教育情報セキュリティポリシーに関するガイドライン23

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.6.4. 不正プログラム対策

不正プログラム対策については、「それはそうするのが当然だ」の事項が特に多いように思います。ただ、当然だからといって蔑ろにしてはいけませんし、明記しておかなければ人間やり忘れます。

ガイドラインには

不正プログラム対策ソフトウェアを導入するとともに、パターンファイルの更新、ソフトウェアのパッチの適用等を確実に実施することが基本

とあります。ここだけ読んで「わかっているから次」の気持ちになりそうですが、その続きには

• 感染時の対応として取るべき手段を規定

とあります。

予防するのは当然ですが、感染してしまったらどうすればよいか、ということは事前に決めておかないと、渦中でいきなり決めるのは難しいですね。そこを中心に見ていきましょう。

ガイドラインでは、特に教職員、現場でパソコンを使って仕事をしている人向けの規定が掲載されています。

• （ア） パソコン等の端末の場合
  　LANケーブルの即時取り外しを行わなければならない。

• （イ） モバイル端末の場合
  　直ちに利用を中止し、通信を行わない設定への変更を行わなければならない。

これは、発生した時どうしなければならないか、という直接的な記載ですね。

発生した後どのようにするか、ということについては1.2. 組織体制で「組織体制をきちんと整備しておくことが重要だ」と繰り返し書かれています。

発生した時に安心して報告できないと、隠微されてしまい大変なことになることがあります。どのようなルートでどう報告するのか、明らかにして、訓練も実施しておいた方がよい、というのは1.5人的セキュリティにて繰り返し書かれています。

以前に書いてあることのおさらいばかりだ、と思われるかもしれませんが、それでもこれが独立してあるのは、ウイルス被害にあって、システムがダウンした、ファイルが凍結された、というような事故が後を絶たないからです。

書いてあることは読むと「そんなのあたりまえ」のことばかりですが、改めて確認することはとても重要です。

来週は参考資料の続き、技術的セキュリティについて読んでいきます。