教育情報セキュリティポリシーに関するガイドライン21

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.6.2. アクセス制御

ガイドラインでは、「アクセス制御を業務内容、権限ごとに明確に規定しておく必要がある。」と述べています。また、「不用意なアクセス権限付与による不正アクセスを防ぐために、アクセス権限の管理は統括教育情報セキュリティ責任者及び教育情報システム管理者に集約することが重要」とも述べられています。

まったくその通りなのですが、集約する場合、その人の決裁がなければ何も動かない状態になりますね。そのため、あとからあまり変更することがないように最初の設計時によく話し合っておくことも重要です。

規定としては

• 利用者登録や特権管理等を用いた情報システムへのアクセス制御
• ログイン手順、接続時間の制限等不正なアクセスを防止する手段

が必要だと述べられています。これらをガイドラインでは6項目あげて規定する例文を記載しています。

• アクセス制御等
• 外部からのアクセス等の制限
• 自動識別の設定
• ログイン時の表示等
• パスワードに関する情報の管理
• 特権による接続時間の制限

３の自動識別の設定、は、推奨事項として挙げられています。やれれば素晴らしいよ、という位置づけだと考えられます。どのようなことかというと、「ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定」とあります。

未知の機器がネットワークに接続されることを自動で防ぐ、ということですね。安全性は高まりますが、費用がかかること、故障して修理に出した端末の再接続依頼や、パソコンの更新があった場合の再登録など、様々な課題もあります。

ご自分の自治体で検討して、必要なものを確認できるといいですね。この際はおひとりで検討するととても大変なので、どの内容についても首長部局の情報システム部門や、現場の教職員と一緒に考える時間が必要です。

また、パスワードに関しては「教職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。」とあります。

今までの文化と違うので、こういう方法に切り替えた直後は「変更後のパスワードがわからない」という事態がよく発生します。行政職の皆様は、パスワード発行後の注意書きや啓発が必要である、ということをご承知いただいていると、対応が楽になるかと思います。

来週は参考資料の続き、技術的セキュリティについて読んでいきます。