教育情報セキュリティポリシーに関するガイドライン26

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.7.1. 情報システムの監視

「何も起こらない」ことが普通だという前提で、私たちは生活していますが、それは「何も起こらない」ように誰かがしていてくれている、ということですね。つい忘れてしまいそうになりますが。

では、何も起こらないようにする、ということについて「ネットワーク監視等により情報システムの稼働状況について常時監視を行うことが必要である。」とガイドラインは述べています。

更に「監視に必要な要素は、不正アクセスや不正利用の検知と記録（ログ等）である。」とあります。「記録については、証拠としての正確性を確保するために、サーバの時刻設定を正確に行う必要がある。」ともあります。

例えば、不正アクセス等の記録を取る際に、「いつだったかよくわからないけど」というわけにもいかないですね。監視には記録が必要です。何事も起こらなかった期間はいつからいつ、と正確に把握しておく必要があります。

1.7.2. 教育情報セキュリティポリシーの遵守状況の確認

また、ポリシーは策定して、そのままでは誰も守ろうとは思いませんね。そもそもセキュリティ対策は手順を増やし、面倒なことを増やすものです。そのため、守っていて評価される仕組みを作っておくと、守る方にもメリットがあります。

ガイドラインでは「教育情報セキュリティポリシーの遵守を確保するため、教育情報セキュリティポリシーの遵守状況等を確認する体制を整備するとともに、問題があった場合の対応について規定する。」とあります。もちろん、問題があった場合の対応は必ず決めておかなければならないものです。

例えば、教職員は「教育情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括教育情報セキュリティ責任者及び教育情報セキュリティ管理者に報告を行わなければならない。」ことを規定しておくことは必要です。

セキュリティ違反について、それを報告することは「告げ口」という心理が働きがちです。告げ口ではなく、軽微な違反の際にきちんと報告して、それを正しておくことはその後の重大なセキュリティ違反を防ぐ可能性が高くなります。

組織全体で、そのことをよく理解しておけるといいですね。

来週も参考資料の続き、運用について読んでいきます。ハイパーブレインの得意分野です。