学校でセキュリティを守り、身を守るために

セキュリティを守るということは、身を守るということです。
何を当然のこと言ってるんだ、と思われるかもしれませんね。

身を守るために必要なセキュリティ

USBメモリが出てきた時代を覚えていらっしゃるでしょうか。
こんな便利なものが出てきた！　と驚いて、様々な用途に使ったものです。どんな端末にもさせるなんて！　フロッピーディスクやMOのように専用読み取り装置もいらないし、CDみたいに書き込みに専用装置もいりません。画期的でした。
ところが、これは紛失しやすいものです。例えば、以下のような状況を聞いて、どう思われますか？

A教諭は子どもたちの成績のデータをUSBメモリに入れて、財布や時計などと一緒に鞄の中にしまった。
レンタルビデオ店でビデオを返却する際、駐車場に車を止め、鞄は車の中に置きっぱなしであった。
5分ほど車を離れている隙に、サイドのガラスが割られ、鞄を盗まれた。財布や時計、USBメモリなど被害額は時価5万円相当である。

A教諭に対してどう思われましたか？

成績データをUSBメモリに入れるなんてけしからん！　と思われたあなたは、ちゃんとセキュリティ意識がアップデートできています。
気の毒だなあ、と思ったあなたは、当時の空気をよく覚えていらっしゃいますね。
そう、A教諭は「自分は窃盗の被害者である」と思っていたはずです。ところが、（当時から勿論）子どものデータを持ち出すのはルールで禁止されています。つまり、A教諭は「子どもの情報を漏洩させた加害者」と認識されてしまうわけです。

ここで、効いてくるのが「セキュリティポリシー」で定められている対策手順や、それをもとにして作られている実施手順です。

実施手順に、「子どものデータが入ったUSBメモリを校外に持ち出す際」のルールが以下のように記載されていたとしましょう。

1. やむを得ない事情を管理職に説明し、管理職の承認を得る
2. 承認を得た記録として、持ち出し記録簿に名前、持ち出した日時を記載し押印する
3. 持ち帰った記録として持ち出し記録簿に名前、持ち帰った日時を記載し押印する

A教諭がルールを守って、持ち出し記録簿に記載をしていた場合、組織での対応となります。
管理職や教育委員会が謝罪をしなければならない案件です。A教諭は「ルールは守っていた」ため処分は軽くなるでしょう。
ところが、ルールを守っていなかった場合。
A教諭個人の責任になります。

だから、身を守るために、ルールが必要なのです。

セキュリティポリシーって？

セキュリティに関するルールを決めるための基本方針と、リスクをどこまで許容するかなどの対策基準からなるものがセキュリティポリシーです。
そんなの全国一律でいいじゃないかと思われる方もいらっしゃるかもしれません。
ところが、データの保存場所一つとっても、全国的に統一されていないのが現状です。

身近なところでいきましょう。あなたのスマホの写真データはどこに保存されていますか？
スマホの中ですか？　それともクラウドにアップロードしていますか？　それともどこかに書き出してハードディスク等に保管していますか？　それとも「このアプリでスマホ内のデータは一括管理、容量の心配もありません」みたいなアプリを使われていますか？
こういう状態で、「セキュリティを守るために、一切クラウドを使ってはいけません」というルールが定められるとどうなるでしょう。
大混乱です。
ですので、自治体毎に実情に沿ったセキュリティポリシーが必要ですし、学校は更に、「子どもがいる」ために「教育情報セキュリティポリシー」が必要なのです。

来週は、どんなルールが必要なのか概観する予定です。ご自分のスマホのセキュリティを高めるためにもぜひお読みください。