教育情報セキュリティポリシーに関するガイドライン(令和6年1月)27

2024年12月9日 2024年12月13日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

６.技術的セキュリティ

６.２. アクセス制御

アクセス制御の概念は、現場では「面倒だ」の最たるものの一つだと感じます。例えば、外部から講師をお招きして子どもたちに課題を配布する、というような時に、「アカウントがない！」「どうしよう」「ゲスト用のアカウントではファイル添付ができない」「新規にアカウントを発行しよう」……どなたも一度は聞いたことがあるような会話ではないでしょうか。

外部講師の先生の講演が終わった後、アカウントを削除しようとしたら、「子どもたちからの質問に答えたいのでしばらく残しておいてください」ありがたいお話です。

そして、そのアカウントはずっと存在し、いつしか「なにこれ？」「削除しちゃまずい？」「わからない」になり、セキュリティリスクがどんどん増大していく、ということになりがちです。皆様の自治体では、「よくわからないアカウント」は存在しないですか？　どのアカウントにも適切にアクセス制御の概念が浸透されていますか？　「共用アカウントがなければ不便」よくわかります。ではその共用アカウントを管理する責任者はどなたですか？

厳しすぎる制御は問題ですが、だからといって制御を放棄したアカウントが一つでもあると、セキュリティリスクは大変なことになります。ガイドラインでは「利用者登録や特権管理等を用いた情報システムへのアクセス制御、ログイン手順、接続時間の制限等不正なアクセスを防止する手段について規定する。」とあります。

上記の例で言えば外部講師を想定して規定しておくということが必要ですね。

ガイドラインでは5つの項目について例文が挙げられています。

アクセス制御等
外部からのアクセス等の制限
自動識別の設定
ログイン時の表示等
特権による接続時間の制限

５は、忘れがちなところなので、このようにまとまっているとありがたいです。「特別な権限を持っているアカウントについて、（いつもいろいろ五月雨式に頼まれるので面倒だから）ずっと接続しっぱなし」は問題です。ただ、その特別な権限を持っているアカウントの接続のしづらさと、頼まれ方については整理しておく必要がありますね。ガイドラインでは「システムの未使用時には自動的にネットワーク接続を終了するなどの措置を講じる必要がある。」とありますが、そのアカウントの使い方までは言及されていません。

例えば、特権を持っているアカウントがシステムに接続する時間を決めておいて、それ以外の依頼は次の時間まで待つ、というような運用ルールを作っておくということも一つの方法です。（もちろん、緊急を要することは緊急対応しなければなりません）

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。