教育情報セキュリティポリシーに関するガイドライン20

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.6.1. コンピュータ及びネットワークの管理

技術的セキュリティは、注意書きとして

主にオンプレミスの場合を想定している。クラウドサービスを利用する場合には、「1.9 クラウドサービスの利用」を軸に確認・検討すること。また、学習者用端末に関しては「1.12 1 人 1 台端末におけるセキュリティ」を軸に確認・検討すること。

とあります。今後はクラウドサービスの技術的セキュリティがより重要になってくると思いますが、オンプレミスもまだまだ重要です。サーバーがクラウドになっても、校務用パソコン等は物理的にそこにあります。

なのでまず、「コンピュータ」や「ネットワーク」の管理を物理的に実施していく必要があります。この参考資料で、それが挙げられているというわけですね。

なお、どのようなことを管理しなければならないか、というと、例文に挙げられているのは21個です。大変たくさんあるので項目だけ羅列します。

• (１) 文書サーバ及び端末の設定等
• (２) バックアップの実施
• (３) 他団体との情報システムに関する情報等の交換
• (４) システム管理記録及び作業の確認
• (５) 情報システム仕様書等の管理
• (６) ログの取得等
• (７) 障害記録
• (８) ネットワークの接続制御、経路制御等
• (９) 外部の者が利用できるシステムの分離等
• (１０） 外部ネットワークとの接続制限等
• (１１）重要性が高い情報に対するインターネットを介した外部からのリスク、児童生徒による重要性が高い情報へのアクセスリスクへの対応
• (１２）複合機のセキュリティ管理
• (１３) 特定用途機器のセキュリティ管理
• (１４) 無線LAN及びネットワークの盗聴対策
• (１５) 電子メールのセキュリティ管理
• (１６) 電子メールの利用制限
• (１７) 電子署名・暗号化
• (１８) 無許可ソフトウェアの導入等の禁止
• (１９) 機器構成の変更の制限
• (２０) 無許可でのネットワーク接続の禁止
• (２１) 業務以外の目的でのウェブ閲覧の禁止

どの項目も大切なものであり、決めておかなければならないことですね。覚えておく必要はありませんが、「ここを確認すればわかる」という状態にしておく必要はあります。それぞれの自治体の実情にあわせて、これらについて決めておく、と思えばいいかと思います。

個人で考えて、セキュリティについて決めておくべきことを網羅をするというのは大変ですので、これが網羅のための資料になるとお考え下さい。

アクセス管理のところでは、「ネットワーク分離」の場合という注釈があります。

「校務系システム」と「校務外部接続系システム」及び「学習系システム」の間で通信する場合には、各シ
ステムにおけるアクセス権管理の徹底、ウイルスの感染のない無害化通信など、適切な措置を図ること。

これらの用語が当然のように使われている、ということは、それらがどういうことを表しているのか、ということを理解しておく必要もある、ということですね。特にご自分の自治体で、「校務外部接続系システム」に当てはまるものを確認する必要があるということです。

ガイドラインで想定されているのは

校務系を守るウイルス対策や、校務パソコンから出す外部メール、保護者メール、学校ホームページ更新のためのCMS等が想定されているということですね。

ご自分の自治体ではそのサービスはそこに置いていないよ、というのも含まれていると思います。そもそもネットワーク分離スタイルじゃないよ！　という自治体もおありでしょう。ガイドラインをうまく読み込んで活用していきましょう。

来週は参考資料の続き、技術的セキュリティについて読んでいきます。