教育情報セキュリティポリシーに関するガイドライン(令和6年1月)33

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

7. 運用

運用をきちんとしていこうとすればするほど専門的な知見が必要になります。セキュリティは、そのことだけ考えて仕事している専門家にとっても、日々新しいことが出てくる分野です。専門家に頼ることも大事ですし、いざインシデントが発生した時にどうするか決めておくこともとても大切です。

7.8. 専門家の支援体制等

どれだけ対策を実施していても、未知の不正プログラムは発生し、対策が打てないまま感染する可能性はあります。ガイドラインでは2つの項目を例示しています。

  • 専門家の支援体制
  • 他団体との情報システムに関する情報等の交換

専門家の支援体制を規定するなら、「実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。」という文言があります。しておかなければならない、という強い表現で例示されているということは、このインシデントが大変なことになる可能性がある、ということですね。

7.9.侵害時の対応等

「迅速かつ適切に被害の拡大防止、迅速な復旧等の対応を行うため、緊急時対応計画の策定」等について規定されているのがこの項目です。

例文は4つですが、解説が非常に多く述べられています。

  • 緊急時対応計画の策定
  • 緊急時対応計画に盛り込むべき内容
  • 業務継続計画との整合性確保
  • 緊急時対応計画の見直し

何かが起こってから「どうしよう」と会議を開くのは非効率的だということは誰でも思います。ですが、平常時に「緊急時対応計画を作ろう」という業務は、「今平気なんだから大丈夫でしょう」と後回しにされがちです。このように規定されていると、作らなくてはいけませんから作る、という形になるので、ガイドラインはどんどん厚くなります。

セキュリティインシデントで、緊急時の対応計画には以下の4点が盛り込まれている必要がある、とあります。

  • 関係者の連絡先
  • 発生した事案に係る報告すべき事項
  • 発生した事案への対応措置
  • 再発防止措置の策定

関係者が異動や退職等で変更になった場合、都度書き換える必要があります。また、「再発防止策の策定」までを規定にしておくことで、インシデントが発生し、大変な思いをして対応した。ああよかった、で終わることを防いでいます。次回同じことが起きてはならないのがセキュリティインシデントです。繰り返し同じようなインシデントが発生する組織に対しての信用度が下がっていくのは想像に難くないでしょう。

また、見直しも盛り込んでおかなければ、「いつかやろう」と思っていても「もう担当も終わるし」という風に思うのが人間です。少なくとも定期的な見直しが決まっていれば、その時に見直すので内容が古く、対策が遅れる、ということは避けられます。

やらなければならないことがどんどん増える、という印象があるかもしれませんが、やらなければ大変なことになるというものばかりです。そこまでしなくても大丈夫な自治体はたくさんある、と思われるかもしれません。が、それは運がいいだけです。交通事故に遭う確率はそう高くありませんが、だからといって、交通安全教育を実施しない、ということを判断するでしょうか。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。