情報セキュリティのための組織体制

前回は、情報セキュリティによって「何を」守るか、情報資産の分類について簡単にご説明させて頂きました。今回は、情報資産を守るための組織体制について、ご説明させて頂きます。

情報を分類することが出来たら、次に情報を正しく管理し、守ることができるようにしなければいけません。管理者が不在であったり、管理体制があいまいであったりすると、情報の漏洩、紛失等が生じる可能性がある他、セキュリティインシデントが発生した場合の対応が遅れるためです。

情報を正しく管理するためには、組織体制の整備が必要不可欠です。改定情報セキュリティポリシーでは、下図のように一元的に情報セキュリティ対策をする組織が例示されています。

ここで、少しだけ用語の解説をさせていただきます。

CISO（Chief Information Security Officer）：教育情報セキュリティの最高責任者 ^＊1

CSIRT (Computer Security Incident Response Team)：一般的に情報システムに対するサイバー攻撃等の情報セキュリティインシデントが発生した際に、発生した情報セキュリティインシデントを正確に把握・分析し、被害拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能とするための機能を有する体制はCSIRT と呼ばれている。^＊2改定情報セキュリティポリシーでは、情報セキュリティに関する統一的な窓口として「庁内のCSIRT」の設置が求められています。

図の組織図では、最高情報セキュリティ責任者（CISO）を頂点とした管理体制となっています。CISOは副市長が務めることが想定されており、CISOは必要に応じて情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置くことが推奨されています^＊3。

その下で首長部局の情報政策担当部局と教育委員会が連携しつつ、教育委員会が情報セキュリティ面とシステム面の2軸から情報セキュリティ全般を管理する立場として、管下の学校を含めて情報セキュリティの組織体制を整備します。^＊4

また、「学校で発生するセキュリティインシデントの重要度や影響範囲を勘案するためには教育委員会の関与が不可欠であり、また、学校からの相談窓口を設け情報共有を行うことが効果的と考えられることから、首長部局のCSIRTと連携することを前提として、教育委員会に学校における情報セキュリティインシデントに関するコミュニケーションの核となる体制を構築していくことが望まれる」とあります。^＊5

そのため、これからは行政、教育員会、学校がうまく連携をしながら情報管理体制を整えていくこととなります。なぜ行政がトップとなって、学校の情報管理体制を整えるのだろうか、という疑問をもつ先生もいらっしゃるかもしれません。
これに対しては、「教育委員会と学校だけでは、専門的な知見を有している職員の不在等により十分な情報セキュリティ体制を構築することが難しい場合が多いこと、新たな情報セキュリティインシデントの共有及び対策等は、部局ごとではなく、地方公共団体が一体となって対策を講ずることが望ましいこと等を踏まえると、CISOは地方公共団体で統一し、教育委員会と首長部局が連携しながら情報セキュリティの確保に取り組むことが重要と考えられます。」^*6と改定情報セキュリティポリシーに記されています。

学校のことを行政にまかせると、学校や校務のことがわかっていないんじゃない？と思われるかもしれません。そのためにも教育委員会が行政と学校の間に入る組織体制となっており、教育委員会が大きな権限を持っています。（例文では、本市の全ての教育ネットワークにおける開発、設定の変更、運用、見直し等を行う権利及び責任とあります。^＊7

また、行政は日常から住民のデータなどの機微データを扱っているため、機密情報を取り扱うノウハウがあることや、インシデント発生時の統一的な窓口を組織する必要があること^＊8、情報セキュリテイマニュアルの作成や研修計画の策定・実施に伴う学校側の手間の削減など、情報セキュリティを強固にするための手間をある程度軽減できる点なども行政と連携するメリットとして挙げられます。

学校現場では、校長先生が教育情報セキュリティ管理者となって学校の情報セキュリティ対策に関する権限及び責任を有することとなっており、インシデント発生時には、速やかに教育情報セキュリティ管理者、統括教育情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならないとされています。^*9そのため、これまで以上に現場の最高責任者である校長先生が、情報セキュリティに対する知識や意識を高める必要があります。その下で教育情報システム担当者が教育情報システム管理者（校長先生）の指示に従い、開発、設定の変更、運用、見直し等の作業を行うとされています^＊10。

改定情報セキュリティポリシーでは「教育情報システム担当者として教育情報システムの導入・管理・運用等にあたり専門的な知識・技術を有する者が必要になる点や、情報システム担当課の課室職員の業務負担軽減を目的として、外部委託先の運用員やICT支援員等の外部人材に業務を委託する方法もある」^*10とされているため、適切な人材が学校にいない場合には、業者を選定し、外部委託するということも考えられます。

---

組織としてセキュリティを維持するためには、職員一人一人に情報セキュリティの意識を持ってもらうことも必要です。少し前のデータになりますが、平成27年度には62名の教員が、個人情報が記載された電子データを紛失することにより、懲戒処分等を受けています。^*11

どんなに厳密なルールを設定しても、現場の教職員が守れるルールでなければ、設定する意味がありませんね。そのため、教育情報セキュリティポリシーは、一度定めたらそれでずっと運用し続けることができるわけではなく、技術や脅威の変化による見直しや、実際に起こったインシデントに基づく評価・見直し、業務の実態に合わない部分の改善・可視化を繰り返すことで、より現実に沿った、実効性のあるセキュリティの維持が可能となります。

以下は、組織としての情報セキュリティレベルを維持するために必要な行動の例となります。この例からも、情報セキュリティの維持には、行政、教育委員会、学校の連携が必要であることがわかります。

今後は、行政と教育委員会、学校が協力して情報セキュリティに取り組んでいくことになります。

GIGAスクール構想の実現に当たって、情報セキュリティ対策の徹底は必要不可欠な課題です。学校関係者一人一人の知識・対応が問われることになります。
そのため、全ての職員が情報セキュリティポリシーに触れ、どのように情報を扱うことが適切なのか、また万が一インシデントが発生した時にはまずどこへ連絡し、どのような対応を行うのかを把握しておくことが非常に大切です。

インシデント発生時の報告先を明確化し、専門的な知識を持った人間が状況を把握し、対応することによって、インシデント発生時には極めて速やかに、かつ適切な対応を取ることができます。

そのためにも、情報セキュリティポリシーにおいて、誰がどの権限と責任を持っているのかを把握できるよう一覧表で整理しておくことが推奨されています。^*12いざという時のために、緊急連絡先が一目見てわかる状態にしてあると、万が一のことが起こったときの対処が早まります。

ここまでお読みくださいまして、ありがとうございました。今回は、学校で取り扱う情報資産の分類や、情報セキュリティに取り組むための組織について簡単にご説明させていただきました。次回は、何から情報資産を守るかについて、より詳しくご説明をさせて頂きたく思います。

<参考文献>

*１「教育情報セキュリティポリシーに関するガイドライン」（令和３年５月版）ハンドブック P15(最終閲覧日2021年７月６日)

*２教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P30(最終閲覧日2021年７月６日)

*３ 教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P24(最終閲覧日2021年７月６日)

*４ 教育情報セキュリティポリシーに関するガイドライン（令和３年５月版）ハンドブック P15(最終閲覧日2021年７月６日)

*５教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P30(最終閲覧日2021年７月６日)

*６教育情報セキュリティポリシーに関するガイドライン（令和３年５月版）ハンドブック P15(最終閲覧日2021年７月６日)

*７教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P24(最終閲覧日2021年７月６日)

*８ 教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P26(最終閲覧日2021年７月６日)

*９教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P25(最終閲覧日2021年７月６日)

*10 教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P29(最終閲覧日2021年７月６日)

*11教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P12(最終閲覧日2021年7月6日)

*12 教育情報セキュリティポリシーに関するガイドライン（令和３年５月） P27(最終閲覧日2021年7月6日)