学校情報の管理

Download Report

Transcript 学校情報の管理 

「ネットワーク社会における学校情報の管理」
学校の情報資産を襲う脅威と対策
岐阜県教育委員会
教育研修課 情報化推進担当
情報通信ネットワーク社会と
・情報システムの管理、運用
学校の課題
・電子メールやWebの有効活用
・教育用コンテンツの有効活用
・個人情報の漏洩の防止
・ウィルス感染の防止
・校内からの不正情報発信の防止
・有害情報への対処
・情報モラルの向上
・外部からの不正侵入防止 等
サイバー攻撃
どうすれば
いいの?
情報通信ネットワーク社会の問題点
1.個人情報の保護
2.著作権の保護
3.名誉毀損、誹謗中傷
4.有害情報、違法情報の流通
<有害情報の例>
・アダルトサイト
・出会い系サイト
・薬物系サイト
・自殺系サイト
<違法情報の例>
・刑法上の猥褻物
・児童ポルノ
・著作権法違反
・詐欺
教育活動と情報通信ネットワーク社
会
児童
生徒
・ホームページ
・電子メール
・掲示板
・チャット等
①情報の収集
教師
教育
活動
②情報の活用
③情報の発信
◎学校が扱う「情報」
・内容
①インターネットから入ってくる情報
・重要性
②インターネット上に出て行く情報
・必要性
・安全性
情報管理
情報教育
学校を襲う脅威とは?
◇情報システムへの物理的な侵入
◇外部からの不正アクセス(踏み台・なりすまし)
◇内部からの不正アクセス
◇コンピュータウィルスへの感染
→システム上の不備
→職員や児童生徒による「持ち込み」
◇天変地異(火災・風水害・地震・雷)
学校は個人情報の宝庫!!
◇生徒に関する個人情報
住所、氏名、電話番号、保護者氏名・・・・
成績、出欠情報、特別活動、指導歴・・・・
進路希望情報、進路先情報・・・・
◇職員に関する個人情報
住所、氏名、年齢、家族状況・・・・
勤務履歴、健康診断・・・・
◆学校に関する情報:公の情報(積極的に公開)
→ 「個人情報取扱機関」であることの認識
学校における個人情報の多様な形態
◇ペーパーベースの情報(であったもの)
指導要録、成績通知票、健康診断記録・・・・
定期考査解答用紙、成績一覧表、成績不良者一覧表・・・・
PTA会員名簿、クラス名簿、部活動部員名簿・・・・
卒業文集、卒業アルバム、卒業者名簿・・・・
職員名簿、緊急連絡網、勤務記録カード・・・・
→ 最終出力・保管形態は「ペーパー」
→ 作成過程は「デジタルデータ」
→ データの流通形態は? ・・・・ ネットワーク?
→ データの保存方法は? ・・・・ デジタル記録メディア?
→ データの保存場所は? ・・・・ パソコン端末、サーバ?
情報資産へのセキュリティ対策を
怠った場合の脅威の例
学 校
情報資産
不注意
盗み見
不正侵入
悪意
セキュリ
ティーで
保護する
範囲
悪意の第三者
誤
用
(
メ
ー
ル
送
信
ミ
ス
)
・
流
出
(
盗
難
・
廃
棄
ミ
ス
)
漏洩
悪意の第三者
参考:(NECインターネットシステム研究所小池雄一氏資料より作成)
事例に見る脅威の例(漏洩)
1 個人情報の漏洩
★S信販会社:顧客情報32万人分の流出
→サーバデータ流出ツールによる不正取得
【緊急対応策】
①サーバへのアクセス可能な社員の制限
②ユーザID・パスワードの管理の厳格化
★インターネットサービスプロバイダ:ユーザ情報460万人分流出
→内部犯行か?流出経路は不明
【緊急対応策】
①アクセス可能な人員の縮減
②アクセス時間の制限
③パスワード変更期間の短縮
事例に見る脅威の例(漏洩)
1 個人情報の漏洩
★J通販会社:顧客情報30万人分が流出
→システム変更の時期に不正持ち出し
【緊急対応策】
①通販事業の一時停止
②データの持ち出し者を刑事告訴
★神奈川県の公立高校:卒業生の成績情報300人分が
ネットワーク上に流出
→学校内部からの流出?
【緊急対応策】
①校内LANの外部ネットワークからの切り離し
②生徒個人情報の保存・管理方法の変更
③教育委員会による指導・通達
事例に見る脅威の例(ウイルス)
2 2004年2月から:Mydoomの猛威
・2004年2月4日に発生したワーム型ウイルス
・自身を添付した「メール」を配信
P2Pソフト「Kazaa」を介して増殖
・世界中で500万台以上が感染被害
感染したパソコンを「踏み台」にして他のパソコンを攻撃
「被害者」が「加害者」になってしまう怖さ
事例に見る脅威の例(ウイルス)
3 2003年8月から:「Msブラスト」の衝撃
・2003年8月に登場した新型ウイルス
・「メール」を読んだり、
添付ファイルを開かなくても感染
感染したパソコンを「踏み台」にして他のパソコンを攻撃
対象OS:Windows2000とXP:脆弱生をつく
対策:ユーザによる「Windows Updata」の実施
適切な「パッチ」を当てる
事例に見る脅威の例(侵入)
★知らない間に「踏み台」にされると・・・
踏み台
侵入
攻撃
被害
学校
悪意にある第三者
企業
莫大な損害請求
「知らなかった」では通用しない!!【海外で判例】
事例に見る脅威の例(不正書込)
★授業中に「掲示板」へ不正書き込み・・・
@県内の中学校で、授業時間中に
生徒が「政治的な掲示板」にいたづら書き
@掲示板の主催団体から自治体の首長へ抗議
職員の処分の申し込み
@実態調査→首長名での謝罪文の提出
生徒・保護者への指導
@被害者が「中学生のことだから・・・」と許してくれる
→ 「日本的」な問題解決
事例に見る脅威の例(不正書込)
★学校ホームページの「掲示板」に不適切な書き込み(県内)
@学校ホームページの掲示板に自校の生徒が
民間の会社を誹謗・中傷する不適切な書き込み
@会社経営者から、学校へ削除要請のメール
@担当職員がメールに気づかず何日も放置
@会社経営者は、無視されていると度重なる警告、
対応策をとらない学校に激怒、
→ 告訴も考慮すると、直接学校に抗議
@事態に気がついた学校が対応
→ 「謝罪」等により解決
不正アクセスの年度別推移
★不正アクセス届出件数推移(1997~2003年)
700
619
550
600
407
500
400
300
143
200
100
0
25
46
55
1997年 1998年 1999年 2000年 2001年 2002年 2003年
(資料提供:IPAセキュリティセンター)
ウィルス発見届出件数の推移
★1999年から2003年
24,261
25,000
20,352
4,852 20%
8% 17,425
1,628
20,000
1,220 7%
15,000
11,109
2,222 20%19,409
10,000
5,000
0
3,645
1,871 54%
1,774
1999年
18,724
感染したケース
感染前に発見
16,205
8,887
2000年
2001年
2002年
2003年
(資料提供:IPAセキュリティセンター)
個人情報が漏洩してしまったら?
1 宇治市住民基本台帳データ漏洩事件
・1998年に宇治市で住民基本台帳データ21万件が流出
・住民3名が宇治市を相手に訴訟
・2001年12月:京都地裁判決
→ 1人当たり1万円の損害賠償命令
宇治市は、最高裁に上告
・2002年7月:最高裁判決
→ 1人1万円の慰謝料の支払いを命令
「公の機関による個人情報漏洩」に関する凡例
個人情報漏洩の慰謝料は「1人1万円」
個人情報が漏洩してしまったら?
2 インターネットサービスプロバイダ恐喝事件
・2004年にユーザ460万人分の個人情報流出判明
→ 顧客データを保持して会社を恐喝した犯人逮捕
・全ユーザに500円相当の金権送付(損害総額約40億円)
→ 実被害額以上の隠れたコスト
3 コンビニ顧客個人情報流出事件
・2002年に顧客56万人分の個人情報流出
・1人当たり500円相当の賠償(損害額約3億円)
多額の損害賠償金の支払い
それ以上に「失われた企業の信頼」は取り返せない!
学校にとってのセキュリティの意
義
☆学校の「存在」を確かなものにする
☆児童生徒・保護者及の被害の防止
☆職員の被害をの防止
☆第三者への被害の防止
☆情報化社会の一員として「反社会的行為」を
成す学校と見なされないこと
セキュリティの確保は「学校経営」の根幹に関わる問題
「学校だから」といった甘えは、情報通信ネットワーク社会では通用しない!!
学校内で守るべきものは?
☆個人のプライバシーに関する情報
・児童生徒の個人情報
・保護者の個人情報
・教職員の個人情報
☆公の情報資産
・各種教育情報
・情報システム
学校の情報管理確立のために
☆情報セキュリティポリシーの確立
・情報セキュリティに関する「基本方針」の宣言
・情報セキュリティを確保するための
「対策基準」の策定
・PC教室や校内LAN等の「使用規定・運用要領」の策定
☆プライバシーポリシーの確立
・個人情報の取扱いに関する「基本方針」の宣言
・個人情報の「取扱基準」の策定
参考:「岐阜県個人情報保護条例」
OECDの個人情報の取り扱いに関する8つの基本原則
☆コピーライトポリシーの確立
・教育活動における「著作権遵守」の確認
情報セキュリティポリシーとは?
情報セキュリティに関するルールを明文化
基本方針
セキュリティポリシー
対策基準
実施手順
[規定や要領等]
セキュリティポリシーの構成
情報セキュリティポリシー
☆「基本方針」の策定
→情報セキュリティに関する
学校の理念を宣言した文書
1.目的
2.用語の定義
3.情報セキュリティポリシーの
位置付けと職員の義務
4.情報資産への脅威
5.情報セキュリティ対策基準の制定
情報セキュリティポリシー
☆「対策基準」の策定
→「基本方針」を実施するために遵守すべき
行為・判断等の基準を定めた文書
1.目的
3.情報の分類と管理
4.物理的セキュリティ対策
5.人的セキュリティ対策
6.技術的セキュリティ対策
7.有害情報対策
8.運用におけるセキュリティ対策
9.法令遵守
10.違反に対する対応
11.評価及び見直し
情報システムのセキュリティ確保のために
☆「実施手順」(規定や要領等)の策定
→「対策基準」を実施するために遵守すべき行為・判断等
の
基準を各システム毎に定めたルール
【学校間総合ネットの実施手順】
1.「学校間総合ネット」利用規定
2.教職員用電子メール利用要領
3.Webプロキシサービス利用要領
4.Webホスティングサービス利用要領
5.教育用コンテンツ利用要領
セキュリティポリシー策定手順
①
②
③
④
⑤
⑥
組
織
・
体
制
の
確
立
基
本
方
針
の
策
定
リ
ス
ク
の
分
析
対
策
基
準
の
策
定
ポ
リ
シ
|
の
策
定
実
施
手
順
の
策
定
情報資産のリスク分析
情報資産の調査
脅威の調査
重要性の分類
脅威の発生頻度及び
発生時の被害の大きさ
の分析
セキュリティ要求水準
の設定
対策の策定
セキュリティポリシーの運用サイクル
策 定
基本方針・対策基準(ポリシー)
実施手順等の策定
評価・見直し
導 入
システムの監査
ポリシーの評価・見直し
配布・教育
物理的・人的・技術的措置
運用
システムの監視・ポリシーの遵
守状況の確認・被害時の対応等
全職員の共通理解による情報管理
☆「職員研修会」の実施
1.「情報セキュリティポリシー」について
・校内の情報システ、情報資産の理解
・各種規定や運用要領等ルールの確認
2.「プライバシーポリシー」について
・個人情報の取り扱い
・個人情報の管理方法
3.「コピーライトポリシー」について
・著作権法の理解
・情報通信ネットワークに関する法規とその内容
☆外部の「講演・研修会」等への参加
・学校での伝達講習
全職員の「情報モラル」の向上!!
児童生徒への情報モラル教育の充実
☆情報化社会において
児童生徒を「被害者・加害者」にしないために!!
教育が最大のセキュリティー対策
「・・・・・」をやってはいけない!
ではなく
「・・・・・」をやったらどうなる?
影響や結果、責任などの具体例を見せて、考
えさせる!!
これからの学校管理
「目に見えるもの」の管理
「もの」の管理
「ひと」の管理
施設
設備
教職員
児童生徒
「情報」の管理
「目に見えないもの」の管理
「情報管理」の重要性を再認識!!
「情報通信ネットワーク社会」
に参加するためには?
「情報モラル」
「情報通信ネットワーク社会」の「運転免許証」
「情報セキュリティポリシー」
「情報通信ネットワーク社会」の「保険」
END