増加率トップは不正アクセス､｢学校のセキュリティインシデント｣なぜ多発？ 後を絶たない書類紛失､誤操作･誤設定も増加

最近では送信者のスペルミスを狙った「ドッペルゲンガードメイン」への誤送信も多い。例えば、「gmail」を「gmeil」と誤入力した結果、犯罪者がつくったgmeil.comというドメインにメールが送信され、添付したデータが流出してしまうといったものだ。

「手入力での設定が誤送信につながっていると考えられますので、いつも送信している宛先と違う場合には保留したり、アラートが出たりするような仕組みをシステム側が構築しておく、あるいはそうした機能があるツールを導入して防ぐ方法もあります」（同課の家村省吾氏）

クラウド化の流れの中、企業と同等の対策が求められる

学校では教員も1人1台端末となり、校務や授業での活用がますます求められている。そのため、教員も日々、社会で起きているインシデント情報にアンテナを張ることが重要だが、インシデントは多種多様で、「これをやれば必ずセキュリティを守れる」といった対策はないと細谷氏は語る。

「また、多忙な学校の先生方に、厳重なセキュリティ対策を求めるのは現実的ではないでしょう。先生方がミスをしてしまうことを想定し、仕組みやシステムでカバーしていくことがベスト。私用端末の扱いも注意が必要です。例えば、教員が私用iPhoneに業務に関するデータを保存しており、そのデータがiCloud上に自動で同期されていて、アカウントが乗っ取られた際にデータが漏洩したケースがありました。一時期、SNSに宅配便を装ってIDパスワードを入力させる手口がありましたが、そこからiCloudに侵入されてしまったのです。こうしたこともあるため、ロケーションフリーの校務を推進するには、専用端末を配布してルールを整備するなど、データが漏れない仕組みをつくるべきです」

今年1月に改訂された「教育情報セキュリティポリシーに関するガイドライン」は次世代の校務DXを踏まえたものとなっており、文科省はクラウドサービスの利用を念頭においた学校ICT環境の整備を自治体に求めている。

しかし、2023年時点で学校教育独自の教育情報セキュリティポリシーを定めている割合は50％程度。教育委員会が自治体の情報セキュリティポリシーを準用している割合が35％、15％は準用もせず情報セキュリティポリシーを策定していない。文科省は、この状況を憂慮しており、教育DXに係るKPIの中で「クラウド対応の教育情報セキュリティポリシー策定済み自治体」を2025年に100％とすることを掲げている。

こうした背景もあり、教育現場の情報セキュリティ対策はますます重要になると、細谷氏は語る。

「今後、校務DXが推進される中、システムはオンプレミスからクラウドへ移行する流れとなり、インシデントの傾向もおそらく企業と似てくると思います。そのため、今企業が取り組んでいる対策が学校現場にも求められる可能性があり、自治体は情報セキュリティポリシーの策定と対策ツールの導入を、しっかりやらなければいけません。扱う情報の機密度の棚卸しをし、教員の働き方改革や授業でのICT活用を妨げないような対策を取る視点も重要になるでしょう」

・参考：デジタルアーツ「過去3年分の国内セキュリティインシデント集計」（2021～2023年）

（文：國貞文隆、注記のない写真：Luca/PIXTA）

東洋経済education × ICT編集部