教育情報セキュリティポリシーに関するガイドライン(令和6年1月)16

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

３ 情報資産の分類と管理方法

この部分は、特にたくさん書き直されているなという印象を受けます。見え消し版では、前の版の文章がごっそり消されてほぼ書き変えられている（文言の修正だけの部分もありますが、とにかく大幅に変更している）様子がうかがえます。しっかり読んで、最新版の知識を確認しておきましょう。

３.２. 情報資産の管理

情報資産を分類しました、ではそれで何ができるかというと何もできませんね。

分類し、整理できたら、それを管理する責任の所在を決めなければなりません。

例文には「情報資産の分類で定めた情報資産の分類に応じた取扱いを定めた上で、情報資産の管理責任を明確にし、情報資産のライフサイクルに応じて取るべき管理方法を規定する。」と記載されています。

また、「情報資産は分類毎に管理体系が規定される。重要性の高い情報は、より厳重に管理されるべきであることは言うまでもない。」と書かれてあり、それに基づいてどのようにするか、ということが例示されています。

先週は重要性分類ⅠからⅣに該当するのはどのような情報か、ということを確認しましたが、ここでは重要性にあわせてどういうセキュリティが考えられるか、ということが書かれています。

• 重要性Ⅰ：インターネット接続系システムからネットワーク分離する形や強固なアクセス制御（注）による対策を講じる形によって、利用者認証、端末認証、アクセス経路の徹底的な監視制御
• 重要性Ⅱ：管理の考え方は重要性分類Ⅰに準じるが、業務上外部に持ち出す機会もあるため、持ち出す教職員に対して、個別許可が必要
• 重要性Ⅲ：（情報の保管はパブリッククラウドサービスが前提）校務系情報と学習系情報は管理を分ける必要性がある。校務系用途と学習系用途で教員アカウントを分ける等の措置を推奨
• 重要性Ⅳ：業務上管理し易い場所に保管管理

また、管理責任を明確にすることが繰り返し述べられています。更に、情報のライフサイクルに着目して取り扱い制限等は定期的に見直す必要がある旨述べられています。

情報資産を守る、ということだけではありませんが、何でも一度決めたら金科玉条のようにそれを守る、というのではなく、見直すことが必要であるということですね。

来週は第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。