徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭

Slides:



Advertisements
Similar presentations
個人情報を守ろう! ~個人 情報の安全な取り扱い方 ~. 本日の課題 (1)個人情報の定義を知る。 (2)個人情報の安全な取扱い 方を知る。 個人情報を守ろう!
Advertisements

個人情報を守る学習指導 柏市立土南部小学校 教諭 西田 光昭
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
情報セキュリティについて. はじめに 教育の情報化が進み、教材や文書の共 有、成績の一括管理等が行われるように なり、たいへん便利になりました。 その一方で、個人情報の漏えい事故が 頻繁に報道されています。 この研修を通して、日常の何気ないと ころに潜む危機を未然に防ぎ、情報漏え いを起こさないように努めてください。
学校での個人情報漏えい例 修正パッチ未適用で ウィルス侵入 修正パッチ未適用で ウィルス侵入 無線LANに 外部から侵入 無線LANに 外部から侵入 校内LANから 成績データ流失 校内LANから 成績データ流失 生徒個人情報入 り ノートPC盗難 生徒個人情報入 り ノートPC盗難 ファイル交換ソフトか.
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
~情報事故を防止するために~ USBメモリの整理と管理 Universal Serial Bus Memory ユニバーサル・シリアル・バス ・メモリ.
本日の課題 (1)個人情報の定義を知る。 (2)個人情報の安全な取扱い 方を知る。 個人情報を守ろう!
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
第6章 インターネットと法律(後編) [近代科学社刊]
徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭
全国社会保険協会連合会 社会保険相模野病院 内野直樹
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
安全管理体制と リスクマネジメント.
受動的攻撃について Eiji James Yoshida penetration technique research site
情報モラル.
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
学校におけるネットワークの運用と技術 兵庫県立伊丹北高等学校 佐藤 勝彦.
自宅で仕事をする時 ワークシート③ ☞研修例=各自記入5分+グループ協議7分+全体共有7分(1シート約20分)
オムニチャネル、グローバルリスク対応 R&Dコンサルティングのご提案 オムニチャネル、グローバルリスク対応
 テーマ別解説 情報モラルの5つの領域 岐阜聖徳学園大学 教育学部 准教授 石原 一彦.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
千葉県柏市立土南部小学校 西田 光昭 学校における     情報モラル指導の実際 千葉県柏市立土南部小学校 西田 光昭
校内研修会 予防・開発的教育相談の手法を取り入れた SNSトラブルの未然防止
保健学習の進め方・指導案の書き方 さいたま市立三橋小学校   豊島  登.
学校のデジタル仕事術 教務主任の校務IT化とその体制づくり
中学校「総合的な学習の時間」 基礎講座 本庄市立本庄南中学校 第一学年.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
実例1 テスト結果の入ったPC盗難 静岡市の市立小学校の男性教諭(39) 仕事のため私物パソコンを自宅に持ち帰る
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
教育情報化 新たなスタートを迎えて 西田 光昭 千葉県柏市立土南部小学校 教諭
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
スマホ、SNS時代の ネット対応力育成の秘訣!
セキュリティ・チェックリスト解説 【5~10分】
柏市立教育研究所 指導主事 西田 光昭 ネットワーク活用へ向かう 柏市の情報教育 柏市立教育研究所 指導主事 西田 光昭
OSボックスのセキュリティ機能.
今、教育の情報化に求められるもの 西田 光昭
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
マイナンバーは 企業のさまざまな場面で 取り扱われるため 企業の規模を問わず 情報漏えい対策は必須です!
情報セキュリティ - IT時代の危機管理入門 -
○○○○ 事業継続計画 BCP:Business continuity planning     年  月  日(  )
第6章 インターネットと法律(後編) [近代科学社刊]
ケースで学ぶ! 個人情報保護の基礎 個人情報保護の最新対策 年版 eラーニングコースで対策を!
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
大阪府立茨木養護学校 丹羽 登 2002年6月17日 兵庫教育大学での講義
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
6. ポリシー Policies.
学校から持ち出す時 ワークシート② ☞研修例=各自記入5分+グループ協議7分+全体共有7分(1シート約20分)
ICT活用指導力向上のための ICT教育研修と校内研修
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
安全管理体制とリスクマネジメント.
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
今回作成する情報セキュリティ戦略(仮称)等及び情報セキュリティ管理規程等の関係
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
校内研修・導入編 【10分】 ① ② ☞研修例=研修の導入として10分程度,情報セキュリティに関する基本的な
第一回 情報セキュリティ 05A1027 後藤航太.
資料「裁判例に見る体罰」を引用した 体罰事故防止研修 埼玉県教育委員会
「直接支援チーム」とは? B チーム支援ガイド Bー1 宮城県総合教育センター
トピック6 臨床におけるリスクの理解と マネジメント 1 1.
■ はじめに サッカークラブの運営においては、常に怪我/事故の可能性はある。
中等情報科教育Ⅱ 情報セキュリティの確保.
高等学校において留意願いたい事項について
なんでしなくちゃいけないの? 情報セキュリティ
内部統制とは何か.
千葉県柏市立土南部小学校 西田 光昭 学校における情報モラル指導の実際 千葉県柏市立土南部小学校 西田 光昭
学校における教育の情報化の推進と校内研修の企画運営
「岩手の教育」を実現するため、     教員の指導力向上を図る研修・支援・研究を推進する.
Presentation transcript:

徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭 学校情報セキュリティー ワークショップ 徳島県立総合教育センター  指導主事 大平 和哉 千葉県柏市立土南部小学校  教諭 西田 光昭

セキュリティポリシーが必要 学校の情報は? ↓ そのリスクは? リスクにどう対応する システムとして ルールとして       ↓ そのリスクは? リスクにどう対応する システムとして ルールとして セキュリティポリシー策定の基本的な流れ

5つのステップ 問題意識の共有化 リスクや資産の整理 リスク対応の具体策 ポリシーの作成 実際に運用 見直し 今日は この辺を 中心に セキュリティポリシーの策定は5つのステップで 実際に運用 見直し

ワークショップの時間 自己紹介 13:35 脅威のマッピング 14:35 トラブル事例 13:45 リスクリストの作成 自己紹介      13:35 トラブル事例    13:45 グループ内でフリー 学校の情報資産  13:50 個別に      5 共同で     10 発表       5 脅威  2つ     14:10  共同(分担)で 10   14:25 脅威のマッピング  14:35 リスクリストの作成 共同で 10 発表 5 リスク対応策の作成 14:50 まとめ       15:05

自己紹介 グループ内で 所属 名前 など 学校の環境等 特に成績関係の扱い方 A B C D 小学校1 小学校2 中・高等学校 自己紹介  グループ内で 所属  名前 など 学校の環境等 特に成績関係の扱い方 A B C D 小学校1 小学校2 中・高等学校 高・特別支援学校

多くのトラブル事例 校内での紛失・盗難 校外での紛失・盗難 ウィルスの影響 部外者による漏洩 問題意識の共有化 処分の対象に!   多くの事例から学ぶ   処分の対象にも也得る

懲戒処分の指針 千葉県 個人情報の紛失、盗難 コンピュータの不適正使用 指導監督不適正 非行の隠ぺい、黙認 問題意識の共有化 懲戒処分の指針  千葉県 問題意識の共有化 個人情報の紛失、盗難 児童、生徒等に係る重要な個人情報を、重大な過失により、紛失し又は盗難に遭った職員は、減給又は戒告とする。 コンピュータの不適正使用 職場のコンピュータをその職務に関連しない不適正な目的で使用し、公務の運営に支障を生じさせた職員は、減給又は戒告とする 指導監督不適正 部下職員が懲戒処分を受ける等した場合で、管理監督者としての指導監督に適正を欠いていた職員は、減給又は戒告とする。 非行の隠ぺい、黙認 部下職員の非違行為を知得したにもかかわらず、その事実を隠ぺいし、又は黙認した職員は、停職又は減給とする。 千葉県の処分規程の例  既に PCを盗難にあって減給になっている事例もある。 http://www.pref.chiba.jp/kyouiku/kyousou/tyoukaisisin/sisin.html

学校の情報資産 成績関連 児童・生徒・保護者の個人情報 学校を運営するために欠かせない情報 リスクや資産の整理 リスクや資産の整理  まず 資産のリストアップ   その中で 個人情報を含む物  学校運営が止まってしまうような情報を選ぶ 成績関連

学校における脅威 1つの資産について リスクや資産の整理 学校に想定される脅威をリストアップする。 脅威の評価をする。  (大:非常に危ない 中:危険はある 小:ほとんどない) 評価判断の根拠を明らかにしておく  特色の 異なるもの リスクや資産の整理  ステップ1を参考に 脅威をリストアップし,学校の資産に対して その脅威の存在を確認する

脅威評価 脅威評価法(例1) 脅威 大 脅威 小 情報資産の重要性と、脅威に対する脆弱性から評価する方法 大 小 低 高 脅威:  情報システムや組織に損失や損害 をもたらすセキュリティ事故の潜在  的な原因 脆弱性:  脅威に対してどのくらい弱いかとい うこと 脅威 大 情報資産の重要性 脅威 小 小 脅威に対する脆弱性 低 高

脅威評価 脅威評価法(例2) 脅威 大 脅威 小 発生した場合の損害規模と、予想される発生頻度から評価する方法 大 小 低 高 損害規模 脅威 大 損害規模 脅威 小 小 低 発生頻度 高

何を 何から 守るか 1つの資産について リスクや資産の整理 資産の重要度・驚異の大きさを元にマッピングする。(大 中 小) 何を 何から 守るか リスクや資産の整理 1つの資産について 資産の重要度・驚異の大きさを元にマッピングする。(大 中 小) 対応すべきリスクをしぼりこむ。 重要度は変わらない 重要度と 脅威の大きさから 対応すべきことを決める

リスクを一覧にする リスクや資産の整理 資産に対する脅威から リスクをまとめる

どのように守るか 成績関連 リスクへの対応策を、リストアップする。 対応策を選び、決定する。 理由をはっきりとさせる リスク対応の具体策 対応策を選び、決定する。  理由をはっきりとさせる 成績関連 リスク毎に,その対応策をリストアップし 学校として,対応できる内容を決める

リスク対応 4種類のリスク対応 大 リスクの 移転 リスクの 回避 リスクの 保有 リスクの 低減 小 低 高 損害規模 発生頻度 リスクの低減 脅威を小さくする、または脆弱性を小さくするなどの方法により、リスク小さくすること。 例えば、パスワードを定期的に変更することを徹底すれば、パスワードが盗まれるリスクは小さくなる。 大 リスクの 移転 リスクの 回避 リスクの回避 脅威そのものを取り除くことにより、リスクの発生可能性をなくしてしまうこと。 例えば、ノートパソコンの持ち出しを禁止すれば、紛失のリスクはなくなる。 損害規模 リスクの 保有 リスクの 低減 リスクの移転 自社の抱えるリスクを他者に移し替えること。 例えば、業務を委託する、保険に加入するなど。 小 リスクの保有 リスクの存在を認識しながらも、特段の対応を取らないこと。 小さなリスクまですべてに対応することは現実的でなく、リスクを保有することもリスク対策のひとつである。 低 発生頻度 高 出展: 個人情報保護士試験完全対策(あさ出版) を参照

情報セキュリティ向上策 パスワード設定 ファイルにパスワード設定 ファイルやフォルダの暗号化 ウィルス対策ソフトの利用とアップデート リスク対応の具体策 パスワード設定 学校のパソコン 個人のパソコン ファイルにパスワード設定 ファイルやフォルダの暗号化 ウィルス対策ソフトの利用とアップデート OSのアップデート 簡単にできるセキュリティ向上策もある。 ハンドブック P18-19

暗号化による保護 パスワード + 何もなし 暗号化 パスワード リスク対応の具体策 同じようなUSBメモリでも 手軽に使われるUSBメモリも セキュリティから見るといろいろある パスワード 同じようなUSBメモリでも

5つのステップ 問題意識の共有化 リスクや資産の整理 リスク対応の具体策 ポリシーの作成 実際に運用 見直し 今日は この辺を 中心に セキュリティポリシーの策定は5つのステップで 実際に運用 見直し

文章にする ポリシーの作成 何について、どのように守るか しなくてはいけないことは何か してはいけないことは何か 例外はあるのか

情報セキュリティポリシーの構成例 情報セキュリティ 基本方針 なぜセキュリティが必要かという「Why」を規定 基本方針で策定した目的を踏まえ、「何をなすべきか」の「What」を規定 情報セキュリティ 対策基準 どのように行動するかの手順を定義したもの。「How」を規定 情報セキュリティ 実施手順書 (校務系) 情報セキュリティ 実施手順書 (教務系) 情報セキュリティ 実施手順書 (ネットワーク) 情報セキュリティ 実施手順書 (アクセス制御) 出展: 独立行政法人 情報処理推進機構 資料 を編集

作るだけではダメ 運用しながら見直し 初回は早めに 数ヶ月 教職員が理解できるように 研修 実施手順書 マニュアル ガイドブック 実際に運用 見直し 運用しながら見直し 初回は早めに  数ヶ月 教職員が理解できるように 研修 実施手順書 マニュアル ガイドブック 明文化したセキュリティポリシーを運用してみる 教職員が実際にセキュリティポリシーを守れるように,研修やマニュアル(ガイドブック)が必要になる。 使いながら,見直し・修正を行う