海の向こうの“セキュリティ”

EU加盟国の初等中等教育におけるサイバーセキュリティ教育の事例紹介

 日本でもサイバーセキュリティに関する教育は、産官学の連携を含めて、さまざまな形で行われていますが、その改善に際しては海外の事例に参考となるところがあるかもしれません。

 欧州ネットワーク情報セキュリティ機関(The European Union Agency for Cybersecurity、以降ENISA)は、EU加盟国の初等中等教育(primary and secondary education)におけるサイバーセキュリティ教育の成熟度評価をまとめた報告書「Cybersecurity Education Maturity Assessment」を公開しました。ここで「初等(primary)」は日本の小学校、「中等(secondary)」は日本の中学校と高等学校に概ね相当するものと捉えてください。また、「サイバーセキュリティ教育」は、一般利用者として被害者にならないようにするための基礎的な教育から、セキュリティ専門家の育成につながるものまで、広範囲のものを指しています。

 この成熟度評価はEU加盟各国に対して「政府」「戦略」「運用」の3つの観点(dimension)で成熟度を評価したもので、その結果、成熟度レベルは平均して66%となり、5段階中の「レベル4(確立済:Establishment、上から2番目)」に相当することがわかりました。また、サイバーセキュリティ教育に関する国としてのアプローチの仕方は国ごとに大きな違いがあることも明らかになっています。

 なお、今回の調査にあたって、EU加盟27カ国のうちデータ収集に加わったのは15カ国、さらにそのうち「該当なし」の項目が1/3を超えていた2カ国が除外され、最終的に調査対象となったのは13カ国となっています。つまり、EU加盟国の半数に満たない数の調査となっているため、今回の調査結果がEU全体の実態を示すものではないことに注意が必要です。

 成熟度評価の具体的な方法については報告書本文を参照していただくとして、今回の報告書で最も興味深いのは、成熟度評価そのものではなく、上記で挙げた3つの観点「政府」「戦略」「運用」のそれぞれについて「優れた取り組み(good practice)」を紹介している点です。そこで今回はそれらの取り組みを紹介します。

 まず、3つの観点それぞれの着目点は以下のようになっています。

  1. 政府(Governmental)
    • 規制の枠組み(Regulatory framework)
    • 政策(Policies)
    • 支援(Support)
  2. 戦略(Strategic)
    • 教育戦略(Strategies)
    • 行動計画(Action plan)
    • 協力(Cooperation)
  3. 運用(Operational)
    • 教育の提供(Provision of education)
    • 教育の普及(Uptake of education)

 各観点での優れた取り組みは以下のようになっています。

1. 政府の優れた取り組み

(1)教育関係者がサイバーセキュリティのトピックを採用および教授するための指針となる国家政策またはガイドラインを策定する(アイルランド)

 アイルランド国家サイバーセキュリティセンター(National Cyber Security Centre of Ireland)は、「Quick Guide: Cyber Security for Schools」と題したガイドラインを作成している。このガイドは、特に初等学校、中等学校、専門学校がサイバー攻撃の犠牲者になる可能性を減らし、その影響を軽減するための主要な優先措置の実践を支援することを目的としている。

(2)サイバーセキュリティ教育を初等・中等学校のカリキュラムに明示的に含める(ルクセンブルク)

 中等学校のいくつかの分野ではサイバーセキュリティが必修となっている。デジタル科学(Digital Science)と呼ばれる新しいコースには6つのモジュールがあり、その1つが「The world wide web, its network and me」で、BEE SECUREと協力して開発されている。

 このモジュールでは、生徒はオンラインセーフティ(サイバーセキュリティを含む)に焦点を当てた2時間の必修の授業を受ける。この活動は主に意識付けのためのもので、生徒の採点は行われない。ルクセンブルクの中等学校では、さまざまな分野が設けられている。例えば、分野I(情報学:Informatics)では、生徒は2024-2025年度に導入されるサイバーセキュリティコース(認知科学と人間科学)を受講し、GDPRのトピックが扱われる(中等学校の最後から2番目の学年)。

 学校は3年生以上のクラスのためにBEE SECUREトレーニングセッションを予約することができる。

(3)教師を支援するため、生徒が習得すべきスキル/知識(学習パス)に関する明確な指針を提供する(フィンランド)

 教員を支援するための具体例としてフィンランド政府が作成した「デジタル能力のためのフレームワーク(Framework for Digital Competence)」があり、幼児教育および保育から始まる学習の道筋を説明している。

(4)明確なガバナンスを定義し、教師を支援する担当組織を指定する(スペイン)

 スペイン国家サイバーセキュリティ機関(Spanish National Cybersecurity Institute)は、スペインにおける未成年者のよりよいインターネット利用を推進する参照組織(reference entity)であり、EUのBIK(Better Internet for Kids)戦略の枠組みの中で活動している。この機関は「Internet Segura for Kids(Spanish Safer Internet Centre)」を運営し、InsafeやINHOPEネットワークに参加している。また、子供や若者によるインターネットやモバイル技術の安全且つよりよい利用を促進するためにさまざまなサービスを運営しており、そのサービスには、啓発センター、ヘルプライン、青少年参加イニシアティブ、ホットライン、セーファーインターネットデイの開催などがある。

2. 戦略の優れた取り組み

(1)国家、地域、自治体の協力を強化する(ベルギー)

 ベルギーのサイバーセキュリティ国家機関であるサイバーセキュリティセンター(Centre for Cybersecurity)の役割は教育を所管するさまざまな地域との調整である。国家調整センター(NCC-BE)の設立とともに、国内コミュニティ間の調整を改善するとの明確な役割が与えられた。NCC-BEは、今後も各地域および各地域政府との関係を構築するために、専門知識、リソース、支援および資金調達の機会(に関する情報)を提供し続ける予定である。国によって支援された戦略により、サイバーセキュリティ成熟度が向上するはずである。

(2)官民および業界間の協力関係を構築する(ルーマニア)

 ルーマニア銀行協会(Romanian Association of Banking)といった民間の関係者とルーマニア警察との協力により、子供たちがサイバーセキュリティの知識をテストできるプラットフォームが構築された。この協力関係は、国家サイバーセキュリティ総局(National Cyber Security Directorate)の設立を定めた法律に裏付けられており、さまざまな省庁や機関が異なるレベルで関与し、協力することが求められている。

(3)知識とスキルの共有を促進し、向上させる機会を創出する(デンマーク)

 デンマークでは、毎年サイバーセキュリティチャレンジが開催され、15〜25歳の10人の参加者が、欧州サイバーセキュリティチャレンジとサイバースキルプロジェクトに選ばれている。サイバースキルプロジェクトは、若者のサイバーセキュリティに関する知識と関心を高めることを目的としている。活動の多くは民間から資金提供を受けており(今後3年間で500万ユーロ)、若者のコミュニティの構築を支援している。活動の目的は、サイバーセキュリティの知識とスキルを高めることである。現在、このサイバースキルプロジェクトのDiscordサーバには約2,000人のメンバーが存在している。両プロジェクトの活動には、教師向けの高品質な教材の配布、全年齢および専門知識の全レベルを対象としたオンライントレーニングセッション(前の春のセッションでは2,000人のユーザーがトレーニングを受講)、地元のクラブや専門家を交えたイベントが含まれている。一部の学校では、教材が中等学校のコンピュータ科学のコースに統合されている。

(4)教師の研修と生徒のスキル向上を行う(イタリア)

 イタリアでは、(国内のほとんどの大学が協力している)国立サイバーセキュリティ研究所(Cybersecurity National Lab)が推進するCyberHighSchoolsプログラムにより、生徒と教師の両方が積極的に関与する中等学校のネットワークが構築されている。現在、500校以上がこのプログラムに参加している。

 これらの学校の教師は、現在2つのレベル(基礎と上級)のサイバーセキュリティ研修コースを受講することができる。このように、「教師の教育」を大学が支援し、これまでに約1,000人の教師が参加している。参加校の生徒には、教師による授業が提供されるほか、高校生向けのOliCyber競技会への参加が奨励されている。2023年のOliCyber競技会の選考プロセスには4000人以上の生徒が参加し、そのうち900人が合格、360人がトレーニングキャンプに参加する機会を得て、100人が決勝に進んだ。また、技術的な経験のない女子高校生向けに特化した競技会も開催され、この分野でのジェンダーギャップ解消を目指している。

3. 運用の優れた取り組み

(1)「トレーナーのトレーニング」のアプローチを適用し、学校教師を訓練する(アイルランド)

 アイルランドでは、「教師の教育」アプローチに従って、教師へのガイダンスやトレーニングの提供に関するベストプラクティスが特定されている。さらに、コースは教師の承認を得る必要があるため、教師がコースの開発に関与する。教師をコースの開発に関与させることで、教師の賛同を確実に得ることができる。

(2)さまざまな形式のコースを提供することでサイバーセキュリティコースのアクセス可能性を確保する(ベルギー)

 ベルギーでは、生徒にサイバーセキュリティの学習目標を達成させるためのトレーニングとしてさまざまな選択肢が用意されている。

  • 従来の教室での講師主導の教育では、公式の教育目標を組み込んだ、教育出版社によって作成された関連eラーニングコンテンツを含む書籍が使用される。そしてサイバーセキュリティは、多くの学校がカリキュラムに導入しているICTコースにブレンド型学習(blended learning)を通じて組み込まれることが一般的である
  • 地域や国のイニシアティブは若い生徒を対象としたサイバーセキュリティの教育コンテンツを提供している。これには、デジタル学習プラットフォームと組み合わせた何らかの形のゲーミフィケーションが含まれることが多い。例えば、欧州委員会が共同出資したEDUbox Cybersecurityや国際的なPixプラットフォームがある

(3)デジタルスキルの評価(フランス)

 フランス教育省は、Pixプラットフォームを使って国民のデジタルスキルを評価している。このプラットフォームは、ANSSIやCybermalveillance.gouv.frと共同で構築された。プラットフォームは5つの領域(4番目は「保護とセキュリティ」)にもとづいて生徒のスキルを評価する。このテストはEUのデジタルスキル評価ツールにもとづいており、フランスの生徒のデジタルスキルレベルを把握し、彼らのサイバーセキュリティ教育の経験を適応させるのに役立つ。

 報告書では他にも事例として、「政府」ではフランス、「戦略」ではチェコとルクセンブルク、「運用」ではアイルランドが別途詳細に紹介されています。

 今回紹介した「優れた取り組み」の内容は概要に過ぎず、また、そもそも「サイバーセキュリティ教育」の範囲があまりに幅広いため、日本のサイバーセキュリティ教育の改善を検討する上で実際に参考になるかどうかをこれだけで判断するのは難しいかもしれません。それでも、これらが何らかのヒントとなり、より詳細な情報を調べるきっかけになることを期待しています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。