文部科学省は2022年3月3日、「情報セキュリティポリシーに関するガイドライン」の改訂版を発表し、あわせてガイドラインの考え方を解説したハンドブックも公開した。今回の改訂では、アクセス制御による対策の詳細な技術的対策等について追記している。 「教育情報セキュリティポリシーに関するガイドライン」は、各教育委員会や学校が情報セキュリティポリシーの策定や見直しを行う際の参考となるよう、学校における情報セキュリティポリシーの考え方や内容を示すものとして2017年10月に文部科学省が策定した指針。セキュリティ対策は定期的に見直しを行うべきものであることから、2019年12月、2021年5月に順次改訂を実施している。 今回、GIGAスクール構想における1人1台端末整備や高速大容量の校内通信ネットワーク整備がおおむね整う等、急速な学校ICT環境整備の推進を踏まえ、1人1台端末を活用するために必要なセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成等の課題に対応するため、ガイドラインの改訂を実施。「情報セキュリティポリシーに関するガイドライン(令和4年3月)」としてWebサイト上に公開すると共に、ガイドラインの中核となる考え方を解説したハンドブックの改訂版も掲載した。 今回の改訂では、アクセス制御による対策の詳細な技術的対策の追記や、「ネットワーク分離による対策」「アクセス制御による対策」について明確に記述。たとえば、アクセス制御による対策を講じたシステム構成を実現するための校務用端末における詳細なセキュリティ対策として、「リスクベース認証」「ふるまい検知」「マルウェア対策」「暗号化」「SSOの有効性」等の記述を追記している。 ハンドブックでは、「校務用端末のセキュリティ対策」「BYOD(Bring Your Own Device)」についてのコラムを追記している他、巻末の用語集で「ふるまい検知」「マルウェア」「リスクベース認証」等について解説している。なお、対策方針や組織体制のあり方といった基本的な方針に変更はない。 文部科学省のWebサイトでは、ガイドライン、ハンドブック共に改訂版と従来版からの改訂箇所がわかる見え消し版の2種を掲載。用途によって使い分けてほしい。
