「ネットワーク社会における学校情報の管理」 学校の情報資産を襲う脅威と対策 岐阜県教育委員会 教育研修課 情報化推進担当 情報通信ネットワーク社会と ・情報システムの管理、運用 学校の課題 ・電子メールやWebの有効活用 ・教育用コンテンツの有効活用 ・個人情報の漏洩の防止 ・ウィルス感染の防止 ・校内からの不正情報発信の防止 ・有害情報への対処 ・情報モラルの向上 ・外部からの不正侵入防止 等 サイバー攻撃 どうすれば いいの? 情報通信ネットワーク社会の問題点 1.個人情報の保護 2.著作権の保護 3.名誉毀損、誹謗中傷 4.有害情報、違法情報の流通 <有害情報の例> ・アダルトサイト ・出会い系サイト ・薬物系サイト ・自殺系サイト <違法情報の例> ・刑法上の猥褻物 ・児童ポルノ ・著作権法違反 ・詐欺 教育活動と情報通信ネットワーク社 会 児童 生徒 ・ホームページ ・電子メール ・掲示板 ・チャット等 ①情報の収集 教師 教育 活動 ②情報の活用 ③情報の発信 ◎学校が扱う「情報」 ・内容 ①インターネットから入ってくる情報 ・重要性 ②インターネット上に出て行く情報 ・必要性 ・安全性 情報管理 情報教育 学校を襲う脅威とは? ◇情報システムへの物理的な侵入 ◇外部からの不正アクセス(踏み台・なりすまし) ◇内部からの不正アクセス ◇コンピュータウィルスへの感染 →システム上の不備 →職員や児童生徒による「持ち込み」 ◇天変地異(火災・風水害・地震・雷) 学校は個人情報の宝庫!! ◇生徒に関する個人情報 住所、氏名、電話番号、保護者氏名・・・・ 成績、出欠情報、特別活動、指導歴・・・・ 進路希望情報、進路先情報・・・・ ◇職員に関する個人情報 住所、氏名、年齢、家族状況・・・・ 勤務履歴、健康診断・・・・ ◆学校に関する情報:公の情報(積極的に公開) → 「個人情報取扱機関」であることの認識 学校における個人情報の多様な形態 ◇ペーパーベースの情報(であったもの) 指導要録、成績通知票、健康診断記録・・・・ 定期考査解答用紙、成績一覧表、成績不良者一覧表・・・・ PTA会員名簿、クラス名簿、部活動部員名簿・・・・ 卒業文集、卒業アルバム、卒業者名簿・・・・ 職員名簿、緊急連絡網、勤務記録カード・・・・ → 最終出力・保管形態は「ペーパー」 → 作成過程は「デジタルデータ」 → データの流通形態は? ・・・・ ネットワーク? → データの保存方法は? ・・・・ デジタル記録メディア? → データの保存場所は? ・・・・ パソコン端末、サーバ? 情報資産へのセキュリティ対策を 怠った場合の脅威の例 学 校 情報資産 不注意 盗み見 不正侵入 悪意 セキュリ ティーで 保護する 範囲 悪意の第三者 誤 用 ( メ ー ル 送 信 ミ ス ) ・ 流 出 ( 盗 難 ・ 廃 棄 ミ ス ) 漏洩 悪意の第三者 参考:(NECインターネットシステム研究所小池雄一氏資料より作成) 事例に見る脅威の例(漏洩) 1 個人情報の漏洩 ★S信販会社:顧客情報32万人分の流出 →サーバデータ流出ツールによる不正取得 【緊急対応策】 ①サーバへのアクセス可能な社員の制限 ②ユーザID・パスワードの管理の厳格化 ★インターネットサービスプロバイダ:ユーザ情報460万人分流出 →内部犯行か?流出経路は不明 【緊急対応策】 ①アクセス可能な人員の縮減 ②アクセス時間の制限 ③パスワード変更期間の短縮 事例に見る脅威の例(漏洩) 1 個人情報の漏洩 ★J通販会社:顧客情報30万人分が流出 →システム変更の時期に不正持ち出し 【緊急対応策】 ①通販事業の一時停止 ②データの持ち出し者を刑事告訴 ★神奈川県の公立高校:卒業生の成績情報300人分が ネットワーク上に流出 →学校内部からの流出? 【緊急対応策】 ①校内LANの外部ネットワークからの切り離し ②生徒個人情報の保存・管理方法の変更 ③教育委員会による指導・通達 事例に見る脅威の例(ウイルス) 2 2004年2月から:Mydoomの猛威 ・2004年2月4日に発生したワーム型ウイルス ・自身を添付した「メール」を配信 P2Pソフト「Kazaa」を介して増殖 ・世界中で500万台以上が感染被害 感染したパソコンを「踏み台」にして他のパソコンを攻撃 「被害者」が「加害者」になってしまう怖さ 事例に見る脅威の例(ウイルス) 3 2003年8月から:「Msブラスト」の衝撃 ・2003年8月に登場した新型ウイルス ・「メール」を読んだり、 添付ファイルを開かなくても感染 感染したパソコンを「踏み台」にして他のパソコンを攻撃 対象OS:Windows2000とXP:脆弱生をつく 対策:ユーザによる「Windows Updata」の実施 適切な「パッチ」を当てる 事例に見る脅威の例(侵入) ★知らない間に「踏み台」にされると・・・ 踏み台 侵入 攻撃 被害 学校 悪意にある第三者 企業 莫大な損害請求 「知らなかった」では通用しない!!【海外で判例】 事例に見る脅威の例(不正書込) ★授業中に「掲示板」へ不正書き込み・・・ @県内の中学校で、授業時間中に 生徒が「政治的な掲示板」にいたづら書き @掲示板の主催団体から自治体の首長へ抗議 職員の処分の申し込み @実態調査→首長名での謝罪文の提出 生徒・保護者への指導 @被害者が「中学生のことだから・・・」と許してくれる → 「日本的」な問題解決 事例に見る脅威の例(不正書込) ★学校ホームページの「掲示板」に不適切な書き込み(県内) @学校ホームページの掲示板に自校の生徒が 民間の会社を誹謗・中傷する不適切な書き込み @会社経営者から、学校へ削除要請のメール @担当職員がメールに気づかず何日も放置 @会社経営者は、無視されていると度重なる警告、 対応策をとらない学校に激怒、 → 告訴も考慮すると、直接学校に抗議 @事態に気がついた学校が対応 → 「謝罪」等により解決 不正アクセスの年度別推移 ★不正アクセス届出件数推移(1997~2003年) 700 619 550 600 407 500 400 300 143 200 100 0 25 46 55 1997年 1998年 1999年 2000年 2001年 2002年 2003年 (資料提供:IPAセキュリティセンター) ウィルス発見届出件数の推移 ★1999年から2003年 24,261 25,000 20,352 4,852 20% 8% 17,425 1,628 20,000 1,220 7% 15,000 11,109 2,222 20%19,409 10,000 5,000 0 3,645 1,871 54% 1,774 1999年 18,724 感染したケース 感染前に発見 16,205 8,887 2000年 2001年 2002年 2003年 (資料提供:IPAセキュリティセンター) 個人情報が漏洩してしまったら? 1 宇治市住民基本台帳データ漏洩事件 ・1998年に宇治市で住民基本台帳データ21万件が流出 ・住民3名が宇治市を相手に訴訟 ・2001年12月:京都地裁判決 → 1人当たり1万円の損害賠償命令 宇治市は、最高裁に上告 ・2002年7月:最高裁判決 → 1人1万円の慰謝料の支払いを命令 「公の機関による個人情報漏洩」に関する凡例 個人情報漏洩の慰謝料は「1人1万円」 個人情報が漏洩してしまったら? 2 インターネットサービスプロバイダ恐喝事件 ・2004年にユーザ460万人分の個人情報流出判明 → 顧客データを保持して会社を恐喝した犯人逮捕 ・全ユーザに500円相当の金権送付(損害総額約40億円) → 実被害額以上の隠れたコスト 3 コンビニ顧客個人情報流出事件 ・2002年に顧客56万人分の個人情報流出 ・1人当たり500円相当の賠償(損害額約3億円) 多額の損害賠償金の支払い それ以上に「失われた企業の信頼」は取り返せない! 学校にとってのセキュリティの意 義 ☆学校の「存在」を確かなものにする ☆児童生徒・保護者及の被害の防止 ☆職員の被害をの防止 ☆第三者への被害の防止 ☆情報化社会の一員として「反社会的行為」を 成す学校と見なされないこと セキュリティの確保は「学校経営」の根幹に関わる問題 「学校だから」といった甘えは、情報通信ネットワーク社会では通用しない!! 学校内で守るべきものは? ☆個人のプライバシーに関する情報 ・児童生徒の個人情報 ・保護者の個人情報 ・教職員の個人情報 ☆公の情報資産 ・各種教育情報 ・情報システム 学校の情報管理確立のために ☆情報セキュリティポリシーの確立 ・情報セキュリティに関する「基本方針」の宣言 ・情報セキュリティを確保するための 「対策基準」の策定 ・PC教室や校内LAN等の「使用規定・運用要領」の策定 ☆プライバシーポリシーの確立 ・個人情報の取扱いに関する「基本方針」の宣言 ・個人情報の「取扱基準」の策定 参考:「岐阜県個人情報保護条例」 OECDの個人情報の取り扱いに関する8つの基本原則 ☆コピーライトポリシーの確立 ・教育活動における「著作権遵守」の確認 情報セキュリティポリシーとは? 情報セキュリティに関するルールを明文化 基本方針 セキュリティポリシー 対策基準 実施手順 [規定や要領等] セキュリティポリシーの構成 情報セキュリティポリシー ☆「基本方針」の策定 →情報セキュリティに関する 学校の理念を宣言した文書 1.目的 2.用語の定義 3.情報セキュリティポリシーの 位置付けと職員の義務 4.情報資産への脅威 5.情報セキュリティ対策基準の制定 情報セキュリティポリシー ☆「対策基準」の策定 →「基本方針」を実施するために遵守すべき 行為・判断等の基準を定めた文書 1.目的 3.情報の分類と管理 4.物理的セキュリティ対策 5.人的セキュリティ対策 6.技術的セキュリティ対策 7.有害情報対策 8.運用におけるセキュリティ対策 9.法令遵守 10.違反に対する対応 11.評価及び見直し 情報システムのセキュリティ確保のために ☆「実施手順」(規定や要領等)の策定 →「対策基準」を実施するために遵守すべき行為・判断等 の 基準を各システム毎に定めたルール 【学校間総合ネットの実施手順】 1.「学校間総合ネット」利用規定 2.教職員用電子メール利用要領 3.Webプロキシサービス利用要領 4.Webホスティングサービス利用要領 5.教育用コンテンツ利用要領 セキュリティポリシー策定手順 ① ② ③ ④ ⑤ ⑥ 組 織 ・ 体 制 の 確 立 基 本 方 針 の 策 定 リ ス ク の 分 析 対 策 基 準 の 策 定 ポ リ シ | の 策 定 実 施 手 順 の 策 定 情報資産のリスク分析 情報資産の調査 脅威の調査 重要性の分類 脅威の発生頻度及び 発生時の被害の大きさ の分析 セキュリティ要求水準 の設定 対策の策定 セキュリティポリシーの運用サイクル 策 定 基本方針・対策基準(ポリシー) 実施手順等の策定 評価・見直し 導 入 システムの監査 ポリシーの評価・見直し 配布・教育 物理的・人的・技術的措置 運用 システムの監視・ポリシーの遵 守状況の確認・被害時の対応等 全職員の共通理解による情報管理 ☆「職員研修会」の実施 1.「情報セキュリティポリシー」について ・校内の情報システ、情報資産の理解 ・各種規定や運用要領等ルールの確認 2.「プライバシーポリシー」について ・個人情報の取り扱い ・個人情報の管理方法 3.「コピーライトポリシー」について ・著作権法の理解 ・情報通信ネットワークに関する法規とその内容 ☆外部の「講演・研修会」等への参加 ・学校での伝達講習 全職員の「情報モラル」の向上!! 児童生徒への情報モラル教育の充実 ☆情報化社会において 児童生徒を「被害者・加害者」にしないために!! 教育が最大のセキュリティー対策 「・・・・・」をやってはいけない! ではなく 「・・・・・」をやったらどうなる? 影響や結果、責任などの具体例を見せて、考 えさせる!! これからの学校管理 「目に見えるもの」の管理 「もの」の管理 「ひと」の管理 施設 設備 教職員 児童生徒 「情報」の管理 「目に見えないもの」の管理 「情報管理」の重要性を再認識!! 「情報通信ネットワーク社会」 に参加するためには? 「情報モラル」 「情報通信ネットワーク社会」の「運転免許証」 「情報セキュリティポリシー」 「情報通信ネットワーク社会」の「保険」 END
© Copyright 2024 ExpyDoc