教育情報セキュリティポリシーに関するガイドライン(令和6年1月)28

2024年12月16日 2024年12月13日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

６.技術的セキュリティ

６.３.システム開発、導入、保守等

一からシステムを開発する、という状況は最近はめっきり減りました。ですが、市販のパッケージをそのまま使う、ということはほとんどありません。

つまり、システムの根幹を触る、カスタマイズする、ということは今も発生しているわけです。技術的なセキュリティ対策を十分に行う必要があるということですね。

ガイドラインでは「システム開発、導入、保守のそれぞれの段階における対策を「第２編９. SaaS型パブリッククラウドサービスの利用」の記載も参照しつつ、規定する。」とあります。システムの調達から始まり、システム更新又は統合時の検証等まで8項目あげられています。

情報システムの調達
情報システムの開発
情報システムの導入
システム開発・保守に関連する資料等の整備・保管
情報システムにおける入出力データの正確性の確保
情報システムの変更管理
開発・保守用のソフトウェアの更新等
システム更新又は統合時の検証等

特に４と６については教育委員会で、担当者が交代する度に管理が大変になっていくものです。開発がどのような仕様に沿って行われ、どのような設定のどのようなものが納品されたのか、その間の会議の議事録はきちんと残されているか等とても重要な資料なのですが、「完成図書」としてまとまっている状態になかなかなりません。「このシステムを導入する時のいろんな資料をいっしょくたに分厚いファイルにはさむ」ことはよくあり、重要な資料とメモ書きが同居しているので、何が重要で残しておかなければならないものなのかが担当者以外に伝わりづらい状況が発生します。

ご面倒でも、必ず残しておかなければならない資料については、ポリシーで規定しておくことによって必ず残す、ということはとても大切です。

また、５について、私たちは「システムに入力した」ものと「システムから出力されるもの」は無意識のうちに同じもの、正確なものだという認識でいます。ですが、開発時に悪意あるコードが挿入されたらどうでしょう。例えば、「ランダムに300件に1件出力する数字に1を足す」みたいなプログラムが動いていた場合、大変なことになります。（もちろん、通常そんなプログラムを入れるようなベンダーはありませんし、仮に入れられていても、バグをチェックする仕組みで見つけられますから、そんな心配は杞憂ではあります。極端な例を書きましたが、悪意ある人が混じっていた場合、最悪のことが発生する可能性があるということです）

ですので、調達時の要件に、きちんとした技術的セキュリティ機能を明記することや、情報セキュリティ上問題のないことを組織の統括教育情報セキュリティ責任者及び教育情報システム管理者が確認することが必要になります。

教育情報セキュリティポリシーの扱う範囲が広い、つまり、学校教育がカバーする範囲がとても広いので、行政職の皆様はとても大変な思いをされることもおありだと思います。

ですが、これからの時代、「知らなかった」では済まされないセキュリティ上のルールはとても多いです。難しくて大変だ、という心理を突いてやってくるインシデントについて、できる限り何とかできるよう、ご一緒にこのガイドライン等を参考にしながら業務を実施していければと思います。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。

投稿者プロフィール

大江香織: 株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

教育情報セキュリティポリシーに関するガイドライン(令和6年1月)28