情報セキュリティ
学校現場での情報セキュリティ対策とインシデント対応
学校のICT環境には、児童生徒の個人情報や学習データ、教職員の情報など、多くの機密情報が含まれています。ICT支援員は、これらの情報を守り、安全なICT環境を維持する重要な役割を担っています。
情報漏洩は、児童生徒・保護者・学校に重大な被害をもたらします。
- 個人情報の不正利用
- なりすまし被害
- 学校・自治体の信頼失墜
- 損害賠償請求
- 刑事罰(懲役・罰金)
📋 このページで学べること
- 情報セキュリティの基本原則(CIA)
- 個人情報保護法・著作権法の実践知識
- パスワード管理・アカウント管理
- ネットワークセキュリティ対策
- MDM・フィルタリング
- セキュリティインシデント対応
1. 情報セキュリティの基礎
1.1 情報セキュリティの3要素(CIA)
情報セキュリティは、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の3要素で構成されます。
| 要素 | 意味 | 学校での具体例 |
|---|---|---|
| Confidentiality (機密性) |
許可された人だけが情報にアクセスできる | ・児童生徒の成績は担任のみ閲覧可能 ・パスワードで保護されたファイル ・鍵付きキャビネットでの書類管理 |
| Integrity (完全性) |
情報が正確で改ざんされていない | ・成績データの不正変更を防ぐ ・バックアップの定期的な取得 ・変更履歴の記録 |
| Availability (可用性) |
必要な時に情報にアクセスできる | ・授業時にシステムが使える ・ネットワーク障害への備え ・冗長化(予備機の準備) |
1.2 セキュリティの脅威
外部からの脅威
- サイバー攻撃:
- 不正アクセス(ハッキング)
- マルウェア(ウイルス、ランサムウェア)
- フィッシング詐欺
- DDoS攻撃(サービス妨害)
- 物理的な脅威:
- 機器の盗難
- 不審者の侵入
- 災害(火災、水害、地震)
内部からの脅威
- 人的ミス:
- メール誤送信
- USBメモリの紛失
- パスワードの使い回し
- 不適切な情報公開
- 内部不正:
- 情報の持ち出し
- データの改ざん
- 権限の不正利用
情報漏洩の多くは「人的ミス」が原因とされています(IPA「情報セキュリティ10大脅威」、JNSA「情報セキュリティインシデント調査」等)。技術的対策だけでなく、教職員・ICT支援員の意識向上が最も重要です。
2. 個人情報保護
2.1 個人情報保護法の基礎
個人情報保護法とは
個人情報の保護に関する法律(個人情報保護法)は、個人情報の適切な取り扱いを定めた法律です。2022年4月に改正法が施行され、学校を含む全ての事業者に適用されます。
個人情報とは
「生存する個人に関する情報」で、特定の個人を識別できるもの
- ✅ 氏名
- ✅ 生年月日
- ✅ 住所・電話番号
- ✅ メールアドレス
- ✅ 顔写真・映像
- ✅ 学籍番号・出席番号
- ✅ 成績・評価
- ✅ 健康情報
- ✅ 家庭環境に関する情報
要配慮個人情報
特に慎重な取り扱いが必要な個人情報
- ✅ 人種・民族
- ✅ 信条(思想・宗教)
- ✅ 社会的身分
- ✅ 病歴・障害
- ✅ 犯罪歴・非行歴
- ✅ 犯罪被害
これらの情報は、本人の同意なく取得・利用してはいけません。
2.2 学校における個人情報の取り扱い
個人情報保護の5原則
- 利用目的の特定:何のために個人情報を使うのか明確にする
- 適正な取得:偽りなく、正当な方法で取得する
- 正確性の確保:最新の正確な情報を保つ
- 安全管理措置:漏洩・紛失を防ぐ対策をとる
- 第三者提供の制限:本人の同意なく他人に渡さない
ICT支援員が守るべきルール
- アクセス制限:
- 必要最小限の情報のみ閲覧
- 業務に関係ない情報は見ない
- 他の教員の権限で勝手にログインしない
- 持ち出し禁止:
- 個人情報を校外に持ち出さない
- 私物のUSBメモリ・PCに保存しない
- スマートフォンで撮影しない
- 廃棄の徹底:
- 不要になった書類はシュレッダーで裁断
- デジタルデータは完全消去
- ゴミ箱に捨てるだけはNG
- 守秘義務:
- 業務上知り得た情報を外部に漏らさない
- 家族や友人にも話さない
- SNSへの投稿禁止
個人情報が記載された名簿を印刷する際、必要部数のみ印刷し、使用後はシュレッダーで裁断する。
「後で使うかもしれない」と、個人情報入りの書類を机の引き出しに保管し続ける。
2.3 個人情報漏洩の事例と対策
よくある情報漏洩パターン
| 漏洩パターン | 具体例 | 対策 |
|---|---|---|
| メール誤送信 | 保護者への一斉メールで、全員のアドレスがTo/CCで見えてしまった | BCCを使用する 送信前に宛先を再確認 |
| USBメモリ紛失 | 児童名簿入りUSBを電車に置き忘れた | USBメモリは暗号化 個人情報の持ち出し禁止 |
| PCの盗難 | 職員室のPCが盗まれ、成績データが流出 | PC画面ロック(離席時) ハードディスク暗号化 |
| SNS投稿 | 授業風景の写真をSNSに投稿し、児童の顔が写っていた | 学校関連の写真は一切投稿しない |
| のぞき見 | 電車内でPCを開き、個人情報が他人に見られた | 公共の場でPC作業をしない 覗き見防止フィルター |
| 書類の廃棄ミス | 名簿をそのままゴミ箱に捨て、外部に流出 | シュレッダーで裁断 溶解処理 |
3. 著作権
3.1 著作権法の基礎
著作権とは
著作権法は、創作物(著作物)を保護し、著作者の権利を守る法律です。
著作物の例
- 文章(小説、論文、記事)
- 音楽(楽曲、歌詞)
- 美術(絵画、イラスト、写真)
- 映像(映画、動画、アニメ)
- プログラム(ソフトウェア)
著作権者の権利
- 複製権:コピーする権利
- 公衆送信権:インターネットで配信する権利
- 上映権・演奏権:公の場で上映・演奏する権利
- 翻案権:改変・翻訳する権利
これらの権利は著作権者が持っており、無断で使うと著作権侵害になります。
3.2 教育における著作権の例外(35条)
著作権法35条(教育の例外規定)
学校その他の教育機関では、一定の条件下で著作物を無許諾・無償で利用できます。
利用できる条件
- 授業の過程で使用する(教育目的)
- 必要と認められる限度(必要最小限)
- 著作権者の利益を不当に害さない
- 出所を明示する(引用元を示す)
35条で可能なこと
- ✅ 教科書や参考書のページをコピーして配布
- ✅ 新聞記事を授業で使用
- ✅ 動画を授業で上映
- ✅ オンライン授業での教材配信(SARTRAS補償金制度)
35条でも許されないこと
- ✗ ドリルやワークブックの全ページをコピー(著作権者の利益を害する)
- ✗ 市販のCDを学校サーバーにアップロード(必要限度を超える)
- ✗ 動画配信サービス(Netflix等)の画面を録画して配信
- ✗ 授業と関係ない娯楽目的の利用
2020年の法改正により、オンライン授業でも著作物を利用できるようになりましたが、SARTRAS(授業目的公衆送信補償金等管理協会)への補償金支払いが必要です(学校設置者が支払い)。
3.3 ICT支援員が注意すべき著作権
教材作成時の注意点
- 画像検索でヒットした画像:
- ✗ 無断で使用してはいけない
- ✅ 著作権フリー素材(いらすとや、Pixabay等)を使う
- ✅ Creative Commons(CC)ライセンスを確認
- YouTube動画:
- ✅ 授業で見せるのはOK(35条)
- ✗ ダウンロードして保存・配布はNG
- YouTubeの利用規約違反
- 著作権法違反の可能性もあり
- 授業で使う場合は、オンラインで直接再生しましょう
- 音楽・BGM:
- ✗ 市販CDを勝手に使えない
- ✅ 著作権フリー音楽(DOVA-SYNDROME、魔王魂等)を使う
- フォント:
- 商用フォントは使用許諾を確認
- Google Fontsなどフリーフォントを活用
引用のルール
著作物を「引用」として使う場合は、以下の条件を満たせば無許諾で利用できます。
- 引用の必然性:引用する理由がある
- 主従関係:自分の文章が「主」、引用が「従」
- 明瞭区別性:引用部分を「」やカギカッコで明示
- 出所明示:著者名、書籍名、URLなどを記載
- 改変禁止:原文のまま引用(要約はNG)
「文部科学省(2023)『教育の情報化に関する手引』によると、『ICT支援員は、学校におけるICTを活用した授業等に関して、教員をサポートする』とされています。(出典:https://...)」
4. パスワード・アカウント管理
4.1 強固なパスワード
パスワードの条件
- 12文字以上(推奨は15文字以上)
- 英大文字・小文字・数字・記号を組み合わせる
- 辞書に載っている単語を避ける
- 個人情報を含めない(誕生日、電話番号等)
- 推測されやすいパスワードは避ける:
- ✗ password、123456、qwerty
- ✗ 学校名、自分の名前
強いパスワードの例
- ✅
Ky0-iK!9Tu&Moz2#Rp(ランダム文字列) - ✅
W@t@sh1-wa-ICT-S13n-2025!(フレーズ型)
弱いパスワードの例
- ✗
password - ✗
12345678 - ✗
tanaka2000(名前+誕生年)
パスワード生成ツールやパスワードマネージャー(1Password、Bitwarden等)を活用しましょう。
4.2 パスワード管理のルール
- 使い回し厳禁:
- サービスごとに異なるパスワードを設定
- 1つ漏れたら全部危険になる
- 適切なタイミングでの変更:
- 漏洩の疑いがある場合は即座に変更
- アカウント侵害の通知を受けた場合
- 第三者にパスワードを知られた可能性がある場合
- ※定期的な変更(3~6ヶ月ごと)は、現在のセキュリティベストプラクティスでは推奨されていません(NIST SP 800-63B)。強固なパスワードと多要素認証の併用が重要です
- 他人と共有しない:
- 教員にも教えない(共有アカウントは別管理)
- 電話・メールでパスワードを聞かれたら詐欺を疑う
- メモの保管に注意:
- PCモニターに付箋で貼らない
- 紙に書く場合は鍵付きキャビネットに保管
- パスワードマネージャーで管理推奨
全てのアカウントで「tanaka1234」を使い回し、PCのモニターに付箋でパスワードを貼っている。
4.3 多要素認証(MFA)
多要素認証とは
パスワード(知識要素)に加えて、別の認証要素を組み合わせることで、セキュリティを大幅に強化します。
認証の3要素
- 知識要素:パスワード、PIN
- 所持要素:スマートフォン、ICカード、セキュリティキー
- 生体要素:指紋、顔認証、虹彩認証
多要素認証の例
- パスワード + SMS認証コード
- パスワード + 認証アプリ(Google Authenticator、Microsoft Authenticator)
- パスワード + 指紋認証
Google Workspace、Microsoft 365などの学校アカウントでは、多要素認証を必ず有効化しましょう。
4.4 アカウント管理
児童生徒アカウントの管理
- 初期パスワードの変更:
- 初回ログイン時に必ず変更させる
- 「123456」などの簡単なパスワードは禁止
- パスワードの記録:
- 児童生徒が忘れた場合に備え、学校で記録を保管
- 紙の場合は鍵付きキャビネット
- デジタルの場合はパスワード保護
- 卒業生のアカウント削除:
- 卒業後は速やかに削除
- 不正利用を防ぐ
教職員アカウントの管理
- 権限の最小化:
- 必要な権限のみ付与
- 管理者権限は最小限の人数に
- 異動・退職時の処理:
- 異動日・退職日にアカウント停止
- データの引き継ぎを完了してから削除
- 共有アカウントの禁止:
- 個人ごとにアカウントを発行
- 「職員室PC」などの共有アカウントはリスク大
5. ネットワークセキュリティ
5.1 ファイアウォール
ファイアウォールとは
外部ネットワークと内部ネットワークの間に設置し、不正アクセスを防ぐ「壁」の役割を果たします。
ファイアウォールの機能
- 許可された通信のみ通過させる(ホワイトリスト方式)
- 危険な通信をブロック(ブラックリスト方式)
- 通信ログの記録
ICT支援員の役割
- ファイアウォールの設定変更は専門業者に依頼
- 教員から「このサイトにアクセスできない」と言われたら、ファイアウォールでブロックされている可能性を確認
- 不要なポート開放はしない(セキュリティリスク)
5.2 ウイルス対策
マルウェアの種類
| 種類 | 説明 | 被害例 |
|---|---|---|
| ウイルス | 自己増殖し、ファイルやシステムを破壊 | データ消失、システムダウン |
| ランサムウェア | ファイルを暗号化し、解除に身代金を要求 | 学校データが全て使用不可に |
| トロイの木馬 | 正常なソフトを装って侵入し、情報を盗む | パスワード流出、遠隔操作 |
| スパイウェア | ユーザーの行動を監視し、情報を外部送信 | 個人情報漏洩 |
| ワーム | ネットワーク経由で自動拡散 | 校内ネットワーク全体に感染 |
ウイルス対策の基本
- ウイルス対策ソフトの導入:
- 全PCに必須
- 定義ファイルの自動更新
- リアルタイムスキャン有効化
- OSやソフトウェアの更新:
- Windows Update、macOS更新を定期実行
- セキュリティパッチの適用
- 怪しいファイル・リンクを開かない:
- 不審なメールの添付ファイルは開かない
- 身に覚えのないUSBメモリは挿さない
- 定期的なフルスキャン:
- 週1回程度、全ファイルをスキャン
- 夜間や休日に自動実行設定
ランサムウェアに感染したら、絶対に身代金を払わないでください。払っても復旧できない場合が多く、さらなる攻撃の標的になります。すぐに専門業者と警察に相談しましょう。
5.3 フィッシング詐欺対策
フィッシング詐欺とは
偽のメールやウェブサイトで、パスワードやクレジットカード情報を盗む詐欺です。
フィッシングメールの特徴
- ✗ 「アカウントが停止されます」など緊急性を煽る
- ✗ 「パスワードを入力してください」とリンクを送ってくる
- ✗ 送信元アドレスが公式と微妙に違う(@g00gle.com等)
- ✗ 日本語が不自然
- ✗ 添付ファイルがある
対策
- ✅ 不審なメールのリンクはクリックしない
- ✅ 公式サイトに直接アクセスして確認
- ✅ URLをよく確認(https://、ドメイン名)
- ✅ 多要素認証を有効化(万が一パスワードが漏れても安全)
「Googleからパスワードリセットのメールが来たけど、自分は申請していない」→メールは無視し、直接Googleのサイトにアクセスして確認する。
5.4 無線LANのセキュリティ
Wi-Fiの暗号化方式
| 方式 | セキュリティ | 推奨度 |
|---|---|---|
| WEP | ✗ 脆弱(数分で解読可能) | 使用禁止 |
| WPA | △ やや脆弱 | 非推奨 |
| WPA2 | ○ 標準的 | 可(最低限) |
| WPA3 | ◎ 最も強固 | 強く推奨 |
学校Wi-Fiの管理
- SSID(ネットワーク名)の設定:
- 学校名を直接入れない(「○○小学校」→「SchoolNet01」等)
- SSIDステルス機能は効果薄(完全には隠せない)
- パスワードの管理:
- 強固なパスワード設定
- 定期的に変更(年1回程度)
- 教職員用・児童生徒用でネットワークを分離
- MACアドレスフィルタリング:
- 登録された機器のみ接続許可
- ただし、MACアドレス偽装は可能なので過信しない
- ゲストWi-Fiの分離:
- 来客用のWi-Fiは校内ネットワークから隔離
6. MDM・フィルタリング
6.1 MDM(Mobile Device Management)
MDMとは
タブレットやスマートフォンなどのモバイル端末を一元管理するシステムです。
MDMでできること
- アプリの配信・削除:
- 全端末に一斉にアプリをインストール
- 不適切なアプリを削除
- 設定の統一管理:
- Wi-Fi設定、メール設定を一括配信
- 壁紙、ホーム画面のカスタマイズ
- 機能制限:
- カメラ、スクリーンショット、アプリストアを無効化
- 特定のウェブサイトへのアクセス制限
- 位置情報の追跡:
- 紛失時に端末の位置を特定
- リモートロック・ワイプ:
- 盗難時に遠隔でロック
- データを遠隔で消去
主なMDM製品
- Google Workspace(Chrome Education Upgrade):Chromebook管理
- Microsoft Intune:Windows、iOS、Android管理
- Apple School Manager + MDM:iPad管理
- KDDI Smart Mobile Safety Manager
- MobiConnect
- LANSCOPE
MDMの設定変更は、全端末に即座に反映されます。誤った設定をすると全端末が使えなくなる可能性があるため、必ずテスト端末で確認してから本番適用しましょう。
6.2 フィルタリング
フィルタリングとは
児童生徒が有害なウェブサイトにアクセスできないようにする仕組みです。
フィルタリングの方式
- ブラックリスト方式:
- 有害サイトのリストを用意し、該当するサイトをブロック
- 新しい有害サイトには対応が遅れる
- ホワイトリスト方式:
- 許可されたサイトのみアクセス可能
- 非常に厳格だが、教育活動の制約になる場合も
- カテゴリ方式:
- 「アダルト」「ギャンブル」「暴力」などカテゴリ単位でブロック
- 最も一般的
フィルタリングのカテゴリ例
- ✗ アダルト・性的コンテンツ
- ✗ 暴力・残虐
- ✗ ギャンブル
- ✗ 違法薬物
- ✗ 出会い系サイト
- ✗ 自殺・自傷行為
- ✗ SNS(学校によって設定が異なる)
- ✗ ゲーム・娯楽(学校によって設定が異なる)
ICT支援員の役割
- 過剰フィルタリングの解除申請:
- 授業で使いたいサイトがブロックされている場合
- 教育的に問題ないと判断されれば、ホワイトリスト登録
- フィルタリングログの確認:
- 児童生徒がどのようなサイトにアクセスしようとしたか
- 不適切な利用があれば教員に報告
- 保護者への説明:
- 家庭でのフィルタリング設定方法の案内
- 保護者向け資料の作成
フィルタリングは「完璧ではない」ことを理解しましょう。技術的対策だけでなく、情報モラル教育が重要です。
7. セキュリティインシデント対応
7.1 インシデントとは
セキュリティインシデントとは、情報セキュリティに関する事件・事故のことです。
インシデントの例
- 個人情報の漏洩
- ウイルス感染
- 不正アクセス
- サービス停止(DDoS攻撃等)
- データの改ざん・削除
- 機器の紛失・盗難
7.2 インシデント発生時の対応フロー
🚨 緊急対応フロー
ステップ1:初動対応(直ちに)
- 被害の拡大を防ぐ:
- 感染したPCをネットワークから切断
- 該当アカウントのパスワード変更
- サービスの一時停止
- 証拠を保全する:
- ログファイルのバックアップ
- 画面のスクリーンショット
- 関連メールの保存
ステップ2:報告(速やかに)
- 上司・管理職に報告:
- いつ、どこで、何が、どのように発生したか
- 現在の状況と対応済みの内容
- 被害の範囲(推定)
- 関係者への連絡:
- 教育委員会
- システム管理者
- ベンダー・サポート
ステップ3:調査(詳細に)
- 原因の特定:
- いつから発生していたか
- どのような経路で侵入したか
- 被害の範囲はどこまでか
- 影響範囲の確定:
- 漏洩した情報の種類と件数
- 影響を受けた人数
ステップ4:復旧(確実に)
- 脆弱性の修正:
- セキュリティパッチの適用
- パスワードの変更
- ファイアウォール設定の見直し
- サービスの再開:
- 安全性を確認してから再開
- 段階的に復旧(いきなり全面再開しない)
ステップ5:再発防止(恒久対策)
- 対策の実施:
- セキュリティポリシーの見直し
- 技術的対策の強化
- 教職員への研修
- 公表・通知:
- 個人情報が漏洩した場合は、本人への通知義務
- 保護者・地域への説明
- 必要に応じて警察への届出
7.3 インシデント対応の心得
- 隠さない:
- 隠蔽は事態を悪化させる
- 早期発見・早期報告が被害を最小化
- 独断で判断しない:
- 専門家・上司の判断を仰ぐ
- 「たぶん大丈夫」は通用しない
- 記録を残す:
- 対応の経緯を時系列で記録
- 後の調査や訴訟で重要な証拠になる
- 冷静に対応:
- パニックにならない
- チェックリストに従って確実に対応
個人情報漏洩が発生した場合、個人情報保護委員会への報告義務があります(個人情報保護法第26条)。
報告が必要なケース(以下のいずれかに該当する場合)
- 1,000人を超える個人情報の漏洩・滅失・毀損
- 要配慮個人情報の漏洩・滅失・毀損(件数に関わらず)
- 不正アクセス等による個人情報の漏洩
- 財産的被害が発生する恐れのある個人情報の漏洩
報告・通知の義務
- 個人情報保護委員会への報告:速やかに(原則として知った日から3~5日以内)
- 本人への通知:影響を受ける本人に対しても通知が必要
※2022年4月施行の改正個人情報保護法による。詳細は個人情報保護委員会のガイドラインを参照してください。
8. 日常的なセキュリティチェックリスト
📋 毎日のチェック項目
- □ PCのログイン時、パスワードを正しく入力したか
- □ 離席時にPC画面をロックしたか(Windows: Win+L、Mac: Command+Control+Q)
- □ 個人情報を含む書類を机の上に放置していないか
- □ USBメモリやスマートフォンを置き忘れていないか
- □ 不審なメールを開いていないか
📋 毎週のチェック項目
- □ ウイルス対策ソフトの定義ファイルが最新か
- □ Windows Update / macOS更新を実行したか
- □ バックアップが正常に取れているか
- □ 不要なファイルを削除したか
📋 毎月のチェック項目
- □ アカウントの棚卸し(不要なアカウントを削除)
- □ フィルタリングログの確認
- □ セキュリティ研修の実施
- □ 機器の棚卸し(紛失・盗難がないか)
📋 年次のチェック項目
- □ 重要なアカウントのパスワード変更
- □ セキュリティポリシーの見直し
- □ 災害対策訓練(バックアップからの復旧テスト)
- □ 外部セキュリティ診断の実施
📚 まとめ
情報セキュリティは、技術だけでなく、人の意識が最も重要です。ICT支援員は、学校のICT環境を守る「セキュリティの番人」として、常に高い意識を持って業務に取り組みましょう。
セキュリティの5原則
- 疑う:「これは本当に安全か?」と常に疑問を持つ
- 守る:個人情報を厳重に管理する
- 更新する:ソフトウェアを最新に保つ
- 報告する:異常があればすぐに報告
- 学ぶ:最新の脅威と対策を学び続ける
「うちの学校は大丈夫」は禁物です。サイバー攻撃は日々進化しており、どの学校も標的になり得ます。日々の小さな注意の積み重ねが、児童生徒と学校を守ります。