システムの監視は誰のために必要なのでしょうか

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」
http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

本日は「２．7運用」の部分をご説明したいと思います。
ここで定義されている運用には

• ・システムの監視
• ・教育情報セキュリティポリシーの遵守状況の確認
• ・侵害時の対応等
• ・例外措置
• ・法令順守
• ・懲戒処分等

と現場の先生方にとっては「煙たい」と思うような内容も含まれているかもしれません。
　
何度も申し上げている通り、基本的に学校は性善説を前提に成り立っているため、「監視」という言葉だけ取り出して聞くと、「何も悪いことなどしないのになぜ監視をされなければならないのだ」という感情が沸いてくるのは仕方のないことだと思います。
そのため、この部分は特に行政職のお立場の場合は、丁寧に学校現場に説明する姿勢が重要だと思います。
　対外的には「監視」と言わざるを得ませんが、実質的には「記録をとっている」ということであり、そのことで先生方を守ることもできるわけです。

　例えばデータの漏洩が発生したとして、セキュリティポリシーを遵守した対応のログが残っている先生は真っ先に潔白を証明できるでしょう。
何かが起こったときに記録が機械的にきちんと取られてさえいれば、強力なツールとなってくれるわけです。

　もちろん「ログが取られているから変なことができない」というのは当然のことで、業務用のパソコンでする必要のない行為はする必要がないわけです。
　一昔前は「将棋ソフトで一日遊んでいた」自治体職員の処分というような話も新聞紙上でみかけましたが、最近はその区別は大分浸透してきたと思われます。
　それも、監視ソフトが存在することを多くの人がが知っているからです。

　また、「侵害時の対応」を記しておくことはとても大事です。
重大なインシデントが起こった際「誰にどのようにいつまでに報告する必要があるか」わからない場合、事態の把握は悪化の一途をたどりますね。
このような時にはまず誰に、ということを明記して、現場の先生がいざインシデントに遭遇した際にどう動いたらいいかわからないということでの時間の浪費は避けなければなりません。
「現場が動きやすいように現場で決める」は一見効率的ですが、そこまで手が回らない学校は確実に存在しますので、「ある程度枠組みは決めておいて現場で微調整できるようにする」が望ましい状況だと考えます。
　同時に、懲戒処分も事前に明らかになっていれば「職を失うのではないか」という不安からインシデントの報告を行わない、という事態も防げます。

　教育情報セキュリティポリシーは、「子供たちの情報を守る」と同時に、「現場の先生方をインシデントから守る」ものでもあるという側面を常に行政職の皆さんが意識されると、現場との意思疎通も非常にうまくいくのではと思います。

来週もガイドラインのご紹介をさせて頂きます。