学校 情報セキュリティポリシー への取組み」

才能開発教育研究財団 免許状更新講習
「学校の情報セキュリティに
関わる課題」
柏市立高田小学校
教頭 西田 光昭
E-mail : [email protected]
URL http://derek.jp/
情報セキュリティ




なぜ情報が重要か
情報セキュリティとは CIA
学校の情報セキュリティの特殊性
学校の情報資産





どんな情報資産があるか
情報資産の扱い
扱いの危険性
危険性への対処
情報セキュリティポリシー
私について
 西田


地域教育ネットワーク作りと運用
学校のICT環境作り


光昭(にしだ みつあき)
教育の情報化に関する手引き
情報モラル指導いろいろ





情報モラル指導セミナー指導グループ
情報モラル指導検討委員会
学校情報セキュリティ委員会
子どもの携帯電話等の利用に関する調査委員会
メディア教育開発センター K3プロジェクト委員
なぜ こんなに?


ハンディカメラ取材で波紋 乱れる現場
「倫理違反」指摘も
http://www.iza.ne.jp/news/newsarticle/business/media/331915/
写真にも値段が
http://www.fotosearch.jp/ より
あなたも払ってませんか?
事件としてニュースにもなる
http://www.security-next.com/category/cat191/cat25
事例はいくらでも
事例で学ぶ e-セキュリティ 2009より
事件が起きると・・
事例で学ぶ e-セキュリティ 2009より
個人情報は売買されている
個人情報のお値段は
ヤフーBB 顧客の住所など450万件
一人500円
 TBC 顧客情報5万人分
一人3万5千円(訴えた14人に対し)
 宇治市住民情報データ流出 22万人分
基本4情報(氏名、住所、性別、生年月日)の漏洩
一人 1万円

学校情報セキュリティ
 個人情報保護法の制定
H15/5制定
H17/4施行
 それ以前からも,個人情報の取り扱
い規定はあった
個人情報保護法

だれもが安心してIT社会の便益を享受するた
めの制度的基盤として、平成15年5月に成
立し、公布され、17年4月に全面施行されま
した。
この法律は、個人情報の有用性に配慮しな
がら、個人の権利利益を保護することを目的
として、民間事業者の皆様が、個人情報を取
り扱う上でのルールを定めています。
個人情報保護法とは
http://www.caa.go.jp/seikatsu/kojin/index.html より
個人情報保護法




個人情報とは何ですか?
生存する個人に関する情報で、氏名等により、
特定の個人を識別できるもの。
名簿を作成・配付してはいけないの?
本人の同意を得て、作成することができます。同
意に代わる措置を取る方法もあります。
http://www.caa.go.jp/seikatsu/kojin/20060228meibosakusei.pdf
学校情報セキュリティ



個人情報保護法の制定
(H15/5制定H17/4施行)
それ以前からも,学校には重要な情報
デジタル化・ネットワーク化により変わった
 コピーが容易
 回収不能
 扱われる質,量
取り扱いの見直しが必要
学校における情報セキュリティ
文書管理規定
セキュリティポリシー
・ セキュリティのシステム構築
・ セキュリティについての啓発
不祥事防止と情報セキュリティ
 わいせつ・セクハラ
 体罰
 飲酒運転
 違法行為
 公金の取り扱い不正
 情報漏洩
懲戒処分の指針

個人情報の紛失、盗難


職場のコンピュータをその職務に関連しない不適正な目
的で使用し、公務の運営に支障を生じさせた職員は、減
給又は戒告とする
指導監督不適正


児童、生徒等に係る重要な個人情報を、重大な過失によ
り、紛失し又は盗難に遭った職員は、減給又は戒告とす
る。
コンピュータの不適正使用


千葉県
部下職員が懲戒処分を受ける等した場合で、管理監督
者としての指導監督に適正を欠いていた職員は、減給又
は戒告とする。
非行の隠ぺい、黙認

部下職員の非違行為を知得したにもかかわらず、その事
実を隠ぺいし、又は黙認した職員は、停職又は減給とす
る。
http://www.pref.chiba.lg.jp/kyouiku/syokuin/jinji/shobun/shishin.html
学校情報セキュリティ
先生方を縛るためでなく
先生方が安心して
「校務の情報化」「授業の情報化」を
進めることができるように
学校改善,授業改善のため
先生方,子どもたちを守るため
情報セキュリティの基本原則C I A
 C:Confidentiality(機密性)
人に知られてはならない情報を漏らさない。
 I:Integrity(完全性)
情報が改竄されたり,変更されたりせず,ある
べき状況を保つこと。
 A:Availability(可用性)
必要な時には,いつでも利用できること。
ウィルスに 感染すると・・・



C:Confidentiality(機密性)
I:Integrity(完全性)
A:Availability(可用性)
学校の情報セキュリティは
① 指揮・命令機能が弱い
② 能力・意識差が大きい
③ 専門家が不在である
④ 私物PCの持ち込み・業務利用が一般的
⑤ ネットワーク、システム管理権限がない
(http://www.cec.or.jp/e2e/symp/kochipdf/B1.pdf)
教育の情報化
児童生徒が身につける力
情報活用能力
情報モラル
わかりやすい授業
定着する学習
校務の効率化
学習するための方法
学習を支える
学校におけるセキュリティ
ネットワークを分ける 柏の例
Internet
www out
NOC L3
www in
市教委
教育研究所
L3 SW
共用
V-LAN
L3 SW
グループウェア
SA@,わいわい
V-LAN
L3 SW
PC室
普通教室
V-LAN
学習用
PC室
ファイルサーバ
グループウェア
普通教室
職員室
ファイルサーバ
校務用
職員室
ユーザ毎に限定



職員系 と 教室系 の分割
ユーザ名 パスワード
パソコンの登録
L3-SW
教室系
職員系
server
T-server
教員一人1台のPC

従来の教室2台配置から 1台を教員用に
教員用のPCは,校務をメインに
 指導用のPCは,クラス配置



校務用に仕様を作る
個人所有PCの一掃
利用するサーバ
 教室系
 職員系

職員用サーバ




PC室Server
共有 T: (work$)
個人 u:
職種別
教頭
校長専用
校長
○
教頭専用
教務主任専用
養護教諭専用
事務室専用
○
○
○
○
○
○
○
○


共有 T:
(みんなのフォルダ)
個人 u:
教務主任 養護教諭 事務室
○
○
○
1.ファイルサーバ上に集める


まずはここに保存する。
約束を決める
2.個人のものと,共有するもの
人も使う
自分しか使わない
3. 仕事の内容によって
学年の仕事
校務分掌上の仕事
4. ひな形の蓄積
5.年度毎の整理
毎年の繰り返し
漏れをなくす
学校外との情報のやりとり
教員向けグループウェア
• 校内に一人しかいない
• 専門性のある仕事
E-mailの利用環境






市教委として全員に配布
市教委のイントラ内部で,ダウンロード可
どこからでもWebメールで読み書き可
添付等は,フリー
Virusチェックは2重
グループウェアのメッセージと共存
既存のアナログのデータとの共存
学校における情報セキュリティの脅威
車上ねらいに,成績な
どの個人情報の入った
パソコンを盗まれた!
名簿などの情報が入
ったUSBメモリを,
なくしてしまった!
.
ウイルスに感染した個
人所有パソコンを,校
内LANに接続し、市
のネットワーク全体を
止めてしまった!
通知票のデータや住
所録などをファイル
共有ソフト(Winny
など)で,インターネ
ット上に流出させ,回収
不 能 に な っ た !
自分だけは大丈夫だと
思っていたのに・・・
子どもにダイレクトメール
が大量に届いた!
情報セキュリティ確保のための対策が必要
学校の情報資産を見直す
どんな情報資産があるか
情報資産の扱い
扱いの危険性
危険性への対処

どんな情報資産があるか
重要性
学校で取り扱う情報資産
知られたくな
い
無くなると困
る
誰が作っ
て
誰が使
うか
保管は
危険性
場所
方法(鍵)
手立て
学校にある情報資産 重要性
知られたくない 無くなると困る
1.
2.
3.
4.
5.
6.
学校沿革史
指導要録
備品台帳
児童名簿
出席簿
電話番号簿
○
○
○
○
○
○
○
危険性への対応
リスクの回避
4種類のリスク対応
高
発生頻度
脅威そのものを取り除くことにより、リスクの発生可能性
をなくしてしまうこと。
低
例えば、ノートパソコンの持ち出しを禁止すれば、紛失
のリスクはなくなる。
リスクの低減
脅威を小さくする、または脆弱性を小さくするなどの方法
により、リスク小さくすること。
大
損
害
規
模
リスクの
リスクの
回避
移転
例えば、パスワードを定期的に変更することを徹底すれ
ば、パスワードが盗まれるリスクは小さくなる。
リスクの移転
自社の抱えるリスクを他者に移し替えること。
リスクの
リスクの
例えば、業務を委託する、保険に加入するなど。
リスクの保有
低減
小
保有
リスクの存在を認識しながらも、特段の対応を取らないこと。
小さなリスクまですべてに対応することは現実的でなく、リ
スクを保有することもリスク対策のひとつである。
出展: 個人情報保護士試験完全対策(あさ出版) を参照
情報資産の重要性
×困る← 知られる →○いい
×困る
↑
無く
なる
↓
○いい
A
B
C
D
• A は最も重要で守らなくてはならない情報
• B,CがAに次ぎ重要で,守る努力が必要な情報
• Dは守る必要性の低い情報
学校にある情報資産 重要性
知られた 無くなる
くない
と困る
1.
2.
3.
4.
5.
6.
学校沿革史
指導要録
備品台帳
児童名簿
出席簿
電話番号簿
○
○
A
○
A
○
B
○
○
重要性
C
○
A
D
学校にある情報資産 作る人・使う人
作る人
1.
2.
3.
4.
5.
6.
学校沿革史
指導要録
備品台帳
児童名簿
出席簿
電話番号簿
校長
担任
職員
担任
担任
事務?
使う人
歴代
後任
職員
職員
?
みんな
学校にある情報資産 作い方
場所
1.
2.
3.
4.
5.
6.
学校沿革史
指導要録
備品台帳
児童名簿
出席簿
電話番号簿
鍵
金庫
○
金庫
○
ロッカー
×
サーバ ×(制限)
ロッカー
×
机上
×
このような使い方で大丈夫?

気になることを上げてみましょう。
情報セキュリティ セルフチェック
事例で学ぶ e-セキュリティ 2009より
情報セキュリティ向上策

パスワード設定






学校のパソコン
個人のパソコン
ファイルにパスワード設定
ファイルやフォルダの暗号化
ウィルス対策ソフトの利用とアップデート
OSのアップデート
データの安全を確保


パスワード制限 暗号化 分散して保存
無料でも使える暗号化・パスワード
 一太郎の場合
 ワードの場合
 エクセルの場合
 フォルダのアクセス制限
OSによる
 フリーウェア
一太郎のパスワード
ワードのパスワード
エクセルのパスワード
フォルダのアクセス権
Windows7 Ultimate の例
ウィルス対策
OSのアップデート
データの持ち歩き


しないのが基本
管理出来る体制を




届け出,報告
ノートPCの中に入れたままにしない
暗号化,分割等をする
USBもセキュリティタイプを
暗号化による保護
何もなし
パスワード
+
暗号化
パスワード
同じようなUSBメモリでも
廃棄する時
アナログデータ
 情報が残らない形の廃棄を



シュレッダー
融解処理
業者委託は確認も必要
 個人で残さない
廃棄する時
デジタルデータ
 情報が残らない形の廃棄を



完全な消去
メディアをつぶす
バックアップも処理を
 個人所有も確実に廃棄
バックアップ

何世代のバックアップか
2世代程度

バックアップはいくつとるか
必要最低限

1つ 2世代
誰がとるか
学校としてまとめて

バックアップはどこに保存するか
持ち出せない場所
ID と PW



良いパスワード
 8文字以上のもの
 ユーザ名,本名,企業名を含まない
 単語をそのまま使用していない
 前のパスワードと大幅に異なるもの
パスワードは変更する。
パスワードはメモしない
悪いパスワードにするよりは メモする
メモの管理をきちんと
セキュリティ研修教材から
文章にする
 何について、どのように守るか
 しなくてはいけないことは何か
 してはいけないことは何か
 例外はあるのか
セキュリティポリシー
情報セキュリティポリシーの構成例
情報セキュリティ
基本方針
情報セキュリティ
対策基準
なぜセキュリティが必要かとい
う「Why」を規定
基本方針で策定した目的を踏
まえ、「何をなすべきか」の「W
hat」を規定
どのように行動するかの手順を定義
したもの。「How」を規定
情報セキュリティ
情報セキュリティ
情報セキュリティ
情報セキュリティ
実施手順書
実施手順書
実施手順書
実施手順書
(校務系)
(教務系)
(ネットワーク)
(アクセス制御)
出展: 独立行政法人 情報処理推進機構 資料 を編集
作るだけではダメ

運用しながら見直し
 初回は早めに

数ヶ月
みんなが理解できるように
 研修
 実施手順書


マニュアル
ガイドブック
学校情報セキュリティポリシー


セキュリティ・ハンド
ブックの作成・配布
セキュリティポリシー
作成のためのワーク
ショップの実施,資料
提供
http://www.cec.or.jp/seculib/index.html
ありがとうございました。

お役にたてることがあれば
E-mail [email protected]
資料
http://derek.jp/