教育情報セキュリティポリシーに関するガイドライン15

2022年9月5日 最終更新日時 : 2022年9月5日 大江 香織大江 香織

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.4. 物理的セキュリティ

見出しだけを見ると、「クラウド・バイ・デフォルト」では、と思ってしまいそうですが、オンプレミスのサーバーがある自治体もまだまだ多くありますし、そもそも職員が利用している校務系端末については物理的セキュリティが絶対に必要になりますね。

サーバーやその管理区域関連のことはオンプレミスが前提で、クラウドについては後の1.9クラウドサービスの利用 を確認するよう指示があります。クラウドはそちらで詳しく見ていくことにしましょう。

オンプレミスのサーバーについてはセキュリティ対策が昔からなされており、それもどんどん洗練されてきています。ガイドラインで例示されていることについては、「やっておいた方がいい」ことばかりです。予算の関係で全部は無理! という場合もできる限り実現しておいた方がよさそうです。ケーブルの配線や、管理区域の場所、データセンターへ置く場合の注意事項等が挙げられています。

皆様の自治体が、オンプレミスのサーバーを運用している場合、ぜひこの部分はよく読んでください。とても参考になります。

さて、「教職員等の利用する端末や電磁的記録媒体等の管理」については、ほぼ全国の自治体で対象になる内容かと思います。こちらを詳しく見ていきましょう。

「教職員等の利用するパソコン、モバイル端末及び電磁的記録媒体等の盗難及び情報漏えい防止策、持ち出し・持ち込み等に関する対策を規定する。」とあります。これらのリスクは常にありますから、対策を考えておく必要、決めておく必要があります。絶対大丈夫、などということは世の中にはありません。

校務用パソコンログイン時のIDパスワード認証はもちろん必要です。さらに「多要素認証の実施等、使用する目的に応じた適切な物理的措置を講じなければならない」とあります。

セキュリティと利便性のバランスをどこで取るか、ということは重要です。各自治体の個人情報保護条例やセキュリティポリシーとの兼ね合いも(違反していては絶対にいけません)ありますね。いくら校務用パソコンのローカルにはデータを置かない、というようなことを決めていたとしても、人間「それを絶対しません」はありません。

また、追記された部分もたくさんあります。これは昨年度版にはなかったものですので、新しく注意しなければならないことになります。

  • 特にアクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産へのアクセスについては、多要素認証を必須とすること。
  • 特にアクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産を取り扱う端末に対し、当該ファイルの暗号化等の措置により、不正アクセスや教員の不注意等による情報流出への対策を講じなければならない。
  • パソコンやモバイル端末におけるマルウェア感染の脅威に対し、ウイルス対策ソフトの導入等の対策を講じなければならない。
  • アクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産を取り扱う端末に対し、当該端末の状況および通信内容を監視し、異常、あるいは不審な挙動を検知する仕組み(ふるまい検知)等の活用を検討し、適切な対策を講じること。
  • インターネットへ接続をする場合、教職員等のパソコン、モバイル端末に対して不適切なウェブページの閲覧を防止する対策を講じなければならない。

「特にアクセス制御による対策」に対しての注意事項が多く追記されています。ファイルの暗号化やマルウェア対策も新たに記述がされました。

どこまで実施するかについては、行政職の皆様がハブになって首長部局と教育委員会の教員出身者を結び、お互いの意見を調整しながら決めていくのが一番スムーズだと思います。もうすでに多忙ではない、という人は存在しないのではと思うくらい、皆様多忙ですが、守るべきところはしっかりと守る、ということについての理解を進めていく必要がありますね。

ご一緒に読んでいくことで、理解を深めて、職員同士がより理解すると、セキュリティの強度も上がりますね。

来週は参考資料の続きについて読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
カテゴリー
HBI通信教育情報セキュリティポリシーに関するガイドライン
前の記事
第5回 eラーニング「ICT支援員養成講座」のご紹介
2022年9月1日
次の記事
教育情報セキュリティポリシーに関するガイドライン16
2022年9月12日