教育情報セキュリティポリシーに関するガイドライン(令和6年1月)30

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

7. 運用

ここはたくさん加筆修正があります。運用時に考えておかなければならないこと、ということで、見落としが減りますから確認していきましょう。ガイドラインのページが増えて読むのが大変だ、ということと、見落としなくやっていくためにはどうしても内容が増加する、というのはトレードオフだと思います。

大変なのですが、ここで踏ん張って理解しておくと、リスクが減りますので、ご一緒に確認していきましょう。

7.1.情報システムの監視

ガイドラインでは「情報システムの稼働状況について常時監視を行うことが必要である」と述べられています。ここは忘れがちなのですが、何かインシデントが発生した、という時に「気づく方法」を事前に仕込んでおかないとダメだということですね。

障害が発生したことを、自分がそのシステムにアクセスするまで気づかなかった、だと初動が遅れます。

例文は5個あげられていますが、そのうち4つは「統括教育情報セキュリティ責任者及び教育情報システム管理者」がしなければならないことについて書かれています。

侵入検知システム(IDS)や侵入防御システム(IPS)などの対策、サーバの正確な時刻設定及びサーバ間の時刻同期ができる措置、重要性分類Ⅱ以上の情報資産を格納する校務系システム及び校務外部接続系システムを常時監視、重要性分類Ⅲ以上の情報資産を格納する学習系システムを常時監視

とあります。5個目が「内部からの攻撃監視」で、この部分が追記されています。外部からばかりではなく、内部からの攻撃にも備える必要が出てきたということですね。これは内部の人員が何かを行う、ということもありますが、外部から守りの薄い内部に侵入し、そこから攻撃を実施するということも想定しなければならないということです。

7.2. ドキュメントの管理

これも見落としがちなことです。言語化しておくことで、リスクについて理解できます。ガイドラインでは「情報セキュリティ対策の詳細を記載したドキュメント類は機密事項に相当するものであり、外部情報漏えいによって攻撃者の手に渡ることを絶対に別ける必要がある」とあります。

対策の詳細を記したドキュメントがないと、どのような対策を実施したのか分からないですし、先週まで見ていた技術的セキュリティについての対策は、それこそドキュメントに残しておかないと何をして何をしなかったのか、どんな設定値なのか分からなくなってしまいます。

そして、それが漏えいすると大変だ、ということを常に意識しておく必要があるということですね。

ただ、それらを何とかしようとすると、手間がかかる、ということになります。例文が4つ挙げられていますのでまず見てみましょう。

  • システム管理記録及び作業の確認
  • 情報システム仕様書等の管理
  • 障害記録の管理
  • 記録の保存

管理記録や作業の確認ということは、いつどこで何に対してどんな作業を実施したか、という記録を残すということです。これは、技術屋なら黙っていてもやってくれるだろう、と思われるかもしれません。が、大体技術屋が緊急で何か作業する、といった場合、「何でもいいから早くとりあえず復旧」ということが多いですよね。行政職の皆様が仮に隣で見守っていたら、「悠長に記録を取っていないで早く直してほしい」と思う心の声が漏れる場合もあるのではないでしょうか。

意識して規定しておかないと、記録は中途半端で終わりますし、仕様書の内容が変更されてもそのままになりますし、誤って記録が破棄されたりすることに繋がります。

7.3. 教職員等の ID 及びパスワードの管理

学校でのICTの立ち位置についての歴史を考えると、この問題は根深いものがあります。基本的に学校は性善説で動いており(そんな悪いことするやつはいないだろう)ICTは傍流で、なんとかシステムは仕事を増やす悪者、という認識が根強く残っています。GIGAスクール構想で先生方がタブレットを「使わざるを得ない」状況になった結果、少しは薄まってきたことを感じますが、なんとかシステムについては、全体設計等あまり考えられず、部分最適化を繰り返した結果、「システム毎のアカウント管理」が必要になってしまった自治体はたくさんあります。

ガイドラインでは、「利用者認証情報の多くは、知識認証(ID及びパスワード)であり、ID及びパスワードを秘匿管理することが不正アクセス抑止の要であることに留意されたい。」とあります。多要素認証が必要だということは、役所にいらっしゃる行政職の皆様も、よくご存じのことだと思います。「学校に生体認証あるいはその他の知識認証以外の認証を導入するとなると大変な金額になる」は何回でも聞いたことがあるお話です。そういう状態で、(知識認証しか準備しない環境で)「漏えいするな」と現場に頑張りを求めることは、今後減っていくことを願っています。テクノロジーは力の増幅器だということは、豊福先生https://x.com/stoyofuku がよく仰っていることですが、テクノロジーで労力を減らすことができるなら、先生方がくたびれずに子供の学びを考える時間を増やすことができるのならば、安いものではないですか? 「がんばればなんとかなるんだから予算なしでがんばれ」が多すぎることを、ご理解いただきたいと思います。

例文は2つ挙げられています。

  • 利用者 ID の取扱い
  • パスワードに関する情報の管理

IDについては、退職や異動が発生した場合どうするか規定すること、不要なIDがいつまでも残っていないかの点検等忘れがちで重要な内容が書かれています。

パスワードについては、「統括教育情報セキュリティ責任者又は教育情報システム管理者は」「厳重に管理」「パスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。」と書かれています。そんなことはとっくに実施しているよという自治体が多いでしょう。知識認証の対策をする、というのは非常に古典的なものになる、ということですね。

次回、その他の認証について読んでいきますが、IDパスワードだけの自治体は日本中にたくさんあり、そこでセキュリティを守るということはとても大変なことであるとご理解いただきたいところです。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。