教育情報セキュリティポリシーに関するガイドライン24

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.6.5. 不正アクセス対策

不正○○、と続くと「わかったわかった」という気持ちになりがちですが、技術的にお金をかけたり設定に気をかけたりすれば、かなり防げる部分です。例えばガイドラインには統括教育情報セキュリティ責任者の措置事項として以下5点があげられています。

• 使用されていないポート及びSSID（無線LANネットワーク名）を閉鎖しなければならない。
• 不要なサービスについて、機能を削除又は停止しなければならない。
• 不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、統括教育情報セキュリティ責任者及び教育情報システム管理者へ通報するよう、設定しなければならない。
• 重要なシステムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。【推奨事項】
• 統括教育情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適切な対応などを実施できる体制並びに連絡網を構築しなければならない。

１は当然の措置ですね。使用されていない無線LANのアクセスポイントを放置しておくことは重大なセキュリティ対策の抜け穴になってしまいます。また、４が推奨事項とされているのに対して、３は当然必要だ、というニュアンスで紹介されています。

ウェブページの改ざんということが、とても重大なセキュリティインシデントになるという認識だということですね。

学校のウェブページに関しては「学校にお任せします」というような状況の自治体もあります。先生方は業務に忙しく、ウェブページについて、正直なところ「手が回らない」状態であることも多いです。

ということはつまり、セキュリティに関する意識も希薄だということですね。ウェブページのアドミニ権限を乗っ取られると大変なことになる、ということについての認識が正直足りない場面も見受けられます。

そのため、行政職の皆様としては、「ウェブページの重要性」を再度ご認識いただき、それが学校で実際に運用されている先生と共有できる方法を自治体の実情にあわせて考える必要がありますね。先生方の業務があまりに多忙という前提の下で、セキュリティに関しては「手を入れれば入れるほど強固にできる」こととなり、手数や手間を増やすことも多いのですが、ご理解いただく必要があります。

ガイドラインでは、他にも

• 攻撃の予告
• 記録の保存

　の対応の必要性や、

• 内部からの攻撃
• 教職員等による不正アクセス
• サービス不能攻撃
• 標的型攻撃

　これらの攻撃が考えられるから、対応策を考えておく、ということを述べています。

　担当者が「毎日チェックする（人力で）」という対応を取るのが妥当なのか、サービスを導入するのが妥当なのか、様々な観点から検討する必要がありますね。お金についてはどこもできる限りの出費を抑えなければなりませんからサービスを導入するお金に躊躇される気持ちもわかります。

　人力の場合は、担当が変更になれば確実な引継ぎが必要です。セキュリティに関することですから、引継ぎ漏れがありました、ミスがありました、では済まされませんね。

　どこも人手不足ですから、サービスを導入することをご検討いただくのも一手かと思います。

来週は参考資料の続き、技術的セキュリティについて読んでいきます。