学校のICT環境のセキュリティ設定、本当にそれでいいんですか？

今回は学校のICT環境におけるセキュリティについて書きたいと思います。
例えばChromeブックを配っている自治体だとGoogle Workspace for Educationのアカウントを付与していると思いますが、Gメールが使えない、市外のアカウントとのファイル共有ができない、酷いところだとGoogleドライブが使えない、Googleマップにつなげない設定をしているところも耳にします。世界と繋がれるのに、市町村内（酷い場合は学校内）で閉じてしまっているのは何故なのでしょうか。セキュリティを強くした結果、端末は配ったけど殆ど使われていない（というか使えない）状態に危機感を感じたので話題にしたいと思います。

　令和4年3月、文部科学省が『教育情報セキュリティポリシーに関するガイドライン』の第3回改訂を行いました。GIGAスクール構想によって学校ICT環境が急速に整備されたことを踏まえ、端末活用における「セキュリティ対策」や、クラウド活用前提の「ネットワーク構成」等の課題に対応しています。

「教育情報セキュリティポリシーに関するガイドライン」公表について：文部科学省

最重要ポイントは「日常的なクラウドの活用を前提とした制限にすること」

　結論から述べると『教育情報セキュリティポリシーに関するガイドライン』での最重要ポイントは「日常的なクラウドの活用を前提とした制限にすること」です。これを実現するための前提条件としてガイドラインでは、地方公共団体と学校（地方公共団体が設置してはいるが）では情報セキュリティポリシーが違うことを明確に示しています。つまり地方公共団体と同じようにセキュリティを強くする必要はないということです。

教育情報セキュリティポリシーは、「基本方針」と「対策基準」の２つから構成されます。

教育情報セキュリティポリシー　＝　基本方針　＋　対策基準

基本方針・・・各地方公共団体の情報セキュリティ対策における基本的な考え方
対策基準・・・基本方針に基づき、全ての情報システムに共通の情報セキュリティ対策の基準

情報セキュリティポリシーは、情報セキュリティ対策の頂点に位置するもの であり、本来は地方公共団体全てを包括するポリシーでなければならない。 しかしながら、学校は、地方公務員法及び教育公務員特例法に定める「服務」に服さない 児童生徒が過ごす場所であり、かつ、当該児童生徒が、学習活動において日常的に学校にあ る情報システムにアクセスすることから、当該児童生徒も想定した情報セキュリティ対策 を講ずる必要があり、行政事務を対象とする「対策基準」とは異なる部分がある。 このため、学校の設置者である地方公共団体は、「基本方針」については、地方公共団体 が策定したものに従いつつ、「対策基準」については、学校を想定したものを策定すること が望ましい。地方公共団体及び教育委員会の長をはじめ、全ての職員、教員、事務職員及び 外部委託事業者は、学校関係の業務の遂行に当たっては、その「対策基準」を遵守する義務 を負う。また、児童生徒においても本ガイドラインに規定した対策について遵守するよう、 職員、教員、保護者等が適切に指導を行うこと。 なお、本ガイドラインの対象とする範囲は「教育情報セキュリティポリシー」を構成する 「対策基準」の部分であるが、『本文』の基本理念は、「実施手順」の策定においても踏まえ るべきものである。特に、令和4年3月改訂版の本ガイドラインにおいては、GIGAスクール構 想における児童生徒1人1台端末、1人1アカウント、それらを利用してクラウドへのアクセス を適切に実現するための明確な基準を示している。GIGAスクール構想及び各施策の実現を 促進する情報セキュリティポリシーを定めるため、各地方公共団体においては常に最新の ガイドラインを参照されたい。

教育情報セキュリティポリシーに関するガイドライン(令和4年3月より抜粋)

未来の社会を考える

教育情報セキュリティポリシーに関するガイドラインは１８１ページありますが「クラウド」という単語で検索すると４５６回ヒットします。それだけクラウド（クラウド・コンピューティング）を重要視しているということです。実際、現時点でクラウドは我々の生活に無くてはならないものになっています。そして今後もますますクラウド市場は伸びていくことが予想されます。

クラウド需要は「今後も長期間、果てしなく成長」

Quarterly Cloud Market Leaps to $42B – Amazon, Microsoft & Google Pocket 63% of Dollars Spent | Synergy Research Group

本当に大切なことは何か

GIGA端末に制限をかけまくって使わせないことの弊害はとてつもなく大きいと思います。使わないと情報リテラシーも向上しませんし、制限をかけることで本来できることをできないと思い込んだりする原因になります。制限をかけることは、「できること」だけでなく「できないこと」の把握を強いることになります。例えば、配布されたChromeブックからしか自分のGoogleアカウントへログインできない設定にしていることで、本来端末を選ばず「いつでも」「どこでも」アクセスできるクラウドを、配布された端末からしかアクセスできないと思い込んでしまいます。実際に学校の職員でもそう思っている人がいます。

地方公共団体（≒教育委員会）としては何かあったときの責任の所在など、立場的な事情もあるのだと思います。
しかし、人工知能（AI）を中心とするICTの進化やクラウドが当たり前になる未来を考えたときに、そんな未来の社会で生きていく今の子どもたちにできることは何なのかという視点に立ったうえで情報セキュリティポリシーを策定してもらえることを切に願っています。