教育情報セキュリティポリシーに関するガイドライン27

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.7.3. 侵害時の対応等

どれだけ気を付けていても、世の中に「絶対何も起こらない」ということはありません。

いざ何かが起こった時に、どういう対応をしようか、と話しているようでは解決に時間がかかるばかりです。

ガイドラインにも「情報資産に対するセキュリティ侵害事案が発生した場合に、迅速かつ適切に被害の拡大防止、迅速な復旧等の対応を行うため、緊急時対応計画の策定」が必要だとあります。

緊急時対応計画の策定には、以下の内容を盛り込んでおく必要があります。

• 関係者の連絡先
• 発生した事案に係る報告すべき事項
• 発生した事案への対応措置
• 再発防止措置の策定

また、業務継続計画との整合性の確保は常に必要です。緊急時対応する内容と、それをもって業務を継続する内容に矛盾があっては困りますね。

また、緊急時対応計画の見直しも計画的に実施しなければなりません。1度策定したら10年変更しない、では新たな脅威に対応ができませんね。

なおガイドラインでは、上記１から4について詳しい内容が例示されています。

１の関係者として例示されているのは以下の通りです。たくさんいます。

・地方公共団体の長
・CISO
・統括教育情報セキュリティ責任者
・教育情報システム管理者
・情報セキュリティに関する統一的な窓口（庁内のCSIRT）
・情報セキュリティに関する統一的な窓口（教育委員会内のCSIRT）
・ネットワーク及び情報システムに係る外部委託事業者
・広報担当課
・都道府県の関係部局
・警察
・関係機関
・被害を受けるおそれのある個人及び法人

２の発生した事案に係る報告すべき事項については５点が例示されています。これを、組織内で統一しておけば何度もヒアリングしたりする手間が省けますね。報告する方も何を調べればよいかわかるので安心です。

インシデント発生時は報告者は「怒られるどうしよう……」ということを少なからず思っています。それで勇気を出して報告して「○○はどうなってる？」「え……」「今すぐ調べて報告せよ！！」とか言われると委縮して報告をする気になれなくなってしまいますね。

・事案の状況
・事案が発生した原因として、想定される行為
・確認した被害及び影響範囲（事案の種類、損害規模、復旧に要する額等）
・事案が情報セキュリティインシデントに該当するか否かの判断結果
・記録

一人でこれらを調べるのは大変ですから、それをどうやって調べて報告するか、というところも考えておく必要があります。

組織全体で、そのことをよく理解しておけるといいですね。

来週も参考資料の続き、運用について読んでいきます。ハイパーブレインの得意分野です。