教育情報セキュリティポリシーに関するガイドライン18

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.5.3. 情報セキュリティインシデントの報告

どんなに注意深く生活をしていても、小さい隕石が落ちてきて頭に当たる確率は０ではないように、どうしてもインシデントは発生してしまいます。発生することを前提に、セキュリティ対策は立てられないといけないのですが、では、発生したらどのようにするか、ということもとても重要です。

ガイドラインでも「責任者に報告を速やかに行うことにより、被害の拡大を防ぎ、早期に回復を図れるようにしておく」とあります。

責任者に報告を速やかに行うためには以下の条件が必要だと思います。

• 誰が責任者で、どのルートで報告することが決まっているか組織全員に明らかになっていること
• 報告された者は例外なく「報告内容を理性的に受け止める」こと

上記対応は、組織変更や異動があった場合に、常に最新のものにする必要がありますね。そして、後者はとても大事だと思います。「どれだけ怒鳴られようが必要な情報を報告せよ」などという前時代的な価値観では、インシデントが隠微され気が付けば大変なことになっていた、ということが考えられます。

どんなに軽微に見えるインシデントでも、インシデントかどうかよくわからなくても、きちんと報告をする組織でなければ、取り返しのつかないことが発生してしまいます。

そのため、

• 学校内からの報告のルート
• 住民等外部からの報告があった場合のルート

について、十分に検討し、周知しておく必要があります。特に住民については、ガイドラインで推奨事項として「CISOは、教育情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。」と述べています。

この報告ルートは、意思決定ルートと整合性を取っておく必要があります。

報告された者は判断し、対応を指示する必要がありますが、そこで意思決定ルートと逆転現象が起こっていた場合、時間を使ってしまってインシデントが拡大する、などという事態は防がなければなりません。

その他、ガイドラインでは最後に提示されていますが、「情報セキュリティインシデント原因の究明・記録、再発防止等」も重要です。

大体の場合、原因究明は行われるのですが、「時系列記録」については、取ろう、と思って取っておかないと忘れてしまいがちです。何時何分に何がわかって、誰に報告し、どのような対応をしたのか、記録しておくことがインシデント発生時に非常に役に立ちます。ご自分の身を守るためだと思って、時系列記録を残す意識をお持ちいただけると、いざというときに役に立ちます。

来週は参考資料の続き、ID 及びパスワード等の管理について読んでいきます。