教育情報セキュリティポリシーに関するガイドライン(令和6年1月)26

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

６.技術的セキュリティ

「クラウド・バイ・ファースト」ということが言われて久しいですが、そうはいってもオンプレミスの環境が突然全部置き換わるということはありません。ガイドラインでは「オンプレミスの場合と民間事業者のデータセンターを利用する外部委託の両方を想定」したとあります。

クラウドについては、「IaaS,PaaS 型クラウドを利用してコンピューティングリソースを調達して、教育情報システムを構築・運用する場合は「第 2 編８. 外部委託」を、SaaS 型パブリッククラウドサービスを利用する場合には、「第２編９. SaaS 型パブリッククラウドサービスの利用」を軸に検討すること」、とありますので、「こっちのシステムはクラウドだけどそのシステムはオンプレミス」というような場合には、ガイドラインのあちこちを参照する必要があります。

ご面倒ですが、この手間が後のインシデントを減らしたり、インシデント発生時の報告をスムーズにしたりしますので、よろしくお願いいたします。

６.１.コンピュータ及びネットワークの設定管理

「サーバーやネットワークのことはよくわからない。だから業者に任せる」ということは多いでしょう。細かい設定値を行政職が一つ一つ決めるのはとても大変なことです。ですが、日進月歩のICT業界、「初期設定・初期値でずっと運用します」は大変なリスクを伴うことだ、ということもご理解いただけるでしょう。

問題は、「設定変更をした」場合に、完成図書が書き変えられているか、ということです。いつ、だれが、どのように設定変更について決定し、それをいつだれがどのように実施し、設定値のbefor afterが保存されている状態にしておく必要があります。

これがなされていないと、「ある日突然誰かが勝手に書き変えた」のか「きちんと手順を踏んで変更されたのか」の区別がつきません。

「誰かが勝手に書き変える」のリスクも大変高いことはご理解いただけると思います。ですので、ガイドラインでは以下のように管理をすることを推奨しています。

• 文書サーバ及び端末の設定等
• バックアップの実施
• ログの取得等
• ネットワークの接続制御、経路制御等
• 外部の者が利用できるシステムの分離等
• 外部ネットワークとの接続制限等
• 重要性が高い情報に対するインターネットを介した外部からのリスク
• 複合機のセキュリティ管理
• 特定用途機器のセキュリティ管理
• 無線LAN及びネットワークの盗聴対策
• 電子メールのセキュリティ管理

複合機などは、見落としやすい部分です。「自分のパソコンから中間テストをデータで印刷機に送って印刷したい」というのは便利な使い方ですが、セキュリティリスクについては考えておかなければならない、ということですね。

来週は第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。

投稿者プロフィール

大江 香織

株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

最新の投稿

• HBI通信2024年12月16日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)28
• HBI通信2024年12月9日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)27
• HBI通信2024年12月2日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)26
• HBI通信2024年11月25日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)25