国内の教育機関における情報セキュリティの現状
まずは、国内の教育機関における情報セキュリティの現状を解説します。2022年の全世界における業種別の年間不正プログラム検出台数は、政府・製造・ヘルスケア・教育の順で192,812件でした。同年の日本では製造に次いで教育が多い結果となり、年間不正プログラム検出台数は5,916件を記録しました。
このように、教育機関は世界的にも日本においてもサイバー攻撃を受けやすい業種だと考えられます。2023年2月の トレンドマイクロの調査 によれば、日本国内の教育機関が受けているサイバー攻撃の種別の内訳は以下のとおりです。
| 攻撃の種類 | 割合 |
|---|---|
| 不正プログラム感染 | 48% |
| 不正アクセス・不正ログイン | 33% |
| 公開サーバーへの攻撃 | 9% |
| フィッシング | 5% |
| 内部犯行 | 5% |
教育機関にセキュリティインシデントが多い理由は、以下の2つです。
- セキュリティ対策が万全ではなく課題が多い
- 守るべき重要な情報資産が多いので狙われる
日本の教育機関も、サイバー攻撃に対するセキュリティ対策が喫緊の課題です。
参照:トレンドマイクロ「 被害事例とリサーチから見る教育機関を狙うサイバー攻撃の動向 」
2019年から進められているGIGA教育とは?
2019年に日本政府が打ち出したGIGAスクール構想は、文科省が進める5カ年計画です。小学校~高校の生徒すべてにパソコン・タブレットを配備し、情報通信技術を取り入れた教育の実現を目的としています。
2021年3月には、全国の生徒に一人一台のデバイスの支給がほぼ完了しました。しかし、GIGAスクール構想がスピーディーに進められるなか、セキュリティ対策が追いつかない教育機関も少なくありません。デバイスをほぼ支給し終えた現在、セキュリティの向上や充実が次の課題として注目されています。
教育機関の情報セキュリティリスク
教育機関の教師や生徒の個人情報をはじめとした情報資産は、以下のようなセキュリティリスクにさらされています。
- サイバー攻撃
- 不正アクセス
- 情報流出
- 自然災害、火事、事故、停電、パンデミックなどの不測の事態
セキュリティリスクに対し、教育機関のセキュリティ対策の現状は以下のとおりです。
| 調査年度 | セキュリティ対策 | 実施率 |
|---|---|---|
| 2020年 | フィルタリング | 98.8% |
| 2020年 | ウイルス対策 | 99.5% |
| 2022年 | セキュリティポリシーの策定 | 71.2% |
参照:文部科学省「 令和4年度学校における教育の情報化の実態等に関する調査結果 」,「 令和2年度学校における教育の情報化の実態等に関する調査 」
日本では、物理面でのフィルタリングやウイルス対策などはすでに十分な実施率です。しかし、上記のデータからは、セキュリティポリシー策定など意識面での対策がやや不十分だと考えられます。
セキュリティポリシーとは、組織で実施するセキュリティ対策の目的、基準、手順を定めた指針です。セキュリティポリシーでは、以下のような項目を設定します。
- セキュリティポリシーの目的
- 脅威への対策基準
- 運用のための実施手順
セキュリティポリシー策定は組織をサイバー攻撃から保護するだけでなく、職員の意識向上という効果も得られます。国内教育機関は、セキュリティポリシーのスピーディーな策定が求められます。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保
話題になった国内の情報セキュリティに関する事故・事例
近年、話題となった国内の情報セキュリティに関わる問題や事故について紹介します。
茅ヶ崎市の小学校でのパスワード書面管理
茅ヶ崎市の小学校が話題になったのは、X(旧Twitter)で保護者がパスワードの管理に関して問題提起をしたからです。実際に投稿された内容は、以下のとおりです。
子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。
1年経ったから情報セキュリティの観点からパスワード変更?意味わからん。理由になってない。
パスワードをこの紙に記載の上教師に提出?パスワードは個人に帰属でしょ。
引用元:X「 hiro_様 @papa_anniekey(2022年2月3日) 」より
投稿で問題とされているポイントは、以下のとおりです。
- 1.茅ヶ崎市の小学校がパスワードの定期変更を求めている
- 2.新しいパスワードを書面で学校に提出している
- 3.他人へパスワードを教えている
ID・パスワードは個人で管理するのが基本であり、茅ヶ崎市の小学校のように他人に知られるとリスクが発生します。また、総務省によればパスワードの定期的な変更は以下の理由で不要です。
- アカウント乗っ取りや流出が起きなければ変更は不要
- 定期的な変更は作り方のパターン化でパスワードが簡単になる可能性が高い
- 使い回しをせず、サービスごとに固有のパスワードを設定する
参照:総務省「 安全なパスワード管理 」
パスワード管理不足によるなりすましいじめ被害
町田市の小学校6年生の女子生徒が、2020年11月にいじめを訴える遺書を残して自殺しました。調査の結果、GIGAスクール構想で生徒に支給されたタブレットがいじめに使われたため注目を集めました。
いじめは4年生から始まり、「複数の同級生から仲間はずれ」「悪口・陰口」といった行為が両親の聞き取りで判明しています。また、タブレットの会話でなりすまし被害を訴える以下の証言がありました。
- 自分が書いていないのに勝手に書き込まれた
- 書いていた内容が削除された
両親は「ほかの生徒のIDを容易に推測できたため、なりすましが横行していたのでは」「学校の管理がずさん」と指摘しています。町田市の小学校ではパスワードを「123456789」に統一し、IDは学級+出席番号だったと 東京新聞 は報じています。
IDとパスワードは、デバイスやオンラインサービスを利用する上で本人確認をする重要な情報です。規則があるIDとグループで統一されたパスワードの場合、なりすましは誰でも容易に行えます。
町田市の小学校のID・パスワード管理は、あまりにずさんでセキュリティ意識が希薄だったと言わざるを得ません。
情報セキュリティ対策:日本と世界の比較
日本・世界の教育機関における情報セキュリティ対策の比較を、公的機関・非営利団体のデータを主体として解説します。
日本
日本のデータは総務省・ISEN(教育ネットワーク情報セキュリティ推進委員会)を主体とし、日本全国の学校を対象とした全数調査の結果です。
| デバイス1台あたりの生徒数 | 0.9人 |
|---|---|
| 生徒1人1台が達成されている教育機関の割合 | 87.9% |
| セキュリティインシデント数(電子化された情報以外の全ての媒体の情報を含む) | 200件(2022年)*漏えいした媒体のおよそ半分が書面であることから、サイバーインシデントに限っては約100件程だと推測される |
| 情報セキュリティインシデントの主なタイプ | 情報漏えい |
| 情報セキュリティインシデントの原因 | 紛失置き忘れ(47.7%) |
| セキュリティポリシー策定率 | 71.2% |
| セキュリティソフトの導入率 | 99.5%(2020年) |
| 情報セキュリティへの意識 | 低い |
| 情報セキュリティ研修の実施率 | 73% |
データからはセキュリティ対策ソフト・フィルタリングなど、物理的な対策は十分に普及しているのがうかがえます。そのため、教育機関のセキュリティインシデントの内訳で不正アクセス3.6%、ウイルス感染0.5%と非常に低い数値です。
一方、意識面でのセキュリティ対策はいまだに十分とは言えません。たとえば、特定非営利活動法人ロイズの調査では以下の事実が判明しています。
- 校舎などへの入退館を管理:68%
- 教職員への情報セキュリティ教育:68%
- 重要書類の施錠管理:59%
- 教職員との機密保持誓約書の取り交わし:27%
また、日本のデータで特筆すべき点としては、情報漏えいのほぼ半数が、紙媒体で発生しているという点です。対して、今回比較を行ったアメリカとイギリスの教育機関では、情報管理は主に電子媒体で行われています。学生のデータや成績、教材、スケジュールなどが電子データベースや学内ポータルで管理されています。
たとえばイギリスでは、2012年の時点でイングランドにおける84%の学校が学校情報管理システム(MIS)を導入していました。一方アメリカでは、公立学校の90%が「SIS」と呼ばれる学生情報システムを使用しているという調査結果があります。
日本の教育機関における情報セキュリティは今後、情報を取り扱う媒体の電子化の促進および情報リテラシーの向上やセキュリティポリシー策定の推進が求められています。
参照:文部科学省「 令和4年度学校における教育の情報化の実態等に関する調査結果 」,ISEN「 令和4年度(2022年度)学校・教育機関における個人情報漏えい事故の発生状況 」,特定非営利活動法人ロイズ「 学校情報セキュリティに関するアンケート調査 」
イギリス
以下の表のデータは、2020年度~2021年度に行われたイギリス政府の調査を主体としています。調査範囲は小学校135校・中学校158校・高等学校57校で、特定の条件でサンプル校を抽出する標本調査です。
| デバイス1台あたりの生徒数 | 1.66人 |
|---|---|
| 生徒1人1台が達成されている教育機関の割合 | 69%~86% |
| セキュリティインシデント数(電子化された情報のみ) | 183件(2021年) |
| サイバーセキュリティインシデントの主なタイプ | フィッシング(84%~91%) |
| 情サイバーセキュリティインシデントの原因 | - |
| セキュリティポリシー策定率 | 66%~90% |
| セキュリティソフトの導入率 | 90%~96% |
| 情報セキュリティへの意識 | 高い |
| 情報セキュリティ研修の実施率 | 49%~62% |
イギリスの教育機関は、国内の平均的な企業と比較してセキュリティ意識が高いという調査結果が出ています。教育機関のセキュリティ意識が高いのは、国家安全保障の観点においてサイバーセキュリティがイギリスで重視されているからです。
例えば、イギリスは「国家サイバーセキュリティ戦略2016」を策定し、複数の省庁が情報セキュリティ向上に努めています。また、イギリスの小中学校のおよそ5割がサイバーリスクに対する保険に加入しています。
参照:GOV.UK「 Education Technology (EdTech) Survey 2020-21 」,「 Cyber security breaches survey 2023: education institutions annex 」,ジェトロ(日本貿易振興機構)「 英国のサイバーセキュリティ体制の現状と課題 」
アメリカ
以下の表は、アメリカ企業「Clever」および非営利団体「K12 SIX」の調査を中心にしています。Cleverのデータは、特定の条件でサンプルを抽出した標本調査です。K12 SIXのデータは、公開された報告に基づく集約データ収集の形態です。
| デバイス1台あたりの生徒数 | 1.11人~1.19人 |
|---|---|
| 生徒1人1台が達成されている教育機関の割合 | 84%~90% |
| セキュリティインシデント数(電子化された情報のみ) | 166件(2021年) |
| サイバーセキュリティインシデントの主なタイプ | ランサムウェア(37%) |
| 情サイバーセキュリティインシデントの原因 | - |
| セキュリティポリシー策定率 | - |
| セキュリティソフトの導入率 | - |
| 情報セキュリティへの意識 | 低い |
| 情報セキュリティ研修の実施率 | 72% |
教育機関のセキュリティ対策に取り組むK12 SIXは、実際のアメリカのインシデントは公表数の10倍~20倍だとしています。アメリカの教育現場では、セキュリティインシデントが秘匿されるケースが非常に多いようです。
2021年のセキュリティインシデントの内訳では、ランサムウェアが62件ともっとも多くなっています。ランサムウェアとは、デバイスのデータを暗号化して復元のために金銭を要求するマルウェアです。
ランサムウェアの被害以外にも、情報漏えい・不正アクセスなどがアメリカの教育機関を悩ませています。さらに、メールを悪用した詐欺、オンライン授業への侵入、Webサイト改ざん、 DDoS攻撃 なども起きています。
参照:Education Week「 What the Massive Shift to 1-to-1 Computing Means for Schools, in Charts 」,サイバーセキュリティ総研「 アメリカの学校のサイバー脅威に取り組むK12 Security Information Exchange 」,Clever「 The state of data security and privacy in K-12 schools 」,K12 SIX「 The State of K-12 Cybersecurity: Year in Review 」
EU
以下の表はEuropean Commission(欧州委員会)と、EU Kids Online networkによって行われた調査をもとにしています。
European Commissionのデータは31カ国で実施されたオンライン調査ですが、全数調査・標本調査の記載はありませんでした。EU Kids Online networkのデータは、EC19カ国で行われた標本調査です。
| デバイス1台あたりの生徒数 | 初等教育:18人 |
|---|---|
| 生徒1人1台が達成されている教育機関の割合 | 65%(2018年) |
| セキュリティインシデント数(電子化された情報のみ) | 初等教育:7% |
| サイバーセキュリティインシデントの主なタイプ | 情報漏えい・マルウェア感染 |
| 情サイバーセキュリティインシデントの原因 | - |
| セキュリティポリシー策定率 | - |
| セキュリティソフトの導入率 | - |
| 情報セキュリティへの意識 | 低い |
| 情報セキュリティ研修の実施率 | 初等教育:78%以下 |
EU全体の統計は少なく調査頻度も低いため、教育機関のセキュリティの正確な現状把握は困難です。
傾向として生徒へのデバイス配備が北欧諸国では進んでおり、スウェーデン・アイスランド・フィンランドで100%でした。一方、スロバキア・クロアチア・ハンガリーなどは配備率が20%台と非常に低い数値です。EUは国によって政策・方針が異なるため、生徒へのデバイス配備も大きな格差が生じています。
全体として、情報セキュリティへの意識は国ごとの格差が大きく今後の向上が求められます。
参照:European Commission「 2nd Survey of Schools:ICT in Education 」,EU Kids Online network「 EU Kids Online 2020 Survey results from 19 countries 」
情報セキュリティに関する意識の違い
出典: トレンドマイクロ より
トレンドマイクロの調査によれば、日本の情報セキュリティリスクの低さは世界で6位でした。上記の表の用語は以下を意味しています。
- Cyber Risk Index(サイバーリスク指数):サイバー予防指数からサイバー脅威指数を引き算した指数
- Cyber Preparedness Index(サイバー予防指数):セキュリティ対策の強度
- Cyber Threat Index(サイバー脅威指数):サイバー攻撃を受けるリスク
サイバーリスク指数が小さくなるほどリスクが高く、大きくなるほどリスクは低くなります。日本はサイバー予防指数が5.61と世界で2番目で、他国と比較してセキュリティ意識が高いという結果です。
また日本では、セキュリティ対策の主軸となるあるゼロトラストへの取り組みも遅れています。ゼロトラストとは、社内・社外などの境界線に頼らずあらゆるアクセスの確認を行うセキュリティの考え方です。
ゼロトラストの推進状況は28カ国中27位となっており、今後の整備が求められます。
参照:トレンドマイクロ「 サイバーリスク国際意識調査「Cyber Risk Index」 2022年下半期版 」,総務省「 令和2年 情報通信白書のポイント 」,「 平成26年版 情報通信白書|情報セキュリティに係る利用者の意識について 」
教育現場における情報セキュリティ問題
今回NordVPNでは、教育機関における情報セキュリティ問題について、実際に現場で働く教員3名に取材を行いました。取材の結果、以下のような現状と問題点が明らかになりました。
- 学校内でのセキュリティインシデントは少ない
- 学校で支給されるデバイスよりも個人が使用しているデバイスにおけるセキュリティ事故の方が多い
- 教育機関と警察等の地方公共団体が共同で未成年のオンライン活動の監視を行っている県もある
続いて、教育機関の情報セキュリティの現状・課題について解説します。
国内の小中学校におけるセキュリティインシデントの現状
取材を行った学校では、学校内でのセキュリティインシデントはほぼ発生していないとの回答を得ました。理由としては、
- 学校内で使用されるデバイスには勉強用のアプリのみがインストールされており、外部との接続機会が少ない
- 子供が使用するタブレットに、重要な個人情報はほとんど入れないようにしている
ただし、デバイスのパスワード管理は生徒に委ねられており、学校側では生徒がアプリ追加やインターネットへの接続を個人的に行った場合、それを検知できないという問題も存在します。
取材で明らかになった、学校内での主な問題は以下の3点です。
- 1.パスワードは完全に生徒側の自己管理: タブレットのパスワードは、支給された際には学校側が指定する初期設定のアカウントでログインし、その後パスワードの変更は各生徒とその家庭に委ねるという方法を取っているようです。そのため、実際にはパスワードを変更せず初期設定のままのものを使用していたり、パスワードを生徒自身が忘れてしまうという問題も頻発しているようです。
- 2.書面での情報管理: また、ログイン用のパスワードをタブレットの裏に手書きのメモで貼り付けておく、といった管理の仕方を実際に行っている学校もあるようです。幸い情報漏えいなどの事故は発生していないようですが、誰もが見られるような書面でのパスワード管理方法は、決して安全とは言えません。パスワード以外にも、日本の学校では様々な個人情報がまだ書面で管理されている場合が多いようです。
- 3.教員の情報セキュリティに関する知識の欠如: 年に1、2回は情報セキュリティに関わる研修が行われている学校が多いようですが、専門知識を持ったスタッフが各学校に配置されることは少なく、教員も他の業務で多忙のため、年に数回の研修以外でセキュリティについて学ぶ機会を儲けるのは難しいのが現状のようです。
個人と家庭のセキュリティリスクについて
生徒が個人的に保有しているデバイスでは、多くのセキュリティインシデントが発生しています。現在では生徒のデバイス所有割合はおよそ3人に1人で、大半がSNSを利用しています。
SNSを通じての誹謗中傷、 ネットいじめ 、仲間はずれ、出会いなど、多数のトラブルが教育機関に報告されています。教育機関に直接的な責任はないものの、過去には生徒間の仲介役を担う場合もありました。しかし、サポートの負担は予想以上に大きく、教師が疲弊するため担い続けるのが困難になりました。
そのため、教育機関は自らの負うべき責任の範囲を明確化し、その範囲外については保護者や子ども向けに説明会を実施しています。情報セキュリティ対策やパスワード管理などの説明を行っていますが、無関心な家庭も存在するため対策は十分とは言えません。
情報セキュリティ教育と課題解決のための対策
たとえば、岐阜県ではセキュリティインシデントの予防のため、教育機関や警察が共同してネットパトロールという組織を設立しました。ネットパトロールはSNSで命や安全に関わる投稿を監視し、発見した場合には以下の措置を講じます。
- 1.危険な投稿を発見したら、学校に連絡
- 2.連絡を受けた学校は、内容を精査して生徒に注意するなどの対策を講じる
さらに、生徒・職員は情報セキュリティについて一年に一回の頻度で授業・研修を受けます。加えて各学校ごとにセキュリティポリシーを策定し、セキュリティ対策の拡充に努めています。
学校が取るべき情報セキュリティ対策
学校が取るべきセキュリティ対策としては、以下が挙げられます。
- セキュリティポリシーの策定と実施
- 情報セキュリティ教育によるリテラシー向上
- アクセス制限・フィルタリング
- ID・パスワード管理によるなりすまし対策
- 校内LANのセキュリティ向上
それぞれのポイントについて解説しますので、自校で取り入れられるセキュリティ対策を検討しましょう。
セキュリティポリシーの策定と実施
セキュリティポリシーは、セキュリティ対策として非常に重要な要素です。
セキュリティポリシーとは、どのような対策を実施するのかという方針です。日本の教育機関のセキュリティポリシー策定率は71.2%となっており、今後の拡充が求められています。
文部科学省も「 教育情報セキュリティポリシーに関するガイドライン 」で、セキュリティポリシーの重要性を公表しています。リスク分析・目的と管理基準の設定・実際の管理手順の順に検討し、セキュリティポリシーを導入しましょう。
セキュリティポリシーの内容は、以下の構成を参考にしてください。
| セキュリティポリシーの項目 | 内容 |
|---|---|
| 1.セキュリティポリシーの目的 |
|
| 2.対策基準 |
|
| 3.実施手順 |
|
参照:総務省「 情報セキュリティポリシーの策定 」
情報セキュリティ教育によるリテラシー向上
情報セキュリティ教育によるリテラシー向上も、職員や生徒に求められる課題です。
情報セキュリティ教育を通して意識改革を行えば、セキュリティポリシーが有効に機能します。逆に、情報セキュリティ教育なしにセキュリティポリシーだけ定めても意味がありません。
また、インシデント発生を想定した訓練も定期的に行いましょう。情報セキュリティの担当者だけではなく、職員も参加して行うようにしてください。
すべての職員の情報セキュリティに関するリテラシーを高めるのが、セキュリティ対策において最も重要です。
アクセス制限・フィルタリング
教育機関のセキュリティ対策として、アクセス制限とフィルタリングも重要です。
たとえば、「有害なWebサイトをフィルタリングで遮断」「職員専用データへの不正アクセス防止」などが考えられます。他にも、LAN内でしか公開しないコンテンツへのアクセス制限も必要です。
アクセス制限・フィルタリングには、以下のような方法が有効です。
- Webフィルタリング
- メールフィルタリング
- 物理的に独立したLAN配線
- ソフトウェアによりグループを構成するVLAN
VLAN(Virtual Local Area Network)とは、仮想LANと訳されるバーチャルなLANグループを作る技術です。VLANを構築すれば、生徒が利用するネットワークから仮想的に職員専用データなどを切り離せます。
参照:文部科学省「 校内ネットワークの仕様 」
ID・パスワード管理によるなりすまし対策
町田市いじめ事件のようななりすましを起こさないために、ID・パスワードの管理を厳重にしましょう。総務省が公表しているパスワード管理のポイントは、以下のとおりです。
- 職員にも教えず個人で管理
- 他人の目に触れるところに貼らない
- パスワードをメモするなら安全な方法で保管
- パスワードを複数のサービスで使い回さない
参照:総務省「 設定と管理のあり方 」
なお、「アカウントの乗っ取り」「パスワードの流出」などがない限り、パスワードを変更する必要はありません。むしろ、定期的に変更するとパスワードの作り方がパターン化してリスクが増す恐れがあります。
加えて、さらに情報漏えいリスクを最小化するためにはVPNの導入が求められます。 VPN(仮想プライベートネットワーク)とは 、トンネリング、カプセル化、暗号化、認証という4つの技術により、個人情報や重要なデータを厳重に保護する、通信セキュリティ向上のための仕組みです。
アプリをダウンロードするだけで手軽に導入でき、ランニングコストもリーズナブルです。VPNで通信セキュリティを向上させ、教育機関内におかれている情報資源を守りましょう。
校内LANのセキュリティ向上
校内LANのセキュリティ強化には、以下の対策を検討しましょう。
- セキュリティ対策ソフトの導入
- 通信の暗号化
- モニタリングソフトの導入
- サーバーの分散運用によるリスク回避
- 利用者によって使用するネットワークを分割
- ファイルの暗号化
テスト・教材データなどの暗号化や、モニタリングソフトの導入はセキュリティ強化に不可欠です。二重三重のセキュリティを構築し、安全・快適な校内ネットワークを実現しましょう。
参照:総務省「 校内LAN導入の手引 」
学校をサイバー攻撃から守る5つのステップ
学校をサイバー攻撃から守るには、以下の5つのステップでセキュリティ強化を行うのがおすすめです。
- IT機器の管理
- 知識のある専任のセキュリティ担当者を配置
- 職員向けに情報セキュリティ教育
- 問題が報告できる環境作り
- 学校のカリキュラムに情報セキュリティを組み込む
セキュリティ強化には、物理的・意識的な対策の両方が必須です。それぞれ、具体例は以下のとおりです。
- 物理的:セキュリティソフト導入・アクセス制限・フィルタリングなど
- 情報セキュリティ教育・セキュリティポリシー策定など
また、セキュリティインシデント発生時に隠蔽せず素早く報告できる環境作りも重要です。学校をサイバー攻撃から守るには、物理対策・意識改革・環境作りといった3つの観点から取り組みましょう。
教育現場はセキュリティ教育・ポリシー策定で意識改革を行おう
日本の教育機関のセキュリティ対策は、世界的に見ても進んでいるのが分かりました。しかし、セキュリティポリシー策定率が71.2%といまだに十分ではないのも確かです。
教育機関は、生徒・職員の個人情報をはじめとしたさまざまな情報資源が集中しています。そのため、不正アクセス・情報漏えい・ランサムウェアなどへのセキュリティ対策が必要です。
自校のセキュリティの現状を的確に把握し、セキュリティポリシー策定をはじめとした十分なセキュリティ対策を実施しましょう。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保
