2021年5月末、教育情報セキュリティポリシーに関するガイドラインの改訂版が
文科省から公表されました。
この記事では、②ハンドブックの「第4章 学校を対象とした情報セキュリティ対策」を深く掘り下げます。
- 教育委員会のご担当者さま(情報教育システム担当者)
- 校長先生(教育情報セキュリティ管理者)
- システム担当の先生(学校教育情報セキュリティ・システム担当)
- 学校のセキュリティに興味がある保護者の方
- その他、学校のセキュリティに興味があるすべての方
前回の記事はこちら
第4章 学校を対象とした情報セキュリティ対策
情報資産分類の考え方が変わってきた
「それぞれのシステムで適切に管理」から「情報資産分対に合わせて管理」と変わりました。
平成29年(初版)の時点では校務系システム・校務外部接続系システム・学習系システムという分類の中で、実質的には情報がどのシステムに乗っているかで管理方法を変えるという方式でした。
改訂版では所在に関わらず情報資産分類に合わせて管理するのが良いと明示されたことは、大きな変更点だと思います。
例えば、校務システムの情報は職員室で見なきゃいけないとか、
そういうことがなくなっていくと思います。
具体的な例を挙げると、出欠の情報は校務系システムの情報にあたります。
したがって、教室で閲覧NGで職員室の限られた端末でのみ操作する、と決まっている学校もあるかと思います。でも、指導に活かすなら出欠の情報は教室で見ることができたほうが便利な側面がありますよね。
そのような垣根が取り払われて、より情報を現実的に活用できるようになったといえるでしょう。
情報資産の取扱例のポイント
次に、具体的に情報資産の取扱例がどのように変わったかを見ていきましょう。
色々変わっていますが、クラウドは組織内部の扱いになった、ということが明示されたのは大きな変化です。
情報資産の持ち出しについて、いまままでは
平成29年10月版:情報資産の持ち出しとは、学校外に情報資産を持ち出すことを示す。
教育情報セキュリティポリシーに関するガイドラインより引用
令和元年12月版:情報資産の外への持ち出しとは、教育委員会・学校が構築・管理している環境の外に情報資産を持ち出すことを示す。
と書かれていて「学校外・環境の外ってどこ?」の解釈で意見が分かれていました。
たとえば、コロナ前はGoogleのようなクラウドサービスは「外」だからデータは保存できない(実質使えない)という自治体もありましたが、今回の改定で
「セキュリティ基準を満たし教育委員会や学校が採用している環境は外部送信にあたらない」
と線引きが明確になりました。
外部持ち出し制限について
図をみると、特に重要性分類ⅠとⅡの一部の情報は「持ち出し禁止」から
「業務遂行上必要な場合には情報セキュリティ管理者の判断で持ち出しを可」という表現に緩和しているように見えます。
重要性分類Ⅰの情報の例は入学者選抜問題の情報や教職員の人事情報など。
重要性分類Ⅱの情報の例は評定一覧表や健康診断票や情報システムのログインID/PWの管理台帳などです。
いずれも機微な情報だと思いますので
正しいセキュリティ対策と、それを運用をする責任が増したと言えるでしょう。
組織体制の確立
体制図は初版から変更がありません
学校だけではシステム面の整備や専門的な知見を確保するのが難しいので
地方公共団体が一体となって対策を講じることが望ましいと述べられています。
組織のセキュリティ
マニュアルを作ったり訓練や教育も大事だと述べられています。
各自に怪しいメールが届いて、管理者に報告がされる率を計測したり(標的型メール訓練)
情報漏えいなどの事件が起こったと仮定して、いざというとき誰がどう動いたらいいかシミュレーションしてみる(インシデントレスポンス訓練)みたいなことをやる会社も多いですね。
まとめ
- 情報資産分類について「載ってるシステムで管理」から「分類に合わせて管理」に考え方が変わってきた
- 取扱例の中でクラウドサービスは組織内部の扱いになった
- 全体的に緩和の流れだが、正しくセキュリティ対策・運用をする責任が増してきたとも言える
少しでもお役に立てれば嬉しいです。では今回はこのへんで。
次の記事はこちら
