2017.12.22
教育情報セキュリティポリシーに関するガイドライン(3)
今回示された教育情報セキュリティポリシーに関するガイドラインを
教育委員会内で検討される際、ポイントになるところをまとめておきます。
(1)組織体制
副市長(副首長)などをCISO(Chief Information Security Officer:
最高情報セキュリティ責任者)にすることが望ましいと示されています。
これが機能すれば、予算取りや部門間での調整が容易になると考えられます。
(2)ネットワークの分離
学校のネットワークはこれまで、大きく分けて学習系と校務系の
二つでした。学習系はインターネットへの接続が不可欠ですが、
校務系はセキュリティ面を考えると閉じたネットワークで運用するのが
理想です。しかしながら、教員用コンピューターは、校務データを
扱うだけではなく、授業準備でも使用します。このため、
インターネットにアクセスせざるを得ない場合も多々あります。
そこで、校務系ネットワークを二つに分け、合計3系統で運用することが
求められています。
(3)機密性の区分
学校で取り扱う情報をその機密性に応じて「機密性3(学校で取り扱う
情報資産のうち、秘密文書に相当する機密性を要する情報資産)」
「機密性2B(学校で取り扱う情報資産のうち、秘密文書に相当する
機密性は要しないが、直ちに一般に公表することを前提としていない
情報資産)」「機密性2A(学校で取り扱う情報資産のうち、直ちに
一般に公表することを前提としていないが、児童生徒がアクセスする
ことを想定している情報資産)」「機密性1(機密性2A、機密性2B又は
機密性3の情報資産以外の情報資産)」、以上4つのカテゴリーに分けて
管理することが求められています。教員全員で、情報資産の洗い出しを
行いましょう。
(4)暗号化
前項の区分のうち、「機密性3」と「機密性2B」の情報について
暗号化が求められています。情報資産の保存、保管に関して見直しを
行いましょう。
(5)ログの保存期間
「6カ月以上」という保存期間が設けられています。
システム管理者と十分に相談してください。
可能であればもう少し長い期間を検討してください。
(6)電子メールのセキュリティ対策
スパムメール、フィッシングメールなどへの対策として、
送信ドメイン認証技術(SPF、DKIM)およびDMARC(Domain-based
Message Authentication, Reporting & Conformance)の導入が
推奨されています。まだ導入されていない場合は、早急に対応を
ご検討ください。
ISEN副委員長 井上
株式会社JMC
APPLIC(一般財団法人全国地域情報化推進協会) テクニカルアドバイザー。
校務情報化や情報モラルに精通し、文部科学省や総務省の委員会や委託事業にも参画している。