教育情報セキュリティポリシーに関するガイドライン54

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

【参考別表】 権限・責任等一覧表

どのような仕事をするときも、権限と責任は明確にしておかないといけません。「だいたいこんな感じ」「察して」「忖度して」「慮って」では仕事は一向に前に進みませんね。

ですが、どのような権限を誰に与えるか、ということについてはフィーリングで決定するわけにはいきません。根拠を持って実施しないと多くの人を納得させることはできません。

そこで、ガイドラインの最後には、権限・責任等一覧表が付随しています。迷ったら、この部分を確認するととても参考になるでしょう。

例えば、「情報資産の管理責任」は通常「教育情報セキュリ ティ管理者」ということはわかるでしょう。それでは「複製等された情報資産の管理責任」についてはどうですか。聞かれれば「教育情報セキュリティ管理者」ということはわかりますが、複製等された情報資産についても、考えておかなければならないということが読み取れますね。つまりそれを、教育情報セキュリティポリシーで定義しておく必要がある、ということも分かるわけです。

本文を読みながら、あれもこれも定義しなければならない、ということは学んできましたが、網羅して表になっていると、再度確認ができていいですね。「分類が不明な情報資産を入手した際の対応」等も、書かれていれば気を付けますが、書かれていなければ見落としてしまいそうです。

それが９ページにわたって掲載されています。全部見ていると大変ですが、ピンポイントで調べると、その上下に書かれている事柄も併せて確認できますので、辞書を引く感覚で確認されることをお勧めします。

また、参考として、用語集もついています。

クラウドサービスの定義・分類についての参考資料として、クラウドのサービスモデルと実装モデルについての定義が掲載されています。

サービスモデル

• SaaS
• PaaS
• IaaS

実装モデル

• パブリッククラウド
• プライベートクラウド
• コミュニティクラウド
• ハイブリッドクラウド

ガイドラインで上記の言葉が出てきたときは、こちらの参考資料を確認して、どういう意味で使われているのかというのを確認した方がよりスムーズです。

絶対PaaSというときはあまり問題がないのですが、これはPaaSなのかIaaSなのかどっちかな？　と迷うことがあるのであれば、それは迷う人が多いものなので、正しく言葉を使わないと解釈がまったく違った、なんてことも発生してしまいがちです。

文書を読んで、自分の仕事にあてはめる際に、「その言葉が持つ意味」というのを文書作成者と自分とでは共有できていない、という認識が大切です。大体こうだろうな、というのはなんとなく共有できますが、このような国が出している文書の言葉一つ一つはものすごく吟味され、意図が込められています。それを、しっかり確認していくことが大事だと思います。

長らくお付き合いいただいた教育情報セキュリティポリシーに関するガイドラインですが、改訂版が出る前に何とか終わらせることができました！　よかったです！！

来週からは教育振興基本計画について読んでいきます。