教育情報セキュリティポリシーに関するガイドライン(令和6年1月)29

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

6.技術的セキュリティ

技術的セキュリティを語るうえで、不正プログラム対策、不正アクセス対策は外せません。そのためのセキュリティ情報の収集も重要です。ガイドラインではこれらをそれぞれ解説しています。

人間がたくさん存在すると、いろいろな考えの人が出てきます。善人ばかりではありません。(「善い」とされることが、時と場合によって変わるのですからそれは当然のことだと思います)

自分が想像もつかない方法で、セキュリティの穴を突かれた、知らなかった、気づかなかった、は通じない時代です。

どんなにコンピュータと無縁で生きてきたとしても、異動で教育委員会行政職に来られた方は、本当に大変だと思いますが、ご理解いただいて、ご一緒に確認していきましょう。

6.4. 不正プログラム対策

不正プログラム対策として、2項目挙げられています。

  • 統括教育情報セキュリティ責任者の措置事項
  • 教育情報システム管理者の措置事項

これらは、それぞれ「その立場の人」が何をしなければならないのか、について書かれています。そもそも不正プログラムを現場で防ぎましょう、というのはなかなか難しく、できる限りネットワークの上流で何とかしたいところです。

特に、統括教育情報セキュリティ責任者の注意書きが増えています。

追加されているのは以下の4点です。

  • Emotet(エモテット)
  • ランサムウェア
  • フィッシング
  • 詐欺サイト

いずれも猛威を振るうものばかりですね。対策をするのは大変ですし、対策したから防げるかというと、全部防ぐのは無理です。ですが、対策せずにいればもっと大変なことになりますから、ガイドラインを参考に対策をしていく必要があります。

6.5.不正アクセス対策

こちらも4項目挙げられていますが、前半1項目と後半3項目は少し毛色が違います。

  • 統括教育情報セキュリティ責任者の措置事項
  • 攻撃の予告
  • サービス不能攻撃
  • 標的型攻撃

統括教育情報セキュリティ責任者の措置事項、というのはこちらでも出てきます。注意をしなければならない立場であるということが繰り返し強調されています。

残る3つは、攻撃に対してどう対応するか、ということですね。自治体には「攻撃予告」が来ることがありますから、それに対応する方法を、その場で考えるのではなく事前に確認しておくということが必要です。

また、サービス不能攻撃の想定やそれが行われた場合、標的型攻撃の想定やそれが行われた場合など、事前に想定できる範囲で決めておく、ということが大切です。何かが起こってから考えるのではなく、起こる前に考え、起こってからはできる限り慌てずに済むようにする、という考え方です。

6.6. セキュリティ情報の収集

ここでは「セキュリティホールをはじめとするセキュリティ情報の収集、共有及び対策の実施について規定」するとあります。

  • セキュリティホールに関する情報の収集・共有及びソフトウェアの更新等
  • 不正プログラム等のセキュリティ情報の収集・周知
  • 情報セキュリティに関する情報の収集及び周知

規定しておかないと、「周知」をついうっかり忘れてしまう、というようなことも発生します。収集して、関係者がみんな理解して、現場に周知がされない(あるいは現場がわからないような状態で周知がされる)ということでは、せっかくの対策も残念なことになりますね。

今回はまとめて3つ確認しました。技術的に詳しい人、役所なら情報システムの人と一緒に確認するとより効果的な部分だと思います。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。