セキュリティと運用のバランスを取れる人材が必要です

カテゴリー: 2020教育の情報化に関する手引き   パーマリンク

皆さんこんにちは

2019年12月に教育の情報化の手引きが発行されました。そして、その後のICTを取り巻く状況の大きな変化に対応して、2020年6月に追補版が発行されました。要所要所を確認しながら読んでいきましょう。

https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/mext_00117.html

206

本日は追補版第7章 教育情報セキュリティについてご説明します。

情報セキュリティが重要だ、ということについては誰もが分かっていることです。ではどうすれば情報セキュリティを高められるか、ということを考えなければなりません。
情報には

● 機密性:情報に関してアクセスを認可されたものだけがアクセスできる状態を確保すること

● 完全性:情報が破壊、改ざん、消去されていない状態を確保すること

● 可用性:情報へのアクセスを認可されたものが必要時に中断されることなく情報及び関連資産にアクセスできる状態を確保すること

を維持することが求められます、と手引きにはあります。

どのような情報資産を保有しており、どのように守ればよいのか、という順番で考えていくことが推奨されています。

まず、情報資産の洗い出しが必要です。

学校には校務系の情報と学習系の情報があります。大雑把な枠組みではこうですが、細かく見ていけば、例えば生徒指導関連の情報については、家庭状況や補導についての情報など、機微な情報が含まれている可能性があり、誰もが見られるところに保存するのはダメですね。一つ一つの情報について、「何を持っているのか」を把握することが大事です。管理職が知らない間に機微情報が増殖していた……という事態は避けなければなりません。その、洗い出した情報の中で、守るべき情報資産を守っていくのが情報セキュリティです。

どのように守るか、情報セキュリティ対策としては以下のように例示されています。

1・機密性の高い資産:情報の置き場所に鍵をかける、アクセス制御をかける

2・可用性の高い資産:バックアップを保管しておく

3・完全性の高い資産:改ざん防止ツールを導入する

つまり

・物理的セキュリティ

・技術的セキュリティ

・人的セキュリティ

をそれぞれ考え、効果を高めていく必要があるということですね。更に、これらが「きちんと守られているか」や矛盾が生じていないかをチェックする組織が必要です。やれと言ったらやるかというと人間「どうせバレないんだから手を抜こう」に流れていくのはある意味当然のことです。必ずチェックする必要がありますね。

次回は、追補版第7章 情報セキュリティ対策についてお送りします。