教育情報セキュリティポリシーに関するガイドライン(令和6年1月)32

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

7. 運用

運用部分は「ちょっと頑張ればなんとかなるでしょう」と、人任せ、現場任せになることが非常に多いです。ちょっと頑張ればなんとかなるとしても、その「ちょっと」がどれだけでも積もっているのが学校現場です。行政職の皆様は、これ以上セキュリティに関して「ちょっと頑張れ」ということは避けていただいて、できる限りお金で解決できることは解決する方向を検討いただければと思います。

7.6. 特権を付与された ID の管理等

管理者権限のアカウントはすべての機能が利用できます。ですので、そのアカウント情報を知っている人が誰である、ということは明らかになっていないといけません。

ガイドラインでは、踏み込んだ内容が記載されています。

「利用期間に合わせて、その都度作成し、本人確認の上で払い出しを行うことが望ましい。」「統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDのログ監視を行わなければならない。【推奨事項】」という記載があります。これが、推奨されているレベルだということです。

以下は、セキュリティポリシーに書いておいた方がいい、という内容です。

  • 統括教育情報セキュリティ責任者及び教育情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
  • 統括教育情報セキュリティ責任者及び教育情報システム管理者の特権を代行する者は、統括教育情報セキュリティ責任者及び教育情報システム管理者が指名し、CISOが認めた者でなければならない。
  • CISOは、代行者を認めた場合、速やかに統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者及び教育情報システム管理者に通知しなければならない。
  • 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。
  • 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードについて、その利用期間に合わせて特権IDを作成・削除する、もしくは、入力回数制限を設ける等のセキュリティ機能を強化しなければならない。
  • 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。

特に、一番下は私にとって新鮮でした。「ID」を初期設定以外のものに変更しなければならない、ということは、多くの現場で使われている「administrator」以外のIDにせよということになるのではないかと思います。

7.7.教育情報セキュリティポリシーの遵守状況の確認・管理

遵守しているかどうか、定期的な確認がないと人間「誰も見てない」とどんどん手を抜いていくことが多いですね。ですので、監査という仕組みはとても大事です。ガイドライン(この部分)では監査という言葉では表現していませんが、確認をする、というのはあらさがしをしているのではなく、自分の身を守るために確認をしてもらっている、という風に考えることが大切です。

また、ここには「業務以外の目的でのWeb閲覧の禁止」項目があります。どうしてここに入ったのかな、と思って確認すると、ウイルス感染等の危険が高まるという一般的な注意事項と、「閲覧先サイトのサーバにドメイン名等の組織を特定できる情報がログとして残ることにより、外部から指摘を受けるようなことがあってはならない。」とあり、なるほどと思いました。セキュリティポリシー上に規定していれば、「あ、バレるんだ」と気づく先生もいらっしゃるでしょう。自分が調べ方を知らないからといって、他人が調べられないと思うのは大きな間違いです。学校のネットワークからアクセスするのに不適切なサイトには近寄らないのが一番です。これは、人間としての常識です。

不適切なサイトにアクセスしたい場合は自分で契約したネットワークからアクセスする、という基本的なことについてご理解いただく必要があります。

また、「教職員等が学校内にあるパソコンやモバイル端末を利用し、不正アクセスを発見した場合には、教育情報セキュリティ管理者に通知し、適切な措置を求めなければならない。」とあります。ちょっと日本語として意味が取りづらい文章ですが、教職員が不正アクセスするのと、教職員が不正アクセスの痕跡を発見した、現場を発見した、という2つの意味を含んでいると考えられます。

見つけたら黙っておくのが人情、ではなく、報告しないと共犯にされかねないのでお気を付けください。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。