物理的セキュリティは広範囲です。チェック漏れがないようガイドラインを活用しましょう

2017年11月20日 最終更新日時 : 2022年2月25日 株式会社ハイパーブレイン株式会社ハイパーブレイン

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

物理的セキュリティイメージ

本日は「2.4物理的セキュリティ」の部分をご説明したいと思います。
物理的セキュリティは他の業種との共通のことも多く、具体的に説明もしやすいため多くのページが割かれています。
ただ、最も注意するべきことは「学校内にサーバーを設置する」状況が多くあるということです。他の業種と違う点はここですね。

37Pでは「学校内にサーバーを設置している場合」についての管理区域の管理についての例文が載っています。
実情に合わせた規定が必要ですが、必要最低限の重要な事項が挙げられています。

  • 「サーバーラックを、立ち入りを許可されていない不特定多数の者が出入りできる場所に設置してはならない」
  • 「教育情報システム管理者は、サーバーラックの施錠管理にあたり、管理簿の記載等による管理を行わなければならない」
  • 「教職員は、児童生徒が管理区域に入室する場合、必要に応じえ立ち入り区域を制限したうえで、児童生徒に付き添うものとする」

等については、それは実現するのに厳しいかもしれない、と思う行政職の方もいらっしゃるかもしれません。

 ですが、情報セキュリティは近年急激に意識を高める必要性が出ています。
学校は基本的に性善説で成り立っている世界ですし、高度な技術を持っている子供たちが多いわけでもありません。
ただ、「そんなこと常識に照らし合わせてやらないだろう」ということについての共通認識が、どんどんずれていることは感じられているのではないでしょうか。
「やってみたらできちゃった」結果、それが重大な結果を引き起こす確率が高まっているのです。
悪気なく子供はいたずらのつもりでやったとしても、成績が漏洩した、となると大変な事件です。

何度も今の校長先生の初任者時代の話をしますが、昔は子供がやってみたらできちゃった、で成績を盗み見ることなどほとんど起きなかったでしょう。
それは、成績という情報がそれぞれ点で保存され、守られていたからです。
ですが、今や成績はデータで処理され、校務系のサーバーに保存されることが増えてきました。
情報の共有の恩恵は計り知れませんが、セキュリティのリスクもまた増大していることをしっかりととらえないといけない、ということですね。

また、教職員等の利用する端末や電磁気記録媒体等の管理についても規定が重要です。
働き方改革の観点から言えば、教員が家に仕事を持ち帰り、学校と同様のデータを扱える環境を作ることは非常に効果的です。
学校でだけでは現状どうしても仕事が完結しないのですから、検討する価値はあります。
ただそこで、セキュリティが厳重に守られなければ保護者としては不安になるのも当然ですね。

ですので、しっかりとした規定を作り、それを守ることが重要です。
パスワードについての規定、二要素認証をするかどうか、データ保存時の暗号化、遠隔消去機能の導入等について、すべて実現するのは難しいとしてもここまで考えなければならない時代なんだなと確認していただく必要があります。

学習者用端末については、機密事項はそこに保存しない、機密事項がある場所にアクセスできないというのが大前提としてあり、その中での規定を作る必要があると述べられています。
学校内で使うだけではなく、学校外に持ち出して学習活動を行うことから考えて、あまりがちがちに厳しすぎると学習活動への活用ハードルが上がり、せっかく整備しても使われなくなってしまいます。
機密事項にアクセスできないようにしたうえで、ある程度自由に使える規定にしていく必要があるということですね。

一口に物理的セキュリティといっても、サーバーの設置場所、盗難対策から情報漏洩を防ぐためのハード的対策まで様々なことを考える必要があります。
ガイドラインに沿って考えていけば、ついうっかり検討のし忘れ等も防げる、大変便利な文書になっていますので、是非とも少しずつ目を通していただければと思います。

来週もガイドラインのご紹介をさせて頂きます。

投稿者プロフィール

株式会社ハイパーブレイン
株式会社ハイパーブレイン
株式会社ハイパーブレインです。
教育の情報化に貢献し,豊かな会社と社会を作ります。
カテゴリー
HBI通信教育情報セキュリティポリシーに関するガイドライン
前の記事
Scratchと私-活用の進む3つのこだわりについて-3学校の勉強とScratch
2017年11月15日
次の記事
人的セキュリティは、学校ならではの環境を理解すればより強固になります
2017年11月27日