ぺんぎん発信

ぺんぎん学校ICT教育発信

先生向けの教育システム関連ブログです。 セキュリティ、校務支援システム、授業支援システム、ネットワークなどなど学校で「使える」情報をお伝えします。

学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ①

 小学校や中学校の先生方向け校務パソコン1人1台の整備が当たり前となり、校務を処理するにあたり便利な時代となりました。しかし、ランサムウェアやスパイウェアなどさまざまな脅威がせまる中、パスワードのロックだけではセキュリティとはいえません。

 

 校務に可能な限り影響が出ないセキュリティ対策をご紹介します。

f:id:swpxd690:20170611210728p:plain

 

 

 文部科学省からの「教育情報セキュリティのための緊急提言とは」

各教育委員会や学校が緊急に行うべき対策を8項目に集約

 近年、教育機関へのICTの普及が進み、教育情報システムも導入されるなど、活用が促進されています。それに伴って、注意が必要となるのがセキュリティ対策です。

 

 悪意ある第三者による外部からの不正アクセス、または内部からのデータの不正持ち出しに対して、生徒や保護者、教職員の個人情報を守るための仕組みや厳格な運用ルールを設けるなど、各教育委員会や学校は教育情報セキュリティの対策を迫られています。

 

 実際に教育機関におけるセキュリティ対策はいくつか発生しています。例えば、佐賀県では、学校教育ネットワークに対する不正アクセスによって、生徒や保護者等の個人情報が窃取された事案が発生し、平成28年6月27日に被害が公表されメディア等を騒がしました。

 

 こうしたセキュリティ問題が深刻化する中、文部科学省は佐賀県の事案を受け、事実関係を踏まえ、必要な対応方針を網羅的に検討した結果を普遍化してまとめ、「教育情報セキュリティシステムのための緊急提言」として発表しました。

 

 教育情報システムの脆弱性に関する事案を中心に、各教育委員会や学校が緊急に行うべき対策を8項目に集約した提言になります。

 

 本緊急提言はあくまでもセキュリティ対策の方針です。

 

 具体的な対策は本方針に従いつつ、教育委員会や学校ごとに、導入している教育情報システムの環境やセキュリティポリシーなどに応じて、民間事業者の支援を有効活用しつつ、適切に取り組んでいく必要があります。

 

教育情報セキュリティの為の緊急提言(抜粋)

 

  1.  校務系システムと学習系システムは論理的または物理的に分離する。
  2. 学習系システムへの個人情報の格納禁止(やむを得ない場合は暗号化等の保護措置を講じる)
  3. 校務系システムは教育委員会が管理もしくは委託するセキュリティ要件を満たしたデータセンターでの一元管理(クラウド利用含む)
  4. 二要素認証の導入など認証の強化
  5. システム構築時及び、定期的な監査の実施
  6. セキュリティポリシーが実効的な内容、運用か検証する
  7. 教育委員会事務局の体制を強化、首長部局の情報システム担当との連携強化

 

「教育情報セキュリティのための緊急提言」等について:文部科学省

 

文部科学省からの緊急提言、どこに着目すべき?

 

1.校務用データや個人情報が見えないように分離と暗号化

 

  重要な個人情報を扱う校務系システムは、児童生徒が利用する学習系システムと分離し、児童生徒側から校務用データが見えないようにすることを徹底します。分離によって、学習系システム経由での校務用データの漏えいリスクを抑えることができます。

 

 同時に学習系システムには、個人情報を含む重要データの確認を原則禁止とします。やむを得ず格納する場合にはデータを暗号化し、万が一、データが外部に流出してしまっても、中身が見られないようにするなどの対策を行い、重要な情報を保護します。

 

 

2.二要素認証を導入し、システム利用者の本人確認を強化

 

 校務系ならびに学習系システムを利用する際、「なりすまし」による不正アクセスを防ぐために、本人認証を強化する必要があります。本人認証は推測されにくいパスワードを利用者ごとに用意し、退職者のものは速やかに廃棄するなど、厳格に管理することが必要です。

 

 本人認証をより強化するには、生体認証やICカードなどを利用した二要素認証の導入が有効です。パスワードが万が一盗まれても、本人になりすましてシステムに不正ログインできないようにします。導入の際は、利用者の負担にならないよう考慮することも大切です。

 

 

3.セキュリティポリシーは実効的な内容や運用か

 

 さまざまな脅威から大切な情報を守るには、セキュリティチェックの徹底が欠かせません。そのためにはシステム構築時はもちろん、本格稼働後も定期的に監査を行う必要があります。加えて、セキュリティポリシーの厳守も重要となります。

 

 例えば、USBメモリの利用管理、パスワードの定期的な変更など、策定したセキュリティポリシーが実効的な内容になっているか、そして、適切に運用されているかも検証も必須です。セキュリティポリシーに従った運用を教育現場で徹底することは難しい面もありますが、その解決策の一部をシステムに委ねるのも方法の一つです。

 

学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ② に続く

 

www.penginedu.com

 

 

 

www.penginedu.com

  

www.penginedu.com