教育情報セキュリティポリシーに関するガイドラインのポイント
2023年11月28日 www.soliton.co.jp より移設
情報セキュリティに関する基準やポリシーには様々なものがありますが、学校向けに「教育情報セキュリティポリシーに関するガイドライン」があることは知っているでしょうか? 学校は児童生徒が日常的に情報システムへアクセスする機会が多くあるため、他の行政事務とは異なる情報セキュリティ対策が求められます。そこで制定されたのが、教育情報セキュリティポリシーに関するガイドラインです。ここでは、教育情報セキュリティポリシーに関するガイドラインの概要やポイントについて分かりやすく説明します。
教育情報セキュリティポリシーに関するガイドラインの概要
教育情報セキュリティポリシーに関するガイドラインとは、2017年10月に文部科学省が地方公共団体向けに、必要なセキュリティ対策や考え方などについて示したものです。学校向けの情報セキュリティポリシーの策定・見直しを行う際に参考にされます。
情報セキュリティポリシーは「基本方針」と「対策基準」の2つから構成されています。「基本方針」は地方公共団体として統一する必要があるため、「地方公共団体の情報セキュリティポリシーに関するガイドライン」に従っています。「対策基準」は、学校の特徴を踏まえた対策が必要になるため、「教育情報セキュリティポリシーに関するガイドライン」に従っています。
また、ガイドラインには情報セキュリティ対策の基本である「何を」「何から」「どのように」守るかを明らかにすることから、具体的な対策についてまで記載されています。
教育情報セキュリティポリシーに関するガイドライン策定の背景
学校は教室やパソコン室など自由に使用可能なパソコンが置かれており、児童生徒が日常的にインターネットにアクセスする機会が多くあります。この影響で、実際に学校に設置されているパソコンへの不正アクセス事案が発生し、教育機関向けの情報セキュリティ対策が求められ、情報セキュリティの基準を確立する必要性が高まりました。
教育情報セキュリティポリシーに関するガイドラインは、このような背景から策定されることとなったのです。
教育情報セキュリティポリシーに関するガイドラインのポイント
教育情報セキュリティポリシーに関するガイドラインの基本理念は次の通りです。
- 組織体制を確立すること
- 児童生徒が機密情報へアクセスするリスク対策を行うこと
- インターネットを介した標的型攻撃等のリスク対策を行うこと
- 教育現場の実態を踏まえた上で、情報セキュリティ対策を確立させること
- 教職員の情報セキュリティに関する意識づくりを図ること
- 教職員の業務負担軽減及びICT(情報通信技術)を活用した、様々な学習方法の実現を図ること
これらの基本理念を実現するために、ガイドラインに記載されている「物理的セキュリティ」「人的セキュリティ」「技術的セキュリティ」ごとに対策を行う必要があります。これらの対策の一部に弱い点があれば、そこから外部脅威の侵入が起こり、セキュリティ事故の被害を被るリスクが高まります。ここでは、それぞれのリスクや対策ポイントについて説明します。
物理的セキュリティ
学校に設置されているサーバーや情報資産の盗難や破損など、物理環境面において対策が求められます。教育委員会による校務系サーバーなどの一元管理や通信回線及び通信回線装置の管理を行うことが必要です。また、地震や水害等によって情報資産を滅失する可能性もあるため、自然災害に対する対策も立てることが求められます。
人的セキュリティ
情報セキュリティ事故が起こる原因の多くは、教職員の情報資産の扱いによるものです。そのため、人的セキュリティでは、組織的にセキュリティ意識を高めることが対策の1つになります。CISO(副市長クラス)によって、現場職員にeラーニングや集合研修・説明会等を最低年1回は受けてもらう仕組みづくりや、学校内でのセキュリティ推進体制づくり、現場職員に対する研修会の推進、セキュリティ事故の疑いがある場合やセキュリティ事故発生時の報告ルールの整備といったものが、人的セキュリティ対策のポイントです。
技術的セキュリティ
技術的セキュリティの対策は、「児童生徒による校務系システムへの不正アクセスへの対応」「インターネット利用のセキュリティリスクへの対応」「外部へ情報資産を持ち出すリスクへの対応」といった側面から対策が必要です。
児童生徒によるアクセスリスクを回避するために、教職員の個人認証の強化や学習系システムへ重要データの保管を禁止や、学習系システムから教職員のみが利用する校務系システムへ不正にアクセスされないよう、両システム間のネットワークを分離することも求められます。
また、インターネット利用におけるセキュリティリスクへの対応としては、校務系システムのインターネットからの分離、各種サーバーの暗号化の実施などがあります。管理されたUSBメモリ等以外の使用禁止や記録媒体の暗号化を徹底すること、あるいはUSBメモリ等の利用そのものを禁止にするなどで、外部への情報持ち出しのリスクに対応可能です。
教育情報セキュリティポリシーに関するガイドラインは、学校向けの情報セキュリティポリシーの策定・見直しを行う際に大いに役立つ基準です。ガイドラインに記載されているセキュリティ対策を行うことで情報セキュリティ事故を防ぎ、安全にシステムの活用・運用が可能になります。教育情報セキュリティポリシーに関するガイドラインを正しく理解し、適切な対応を実施しましょう。
Pickup ピックアップ
-
イベント報告
【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果に...
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...