この記事は以下のような人を対象としています。
・「小規模でお金もないけど、このご時世、学校として最低限の情報セキュリティ対策は必要だ」と思っている人
別の記事で、私の勤め先の学校にフィッシング詐欺と思われるメールが届いた話を紹介しました。
今回はそれに関連して、私の勤める学校が導入している情報セキュリティ対策を3つご紹介させていただきます。
その3つとは以下のとおりです。
- wifiパスワードの自動変更
- セキュリティソフト付きUSBの配布
- プロバイダ・ネットワークの分離
なお、あえては書きませんでしたが、ウィルス対策ソフトも導入しています。
前述の関連記事でもお伝えしましたが、一応私は「情報セキュリティマネジメント試験」に合格しており、この分野に関する基礎的な知識は持っていると思っています。
今回紹介する対策法は、そんな私が有益と考えているものをピックアップしました。
生徒数も少なく、資金も潤沢にはない学校でも、ある程度のお金をかけて情報セキュリティ対策を講じることは必須です。
その理由は、学校という組織が民間企業等よりも、世間から「安心安全な組織」であると認識されているから。
私立学校事務員としては「安心安全な組織づくり」を通じて、保護者や生徒、地域の皆さまなどからの信頼を得ることが何よりも大切ということを念頭に置いておく必要があります。
この記事が、皆さまのそうした組織づくりの一助になれば幸いです。
【面倒だけど必要】wifiパスワードの自動変更
今は「一人一台端末」と言われるように、生徒一人ひとりが情報機器を持って授業を受ける時代です。
そこで重要なのがネットワーク環境。
特に無線でインターネットにつなげるための「wifi」の整備は必要不可欠と言っても過言ではないと思います。
私の勤め先の学校も、まだ全館というわけではありませんが、wifiを整備しています。
でもそのwifi、接続するためにはパスワードが必要となりますが、皆さまの学校はずっと同じパスワードを使い続けていませんか?
同じパスワードを使い続けていると、生徒の転・退学や教職員の退職などがあっても、そうした転学者や退職者が学校を辞めたあとも学校のwifiを利用し続けることができてしまいます。
また、そうした転学者等ではなくても、何かしらのきっかけでwifiのパスワードを知った人が勝手にwifiを利用することも可能です。
そうしたことを防ぐためにも、定期的にパスワード変更を行いましょう。
しかし、「いちいち変更するのは面倒」という気持ちも理解できます。
そこで私の勤め先では、wifi導入時にその設定をお願いした会社にwifiの運用管理も委託しました。
そのため、パスワードは毎月自動的に変更されるようになっています。
もちろん、その分料金は発生していますが、学校として必要経費と考えて支払っています。
今後は全館wifi利用も視野に整備を検討していますが、この運用管理については引き続き実施する予定です。
もう一つの問題として「パスワードが変わるたびに毎回一からパスワードを入力しなければならない」ということがありますが、これはとにかく「我慢」することです。 安心安全な学校づくりのための取り組みと思って、辛抱しましょう。
【もしものときに】セキュリティソフト付きUSBの配布
インターネットさえつながればどこでもデータを利用できるサービスが普及していますが、まだまだ物理的にUSBにデータを保存して持ち歩くという人も多いです。
私どものような田舎の小さな学校はでは、特にその傾向が高いです。
なんせFAXも現役で活躍中の状況ですので。
そうしたUSBの利用で大切なのが「情報流出」への対策です。
どこかに置きっぱなしにしたという人的な事故は、とにかく啓蒙活動を徹底するしかないと思っていますが、ウィルス感染など物的なものについてはそれ以外にも対策があります。
その1つが「セキュリティソフト付きUSB」です。
USBにセキュリティソフトが入っており、ウィルス感染による情報漏洩の防止などの効果が期待できます。
あわせて、パスワードロックも設定されているため、USB内に保存されたデータを見るためにはパスワードを入力する必要があります。
予防に加えて、万が一何かあった場合の対策も兼ねているわけです。
どうしても人的な事故は防ぐことが困難ですので。
これも前述のwifiのように導入時だけでなく、セキュリティソフトの更新のための費用が毎年発生しますが、必要経費として取り扱っています。
しかし、以下のとおり問題点が2点あります。
- パスワードなしでもデータが保存できる
- 紛失する
1つ目は、どうしてこのような仕様になっているのか私個人としては理解不能なところです。
通常の流れは以下のとおりです。
- USBをパソコン等に指すと、USBの中が表示される。
- その中に保存されているソフトを起動するとパスワードを尋ねられる。
- パスワードを入力すると、別のフォルダが開き、保存したデータにアクセスすることができる
この①の段階でなぜかデータが保存できてしまいます。
当然、このタイミングで保存されたデータはパスワード保護されないため、USBを機器に差し込むだけでアクセス可能となります。
「毎回パスワードを入力するのが面倒」という人がこのような方法でデータを保存するため、せっかくの情報セキュリティ対策が台無しになるという残念なことが起こるわけです。
重要なデータとそうでないデータを分けて管理するために、あえてそうしているのか真意は定かではありませんが、パスワードなしではデータを保存できないようにしてほしいというのが個人的な希望です。
そして2点目ですが、このUSBは基本的に学校から教職員に貸し出しているという扱いになっています。
そのため、教職員の退職時には学校へ返却する必要があるわけですが、そもそもUSBをほとんど使わない人はどこに片づけたか失念してしまうケースがあります。
情報セキュリティ以前の問題ですが、こういったことも含めて教職員には日ごろから啓蒙活動を行わなければなりません。
【業務を止めない】プロバイダ・ネットワークの分離
最後はデータのアクセス制限に関する取り組みです。
おそらくほとんどの高校では、職員室で教員が取り扱うデータと、事務室で事務員が取り扱うデータの保存先が異なっていると思います。
そのため、事務員は教員側のデータにアクセスすることができず、逆に教員は事務員側のデータにアクセスできない状態になっています。
事務員側は特に教職員の給与に関するデータなどを取り扱うので、こうした対応をするのは当然と考えています。
必要なデータに必要な人だけがアクセスできる「アクセス権」の管理は、情報セキュリティ対策における重要ポイントの1つです。
さらに、データのアクセス権だけでなく、どちらかにウィルス感染などの事故が起こった場合でも、一方まで被害が及びにくいという効果もあります。
これもリスクをコントロールするうえで有用と考えています。
それに加えて、私の勤め先ではインターネットのプロバイダも、職員室と事務室とで別々にしています。
当たり前ですが、それぞれ利用料がかかります。
しかしこれにより、どちらかに不具合等が生じても、一方は影響を受けないというメリットがあります。
実際、教員側に不具合が生じ、インターネットにつながらないという事態が起こった時も、事務室では業務を続けることができました。
ちょうど取引先への支払日だったのですが、問題なくネットバンキングを利用して支払いをすることができました。
「事業の継続」も、情報セキュリティ対策を考える上では見逃してはいけないポイントになります。
まとめ
連日のように、情報セキュリティに関連する事件を耳にするという印象があります。
そんな時代だからこそ、学校の規模の大小にかかわらず、情報セキュリティ対策は必ず行わなければなりません。
今回は都合により、紹介したそれぞれの対策にかかる具体的な費用はお伝えできませんでしたが、どれもそれほど高額というわけではありません。
それよりも、下手に費用を削減して、学校関係者からの信用を失ってしまうことの方が大きな損失です。
冒頭にも述べましたが、学校はとにかく「信用第一」。
学校内外を問わず、関係者にとって安心安全な組織を作り上げる必要があることを常に意識しましょう。
最後までお読みいただきありがとうございました。
