【セキュリティポリシー策定のヒント】文部科学省ガイドラインを難しく見せている原因(2)

はじめに

文部科学省のガイドラインに基づき、体制や役割についてのコラムを書いたら、その続きはもちろん「情報資産の重要性分類」です。構成が総務省のガイドラインを解説した時と似ているのは気のせいです(笑)

もともと教育情報セキュリティポリシー策定の歴史は浅く、首長部局のポリシーに準拠して、読み替え規程だけで処理していた時期が長くありました。その時代と比較すれば、現在のガイドラインは教育ネットワーク特有の課題に踏み込んでいて意欲的なのですが、策定に際していろいろと苦労したんだろうなーと思われる箇所が時折見られます(それ以外は、総務省のガイドラインをパクってるな―と思ってますが)。その結果、突貫工事の感は拭えず、後始末ができていません。

特に今回とりあげる「情報資産の重要性分類」と「ネットワーク分離」は、総務省のガイドラインに強く影響を受けているのに加えて、教育ネットワーク特有の課題を上かぶせしているので、斜め読みすると確実に誤解されてしまうだろうという面倒くささです。

同じ話の繰り返しになりますが、文部科学省のガイドラインに書かれたことだけでは、ポリシーに基づく実効性の高い対策がうたれているとは言えません。言い換えると、多くの教育委員会事務局は遵守できないポリシーを策定しています。ここでインシデントが生じたときに何が起きるのか、それは見識ある皆様のご想像にお任せします。

なお、プロキュアテックでは今回のテーマとなる問題も内部的に解決しています。

情報資産の分類について

情報資産の重要性分類における課題をどのように解決するか

文部科学省のガイドラインでは教育情報ネットワーク内の情報資産を機密性、完全性、可用性の3つの基準で分類し、分類に応じて取扱いを制限することとしています。

総務省のガイドラインでは機密性は3段階、完全性、可用性はそれぞれ2段階の基準で、3×2×2=12個の分類が可能でした。一方、文部科学省のガイドラインは機密性4段階、完全性、可用性はそれぞれ3段階の基準ですので、4×3×3=36個の分類です。

どうしましょうか。

首長部局よりも手強い状況です。一般的に分類→分類の可視化→取扱制限(代表的なのはゾーニング)の手順を経るのですが、情報資産を目の前にして36分類のうちのどれに該当するかを判別している現場を見たことがありません。

個々の情報資産の取扱制限を教職員が行うことも理屈の上では可能ですが、いくら優秀な教職員であっても間違いなく現実的ではないでしょう。結果的に情報システムによる仕組みで取扱制限を行うことになります。素直に考えれば、36種類に取扱を分けられる情報システムがあればよいのですが、教職員は混乱するでしょうし、それだけの情報化投資を行うのはバカバカしいです。

そうなると、分類の絶対数を減らす必要があります。そして教職員に負担を掛けずに運用できる仕組みが必要となります。

強靱性向上モデルを使う

強靱性向上モデルは総務省が示した考え方ですが、文部科学省もこれに倣って「技術的対策を中心とした教育情報システム全体の強靭性向上」として同種のモデルを示しています。この際、どちらが先なのかという話は置いておいて、私は教職員に負担を掛けずに運用できる仕組みとして、あの「強靱性向上モデル」を使うことを提案します。

文部科学省のガイドラインでは教育情報ネットワークを3つ(見方によっては4つ)に分けて運用する構成を示しています。

  • 校務系ネットワーク
  • 校務外部接続系ネットワーク
  • 学習系ネットワーク
  • (公開系ネットワーク(DMZあるいはインターネット))

ただでさえ予算に余裕がなく、文部科学省から補助金も出してもらえない教育情報ネットワークに過剰な投資を行うことは難しく、対策そのものを実行するハードルを上げてしまうことになります。ネットワークの分割数を増やせばその分だけ導入コストも維持コストも掛かってしまうのです。

ここからは賛否が分かれるところですが、首長部局の構成に近づけるべく、ネットワークを同様に3つに分けて運用する構成を考えてみましょう。その上で、上述した情報資産の重要性分類の絶対数を3つに減らし、分離したネットワークと対応付けるという方策ならば、投資を抑えることができます。

重要性分類の2つの方策

詳細は文部科学省のガイドラインをご覧いただきたいのですが、機密性は

  • 機密性3
  • 機密性2B
  • 機密性2A
  • 機密性1

という4段階、完全性と可用性は

  • 完全性2B 可用性2B
  • 完全性2A 可用性2A
  • 完全性1 可用性1

の3段階です。これらを「重要性」という基準に統合し、分類数を3にします。重要性の考え方は単純で、機密性+完全性+可用性=重要性としただけです。

やはり悩ましいのは、2B、2Aという謎の分類ですね。よく読むと、対象範囲が教員のみか(2B)、児童生徒までを含むか(2A)というあたりがポイントです。完全性と可用性については基準が「軽微か否か」という感覚的なものなので、深く考えないようにします。

ここまででネットワークについては、

  • 校務系ネットワーク(レベル3ネットワーク)  → 重要性3

という整理は誰も文句は無いでしょう。同様に、

  • 公開系ネットワーク(レベル1ネットワーク)  → 重要性1

も異論はないと思います。

名称を付与したのは、そろそろあのセンスのない(○○接続系とかいう)名称を根絶させる必要があるだろうということと、レベルの数字と重要性を直感的に対応させたいためです。

気持ち悪いのは「校務外部接続系ネットワーク」です。名称にとらわれずに、このネットワークでどのような業務を行うのか、どのようなシステムを稼働させるのかを考える必要があります。このネットワークを校務外部接続系という扱いにしたのは、おそらく首長部局の強靱性向上モデルを構成した自治体の多くがレベル2ネットワーク(LGWAN接続系)を普段遣いのネットワークにして、さらにそこでインターネットメールの読み書きをさせるようにしたことによるからでしょう。

首長部局に倣うのであれば、レベル2ネットワークは教職員のみのネットワークであり、レベル3ネットワークほどの機密性を要しないネットワークとなります。したがって、

  • 校務外部接続系ネットワーク(レベル2ネットワーク)
    → 機密性2B(まだ重要性に整理していないので)

とするのが適当でしょう。

残るは学習系ネットワーク、機密性2Aの情報資産の取扱いです。ネットワークも重要性分類も3つに分けることになるので、それぞれどちら側に寄せるか、2つのパターンに分かれることになります。

1.学習系ネットワークをレベル2ネットワークに寄せる

言い方を変えると「学習系ネットワークを非公開で運用する」となります。そのため、校務外部接続系ネットワークの役割を無くし、教員がインターネットに接続する場合は、レベル1ネットワークの端末を使うことになります。

児童生徒も調べ学習等でインターネット接続の必要があるタイミングのみ、レベル1ネットワークの端末を使います。教員が児童生徒に知られたくない情報資産を扱う場合は、レベル3ネットワーク上で作業を行うことになります。

教育情報ネットワークを保守的に運用するのならば、この構成となるでしょう。

この場合の情報資産の分類は次のとおりとなります。

表.重要性による情報資産の分類(学習系ネットワークをレベル2にした場合)

分類 分類基準 該当する情報資産のイメージ
重要性3 ・学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産
・学校で取り扱う情報資産のうち、改ざん、誤びゅう、破損、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定かつ的確な遂行に支障(軽微なものを除く)を及ぼすおそれがある情報資産
・特定の教職員のみが知り得る状態を確保する必要のある情報で秘密文書に相当するもの
・情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に支障ある情報
・必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に支障がある情報
重要性2 ・学校で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産
・学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定的な遂行に軽微な支障を及ぼすおそれがある情報資産
・教職員及び児童生徒同士のみが知り得る状態を確保する必要がある情報資産(教職員及び児童生徒のうち特定の教職員及び児童生徒のみが知り得る状態を確保する必要があるものを含む)
・情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に軽微な支障ある情報
・必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に軽微な支障がある情報
重要性1 重要性2又は重要性3の情報資産以外の情報資産 ・公表されている情報資産又は公表することを前提として作成された情報資産(教職員及び児童生徒以外の者が知り得ても支障がないと認められるものを含む)

さらに、この重要性を分離したネットワークと対応付けます。その際、ネットワークにわかりやすい名称を付与します。

  • レベル3ネットワーク(校務系ネットワーク)
    → 重要性3
  • レベル2ネットワーク(校務外部接続系ネットワーク+学習系ネットワーク)
    → 重要性2(機密性2A+2B)
  • レベル1ネットワーク(公開系ネットワーク)
    → 重要性1

2.学習系ネットワークをレベル1ネットワークに寄せる

言い方を変えると「学習系ネットワークを公開で運用する」となります。そのため、レベル2ネットワークは児童生徒からのアクセスをさせない、教員の普段遣いの端末があるネットワークとし、重要性2の情報資産を守るという構成になります。

最近では学習コンテンツをインターネット経由のクラウドサービスから利用する場面もあるため、この構成ならば児童生徒の自宅学習も学習系ネットワークの中で一元的に扱えるという特長があります。

この場合の情報資産の分類は次のとおりとなります。

表.重要性による情報資産の分類(学習系ネットワークをレベル1にした場合)

分類 分類基準  該当する情報資産のイメージ
重要性3 ・学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産
・学校で取り扱う情報資産のうち、改ざん、誤びゅう、破損、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定かつ的確な遂行に支障(軽微なものを除く)を及ぼすおそれがある情報資産
・特定の教職員のみが知り得る状態を確保する必要のある情報で秘密文書に相当するもの
・情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に支障ある情報
・必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に支障がある情報
重要性2 ・学校で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産
・学校で取り扱う情報資産のうち、改ざん、誤びゅう、破損、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定かつ的確な遂行に軽微な支障を及ぼすおそれがある情報資産
・教職員のみが知り得る状態を確保する必要がある情報資産(教職員のうち特定の教職員のみが知り得る状態を確保する必要があるものを含む)
・情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に軽微な支障がある情報
・必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に軽微な支障がある情報
重要性1 重要性2又は重要性3の情報資産以外の情報資産 ・公表されている情報資産又は公表することを前提として作成された情報資産(教職員及び児童生徒以外の者が知り得ても支障がないと認められるものを含む)

さらに、この重要性を分離したネットワークと対応付けます。その際、ネットワークにわかりやすい名称を付与します。

  • レベル3ネットワーク(校務系ネットワーク)
    → 重要性3
  • レベル2ネットワーク(校務外部接続系ネットワーク)
    → 重要性2(機密性2B)
  • レベル1ネットワーク(学習系ネットワーク+公開系ネットワーク)
    → 重要性1(機密性2A+1)

腹をくくって分類する

上記の表は、一見するともっともらしいのですが、よく読むとツッコミどころが満載で使えません。特に分類基準はひどくて、「秘密文書に相当するって具体的に何よ」とか「軽微ってなんやねん」とか「学校事務及び教育活動の安定かつ的確な遂行ってどのレベルの話」とか「重要性1って消去法で決まるんかい」とか、悩ましいことだらけです。

仕方ありませんので、ここは腹をくくって分類しなければなりません。実は強靱性向上モデルはここで役に立ちます。分類の絶対的な基準は存在しませんので、現在稼働中のシステムや保持している情報資産(ファイルとか)がどのレベルのネットワークに配置されているのか、配置されるべきなのか、その現状を調べて分類基準と照合することをオススメします。

場合によっては分類基準の方を変更することもアリだろうと考えます。結局はセキュリティポリシーの遵守を目的として重要性とネットワークを対応付けられればよいわけですから、それぞれの教育委員会事務局の考えが違ってもよいと思います。

分類についての具体的な手法は、ここではあえて書きませんが(コンサルとしてお話したい事項ですし)、情報資産そのものが所属ごと、システムごとで異なるはずなので、全庁的に統一した対策基準の中でまとめられるはずはありません。したがって、これらの分類は所属ごと、システムごとに整備する実施手順に記述することになります。

どの程度の詳細度で情報資産の分類を定義するかと言うと「教職員が迷わない程度」というのが答えです。したがって、対策基準のような抽象的な基準では役に立ちません。あえて言うのならば、実際に取り扱う情報資産を列記し、それぞれに重要性を定義するぐらいのことが求められます。ただ、教育情報ネットワークは、主要拠点である各学校で扱う情報資産は概ね同じですので、首長部局よりも少ないパターンで実施手順を検討できそうです。

なお、この分類においても引っかかりポイント(落とし穴)があります。例えば「情報資産の中に異なる重要度の情報が混在している場合」や「児童生徒の活動により情報資産の重要度が途中で変化する場合」などです。高いレベルに合わせると運用が破綻しますし、面倒になってレベル3ネットワークにすべてをつっこまれて、管理コストが増大しますよ。これについての効果的な答えはもちろん用意してありますので、ぜひとも(コンサル案件として)お声掛けください。

むすび

今回はセキュリティポリシーを遵守する過程で課題となる「情報資産の重要性分類」について、私の拙い経験に基づく私見を書かせていただきました。ご参考になれば幸いです。

なお(繰り返しですが)、実効性の高いセキュリティポリシーの策定を支援を行う事業を行っておりますので、ぜひともお声掛けください。