教育情報セキュリティポリシーに関するガイドライン改訂、IRMで実現する暗号化とアクセス制御によるセキュリティ対策

令和4年3月、「教育情報セキュリティポリシーガイドライン」の一部改訂版が公表されました^※1。これは令和3年5月に行われた第2回改訂をさらに一部改訂したもので、本改訂では第2回改訂で提示された、今後目指すべき「ネットワーク分離を必要としないアクセス制御による対策を講じたシステム構成」への円滑な移行を図るため、これを実現するための詳細な技術的対策が追記されました。また、ガイドライン上では従来の「ネットワーク分離による対策」と、上記の「アクセス制御による対策」が明示的に書き分けて記述されるようになりました。

ネットワーク分離による対策から脱却し、アクセス制御による対策へ移行することは、多くのメリットをもたらします。例えば、ネットワーク分離構成では各システムで使用する端末を分ける必要がありましたが、アクセス制御を前提とした構成では1台の端末で校務系/学習系の両方のシステムを利用可能であるため、端末間でのファイル共有や同期を行う手間がなく、教職員の日々の作業の効率化を図ることが可能です。さらに、システム毎に端末を調達するためのコストも削減できます。

今回の一部改訂で示されたアクセス制御による対策の詳細な技術的対策は下記のようなものがあります。（「教育情報セキュリティポリシーに関するガイドライン(令和4年3月)改訂説明資料」より抜粋^※2）

リスクベース認証（システムへの接続において場所や時間などが通常と異なる場合などにID・パスワードだけではなく追加の認証を行う方式）
ふるまい検知（通信内容を監視し、以上、あるいは不審な挙動を検知する仕組み）
マルウェア対策
暗号化
SSOの有効性

これらの中で、弊社の提供するサービス『DataClasys』で実現できるのは、校務系情報などの機微データの暗号化による情報漏えい対策です。

DataClasysはIRM（Information Rights Management）と呼ばれるソリューションの一つであり、ファイルを暗号化しアクセスを特定のユーザに限定することが可能です。ファイルへのアクセスが発生する度に、アクセス元のユーザ情報と権限ポリシーの認証が行われ、アクセス権のあるユーザのみに必要最小限の権限でファイルが開きます。また、ファイルへのアクセスログはサーバ側に記録されます。

IRMによるファイル暗号化は、①教育機関を狙うランサムウェア等のマルウェアによる情報窃取、②持ち帰り端末やUSBの紛失・盗難、③職員による情報持ち出しなどによる漏えいへの対策となります。また特にDataClasysの場合、情報資産の機密レベルに応じてファイルを分類・管理が可能であるため、例えば校務系情報等は教職員からのアクセスに限定し、児童生徒から一切アクセスできないようにすることも可能です。

アクセス制御によるセキュリティ対策への移行を検討する際には、是非DataClasysによるファイル暗号化対策をご検討ください。

教育情報セキュリティポリシーガイドラインとは？

教育情報セキュリティポリシーに関するガイドラインは、各教育委員会・学校が情報セキュリティポリシーの作成や見直しを行う際の参考にするものとして、平成29年10月に策定されました。

教育環境を巡るICT化は急速に進んでおり、またセキュリティは定期的に見直すべきものとの考えから、現在（令和4年5月）までに幾度かの改訂が行われています。
令和元年12月の第1回改訂では、「1人1台端末」及び「高速大容量の通信環境」の一体的な整備を行うGIGAスクール構想の始動に対応して改訂が行われました。
また令和3年5月の第2回改訂では、コロナ禍の影響から急速に進んだ学校ICT環境整備の推進を踏まえ、学校内外で1人1台端末を安全に活用するためのセキュリティ対策の記述やクラウドサービス活用を前提としたネットワーク構成の在り方が明確化がされました。この改訂の中で目指すべきネットワーク構成として、校務系/学習系のネットワーク分離を必要としない構成、つまり「アクセス制御による対策を講じたシステム構成」が推奨されています。