抗感を示されるかもしれません。しかし、人間は順応性が高いものです。例えば以前、自治体で導入された「三層分離」の仕組みは、当初かなりの抵抗がありました。VDI経由でのアクセスやUSBが使えないなど非常に使いにくいものでしたが、今では皆さん慣れていらっしゃいます。多要素認証も同様で、なぜ必要なのかを研修などを通じて啓蒙し、知識を醸成していくことが重要です。
GIGAスクール構想 第3期を見据えたセキュリティ計画
──教育現場に限らず、デジタル技術は目まぐるしく変化しています。生成AIの活用も進む中で、5年後、10年後を見据えて、教育委員会や学校の担当者は今からどのようなことを意識しておくべきでしょうか。
今後、教育現場では次のような点が加速していくと考えられます。
まず、先述の通り、ユーザー認証における多要素認証(MFA)が、学習系を含むすべてのシステムで必須になるでしょう。この課題感は国も当然持っており、デジタル庁が中心となって認証基盤のあり方を検討しています。最終的にはマイナンバーカードの活用を目指していますが、教育現場はステークホルダーが多いため、道のりは長いと言えるでしょう。
そこで、まずはgBizID(ジービズアイディー)の仕組みを活用して自治体間で連携するなどのアプローチで進められています。GIGAスクール構想の第3期(2029年度~2034年度)が大きな予算確保の時期となるため、このタイミングでの1人1台端末でのMFA化が実現できるかどうかが大きなポイントとなります。
次に、生成AIの活用が校務・学習の両面でさらに進むでしょう。すでに採点業務の自動化や予算申請文書の作成支援など、さまざまな実証が始まっています。生成AIの利用については、文部科学省から「初等中等教育段階における生成AI利活用に関するガイドライン」が出されており、今後もセキュリティ面を考慮したガイドラインの改訂やソリューションの導入が求められます。
これらの変化を踏まえると、担当者が意識すべきなのは、システム全体をクラウド前提の「全面ゼロトラストアクセス基盤」へと移行していくことです。校務と学習の垣根がなくなるため、セキュリティ対策も一体的に考える必要があります。
一方で、技術的な対策には限界があり、最も脆弱なのは「人」であるという認識を常に持ち続けることが重要です。だからこそ、教職員だけでなく児童生徒に対しても、セキュリティ意識を高めるための教育とトレーニングを今からたゆまず実施していく必要があります。
──ありがとうございました。
教育委員会が取り組むべき4つの指針まとめ
ネットワーク分離が前提でなくなった今、教育現場のセキュリティは大きな変革期を迎えている。伊藤氏の話から、その変化を乗り越えるための重要な視点が見えてきた。
次世代の校務DXを推進する上で、教育委員会が指針としたいのは、以下の4点である。
第一に、ユーザー認証の強化から始める段階的アプローチ。
第二に、ゼロトラスト・ネットワーク・アクセス(ZTNA)の正しい理解。
第三に、データ主権を重視したベンダー評価。
第四に、技術では防げない人的リスクへの継続的な教育。
各自治体には、それぞれのシステムの更新時期や予算、リソースを考慮しながら、これらの指針を基に最適なロードマップを策定し、教職員と児童生徒が、安全かつ効率的にデジタル環境を活用できる未来を目指していくことが求められる。
