個人情報を多く抱える教育機関のICT化
教育関係の情報セキュリティについては、生徒の成績等の重要な個人情報を多く抱えており、保護者もその取扱いに敏感なことから重視されています。他方で、教職員は多忙で情報技術に習熟する十分な時間もなく、昨今のクラウド化が進む情報技術についていけていないという状況です。もちろんついていけている教職員の方もいらっしゃると思いますが、全体として習熟した人材は常時不足しています。
通常は各教育委員会に情報セキュリティポリシーというものがあり、そのポリシーに従って、情報セキュリティが運用されています。そのセキュリティポリシーは常時最新の情報技術に対応してアップデートされていくというのが理想的ですが、残念ながら一度作られたらあまり見直されないというのが一般的です。
しかし、令和元年12月に文部科学省が情報セキュリティポリシーに関するガイドラインを改訂(外部リンク)しました。
これは各教育委員会に義務を課すものではありませんが、特に情報セキュリティポリシーに専門知識が無ければこのガイドラインに従うことになります。この改定によって特に重点が置かれたのはクラウドサービスの利用についてです。
クラウドサービスはネットワークやインフラを自前で整備せずに外部のリソースを利用する方法です。クラウドサービスを提供する業者の方が情報セキュリティーについても詳しく、きちんとした対策が取られていると考えられる半面、外部に情報を流すことになるため、情報の管理運用については内部の閉じたネットワークとは異なる対策が必要になります。
基本的に、内部の情報管理では情報を外に出さないことが重要になってきますが、クラウドサービスを利用すると情報を外に出すことが大前提になります。外に出さないための対策は意味をなさず、クラウドサービス業者の管理に大部分を頼ることになります。したがって、クラウドサービス業者との契約関係の確認が重要になってきます。
新型コロナによる更なるICT利用の変化
セキュリティーポリシーガイドラインが改訂されたのは令和元年12月です。ところがその後、新型コロナウイルスが全世界を覆い「テレワーク」という自宅からの遠隔作業が注目されるようになりました。
これまで、小中学校の教職員が情報、特に個人情報を自宅に持ち帰ることは原則として禁止されていました。仕事でどうしてもやむを得ずという場合は厳重な対策が必要です。しかし、それではテレワークはできません。会計事務所でも同様の問題が生じており、機密情報を取り扱う業務では全般的にクローズアップされている問題です。
以前記事にしたゼロトラストの概念は、ゆくゆくはスタンダードになると思いますが、浸透にまだ時間がかかるでしょう。今後は自宅から遠隔で業務を行う上でのセキュリティポリシーが必要になってきます。
このセキュリティを確保した上での自宅からの遠隔作業については、まず最初の段階としては「セキュリティポリシーに則ったノートパソコン・タブレット等の端末の準備」が必要になってくるのではないかと思います。情報システム部門が管理するVDIやVPN、シンクライアントなどデータを端末に残さない仕組みや複数のセキュリティ対策が施された端末を利用した場合のみ自宅からのアクセスを認めることで、一定のセキュリティは担保されます。
そしてその次の段階が、BYOD(Bring Your Own Device)という私物のスマートフォンやパソコンを業務利用するという考え方を取り入れた場合のセキュリティ対策を検討することになります。ゼロトラストはこのBYODと親和性が高いと思われ、個々の情報が随時モニタリングされて仮にウイルス感染等が起こったとしても最小限の範囲にしか影響がないような仕組みが構築されてくれば今とは違う世界が実現可能になってくると思います。