徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭

Slides:



Advertisements
Similar presentations
学校における個人情報の取り扱い 京都市教育委員会総務課 企画広報係長 西田 良規. <個人情報保護の基本原則> ○ 利用目的を特定して個人情報を入手する ○ 個人情報を入手する際には本人の同意を得る ○ 利用目的を超えて情報を取り扱わない ○ 情報処理を外部委託する際はしっかり監督する ○ 本人から請求があれば,保有する個人情報を開.
Advertisements

個人情報を守ろう! ~個人 情報の安全な取り扱い方 ~. 本日の課題 (1)個人情報の定義を知る。 (2)個人情報の安全な取扱い 方を知る。 個人情報を守ろう!
個人情報を守る学習指導 柏市立土南部小学校 教諭 西田 光昭
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
情報セキュリティについて. はじめに 教育の情報化が進み、教材や文書の共 有、成績の一括管理等が行われるように なり、たいへん便利になりました。 その一方で、個人情報の漏えい事故が 頻繁に報道されています。 この研修を通して、日常の何気ないと ころに潜む危機を未然に防ぎ、情報漏え いを起こさないように努めてください。
学校での個人情報漏えい例 修正パッチ未適用で ウィルス侵入 修正パッチ未適用で ウィルス侵入 無線LANに 外部から侵入 無線LANに 外部から侵入 校内LANから 成績データ流失 校内LANから 成績データ流失 生徒個人情報入 り ノートPC盗難 生徒個人情報入 り ノートPC盗難 ファイル交換ソフトか.
1 県教育委員会の教育の 情報化への取り組み 2 校内における情報安全 管理について. ・5年以内に世界最先端のIT国家 ( e-Japan 戦略 2001 年) ・世界のIT革命を先導するフロントランナー 国の取り組み 県の取り組み ・ITを活用して、県民生活の向上、自立に向けた持続的発展 人材育成.
1 1 先導的教育情報化 推進プログラム 情報を区分けした先進的な校務の情報化 ~校務の情報化により、 学校が変わる・教員が変わる・児童生徒が変わ る~ 学校が変わる・教員が変わる・児童生徒が変わ る~ 文部科学省委託事業(平成 19 年度~平成 21 年度) 岐阜市教育情報化推進プロジェクト ( NTT-
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
~情報事故を防止するために~ USBメモリの整理と管理 Universal Serial Bus Memory ユニバーサル・シリアル・バス ・メモリ.
本日の課題 (1)個人情報の定義を知る。 (2)個人情報の安全な取扱い 方を知る。 個人情報を守ろう!
第6章 インターネットと法律(後編) [近代科学社刊]
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
安全管理体制と リスクマネジメント.
 テーマ別解説 中学校における 情報モラル指導の実際 千葉県八千代市立八千代中学校 校長 坂本 仁.
いじめ防止全体指導計画 【対応1】 未然防止・早期発見 【対応2】 緊急対応・早期対応 いじめ発生 基本姿勢 雲仙市立千々石第一小学校
情報モラル.
三重県立杉の子特別支援学校石薬師分校いじめ防止基本方針
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭
学校におけるネットワークの運用と技術 兵庫県立伊丹北高等学校 佐藤 勝彦.
自宅で仕事をする時 ワークシート③ ☞研修例=各自記入5分+グループ協議7分+全体共有7分(1シート約20分)
情報教育の推進について 神奈川県立川崎北高等学校.
オムニチャネル、グローバルリスク対応 R&Dコンサルティングのご提案 オムニチャネル、グローバルリスク対応
千葉県柏市立土南部小学校 西田 光昭 学校における     情報モラル指導の実際 千葉県柏市立土南部小学校 西田 光昭
校内研修会 予防・開発的教育相談の手法を取り入れた SNSトラブルの未然防止
学校のデジタル仕事術 教務主任の校務IT化とその体制づくり
教育研修センター通信 ☆情報教育夏季研修☆(7/23,24 8/22実施) ☆人権教育研修☆(7月25日実施)
実例1 テスト結果の入ったPC盗難 静岡市の市立小学校の男性教諭(39) 仕事のため私物パソコンを自宅に持ち帰る
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
5 24 / やまなしICT利活用研究会 5月の学習会 (土) 情報漏えいのリスクと向き合う 主催:やまなしICT利活用研究会
教育情報化 新たなスタートを迎えて 西田 光昭 千葉県柏市立土南部小学校 教諭
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
情報関連教室オリエンテーション 情報関連教室 オリエンテーション C000.
セキュリティ・チェックリスト解説 【5~10分】
柏市立教育研究所 指導主事 西田 光昭 ネットワーク活用へ向かう 柏市の情報教育 柏市立教育研究所 指導主事 西田 光昭
平成21年度 教育情報化推進講座 第3次沖縄県教育情報化推進計画について 沖縄県教育委員会 1 1.
今、教育の情報化に求められるもの 西田 光昭
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
Winny(ウィニー),Share(シェア)等の ファイル交換ソフトウェアによる 情報流出の防止策
情報セキュリティ - IT時代の危機管理入門 -
日本学校保健会 平成29年度学校欠席者・ 感染症情報システム研修会 「中学校における活用事例」
スライド資料 E1 教育校務の情報化 〈タイトル〉 ここでは、教育の情報化とICT活用について学びます。 兵庫県版研修プログラム.
【第1回】マルチメディアとは① 画像の処理 J000
第6章 インターネットと法律(後編) [近代科学社刊]
情報モラル学習(教職員) これだけは知っておいてほしい情報モラル.
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
大阪府立茨木養護学校 丹羽 登 2002年6月17日 兵庫教育大学での講義
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
小学校校務支援システム 県立総合教育センター   .
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
安全管理体制とリスクマネジメント.
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
学校等欠席者・感染症情報 システムの概要について
校内研修・導入編 【10分】 ① ② ☞研修例=研修の導入として10分程度,情報セキュリティに関する基本的な
第一回 情報セキュリティ 05A1027 後藤航太.
教育情報共有化促進モデル事業報告 中学校数学 平成16年1月31日 岐阜県 学習システム研究会「楽しく学ぶ数学部会」
スライド資料 G1 情報セキュリティ 〈タイトル〉 ここでは、教育の情報化とICT活用について学びます。 兵庫県版研修プログラム.
子どもたちを携帯電話の持つ危険性から守るための対応
1 はじめに 2 防災主任配置に至る経緯 3 防災主任の役割 4 具体的な業務の例 5 教職員の連携・役割分担 6 おわりに
●●市における教育ICT環境整備方針 (概要)
高等学校において留意願いたい事項について
なんでしなくちゃいけないの? 情報セキュリティ
保護者・地域のみなさまへ 東京都教育委員会は 「学校における教員の働き方改革」 を推進しています!
基礎情報の収集・・・前年度の出欠席状況、配慮の必要性、長期欠席経験者への対応
学校における教育の情報化の推進と校内研修の企画運営
特別支援教育総合推進事業 特別支援教育 推進員 高等学校 1(新)特別支援教育総合推進事業【4,752千円】 県教育委員会 特別支援学校
Presentation transcript:

徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭 学校情報セキュリティワークショップ 徳島県立総合教育センター  指導主事 大平 和哉 千葉県柏市立土南部小学校  教諭 西田 光昭 学校情報セキュリティワークショップをはじめさせていただきます。 千葉県柏市立土南部小学校 教諭 西田 光昭 徳島県立総合教育センター 指導主事 大平 和哉 近年,情報化社会の進展に伴って毎日のように情報セキュリティに関する様々なトラブル事例が報じられています。学校でも,パソコンの紛失・盗難による児童生徒の重要な情報の漏洩,ウイルス感染をはじめ,ファイル共有ソフト(Winnyなど)による情報流出など,多くのトラブルが発生しています。  こういった学校で生じるセキュリティに関するトラブルへの対応策として,学校情報セキュリティポリシーを策定・実行していくことがあげられます。

-前提の確認- なぜ,学校情報セキュリティか 先生方を縛るためでなく 先生方が安心して 「校務の情報化」「授業の情報化」を 進めることができるように -前提の確認- 先生方を縛るためでなく 先生方が安心して 「校務の情報化」「授業の情報化」を 進めることができるように 先生方,子どもたちを守るため 学校改善,授業改善のため 先生方,子どもたちを守るため

学校の情報セキュリティの現状 (インスタント実態調査) あなたの学校・地域の現状は? 情報セキュリティポリシー,実施手順を策定済み? 個人所有パソコンを自由に校内LANに接続? 記憶媒体や個人所有パソコンに,個人情報を記録  し,学校・自宅・出張先間を持ち歩いている? パスワード設定・暗号化の状況は? コンピュータに詳しくない教員まで徹底している? 学校の情報セキュリティの現状 (インスタント実態調査) あなたの学校・地域の現状は? ・情報セキュリティポリシー,実施手順を策定済み? ・個人所有パソコンを自由に校内LANに接続? ・記憶媒体や個人所有パソコンに,個人情報を記録し,学校・自宅・出張先間を持ち歩いている? ・パスワード設定・暗号化の状況は? ・コンピュータに詳しくない教員まで徹底している?

小・中・高教員の記憶媒体や個人所有パソコンの 学校・自宅間での持ち歩き(札幌市) 約7割が持ち歩き 小・中・高教員の記憶媒体や個人所有パソコンの 学校・自宅間での持ち歩き 約7割が持ち歩き N=10,296 2005年8月

記憶媒体や個人所有パソコンに 児童生徒や保護者等の個人情報が記録されているか(札幌市) 公立学校は, 個人情報保護条例 が適用される。 約6割が個人情報を電子化 記憶媒体や個人所有パソコンに 児童生徒や保護者等の個人情報が記録されているか 約6割が個人情報を電子化 公立学校は,個人情報保護条例が適用される。

学校における情報セキュリティの脅威 情報セキュリティ確保のための対策が必要 車上ねらいに,成績などの個人情報の入ったパソコンを盗まれた! 名簿などの情報が入 ったUSBメモリを, なくしてしまった! . 通知票のデータや住 所録などをファイル 共有ソフト(Winny など)で,インターネ ット上に流出させ,回収不能になった! ウイルスに感染した個人所有パソコンを,校内LANに接続し、市のネットワーク全体を止めてしまった! 自分だけは大丈夫だと 思っていたのに・・・ 子どもにダイレクトメールが大量に届いた! 情報セキュリティ確保のための対策が必要

実効性のある学校に特化したセキュリティポリシー・ 実施手順書等策定のための支援(問題意識の共有,分析,具体化など) 学校における3つの課題 1.現場の教職員(管理職+一般教職員)が,情報リスクを 十分に自覚・認識していない。  →セキュリティポリシーがあっても,一般教職員にとって,存在してい    ないのと同じ状況。参与の欠如による当事者意識の欠落 →学校の特殊性(指揮系統の曖昧さ,インセンティブ,サンクションなし) 2.学校における情報資産,情報リスクと脅威の分析が不十分  →具体的特定が不十分。しかも,情報資産の「オーナー」(所有者)と    「オリジネータ」(入力者・作成者)が厳密に区別されていない。 3.小規模校では,実効性のあるセキュリティ対策が困難  →人的資源,学校向けテキスト等の各種支援が不足していること,    ネットワーク管理・資金的裏付けの関係,教育委員会の関与  →最も重要な「実施手順書」(マニュアル)が作成がされず 学校における3つの課題 1.現場の教職員(管理職+一般教職員)が,情報リスクを 十分に自覚・認識していない。 セキュリティポリシーがあっても,一般教職員にとって,存在してい ないのと同じ状況。参与の欠如による当事者意識の欠落 学校の特殊性(指揮系統の曖昧さ,インセンティブ,サンクションなし) 2.学校における情報資産,情報リスクと脅威の分析が不十分 具体的特定が不十分。しかも,情報資産の「オーナー」(所有者)と 「オリジネータ」(入力者・作成者)が厳密に区別されていない。 3.小規模校では,実効性のあるセキュリティ対策が困難 人的資源,学校向けテキスト等の各種支援が不足していること,ネットワーク管理・資金的裏付けの関係,教育委員会の関与 最も重要な「実施手順書」(マニュアル)が作成がされず 実効性のある学校に特化したセキュリティポリシー・実施手順書等策定のための支援(問題意識の共有,分析,具体化など) 実効性のある学校に特化したセキュリティポリシー・ 実施手順書等策定のための支援(問題意識の共有,分析,具体化など)

情報セキュリティポリシーとは ■ 組織の情報セキュリティに関する方針を示した文書 ■ 組織の情報セキュリティに関する方針を示した文書 ■ 情報セキュリティマネジメントを実践するための様々な取り組みを、   包括的に規定する。   ◎ 学校にとって守るべき情報は何か   ◎ その情報のセキュリティ上の脅威やリスクを、どう管理すべきか ■ 組織全体の情報セキュリティポリシーは、   情報セキュリティマネジメントの全ての活動に先立って策定する。 情報セキュリティポリシーとは 組織の情報セキュリティに関する方針を示した文書 ■ 情報セキュリティマネジメントを実践するための様々な取り組みを、   包括的に規定する。   ◎ 学校にとって守るべき情報は何か   ◎ その情報のセキュリティ上の脅威やリスクを、どう管理すべきか ■ 組織全体の情報セキュリティポリシーは、   情報セキュリティマネジメントの全ての活動に先立って策定する。 出展: 独立行政法人 情報処理推進機構 資料を編集

情報セキュリティポリシーの文書体系 目的、方針、運用範囲、体制など、基本的事項 情報セキュリティ対策基準 各種ガイドライン 基本方針 情報セキュリティ対策基準 各種ガイドライン 対策基準 情報セキュリティポリシーの文書体系 基本方針 対策基準 実施手順 情報システム実施手順書 各種規程書 各種申請・届出用紙など 実施手順 出展: 独立行政法人 情報処理推進機構 資料より

各学校・教育委員会の作業全体イメージ ひな形A,Bも参考に 修正・絞り込み 自治体の対策基準 学校の対策基準 自治体の 基本方針 学校の 基本方針 ひな形A,Bも参考に 修正・絞り込み 自治体の対策基準 学校の対策基準 アウトプットだけでなく,プロセスの研究を リスク対応策        検討 学校の実施手順 (学校に特化した形で) リスク整理 各学校・教育委員会の作業全体イメージ 情報資産の 洗い出し

各自の責任を自覚と学校情報セキュリティポリシーの策定 教職員は,被害者ではなく加害者になる 可能性が大きいことを自覚して 便利さは,危険と表裏一体 絶妙なバランス感覚が重要 甘くなりがちな現状を厳に戒めつつ, 業務に支障をきたさないための 「安全確保策」と「責任の所在の明確化」を 学校情報セキュリティポリシーの策定を!

学校に特化し,実効性を確保するための支援として『学校情報セキュリティハンドブック』を開発 JIS X5080 2002準拠

ワークショップの時間 開 始 14:40 自己紹介 15:00 トラブル事例 15:10 学校の情報資産 15:20 脅威 2つ 15:45 開 始        14:40 講義      20 自己紹介      15:00 トラブル事例    15:10 グループ内でフリー 学校の情報資産  15:20 個別に      5 共同で     10 発表       10 脅威  2つ     15:45  個別に     10 16:15(休憩) 脅威のマッピング  16:30 共同で       10 リスクリストの作成  16:40 共同で 10 発表         10 リスク対応策の作成 17:00 発表 10 まとめ       17:20 終 了          17:40

自己紹介  グループ内で ・所属  名前 など ・学校の環境等 ・特に成績関係の扱い方 ※リーダー(発表者)の決定

5つのステップ 問題意識の共有化 リスクや資産の整理 リスク対応の具体策 ポリシーの作成 実際に運用 見直し 今日は この辺を 中心に セキュリティポリシーの策定は5つのステップで 実際に運用 見直し

多くのトラブル事例 校内での紛失・盗難 校外での紛失・盗難 ウィルスの影響 部外者による漏洩 問題意識の共有化 処分の対象に!   多くの事例から学ぶ   処分の対象にも也得る

懲戒処分の指針 千葉県 問題意識の共有化 個人情報の紛失、盗難 コンピュータの不適正使用 指導監督不適正 非行の隠ぺい、黙認 懲戒処分の指針  千葉県 問題意識の共有化 個人情報の紛失、盗難 児童、生徒等に係る重要な個人情報を、重大な過失により、紛失し又は盗難に遭った職員は、減給又は戒告とする。 コンピュータの不適正使用 職場のコンピュータをその職務に関連しない不適正な目的で使用し、公務の運営に支障を生じさせた職員は、減給又は戒告とする 指導監督不適正 部下職員が懲戒処分を受ける等した場合で、管理監督者としての指導監督に適正を欠いていた職員は、減給又は戒告とする。 非行の隠ぺい、黙認 部下職員の非違行為を知得したにもかかわらず、その事実を隠ぺいし、又は黙認した職員は、停職又は減給とする。 千葉県の処分規程の例  既に PCを盗難にあって減給になっている事例もある。 http://www.pref.chiba.jp/kyouiku/kyousou/tyoukaisisin/sisin.html

具体的なトラブル事例(1) 校内での盗難・紛失 高等学校 2005年3月 学校内の金庫で書類とともに管理されていたフロッピーディスクが紛失した。出し入れをした間に紛失した可能性が高いという。フロッピーディスクには受験生97人分の氏名や生年月日,在籍校,成績など個人情報が含まれていた。 2005年4月 生徒指導室の机の上に置かれていた在校生197人分の数学の成績や卒業生40人分の各教科の成績などが保存されていたパソコンが盗まれた。 中学校 2005年5月 男性教諭が職員室のパソコンに全校生徒の氏名・住所・電話番号・英語の成績などの個人情報が入った携帯型記録媒体(USBメモリ)を接続して作業後,そのまま帰宅。翌日出勤した際,紛失に気付いた。 小学校 2005年10月 女性教諭が退勤する際,児童の個人情報が保存されていたノートパソコンを鞄ごと置き忘れた。翌朝,置き忘れに気付き,前日鞄を置き忘れたと思われる場所を捜索したが発見できなかった。

具体的なトラブル事例(2) 校外での盗難・紛失 小学校 2004年12月 女性教諭が原付バイクで帰宅途中,前かごに入れておいた手提げかばんを背後から原付バイクできた男にひったくられた。かばんの中には担任クラスの全生徒の指導要録と調査書などが入っていた。 高等学校 男性教諭が帰宅途中に飲酒し電車内で眠り,約2時間後に起きたときには,生徒の答案用紙と成績などを記録したMOディスク1枚が入ったかばんが紛失していた。 中学校 2005年6月 女性教諭が帰宅途中,子供を迎えに寄った保育所に駐車したところ,自家用車の窓ガラスが割られ,車内に置いてあったノートパソコンをバッグごと盗まれた。そのパソコンには生徒の成績や保護者の名簿などの個人情報が保存されていた。 養護学校 2005年9月 女性教諭が帰宅途中,薬店に駐車したところ,自家用車の窓ガラスが割られ,生徒3人分の指導内容が記録された記憶媒体(フラッシュメモリ)と教職員17人分及び生徒79人分の緊急連絡先が記載された書類が入ったバックを盗まれた。 教育 委員会 教職員課主幹の男性職員が,次年度採用の教員試験の受験者1606人や,県教委が指導力不足と認定した教員175人の氏名など,延べ3202人分の個人情報を記録したパソコンの記録媒体(フラッシュメモリ)1個を持ち出し,紛失した。

具体的なトラブル事例(3) ウイルス関連、他 小学校 2005年6月 校務主任の教諭が全校児童535人分と教職員約30人分の個人情報を記録したメモリを自宅に持ち帰り,家族所有のパソコンにコピーしたところ,ウイルスに感染し,ファイル交換ソフトWinnyを通じて名簿がインターネット上に流出した。 2006年1月 男性教諭の私物パソコンから担任児童36人分の成績情報がインターネット上に流出した。ファイル交換ソフトWinnyによるウイルス感染が原因とみられる。 中学校 2005年4月 子供が通う中学校の指導方針に反感を持ったカメラマンの男性が,中学校から個人情報が入ったパソコンを盗み,インターネット上の掲示板に同校の中傷やパソコンから取り出した教員の個人情報を公開し,嫌がらせをした。 教育 委員会 公立小中学校の一部児童の情報が流出したことが,個人情報の買い取りを求める脅迫めいた電話により発覚した。流出したとみられる個人情報は,廃棄業者によって廃棄されたパソコンに保存されていたもので,生徒や保護者の氏名,住所,電話番号,成績など約6000名の個人情報が含まれていたという。

学校の情報資産 成績関連 リスクや資産の整理 児童・生徒・保護者の個人情報 学校を運営するために欠かせない情報 リスクや資産の整理  まず 資産のリストアップ   その中で 個人情報を含む物  学校運営が止まってしまうような情報を選ぶ

学校における脅威 1つの資産について リスクや資産の整理 特色の 異なるもの 学校に想定される脅威をリストアップする。 脅威の評価をする。  (大:非常に危ない 中:危険はある 小:ほとんどない) 評価判断の根拠を明らかにしておく  特色の 異なるもの リスクや資産の整理  ステップ1を参考に 脅威をリストアップし,学校の資産に対して その脅威の存在を確認する

脅威の評価 脅威評価法(例1) 脅威大 脅威小 情報資産の重要性と、脅威に対する脆弱性から評価する方法 大 小 低 高 脅威:  情報システムや組織に損失や損害 をもたらすセキュリティ事故の潜在  的な原因 脆弱性:  脅威に対してどのくらい弱いかとい うこと 脅威大 情報資産の重要性 脅威小 小 脅威に対する脆弱性 低 高

脅威の評価 脅威評価法(例2) 脅威大 脅威小 発生した場合の損害規模と、予想される発生頻度から評価する方法 大 小 低 高 損害規模

何を 何から 守るか 1つの資産について リスクや資産の整理 資産の重要度・驚異の大きさを元にマッピングする。(大 中 小) 何を 何から 守るか リスクや資産の整理 1つの資産について 資産の重要度・驚異の大きさを元にマッピングする。(大 中 小) 対応すべきリスクをしぼりこむ。 重要度は変わらない リスク大 重要度と 脅威の大きさから 対応すべきことを決める リスク小

リスクを一覧にする リスクや資産の整理 資産に対する脅威から リスクをまとめる

どのように守るか 成績関連 リスクへの対応策を、リストアップする。 対応策を選び、決定する。 理由をはっきりとさせる リスク対応の具体策 対応策を選び、決定する。  理由をはっきりとさせる 成績関連 リスク毎に,その対応策をリストアップし 学校として,対応できる内容を決める

リスク対応 4種類のリスク対応 大 リスクの 移転 リスクの 回避 リスクの 保有 リスクの 低減 小 低 高 損害規模 発生頻度 リスクの低減 脅威を小さくする、または脆弱性を小さくするなどの方法により、リスク小さくすること。 例えば、パスワードを定期的に変更することを徹底すれば、パスワードが盗まれるリスクは小さくなる。 大 リスクの 移転 リスクの 回避 リスクの回避 脅威そのものを取り除くことにより、リスクの発生可能性をなくしてしまうこと。 例えば、ノートパソコンの持ち出しを禁止すれば、紛失のリスクはなくなる。 損害規模 リスクの 保有 リスクの 低減 リスクの移転 自社の抱えるリスクを他者に移し替えること。 例えば、業務を委託する、保険に加入するなど。 小 リスクの保有 リスクの存在を認識しながらも、特段の対応を取らないこと。 小さなリスクまですべてに対応することは現実的でなく、リスクを保有することもリスク対策のひとつである。 低 発生頻度 高 出展: 個人情報保護士試験完全対策(あさ出版) を参照

情報セキュリティ向上策 パスワード設定 学校のパソコン 個人のパソコン ファイルにパスワード設定 ファイルやフォルダの暗号化 リスク対応の具体策 パスワード設定 学校のパソコン 個人のパソコン ファイルにパスワード設定 ファイルやフォルダの暗号化 ウィルス対策ソフトの利用とアップデート OSのアップデート 簡単にできるセキュリティ向上策もある。 ハンドブック P18-19

暗号化による保護 パスワード + 何もなし 暗号化 パスワード リスク対応の具体策 同じようなUSBメモリでも 手軽に使われるUSBメモリも セキュリティから見るといろいろある 同じようなUSBメモリでも

5つのステップ 問題意識の共有化 リスクや資産の整理 リスク対応の具体策 ポリシーの作成 実際に運用 見直し 今日は この辺を 中心に セキュリティポリシーの策定は5つのステップで 実際に運用 見直し

文章にする ポリシーの作成 何について、どのように守るか しなくてはいけないことは何か してはいけないことは何か 例外はあるのか

情報セキュリティポリシーの文書体系 目的、方針、運用範囲、体制など、基本的事項 情報セキュリティ対策基準 各種ガイドライン 基本方針 情報セキュリティ対策基準 各種ガイドライン 対策基準 情報セキュリティポリシーの文書体系 基本方針 対策基準 実施手順 情報システム実施手順書 各種規程書 各種申請・届出用紙など 実施手順 出展: 独立行政法人 情報処理推進機構 資料より

各学校・教育委員会の作業全体イメージ ひな形A,Bも参考に 修正・絞り込み 自治体の対策基準 学校の対策基準 自治体の 基本方針 学校の 基本方針 ひな形A,Bも参考に 修正・絞り込み 自治体の対策基準 学校の対策基準 アウトプットだけでなく,プロセスの研究を リスク対応策        検討 学校の実施手順 (学校に特化した形で) リスク整理 各学校・教育委員会の作業全体イメージ 情報資産の 洗い出し

情報セキュリティポリシーの構成例 情報セキュリティ 基本方針 なぜセキュリティが必要かという「Why」を規定 基本方針で策定した目的を踏まえ、「何をなすべきか」の「What」を規定 情報セキュリティ 対策基準 どのように行動するかの手順を定義したもの。「How」を規定 情報セキュリティ 実施手順書 (校務系) 情報セキュリティ 実施手順書 (教務系) 情報セキュリティ 実施手順書 (ネットワーク) 情報セキュリティ 実施手順書 (アクセス制御) 出展: 独立行政法人 情報処理推進機構 資料 を編集

作るだけではダメ 運用しながら見直し 初回は早めに 数ヶ月 教職員が理解できるように 研修 実施手順書 マニュアル ガイドブック 実際に運用 見直し 運用しながら見直し 初回は早めに  数ヶ月 教職員が理解できるように 研修 実施手順書 マニュアル ガイドブック 明文化したセキュリティポリシーを運用してみる 教職員が実際にセキュリティポリシーを守れるように,研修やマニュアル(ガイドブック)が必要になる。 使いながら,見直し・修正を行う

The strength of the chain is in the weakest link. 鎖の強さは,最も弱い環で決まる。 学校の情報セキュリティポリシーに従う The strength of the chain is in the weakest link. 鎖の強さは,最も弱い環で決まる。 ポリシーに反する人が一人でもいると・・・!       【×0(かけるゼロ)の恐怖】 参考:IPA情報セキュリティの基礎

今後の展開 ①各地の優れた事例の収集と共有 ②『学校情報セキュリティハンドブック』   の改善  (帳票や手順の改善を含む)