「学校 情報セキュリティポリシー への取組み」
Download
Report
Transcript 「学校 情報セキュリティポリシー への取組み」
茨城県公立小中学校事務職員研修会
「 情報セキュリティ」
柏市立田中小学校
教頭 西田 光昭
E-mail : [email protected]
私について
西田
地域教育ネットワーク作りと運用
学校のICT環境作り
光昭(にしだ みつあき)
教育の情報化に関する手引き
情報モラル指導いろいろ
情報モラル指導セミナー指導グループ
情報モラル指導検討委員会
学校情報セキュリティ委員会
子どもの携帯電話等の利用に関する調査委員会
メディア教育開発センター K3プロジェクト委員
千葉県 柏市
人口
399,726人
小学校
41校
中学校
20校
高等学校
1校
チーバくん
情報セキュリティ
なぜ情報が重要か
情報セキュリティとは CIA
学校の情報セキュリティの特殊性
学校の情報資産
どんな情報資産があるか
情報資産の扱い
扱いの危険性
危険性への対処
情報セキュリティポリシー
http://www.jartic.or.jp/
http://ekitan.com/
http://www.jartic.or.jp/
http://www.jartic.or.jp/
http://www.ibarakiken-bunkacenter.com/kotsu/access.jpg
なぜ こんなに?
ハンディカメラ取材で波紋 乱れる現場
「倫理違反」指摘も
http://www.iza.ne.jp/news/newsarticle/business/media/331915/
写真にも値段が
http://www.fotosearch.jp/ より
あなたも払ってませんか?
事件としてニュースにもなる
ISEN
http://www.security-next.com/category/cat191/cat25
http://www.school-security.jp/
事例はいくらでも
事例で学ぶ e-セキュリティ 2009より
事件が起きると・・
事例で学ぶ e-セキュリティ 2009より
個人情報は売買されている
個人情報のお値段は
ヤフーBB 顧客の住所など450万件
一人500円
TBC 顧客情報5万人分
一人3万5千円(訴えた14人に対し)
宇治市住民情報データ流出 22万人分
基本4情報(氏名、住所、性別、生年月日)の漏洩
一人 1万円
学校情報セキュリティ
個人情報保護法の制定
H15/5制定
H17/4施行
それ以前からも,個人情報の取り扱
い規定はあった
個人情報保護法
だれもが安心してIT社会の便益を享受するた
めの制度的基盤として、平成15年5月に成
立し、公布され、17年4月に全面施行されま
した。
この法律は、個人情報の有用性に配慮しな
がら、個人の権利利益を保護することを目的
として、民間事業者の皆様が、個人情報を取
り扱う上でのルールを定めています。
個人情報保護法とは
http://www.caa.go.jp/seikatsu/kojin/index.html より
個人情報保護法
個人情報とは何ですか?
生存する個人に関する情報で、氏名等により、
特定の個人を識別できるもの。
名簿を作成・配付してはいけないの?
本人の同意を得て、作成することができます。同
意に代わる措置を取る方法もあります。
http://www.caa.go.jp/seikatsu/kojin/20060228meibosakusei.pdf
学校情報セキュリティ
個人情報保護法の制定
(H15/5制定H17/4施行)
それ以前からも,学校には重要な情報
デジタル化・ネットワーク化により変わった
コピーが容易
回収不能
扱われる質,量
取り扱いの見直しが必要
学校における情報セキュリティ
文書管理規定
セキュリティポリシー
・ セキュリティのシステム構築
・ セキュリティについての啓発
不祥事防止と情報セキュリティ
わいせつ・セクハラ
体罰
飲酒運転
違法行為
公金の取り扱い不正
情報漏洩
懲戒処分の指針
個人情報の紛失、盗難
職場のコンピュータをその職務に関連しない不適正な目
的で使用し、公務の運営に支障を生じさせた職員は、減
給又は戒告とする
指導監督不適正
児童、生徒等に係る重要な個人情報を、重大な過失によ
り、紛失し又は盗難に遭った職員は、減給又は戒告とす
る。
コンピュータの不適正使用
千葉県
部下職員が懲戒処分を受ける等した場合で、管理監督
者としての指導監督に適正を欠いていた職員は、減給又
は戒告とする。
非行の隠ぺい、黙認
部下職員の非違行為を知得したにもかかわらず、その事
実を隠ぺいし、又は黙認した職員は、停職又は減給とす
る。 http://www.pref.chiba.jp/kyouiku/kyousou/tyoukaisisin/sisin.html
学校情報セキュリティ
先生方を縛るためでなく
先生方が安心して
「校務の情報化」「授業の情報化」を
進めることができるように
学校改善,授業改善のため
先生方,子どもたちを守るため
情報セキュリティの基本原則C I A
C:Confidentiality(機密性)
人に知られてはならない情報を漏らさない。
I:Integrity(完全性)
情報が改竄されたり,変更されたりせず,ある
べき状況を保つこと。
A:Availability(可用性)
必要な時には,いつでも利用できること。
ウィルスに 感染すると・・・
C:Confidentiality(機密性)
I:Integrity(完全性)
A:Availability(可用性)
学校の情報セキュリティは
① 指揮・命令機能が弱い
② 能力・意識差が大きい
③ 専門家が不在である
④ 私物PCの持ち込み・業務利用が一般的
⑤ ネットワーク、システム管理権限がない
(http://www.cec.or.jp/e2e/symp/kochipdf/B1.pdf)
教育の情報化
児童生徒が身につける力
情報活用能力
情報モラル
わかりやすい授業
定着する学習
校務の効率化
学習するための方法
学習を支える
学校におけるセキュリティ
ネットワークを分ける 柏の例
Internet
www out
NOC L3
www in
市教委
教育研究所
L3 SW
共用
V-LAN
L3 SW
グループウェア
SA@,わいわい
V-LAN
L3 SW
PC室
普通教室
V-LAN
学習用
PC室
ファイルサーバ
グループウェア
普通教室
職員室
ファイルサーバ
校務用
職員室
ユーザ毎に限定
職員系 と 教室系 の分割
ユーザ名 パスワード
パソコンの登録
L3-SW
教室系
職員系
server
T-server
教員一人1台のPC
従来の教室2台配置から 1台を教員用に
教員用のPCは,校務をメインに
指導用のPCは,クラス配置
校務用に仕様を作る
個人所有PCの一掃
利用するサーバ
教室系
職員系
職員用サーバ
PC室Server
共有 T: (work$)
個人 u:
職種別
教頭
校長専用
校長
○
教頭専用
教務主任専用
養護教諭専用
○
○
○
○
○
○
事務室専用
○
○
共有 T:
(みんなのフォルダ)
個人 u:
教務主任 養護教諭 事務室
○
○
○
1.ファイルサーバ上に集める
まずはここに保存する。
約束を決める
2.個人のものと,共有するもの
人も使う
自分しか使わない
3. 仕事の内容によって
学年の仕事
校務分掌上の仕事
4. ひな形の蓄積
5.年度毎の整理
毎年の繰り返し
漏れをなくす
学校外との情報のやりとり
教員向けグループウェア
• 校内に一人しかいない
• 専門性のある仕事
E-mailの利用環境
市教委として全員に配布
市教委のイントラ内部で,ダウンロード可
どこからでもWebメールで読み書き可
添付等は,フリー
Virusチェックは2重
グループウェアのメッセージと共存
既存のアナログのデータとの共存
学校における情報セキュリティの脅威
車上ねらいに,成績な
どの個人情報の入った
パソコンを盗まれた!
名簿などの情報が入
ったUSBメモリを,
なくしてしまった!
.
ウイルスに感染した個
人所有パソコンを,校
内LANに接続し、市
のネットワーク全体を
止めてしまった!
通知票のデータや住
所録などをファイル
共有ソフト(Winny
など)で,インターネ
ット上に流出させ,回収
不 能 に な っ た !
自分だけは大丈夫だと
思っていたのに・・・
子どもにダイレクトメール
が大量に届いた!
情報セキュリティ確保のための対策が必要
学校の情報資産を見直す
どんな情報資産があるか
情報資産の扱い
扱いの危険性
危険性への対処
どんな情報資産があるか
重要性
学校で取り扱う情報資産
知られたくな
い
無くなると困
る
誰が作っ
て
誰が使
うか
保管は
危険性
場所
方法(鍵)
手立て
学校にある情報資産
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
学校にある情報資産 重要性
知られたくない 無くなると困る
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
学校にある情報資産 重要性
知られたくない 無くなると困る
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
○
○
○
○
○
○
○
情報資産の重要性
×困る← 知られる →○いい
×困る
↑
無く
なる
↓
○いい
A
B
B
C
• A は最も重要で守らなくてはならない情報
• B,CがAに次ぎ重要で,守る努力が必要な情報
• Dは守る必要性の低い情報
学校にある情報資産 重要性
知られた 無くなる
くない
と困る
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
重要性
○
○
A
○
○
A
○
B
○
B
○
B
C
学校にある情報資産 作る人・使う人
作る人
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
使う人
学校にある情報資産 作る人・使う人
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
作る人
使う人
事務
事務
教頭
管理職
担当者
全職員
事務
事務・教頭
事務・本人
事務
?
全職員
学校にある情報資産 扱い方
場所
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
鍵
学校にある情報資産 扱い方
1.
2.
3.
4.
5.
6.
履歴書
学校職員一覧
備品台帳
学校予算執行簿
出勤簿
電話番号簿
場所
鍵
ロッカー
○
サーバ
○
ロッカー
サーバ
棚
棚
△
このような使い方で大丈夫?
気になることを上げてみましょう。
このような使い方で大丈夫?
鍵をかけずにいることがある
学校から持ち出すことがある。
保管方法が決まっていない。
誰もが使える。
セキュリティ対策がされていない。
情報セキュリティ セルフチェック
事例で学ぶ e-セキュリティ 2009より
危険性への対応
リスクの回避
4種類のリスク対応
高
発生頻度
脅威そのものを取り除くことにより、リスクの発生可能性
をなくしてしまうこと。
低
例えば、ノートパソコンの持ち出しを禁止すれば、紛失
のリスクはなくなる。
リスクの低減
脅威を小さくする、または脆弱性を小さくするなどの方法
により、リスク小さくすること。
大
損
害
規
模
リスクの
リスクの
回避
移転
例えば、パスワードを定期的に変更することを徹底すれ
ば、パスワードが盗まれるリスクは小さくなる。
リスクの移転
自社の抱えるリスクを他者に移し替えること。
リスクの
リスクの
例えば、業務を委託する、保険に加入するなど。
リスクの保有
低減
小
保有
リスクの存在を認識しながらも、特段の対応を取らないこと。
小さなリスクまですべてに対応することは現実的でなく、リ
スクを保有することもリスク対策のひとつである。
出展: 個人情報保護士試験完全対策(あさ出版) を参照
情報セキュリティ向上策
パスワード設定
学校のパソコン
個人のパソコン
ファイルにパスワード設定
ファイルやフォルダの暗号化
ウィルス対策ソフトの利用とアップデート
OSのアップデート
データの安全を確保
パスワード制限 暗号化 分散して保存
無料でも使える暗号化・パスワード
一太郎の場合
ワードの場合
エクセルの場合
フォルダのアクセス制限
OSによる
フリーウェア
一太郎のパスワード
ワードのパスワード
エクセルのパスワード
フォルダのアクセス権
Windows7 Ultimate の例
ウィルス対策
OSのアップデート
データの持ち歩き
しないのが基本
管理出来る体制を
届け出,報告
ノートPCの中に入れたままにしない
暗号化,分割等をする
USBもセキュリティタイプを
暗号化による保護
何もなし
パスワード
+
暗号化
パスワード
同じようなUSBメモリでも
廃棄する時
アナログデータ
情報が残らない形の廃棄を
シュレッダー
融解処理
業者委託は確認も必要
個人で残さない
廃棄する時
デジタルデータ
情報が残らない形の廃棄を
完全な消去
メディアをつぶす
バックアップも処理を
個人所有も確実に廃棄
バックアップ
何世代のバックアップか
2世代程度
バックアップはいくつとるか
必要最低限
1つ 2世代
誰がとるか
学校としてまとめて
バックアップはどこに保存するか
持ち出せない場所
ID と PW
良いパスワード
8文字以上のもの
ユーザ名,本名,企業名を含まない
単語をそのまま使用していない
前のパスワードと大幅に異なるもの
パスワードは常に変更する。
パスワードはメモしない
悪いパスワードにするよりは メモする
メモの管理をきちんと
セキュリティ研修教材から
文章にする
何について、どのように守るか
しなくてはいけないことは何か
してはいけないことは何か
例外はあるのか
セキュリティポリシー
情報セキュリティポリシーの構成例
情報セキュリティ
基本方針
情報セキュリティ
対策基準
なぜセキュリティが必要かとい
う「Why」を規定
基本方針で策定した目的を踏
まえ、「何をなすべきか」の「W
hat」を規定
どのように行動するかの手順を定義
したもの。「How」を規定
情報セキュリティ
情報セキュリティ
情報セキュリティ
情報セキュリティ
実施手順書
実施手順書
実施手順書
実施手順書
(校務系)
(教務系)
(ネットワーク)
(アクセス制御)
出展: 独立行政法人 情報処理推進機構 資料 を編集
作るだけではダメ
運用しながら見直し
初回は早めに
数ヶ月
みんなが理解できるように
研修
実施手順書
マニュアル
ガイドブック
学校情報セキュリティポリシー
セキュリティ・ハンド
ブックの作成・配布
セキュリティポリシー
作成のためのワーク
ショップの実施,資料
提供
http://www.cec.or.jp/seculib/index.html
ありがとうございました。
お役にたてることがあれば
E-mail [email protected]
資料
http://derek.jp/