GIGAスクール構想における小中学校、情報セキュリティ対策の現状
現在、文部科学省が主導するGIGAスクール構想対応により、ノートPCやタブレットなど「1人1台」の学習環境が整備されつつあります。一般的に小中学校をターゲットしたサイバー攻撃は、大学・研究機関や企業を狙った攻撃ほど多くはないと考えられています。サイバー攻撃の多くが機密情報の窃取や、重要な情報を「人質」として「身代金を得る」ことを目的としていることからです。
そうした背景もあり、2017年に文部科学省が「教育情報セキュリティポリシーに関するガイドライン」を打ち出すまでは、小中学校における情報セキュリティ対策についての明確な指針は示されていませんでした。現在、各自治体の教育委員会の多くが、このガイドラインに沿って小中学校の情報セキュリティ対策に取り組んでいます。
ガイドラインでは、端末の使用目的に応じて「校務系」「校務外部接続系」「学習系」と大きく3つにネットワークを分離することを基本としています。しかしGIGAスクール構想対応において、1人に1台の端末や広帯域のネットワークといったインフラが整備されている中、現在は「学習系」の広帯域のネットワークと教員が使う「校務外部接続系」のネットワークは分離せず、「校務系」のみを分離する2分割の構造を採用している教育委員会が多く存在します。「学習系」と教員が授業の準備等でも利用する「校務外部接続系」というインターネットへの接続が必須となるネットワークについては分離せずに、閉じたネットワークでも利用できる「校務系」を分離することで情報漏えいのリスクを抑える環境です。
いかにしてネットワークを分離させるか、理想を考える際のポイントは2つあります。1つは現場の利便性です。「校務系」「校務外部接続系」「学習系」のネットワークを完全に分離して、かつ、インターネットに接続する際には認証が必要という構成にすればセキュリティレベルを上げられます。しかしその半面、授業や校務での使い勝手が悪くなります。特に日本は、教員の業務負荷が多大とされており、現場での利便性をできるだけ高め、教員の負荷を軽減したいという意見もあります。セキュリティと利便性のバランスをどう取るかが大切です。
もう1つのポイントは、インターネットに接続する「学習系」に「漏えいして困る情報」がどれくらいあるかという点です。教育委員会の中には「学習系にセキュリティ対策は不要、その代わりに有害コンテンツのフィルターが必要」「学習系から漏えいする情報は限定的であり、個人が特定できない断片的な情報なので対策は考えていない、不要だ」といった意見や意見が少なくありません。
「1人1台」端末の導入が進む中でのセキュリティ対策のポイントは?
しかし当然ですが「学習系」にセキュリティ対策が不要とは言い切れません。教員が利用する「校務外部接続系」と、児童・生徒が使う「学習系」のネットワークがLANスイッチでつながれている構成では、通信を可視化することもアクセス制御することも難しくなり、万が一「学習系」で利用している端末がマルウェアに感染すると、そこから教員の端末に感染が拡大するリスクが考えられます。
それでは、小中学校の情報セキュリティ対策はどうすればいいのでしょうか。まずは、学校内での通信を可視化することが大切です。「すべての場所のすべてのユーザー、デバイス、アプリケーションなどのリソースから暗黙の信頼を排除する」というセキュリティアプローチである「ゼロトラスト」の考え方に基づき、全ネットワークを可視化して「誰がどこにアクセスし」「何をどう使ったか」を把握できる仕組みが必要です。GIGAスクール構想対応が進展しつつある中では最低限「学習系」「校務外部接続系」のネットワークにおける通信の可視化は必須だと考えられます。
大切なことは、インターネットに接続する「出入口」だけにセキュリティ対策を実施するのではなく、すべてのネットワークの通信を可視化して、セキュリティ対策を実施することです。インターネットの出入口だけの対策では、学内に持ち込まれたノートPCがマルウェアに感染しており、それがネットワークに接続された際に検出することができません。通信全体を可視化すれば、怪しい通信を検出した端末を隔離するといった対策がとれます。
さらに、働き方改革などで教員の在宅ワークやオンライン授業などが増えると、それに比例してセキュリティのリスクも増大し、対策の重要性も増すでしょう。これまでは、ネットワークに追加する形でセキュリティ対策を考えるのが一般的でしたが、これからはネットワークを設計・構築する初期段階から通信を可視化できる仕組みを考慮するなど、初めからセキュリティ対策を意識したインフラ構想が不可欠となります。
このように、インフラのセキュリティを高めることは非常に重要ですが、単にセキュリティを高めるだけでは防げない情報漏えいのリスクも増大しています。その事例として、個人情報を含む写真データの漏えいが某自治体でありました。これは、いわゆる「シャドーIT」を機とする、業務負荷が高まっている中で教員が児童・生徒の写真データをクラウドに上げ、自宅の端末で作業しようとしたことで起きた情報漏えいです。
本来、持ち出してはいけない写真データを含む個人情報を、私的なクラウドサービスに上げたことで、外部からも閲覧可能となってしまい問題となりました。昨今は、学校行事の写真も保護者などアクセス権のある対象に向けクラウドで公開され、簡単に注文できるサービスも多く利用されています。便利な半面、仮に保護者からアクセス権が悪意のある第三者に渡ってしまったら、正当なアクセスによりネットに上げられている何百枚という写真データが悪用されるリスクがあることは認識しておく必要があります。
近年は、企業のシャドーIT対策として、クラウドサービス利用を可視化・制御するCASB(Cloud access security broker)や、CASBを含むデジタル化おいて必要なさまざまなセキュリティ機能を提供するSASE(Secure Access Service Edge)といったソリューションも注目を集めています。今後教育機関においても、安全なクラウドサービスの利用やテレワーク、遠隔授業を実現するためのセキュリティ対策が見直されるでしょう。
