教育情報セキュリティポリシーに関するガイドライン(令和6年1月)17

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

４.物理的セキュリティ

この部分は「オンプレミスの場合と民間事業者のデータセンターを利用する外部委託の両方を想定」されているということです。

クラウドの場合は別途参照する場所が違います。IaaS,PaaS型クラウドを利用してコンピューティングリソースを調達して、教育情報システムを構築・運用する場合は「第２編８.  外部委託」を、SaaS型パブリッククラウドを利用する場合は「第２編９. SaaS型パブリッククラウドサービスの利用」を確認するようにとあります。学校に入っている環境が様々ですから、ご自分の自治体が何に当たるのかは把握しておく必要があります。

４.１サーバ等の管理

サーバー管理の仕事は、何も起こさないことが最上ですので、きちんと仕事をすると「何も起きない」わけです。そうすると、「サーバ管理なんか何もしてないんだから費用を削減しろ」という話が必ず出てきますね。

ところがその結果、サーバー管理がおろそかになってしまうと、「管理が不十分な場合、情報システム全体に悪影響が及んだり、業務の継続性に支障が生じるおそれがある」とガイドラインに明記されています。

何も起きないのは、何も起こさないように仕事をしている誰かがいるからだということを、行政職の皆様はご理解いただき、どんどん発信していただく必要があります。

例文には７点のサーバー管理項目があげられています。

1. 機器の取付け
2. サーバの冗長化
3. 機器の電源
4. 通信ケーブル等の配線
5. 機器の定期保守及び修理
6. 施設外又は学校外への機器の設置
7. 機器の廃棄等

これらについて、きちんと実施していく必要があるということです。どの仕事も欠かせませんが、自治体内で、優先順位をどのように付けるかということについても、環境と照らし合わせて考える必要があります。

また、廃棄については「物理的に廃棄」する場合、本当にHDDが破壊されているか等、目視での点検が重要な項目があります。サーバーの情報が流出する、というのはとても恐ろしいことだということは行政職の皆様は十分承知されていると思います。

そうならないためには、過度に恐れず、対策をきちんとする予算が必要だということです。

来週は第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。