2022.03.11

教育情報セキュリティポリシーガイドラインの改訂

先日、文部科学省から教育情報セキュリティポリシーガイドライン
（以下セキュリティガイドライン）が公表されました。
セキュリティ対策は定期的に見直す必要があるとして、
平成29年10月に初めて策定されて以来、
令和元年12月、令和3年5月に改訂され、
今回は令和3年5月から10カ月ほど、同一年度内に改訂がなされました。
このセキュリティガイドラインは、
各教育委員会・学校が情報セキュリティポリシーの作成や見直しを行う際の
参考とするものとして作られたものです。
教育委員会でネットワークの構築や情報セキュリティに携わっている方は、
年度内に二度の改訂があり戸惑っている方もいらっしゃるかと思います。
そこで今回の改訂に関して簡潔にご紹介します。

今回のセキュリティガイドライン改訂で基本的な方針
（対策方針や組織体制の在り方など）の変更はありません。
大きなポイントは2つです。

１）アクセス制御による対策の詳細な技術的対策の追記
アクセス制御による対策を講じたシステム構成を実現するために、
校務用端末の詳細なセキュリティ対策が追記されています。
具体的には、校務用端末の詳細なセキュリティ対策の追記で、
「リスクベース認証（システムに接続する際、
場所や時間などが通常と異なる場合などに
ID・パスワードだけではなく追加の認証を行う方式）」、
「ふるまい検知（通信内容を監視し、
異常、あるいは不審な挙動を検知する仕組み）」、
「マルウェア対策」、「暗号化」、「SSOの有効性」などが
詳しく記載されています。

２）「ネットワーク分離による対策」「アクセス制御による対策」を明確に記述
「ネットワーク分離による対策」および「アクセス制限による対策」の記述を
明確に分けることにより、表現が適正化されています。
校務用端末の使い分けについて対策毎に記述が適正化されています。
ネットワーク分離による対策を講じたシステム構成では、
ネットワーク毎に端末を使い分けるとしています。
アクセス制御による対策を講じたシステム構成では、
アクセス制御を徹底して1台の端末で運用するとされています。
また、校務用端末の持ち出しに関する記述も適正化されました。
ネットワーク分離による対策を講じたシステム構成では、
安全管理に関して追加の措置を定めた上で、許可制としています。
アクセス制御による対策を講じたシステム構成では、
情報セキュリティ管理者の包括的承認等による
持ち出しを検討するとなっています。

皆さまの現場の実情をよくご確認の上、
新しいセキュリティガイドラインに合った対策をご検討ください。

ISEN副委員長 井上

株式会社JMC
APPLIC（一般財団法人全国地域情報化推進協会） テクニカルアドバイザー。
校務情報化や情報モラルに精通し、文部科学省や総務省の委員会や委託事業にも参画している。