教育情報セキュリティポリシーに関するガイドライン(令和6年1月)18

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

４.物理的セキュリティ

物理的セキュリティは、実際に「ある」とか「そのようにする」ということが必要なので、目に見えてお金が必要です。

また、その結果「何も起こらない」ことが最上ですので、つまり「何も起こってないのにこんなにお金を使う」という批判が向きがちですね。ですが、行政職の皆様は、この重要性を理解し、「今目の前の何十万円をケチったおかげで、何億円もの損害が出ました」という事態は避けたいわけです。

一方、「なんだかよくわからないけど言われるままにものすごい金額の契約をしたが、本当にこれ必要なのか……？」という事態も避けたいですね。

そのために、このガイドラインは発行されていますのでよくご確認ください。

４.２ 管理区域(情報システム室等)の管理

サーバールームへの入退室管理が必要なのか、という疑問をお客様からお聞きすることが少なくなってきました。が、一部に「そんな面倒なこと」と仰る方も残っています。

ですが、「何か起こった」時に、サーバーの近くに誰がいたのか、という情報はとても重要です。普段何も起こらないからと言って、その情報を記録していなければいざ何か起こった時に記録を参照することができません。

まず、「管理区域」を決めることが重要です。広大な範囲を管理しきれませんから、どこからどこまで、という範囲を決めるわけですね。
ガイドラインでは特に学校現場で「学校に専用のサーバ室が整備されていない場合が多いことが考えられることから、それぞれの学校の施設環境に応じた管理区域の管理を行う必要があるが、ネットワークの基幹機器及び重要な情報システムは、サーバラック、フロアスイッチBOX等に固定した上で施錠管理を実施するとともに、サーバラックを、立ち入りの許可がされていない不特定多数の者が出入りできない場所に設置する必要がある。」としています。

そのうえで、「外部からの訪問者が管理区域に入室する場合、地方公共団体職員及び教職員等が付き添うとともに、訪問者であることを明示したネームプレートを着用させるなど外見上訪問者であることが分かるようにしておくべきである。」とあります。

そんな大げさな！　と思われる方もいらっしゃるかもしれませんが、これは、お客様を守る行為だとお考え下さい。何か起こった時に潔白を証明するのが容易になります。

何か起こった時外部からの訪問者が一人でサーバールームにいました。この人は信用のある人だから絶対何もやってません。

というのは通用しないことはご理解いただけるでしょう。どんな人でも真っ先に疑われます。ルールを作って守る、というのは、何も起こさない人の身を守る手段の一つなのです。

そこで逆に「俺のことを信用していないのか！！」と言い出す人がいたら、リスクが大きくなります。権力を持っている人は上に行けば行くほどルールを守らなければなりませんので、自分特別ルールを作らせない、そういう人がいたら組織的に対応する、という組織を作っていく必要がありますね。

来週は第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。