学校でセキュリティを守り、身を守るために
そろそろ具体例を見ていきたいところです。
適切な組織って?
セキュリティを守りましょう、と言われたらそうだよなあ、と人間大体思うと思います。
ルールはこれだよ、と提示されたとして、ほとんどの場合、ルールを破ってしまう場面が出てきます。
それはルールが煩雑すぎたり、あるいはついうっかりミスをしてしまったり、悪意ある人に騙されたり、と様々な理由があります。
同情に値するような状況も勿論考えられますが、ルールを破ってセキュリティを脅かしたことには変わりありません。
ではそういう時に、誰に報告をしなければならないか決まっていなかったらどうなるでしょう。
誰に言っていいかわからないから、誰に言えばいいのかを確認していました、という間にウイルス感染が広がり、取り返しのつかないことになった、という場合責任を取るのは誰ですか?
・誰が
・誰に
・何をどのように
報告するのか決めておく必要があります。
また、「承認を得て許可する」というルールがあった時に、誰の承認を得ればいいのか決まっていなければ?
通りすがりの人に承認してもらってOKもらいました! というのは世間一般的に通らない理屈ですが、決まっていなければそれでも認めざるを得ない、というようなことも発生するわけです。
・誰が
・誰に
・何をどのように
承認を得るのか決めておく必要があります。
この時、
1 AさんがBさんに報告する
と決めておくことと
2 この役職の人はこの役職の人に報告する
と決めておくことでは、どちらの生産性が高いでしょう。
2の方が、異動や転勤、新入社員、昇格、降格などに対応しやすくないですか?
ですので、適切に、「この役職はこういう役割」と決めておくと様々なことがスムーズなのです。
どんな役割があるの?
文部科学省が出している「教育情報セキュリティポリシーに関するガイドライン」では、少なくとも12個の役割がありました。
印象としてはこれでもだいぶん整理されているなあ、という感じです。
以下に、どんな人が該当するのか少しピックアップしてみました。最近ずいぶん聞くようになったCが付く役職もありますね。
- CISO:最高情報セキュリティ責任者(CISO:Chief Information Security Officer)(副市長)
- 統括教育情報セキュリティ責任者(CIO補佐官)
- 教育情報セキュリティ責任者(情報システム課課長)
- 教育情報セキュリティ管理者(校長)
- 教育情報システム管理者(情報システム担当課課長)
- 教育情報システム担当者(情報システム担当課職員)
それぞれ役割の名前があって、とても似ているもの(特に上から3番目と4番目)もあります。なんでこんなに役割を分けるんだ、というのは、それだけセキュリティが複雑で大変で、1つの役割、1人の人に全部よろしく! というわけにいかないからです。
校長が全て決める責任を持つわけにいきませんし、全てを副市長が決めなければならないのであれば物事は進まないでしょう。
自治体全体で同じ対応でなければおかしいことと、学校単位で柔軟に対応したほうがいいことがありますね。
全てが自治体、全てが学校、というような極端な話ではなく、どこでどういう風に線を引くかということのいい塩梅を探さなければなりません。
いい塩梅を探すためには、どの塩梅がいいかと判断できるだけの知識が必要です。
このコラムでも何度もお伝えしている通りなんとなくフィーリングで物事を決めるのは得策ではありませんね。
ちょっと難しいかな、と思うことでも、判断するために必要な知識を、ご一緒に少しずつ深めていければと思います。
