技術的セキュリティには専門家の意見を取り入れてください

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
特に今日お知らせする部分は、詳しくお知らせするべき部分で非常にボリュームがあります。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

技術的イメージ

本日は「2.6技術的セキュリティ」の部分をご説明したいと思います。
この部分は、省略することができない部分であり、最低限これくらいの技術的対応をしておく必要がある、という内容です。
ただ、その最低限が56Pから89Pとページ数にして30ページ以上にわたって述べられています。

 初めに述べられているコンピューターやネットワークの管理のための技術的セキュリティ対策の規定の例文の項目だけでも21項目。
それぞれ必要最低限の言及しかされていませんが、ご自分の自治体の課題に従って、より詳細に規定すべき項目も出てくるかもしれません。
 この技術的セキュリティに関しての部分だけでも、専門家とご相談いただくことを強くお勧めします。
例えば、例文で述べられている文章のうち「ファイル暗号化等による安全管理措置を講じなければならない」というものの理解はできても、具体的にどのようなファイル暗号化を利用すればよいか、というところについて、「様々な業者の製品の何を見て決めればよいのか」ということ等いざ実行しようとしたときにハードルとなるものが多く横たわっていることを感じられる方が多いのではないかと思います。

 暗号化だけに限りませんが、Aという製品をBというハードウェア上で動かそうとしたら、先に入っていたCとAとの相性が悪く、動作が不安定になる、という現象は起こりがちです。
 セキュリティに関する技術は特に、技術的情報をすべて公開してしまうと、セキュリティを守ることになりませんので(ウイルス対策ソフトがどのようにウイルス対策をしているかすべてわかればウイルス製作者に有利になりますよね)仕方のない部分ではあります。

 ですが、それぞれの自治体でそれぞれのご担当者がすべてそのような組み合わせを知っていなければならないかというと大変です。だからこそ、専門家の意見を取り入れていただきたいと思います。

 ただ、そのような専門家がどこにいるのかわからない、という自治体職員の方の悩みもうかがっています。
そういう場合はこのガイドラインでいえば最後に載っている教育情報セキュリティ対策推進チーム 委員の方が所属している組織を確認したり、ほかにもセキュリティの委員会等に名を連ねている組織を確認したりする方法が有効かもしれません。
また、様々な展示会やセミナー等に参加され、ご自身の目で確かな業者を確認されるのもよいかもしれません。

 「教育の」情報セキュリティ技術は、環境復元との兼ね合いや適切なフィルタリングとの兼ね合い等、通常の一般企業の業務との違いや気にしなければいけないこと、わかっていなければいけないことが非常に多くあります。
そのため、一般的なセキュリティ対策だけでは落とし穴が開いていることもあるのです。
 専門家に相談される際は、文教分野での実績がどれくらいあるのかを必ずご確認いただければ、と思います。

来週もガイドラインのご紹介をさせて頂きます。

投稿者プロフィール

株式会社ハイパーブレイン
株式会社ハイパーブレイン
株式会社ハイパーブレインです。
教育の情報化に貢献し,豊かな会社と社会を作ります。