監査を定期的に行うことでセキュリティも人も守ることができます

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
セキュリティは日進月歩ですので常に見直しも必要です。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

本日は「２.９評価・見直し」の部分をご説明したいと思います。

立派な情報セキュリティポリシーがあっても、「制定しました、以上。」では残念ながら守られることは期待できませんね。人間楽な方に流れていきがちですし、セキュリティはいわば「より面倒なことを行わなければならない」わけですから、監査が入らないとどうしても楽な方に行ってしまいがちです。
　特に学校現場の先生は大変忙しく、パソコンの起動時間すら惜しい、という状態が慢性化していますから「帰宅時パソコンの電源は落とさない。翌日スリープから起動したほうが早い」という心の声はよく聞こえます。もちろんそれがセキュリティとして問題であるため、思っていても実行に移さない先生がほとんどですが、定期的に監査を行って実態を調査することは必要です。

　また、その監査を実行する人は十分なセキュリティ知識を持っていること、被監査部門から独立していることも必要です。
公明正大な監査ができるよう特に被監査部門と利害関係のない人員を確保することは重要ですね。

組織内部の監査と同時に、外部業者に業務委託を行っている場合は、外部業者の監査も忘れてはいけません。
契約に従い適切に業務が遂行されているかどうかを定期的に監査すれば、よい緊張感を保ったまま業務を行うことができ、良好な関係維持が期待できます。
業務に慣れてくるとよい意味でも悪い意味でも「この手順を省略しよう」と考えることができるようになるからです。

　また、そのような大掛かりな監査と同時に自己点検を定期的に実施する規定を設けることもガイドラインは推奨しています。
自ら点検を行うことでセキュリティに関する理解も深まり、監査時に慌てることも少なくなります。
これらの監査、点検を繰り返し行い報告を蓄積することで、教育情報セキュリティポリシー及び関係規定等の見直しにも活かすことができます。

セキュリティは何度も申し上げている通り日進月歩です。見直しを行うための客観的な証拠として、監査報告や自己点検報告が有効です。
見直すこと自体を規定に入れておけば、「ポリシーが硬直化し、セキュリティではなくポリシーを守ることが目的となる」、というような事態も避けることができます。

　各章を取り上げてご説明してきましたが、それぞれ必要最小限のことしか書かれていない、ということがご理解いただけたかなと思います。
全体のボリュームで見ると圧倒されてしまいますが、細かく見ていくと本当に必要なことしか載っていません。少しずつ全体に目を通していただければと思います。

来週は、ガイドラインのご紹介の最後、例文のご説明をさせて頂きます。