【セキュリティポリシー策定のヒント】文部科学省ガイドラインを難しく見せている原因(1)

はじめに

プロキュアテックの宣伝も兼ねて、これまでセキュリティポリシー策定のヒントになるような事項を書いてきました。

総務省のガイドラインに基づく自治体情報セキュリティポリシーの話題については、あと2つほどテーマが残っているのですが、その前に文部科学省ガイドラインに基づく教育情報セキュリティポリシーを考えてみましょう。

教育情報セキュリティにおいても、同じように「組織上の役割分担や体制」が課題となります。特に首長部局との関わり方や元々少ない人員の中でどうやって組織を構成していくのかを意識してポリシーを検討していかなければなりません。

そこで私の経験から「こうすればうまく整理できる」といったヒントのようなものを残して置きたいと思います。構成が総務省のガイドラインの時と似ているのは、気のせいです(笑)。

なお、当社のプロキュアテックは、この課題を解決する仕組みを反映させてあります。

ポリシー上の役割について

CISOは誰を充てるべきか

文部科学省のガイドラインにもありますが、セキュリティインシデントを危機管理事象の一つと捉えるのならば、どの部局からインシデントが発生しても最終的な説明責任を負う役割は同じである方がよいと思います。したがって、首長部局と同じ三役の誰かが担うことになります。

ガイドラインには書いてありませんが、もう一つの考え方を示しておきましょう。

ご存知のとおり、セキュリティポリシーは基本方針、対策基準、実施手順の3部構成です。今回、教育情報セキュリティポリシーにおいても基本方針は(同じ自治体を包括するという位置づけのため)首長部局と共通になっています。これを根拠に「同じ基本方針に基づくので、同じCISOがその役目を担う」と整理する方が理解は得られやすいかもしれません。

言い換えると、異なる基本方針を策定するのならば、CISOを首長部局と同じにする必要はありません。

なお、CISOに情報技術の知見を求めるのは現実的ではありませんので、CISOを組織的にサポートする立場の人物(役職)が必要です。文部科学省のガイドラインでも総務省のガイドライン同様、「推奨事項」として外部の有識者たるCISO補佐官を置くような記述もありますが、外部の有識者は組織上の責任を負うことができませんので、任用や権限に関するハードルを考えると、あまりこだわらなくても良いのではないかと思います。(その意味で当社はCISO補佐官業務もお引き受けしているので、ある種の自己否定とも言えます。考えられるとすれば、セカンドオピニオンぐらいの位置づけでしょうか。)

統括教育情報セキュリティ責任者は誰を充てるべきか

前述の「CISOを組織的にサポートする立場の人物(役職)」の答えが、この統括教育情報セキュリティ責任者です。

重要なのは行政機関の中にいる人物(役職)であることです。これは組織上の意思決定権を持つCISOを補佐する役割であるため、必然的にそうなります。と言いながら、教育情報セキュリティポリシーでは、ここが一つの課題かもしれません。

首長部局の統括情報セキュリティ責任者には情報政策部門を所管する部局長を充てることを以前のコラムでは提案していました。組織こそ違うものの全体的な建付けを考えると、ここでも同じ職階の人物で構成するのが望ましいです。

ところが、首長部局の部局長と同じ職階の役職が教育委員会事務局ではどこに該当するかを考えると、特別職である教育長ではありません。副教育長とか教育次長とか名称はいろいろですが、組織的に教育委員会事務局を取りまとめる人物(役職)が統括教育情報セキュリティ責任者の役割を担う方がよいと思います。もちろん、教育委員会事務局の内部に同じ職階の方が複数いらっしゃるのであれば、情報部門を所管する方が統括教育情報セキュリティ責任者となります。

文部科学省のガイドラインでも統括教育情報セキュリティ責任者はなかなか忙しい役回りとなります。本来の担当業務もある中で、情報セキュリティばかりに注力はできないでしょうから、プロキュアテックでは統括教育情報セキュリティ責任者の業務を実質的に担う組織を設定しています。

また統括教育情報セキュリティ責任者には情報セキュリティ運用においてさらに重要な役目を担います。それは「情報セキュリティ委員会」の委員長あるいは副委員長です。情報セキュリティ委員会については後述します。

教育長はどの位置づけになるのか

上述したように、統括教育情報セキュリティ責任者に教育長ではない人物(役職)を充てた場合、教育長の位置づけをどのようにするのかが課題となります。そもそも文部科学省のガイドラインでは、統括教育情報セキュリティ責任者に求める事項が多く示されており、あまり深く考えないで教育長にその役目を担ってもらうのは現実的には厳しいのではないかと思います。

そこで考えられるのは次の4つです。

1. CISO相当職に充てる

教育委員会が首長部局と独立した組織であると考えると、教育長がCISOを担うことも充分考えられます。その場合、できれば基本方針も独立して策定し、運用することが望ましいでしょう。

都道府県や政令市など規模の大きい自治体ならば、かなり現実味があります。

2. CISOと統括教育情報セキュリティ責任者の間に役職を置き、充てる

具体的には後述する情報セキュリティ委員会の委員長に教育長を充て、副委員長に統括教育情報セキュリティ責任者を充てるという体制がこれに該当します。

3. 統括教育情報セキュリティ責任者の役割を充てる

職階の問題や実務への関与の頻度を克服した上で、あえて統括教育情報セキュリティ責任者の役割を担うということも考えられます。

実務的な関与については、統括教育情報セキュリティ責任者の業務を実質的に担う組織を置くことで負荷が軽減されますので、残るは職階の問題だけとも言えます。なぜ職階について気にしているのかというと、後述する情報セキュリティ委員会での位置づけに関わってくるからです。

4. 情報セキュリティ上は役割を充てない

教育行政の本丸は情報セキュリティではありませんので、情報セキュリティ上は特に役割を充てずに、統括教育情報セキュリティ責任者に任せるという考え方もあります。

教育情報セキュリティ責任者は誰を充てるべきか

文部科学省のガイドラインでは、「教育委員会事務局の情報セキュリティ担当部局(情報システム課等)の課室長を充てることが想定される。」とあるのですが、後述する教育情報システム管理者にも同じ役職(人物)を充てるとなっており、多くの人がここで混乱します。

教育委員会事務局であっても、ここでは各部局の長がそれぞれの部局を所管する教育情報セキュリティ責任者となるのが良いと思います。部局数の多寡は関係ありません。

例えば、自治体の規模により教育委員会事務局の体制がフラットな場合(と言えば聞こえはいいけど、人員が少なくて体制が弱い場合)、首長部局の部局長と同じ職階の役職が統括教育情報セキュリティ責任者しかいない可能性もあります。その場合は、教育情報セキュリティ責任者は配置しないことになります。

付け加えるのならば、教育情報セキュリティ責任者は情報セキュリティ委員会のメンバーとなります。重要なのは、統括教育情報セキュリティ責任者と教育情報セキュリティ責任者の職階は同じにしたほうが良いということです。詳細は後述します。

ちなみにセキュリティポリシーでは、各部局の教育情報セキュリティ責任者に課せられた役割はさほど多くありません。そのため、情報セキュリティに関する運用の責任者というよりも、情報セキュリティ委員会のメンバーとしての立場を重視したほうが良いと思います。(情報セキュリティ委員会の開催頻度次第ですが、本来業務に負担が掛かるほどではないと思います)

教育情報セキュリティ管理者は誰を充てるべきか

民間企業における「経営」と「執行」を分離するがごとく、CISO、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者を「経営」メンバーとするならば、教育情報セキュリティ管理者は「執行」を担う立場となります。

情報セキュリティに関する「執行」の主体は各所属(課室)なので、情報セキュリティ管理者には、それを管理する立場である所属長が担うべきでしょう。教育委員会事務局では所属の一つとして学校があり、学校長も教育情報セキュリティ管理者となります。

留意しなければならないのは、この教育情報セキュリティ管理者の責任範囲は所属(課室)です。すなわち、情報システムの存在は関係ありません。教職員の日常的な運用(紙の運用も含む)に対して、セキュリティ対策を指示する役目となります。

教育情報システム管理者は誰を充てるべきか

教育情報セキュリティ管理者の責任範囲は所属(課室)であるのに対して、教育情報システム管理者の責任範囲は情報システムです。これは教育情報ネットワーク内の情報システムに関する調達や契約を誰が担っているかにより、実態は異なるものと思われます。

統合型校務支援システムやメールやWebサイト等のインフラを教育委員会事務局で一括して整備している場合は、教育委員会事務局内の情報政策部門の長がこの役目を担うことになります。

ところが、教育委員会事務局ではそんな単純な話では終わりません。文部科学省のガイドラインは「教育委員会事務局の情報セキュリティ担当部局(情報システム課等)の課室長を充てることが想定される。」とあるものの、残念ながら実態とは乖離している部分があります。現実には、学校の性質(都道府県の場合には工業科、商業科等、区市町村の場合は特別支援学級等)により個別で整備する情報システムも存在しますし、学校長の判断(学校長には予算執行の裁量権が与えられていることが多い)で整備する情報機器もあります。

教育委員会事務局内のITガバナンスを向上させる観点から、情報システムの個別整備はやめさせるべきなのでしょうが、それができるか否かでセキュリティポリシーの扱いも変わってきます。

仮に情報化投資を教育委員会事務局内で統括できるのならば、文部科学省のガイドラインに近い運用ができますので、教育情報セキュリティ管理者と教育情報システム管理者をそれぞれ充てるのが望ましいと考えます。

一方、それが難しい場合に対応するべく、プロキュアテックではあえてこの2つの役割を統合させることができるようにしています。つまり、「教育情報システム管理者」という名称で所管する所属もシステムも一緒に管理するという考えです。

仮に情報システムを所管しない所属があったとしても、セキュリティポリシー上は読み飛ばせばよいので実務的には問題ないのと、将来的に情報システムを新たに所管する事態になっても、混乱する場面は減るというメリットがありますので、オススメです。(単純に役割が減るだけでもポリシーは運用しやすくなります)

ポリシー上の組織について

情報セキュリティ委員会のメンバーに誰を参加させるか

これまでも少し触れていますが、情報セキュリティ委員会は組織横断的な意思決定組織と承認機関なので「経営」の役割を持つ、CISO、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者で構成することが望ましいと考えます。

このあたりの考え方は首長部局の情報セキュリティ委員会と同じなのですが、教育情報セキュリティポリシーでは各学校が主要拠点と言えるため、教育情報セキュリティ管理者(学校長)を意思決定に参加させないのは不安だという意見もあります。

すべての学校の教育情報セキュリティ管理者(学校長)を情報セキュリティ委員会に参加させるのは人数の面でも現実的ではありませんので、教育情報セキュリティ管理者の中から総代を数名選出して、その方々のみを参加させるという対応をしている教育委員会事務局もあります。ただ、総代が教育情報セキュリティ管理者からの意見の集約を担えるか、逆に意思決定の内容をそれぞれの教育情報セキュリティ管理者に伝達できるかが課題と言えます。

ちなみに情報セキュリティ委員会の構成員は経営層職員ばかりとなりますので、この会議体を回していくための事務局機能が別途必要になります。プロキュアテックでは、この情報政策部門(情報政策課など)が事務局機能を担うように構成しています。

上述した「統括教育情報セキュリティ責任者」の説明では、この件についての布石を打っておきました。読み返していただくとわかるのですが「統括教育情報セキュリティ責任者の業務を実質的に担う組織を設定しています。」と書いています。これは情報政策部門が実働部隊として動くことを意図しています。

情報セキュリティ委員会を首長部局と統合させるべきか

プロキュアテックにおける考え方では「統合させるべきではない」が答えです。

そもそも異なるセキュリティポリシーに基づき意思決定を行う会議体ですので、統合するメリットはありません。もちろん情報共有したほうがよい事項もありますが、その場合もこのレベルの会議体である必要はなく、事務局として動く情報政策部門間の情報共有で十分機能するはずです。

なお、念の為に付記しておきますが、統括教育情報セキュリティ責任者と一部の教育情報セキュリティ責任者は、首長部局における情報セキュリティ委員会にもメンバーとして出席することになります。なぜならば、教育委員会事務局の職員は行政職員ですし、各学校にも首長部局のネットワークに接続された行政事務用の端末が置かれているからです。

教育CSIRTに誰を参加させるか

文部科学省のガイドラインでは(もちろんプロキュアテックでも)CSIRTはCISOが任命し、CISOの指示の下で動く組織となっています。セキュリティインシデントが頻繁に生じないとするならば、CSIRTの専業部隊を教育委員会事務局に置くのは人的リソースの無駄遣いでしょう。

しかし、普段全く情報セキュリティに携わらない職員にCSIRTをさせるのも現実味がありません。特に硬直化した組織の場合、所属をまたがった組織というのはうまく機能しないことが多いのです。その結果、現実解は情報政策部門が担うことになるでしょう。つまり組織上は普段は統括教育情報セキュリティ責任者の実務部隊として、緊急時はCISOの指示を受けた実務部隊として同じ情報政策部門が引き受けることになります。

CSIRTを首長部局と統合させるべきか

教育委員会事務局の人的配置を考えると、セキュリティインシデント発生時に教育CSIRTだけで課題を解決できるとは思えませんので、首長部局のCSIRTの支援を受けることになると思います。それならばいっそのことCSIRTは首長部局と統合しておくというのもアリだと考えます。

そもそもCSIRTはCISOの指示を受けた実務部隊ですので、首長部局でも教育委員会事務局でも同じCISOならばセキュリティポリシー上は機能するのです。

具体的な建付けは個別検討となりますが、それぞれCSIRTを組織し、互いに支援するという形態でもよいですし、CSIRTだけは最初から首長部局の情報政策部門が担うことでもよいと思います。

情報セキュリティ監査を行う組織について

総務省のガイドラインの構成があまりイケてないので、監査について記した箇所に突如「情報セキュリティ監査統括責任者」なる人物が現れます。これも自治体にとっては混乱を生む要因となっています。

残念なことに、文部科学省のガイドラインも総務省のガイドラインから強い影響を受けている(同じ基本方針だからという理由もありますし、単にまるごとパクっているからかもしれません)ため、情報セキュリティ監査統括責任者の記述も非常に似ています。

CISOが指名する役割なのですが、誰を指名するかで悩むぐらいなら、最初から「CSIRTのリーダーが引き受ける」と決めておいた方がよいと思います。プロキュアテックではそのような記述にしています。

むすび

今回は文部科学省のガイドラインを難しくさせている要因である「組織上の役割分担や体制」について、現実的な対応策を示しました。ご参考になれば幸いです。

他にもいろいろな工夫が必要ですし、ポリシー策定の後の運用をどのようするかも難問だらけなので、当社の方でお手伝いいたします。ぜひお声掛けください。