情報セキュリティ向上のための学校支援の在り方

情報セキュリティ向上のための学校支援の在り方
-情報セキュリティ研修を通して-
情報教育研究室
【要
山
下
勝
運
沖
田
市
川
和
夫
忽
那
義
朝
浩
約】
情報セキュリティの重要性は急速に高まっている。学校においても、情報セキュリティに関する危機管理意識や
情報管理能力を向上させることが急務である。そこで、学校における組織としての情報セキュリティ向上を図るた
めに、テキストやプレゼンテーション等の各種資料を作成し、研修会を実施することにより、学校支援の在り方を
研究した。その結果、学校の情報セキュリティ向上について一定の成果を確認することができた。
【キーワード】 情報化社会
1
情報教育
情報モラル IT
研究の目的
インターネット
講座受講者を中心に調査を行った。その結果、情報セキ
社会におけるIT化が進む中、県下においても学校を
ュリティ対策のための規定は、ほとんどの学校において
含む教育機関のネットワーク化が急速に進められている。
明文化されており、学校全体としての最低限のセキュリ
現在推進されているネットワークの仕組みは、校内ネッ
ティ対策は講じられているものと考えられた。しかし、
トワークを構築するとともに、インターネットへシーム
調査対象である受講者の中には、実際に学校に情報セキ
レスに結ぶ方式が中心であると考えられる。また、学校
ュリティ対策のための規定があるにもかかわらず、内容
のみならず、家庭においてもブロードバンド回線を用い
を理解していなかったり、規定そのものがあることを知
て、インターネットから多様な大容量コンテンツにアク
らなかったりといった例もあった。したがって、情報セ
セスする生活が一般化してきている。インターネットの
キュリティ対策について個々の教職員が十分に意識し、
世界においては、新技術の活用と、新しいコンテンツの
日々の業務に当たっているかということについては、疑
誕生がとどまることなく進んでいるため、新しい知識を
問が持たれる結果であった。調査結果を受け、学校にお
習得するための継続的な研修が必要となっている。しか
いて必要とされる情報セキュリティについてまとめる資
し、IT環境の整備が進む中で、この環境を利用するた
料は、次の8点を中心とする内容とした。
めの情報リテラシーの定着は十分とは言えず、中でも教
・情報化社会における情報セキュリティの現状
職員における情報セキュリティに対する意識は、低いと
・情報セキュリティの検討
考えられる。
・情報セキュリティの定義と要素
インターネットの普及に伴い、各端末やネットワーク
・リスク(危険)を構成する要素
においては不正にアクセスされたり、ウイルスによって
・学校における脅威
被害を受けたりする可能性が増大し、実際にそのような
・情報セキュリティ対策の方法
事例も見られる。個人情報保護法施行後、約1年が経過
・学校における情報セキュリティの具体策
した現在、通常の業務において児童生徒の個人情報を扱
・個人レベルの情報セキュリティ対策
う機会の多い教職員にとって、情報セキュリティについ
また、これらの内容を、情報セキュリティにおける職
ての十分な理解と危機管理意識や情報管理能力の向上は
務別レベルに応じて次の3種類提供する必要があること
急務である。
が分かった。
そこで、学校の特殊性を踏まえ、組織としての情報セ
・情報セキュリティの最高責任者(校長)用
キュリティ向上を図るための研修会を企画するとともに、
・セキュリティ管理者用
研修に利用するためのテキストやプレゼンテーション用
・一般の教職員用
の各種資料を作成することを通して、学校支援の在り方
提供方法については、情報セキュリティの最高責任者
を研究することとした。
に対しては、校長会の中にセキュリティ講座を位置付け
2
ていただき、研修という形で、直接解説を加えながら理
研究の内容
⑴
学校における情報セキュリティの現状調査
解を深めるとともに意識を高めることが重要であると考
学校における個人情報やデジタルデータの取扱い及び
えた。セキュリティ管理者については、地域別の代表者
情報機器やネットワークの現状について、情報教育研修
に対して直接研修を行い、各地域に帰って各校のセキュ
- 27 -
リティ管理者に伝達する方法が有効であると考えた。
責任者が打ち出した情報セキュリティ基本方針を受け、
一般の全ての教職員対象には、その内容をセキュリテ
自校の状況を把握するとともに校内の各部署からの意見
ィ管理者対象の講座の中に盛り込み、それをそれぞれの
を聴取し、情報セキュリティの対策基準を策定すること
学校の校内研修会に取り入れてもらう方法が有効である
が重要である。情報セキュリティ基本方針と情報セキュ
と考えた。また、研修に用いる資料については、対象ご
リティ対策基準を合わせて、情報セキュリティポリシー
とのテキストを印刷して配布するとともに、テキスト及
となるが、情報セキュリティ委員会を中心に、この情報
び解説用のプレゼンテーションのデジタルデータをWeb
セキュリティポリシーを実施するとともに定期的に全校
ページ上に公開することとした。特に研修で使用したプ
体制で実施状況に対する監査・点検を実施する必要があ
レゼンテーション資料については、学校の実情に応じて
る。このセキュリティ監査・点検は、学校内のセキュリ
自由に改変し使うことを前提に作成することとした。
ティホールを顕在化させ、ポリシーの実効性や実行性を
⑵
学校における情報セキュリティの内容の検討
ア
確認していく手立てとなり、より発展的な情報セキュリ
情報セキュリティ対策の在り方
ティポリシーへと改善していくことができると考える。
現在の学校においては、児童生徒の学習のためや、教
ウ
情報セキュリティ管理者に必要な知識・技能
職員が教材作成や様々な業務の遂行のために、コンピュ
学校における情報セキュリティ管理者に要求される知
ータやネットワークを活用することが日常的になってき
識・技能は、一般に業務でコンピュータやネットワーク
ている。また、社会一般では、ウイルスや不正アクセス
を利用できるレベルで十分であると考えられる。各学校
を始めとする脅威に対して、セキュリティの確保が急務
には、コンピュータやネットワークに特に詳しい教職員
と言われている。そのような状況下においては、個人情
はいるが、情報セキュリティ管理者に求められる知識・
報の宝庫とも言える学校の情報セキュリティ対策は、全
技能はデジタル機器の取扱いに関する内容より、情報そ
ての教職員が自分のこととして取り組むことが必要であ
のものの取扱いに関する内容であり、教職員の情報管理
り、「専門家ではないから」「得意ではないから」とい
意識を向上させるためのセキュリティ情報を収集・提供
った考え方が一番の弱点となる。特に、学校においてネ
することが重要と考える。したがって、学校において指
ットワークやデジタル機器を利用する際、利便性を追及
導的な立場であり、情報セキュリティポリシーを確実に
するのは情報保有者である教職員であり、セキュリティ
遵守させることが可能な教職員が適当と考えられる。
を要求するのは、情報主体である児童生徒となる。した
⑶
がって、情報漏えい事件が発生した場合、被害者となる
情報セキュリティ研修についての検討
ア
管理職対象の研修の在り方
のは児童生徒であり、加害者となるのは教職員や学校と
管理職対象の情報セキュリティ研修は、今回の研究の
な る 。 情 報 セ キ ュ リ テ ィ の 分 野 に お い て は 、 “ The
中心として県内すべての学校のセキュリティ最高責任者
strength of a chain is its weakest link”と言われ
を対象として実施することとし、小・中学校においては
ている。これは、鎖の強さは、一番弱い環によって決ま
市町単位の校長会に研修の場を位置付けていただき、そ
るということであり、セキュリティ意識の低い一人の教
の場を借りて直接情報提供することとした(図1)。
職員によって学校全体のセキュリティが崩れることを意
味している。したがって、全ての教職員の意識を同列に
高めていくようなセキュリティ対策が求められる。
イ
組織としての情報ガバナンスの在り方
情報セキュリティにおいては、前述した教職員個々の
セキュリティ意識を高めるとともに組織的な情報ガバナ
ンスが求められる。情報ガバナンスは、最高責任者であ
る校長のリーダーシップの下、確立する必要がある。各
学校において情報セキュリティを担当する委員会を組織
し、その組織が中心となって全校体制で学校の情報セキ
ュリティ対策を行うこととなるが、情報セキュリティ委
員会の構成については、できる限り多くの立場からの意
見を取り入れることができるよう配慮する必要がある。
また、情報セキュリティ管理者は、セキュリティ最高
図1
- 28 -
管理職研修
期日は、第2学期から開始し、表1の日程で実施した。
表1
管理職研修日程
情報管理担当者研修の内容は、学校を中心とした最近
のセキュリティ・インシデントを紹介し、セキュリティ
対策の重要性の認識から始めることとした。その上で、
情報セキュリティの検討方法や、学校における脅威を解
説し、学校において行うべき具体策までを解説した。ま
た、詳細な内容については、一般的な情報セキュリティ
対策の内容を、できる限り学校の教育活動や業務場面に
オーバーラップさせて解説するよう心掛けた(図2)。
⑷
研修用資料の作成
ア
管理職対象の研修用資料作成
管理職対象の研修用資料は、学校の情報管理を総括す
る立場から必要とされるセキュリティマネジメントに重
点を置き、次の内容でまとめた。
○学校を取り巻くIT化の課題
・ウィルスとは
・学校のネットワークの概要
・ファイル交換ソフトと暴露ウィルス
○学校における情報管理
・情報セキュリティ対策の必要性
・情報セキュリティ対策の特性
管理職対象の研修は、学校全体のセキュリティを統括
・情報セキュリティマネジメントシステム
するための基本的な知識及びセキュリティ対策の在り方
・情報セキュリティ基本方針の策定
を中心とした内容で行った。まず、ウィルスや学校のネ
・情報セキュリティ委員会の設置
ットワーク環境の概要、最近話題になっているファイル
・情報セキュリティの具体策
交換ソフトについて解説し、学校における情報環境の実
テキストについては、情報技術にかかわる項目につい
情を把握する内容とした。その後、学校におけるセキュ
てはできる限り図解し、内容を直感的に理解できるよう
リティマネジメントシステムの重要性に立脚したセキュ
工夫した。また、項目に合わせてプレゼンテーション資
リティ対策についての理解を深めるものとした。
料も作成した。
イ
情報管理担当者対象の研修の在り方
イ
情報管理担当者対象の研修用資料作成
情報管理担当者の研修については、当教育センターに
情報管理者は、学校の情報セキュリティ対策における
おいて、小・中学校対象と県立学校対象に分けて行うこ
実務の中心的役割を果たす。そこで、資料は、一般的な
ととした。小・中学校対象については概ね4校に1名の
情報セキュリティ対策の内容を網羅するとともに、日々
代表者の参加で行うこととしたが、人数の都合から2回
の業務に当てはめて対応できる内容にするよう心掛けた。
に分け、県立学校と合わせて計3回の講座とした。
○情報化社会における情報セキュリティ
○情報セキュリティの検討
・学校の情報の何を守るべきか
・どのような脅威があるか
・ぜい弱性は何か
・どのような損失が発生するか
・どのようにして守るべきか
・情報セキュリティ継続のためにどうすべきか
○情報セキュリティの定義と要素
○リスク(危険)を構成する要素
○学校における様々な脅威
図2
情報管理担当者研修
・外的要因(不正アクセス、ウイルス・ワーム等)
- 29 -
・内的要因(児童・生徒、教職員の故意や過失)
県立学校対象の研修では、講義の後で、学校における
○情報セキュリティ対策
情報管理上の諸問題や効果的な情報管理方法等について
○学校における情報セキュリティの具体策
小グループに分かれ、研究協議が行われた。それらを踏
・情報セキュリティポリシーの策定と運用
まえて質疑応答の時間を設定したため、活発で有意義な
・学校における情報セキュリティポリシーの浸透策
質疑応答の時間となった。内容は、情報セキュリティ管
・学校における情報セキュリティポリシーの内容
理担当者としての任務やネットワーク運用に関すること
・学校における情報セキュリティ研修会
をはじめ、アップデートの仕方や外部記憶媒体の扱いに
・行動マニュアル(指針)の提供
関するものまで様々であった。同じ緊張感を背負った者
○教職員個人レベルの情報セキュリティの具体策
同士の研修で、意識の統一ができたものと思われる。
上記のテキストの項目に対応した内容のプレゼンテー
ウ
ション資料も同時に作成した。
ウ
情報セキュリティ校内研修
今回研修に参加した情報セキュリティ管理担当者が、
校内研修のための資料作成
勤務校において教職員向けに校内研修を実施することに
学校における情報セキュリティの最後の砦は、教職員
なるが、実施後の報告を基に、本研究における管理職や
一人一人の意識と対応であるという認識の下、学校にお
管理担当者向けの研修について評価し、改善点等を検討
ける研修に利用できる資料を作成し、Web上で公開する
したいと考える。管理担当者へは、校内研修が円滑に行
こととした。作成した資料は、学校の実情に合わせて改
えるよう、校内研修用のプレゼンテーション資料を3種
変できるようすべてプレゼンテーション形式とし、メモ
類提供し、勤務校の実態に合わせて変更を加えながら活
欄にそれぞれの内容の重点を記載することとした。情報
用できるよう配慮した。
セキュリティ対策の概要を理解するためのものとした
3
まとめと今後の課題
「情報セキュリティ対策編」を、具体的な対策を支援す
ネットワーク環境の急速な発展とコンピュータの普及
るものとして、「セキュリティアップデート編」「外部
に伴い、生活の利便性は飛躍的な進歩を遂げた。反面、
メディアの取扱い編」を提供した。
コンピュータウイルスや外部からの不正アクセス、機密
⑸
情報セキュリティ研修の実施と評価
ア
データ漏えい等の問題が深刻化し、学校における情報セ
管理職対象の研修
キュリティの重要性はますます高まっている。
小・中学校対象の管理職研修は、2学期の校長会の日
そこで、学校組織における情報セキュリティ向上を図
程に合わせて、県下すべての市町に出向き実施した。そ
るための研修会を実施するとともに、参考になる資料を
の総数は18か所に及んだ。県立学校対象の管理職研修は、
作成し、学校支援の在り方について研究した。
県下一斉の校長会で実施した。いずれの会場においても、
研修後に提出された県下5 8 0校の報告書では、すべて
最終的な責任を負う立場にある参加者は、真剣に話に聞
の学校が「役に立つ有意義な研修であった」と評価して
き入っていた。研修後の質疑応答では、コンピュータウ
おり、セキュリティ対策の重要性や具体的な方法に関し
イルスやアップデート、またWindows98やMeの扱い等に
て、必要性は理解しつつも、どう取り組んだらよいか分
ついての基本的な内容から、ウイルスの動作等の高度な
からないというこれまでの状況からすると、本取組によ
ものまで質問が出された。取り組む姿勢や表情から、危
り一定の成果を得ることができたと考える。
機感の感じ取れる効果的な研修であったと考える。
イ
今後、学校においては、システム化された情報セキュ
情報管理担当者研修
リティ対策を、継続して実施できる体制作りが課題とな
情報管理担当者の研修は、当教育センター大講義室に
る。また、新しいサービスに対応した新しい攻撃は増え
おいて小・中学校対象を2回、県立学校対象を1回、実
続けると考えられる。情報教育研究室では、教職員一人
施した。情報管理担当者は、各学校において、校内ネッ
一人が、今できる最善のセキュリティ対策を実施できる
トワーク運用の監査・評価等を担当し、校内の教職員の
よう今後も研究しサポートしていきたい。
危機管理意識や情報管理能力の向上を図るための指導や
主な参考文献
研修を行う立場にある。さらに、校内の情報セキュリテ
○日本経済新聞社
ィ委員会をまとめ、学校における情報セキュリティの具
ータ標準教本』
体策や教職員個人レベルの情報セキュリティの具体策を
[付記]
推進していく任務を担うため、緊張した面持ちで熱心に
『情報セキュリティアドミニストレ
出版
2005
本研究で作成した研修用資料は、当教育センターの
取り組んでいる様子が伺われた。
W e bサイトに掲載する。
- 30 -