MOTEXは情報漏えいの「自分ごと化」を促す本プロジェクトの一環として、2017年2月からセキュリティの原理原則をまとめたセキュリティブック「セキュリティ7つの習慣・20の事例」を提供開始。

本書は、全ページをWebサイトから無料ダウンロード可能な電子データ（PDF）で公開。また、本書をもとに作成した社内や学校などでセキュリティの研修を行う際に活用できる 「講師用資料」と、その後の復習に活かせる「テスト」も無料電子データ（PDF）の形式で提供しており、2018年9月末時点で3万ダウンロードを突破している。

今回、話を伺った2人の所属する追手門学院大学は、経済学部や社会学部など6学部で構成されている、関西では中規模の文系大学である。
学生数は約7,000名、教職員は約400名。加えて、追手門学院内には幼稚園・小学校・中学校(2校)・高校(2校)があり、学院全体の教職員数は800名に上る。

追手門学院では、生徒を含めたセキュリティ意識向上を図るために、独自の情報セキュリティポリシー・ガイドラインを作成され、「追手門学院情報セキュリティガイド」として、現在は学院内の専任教職員、ならびに大学生の約8,000名に配布している。そのセキュリティガイドに、「7つの習慣・20の事例」の一部を掲載いただいた。そこに至るまでの取り組みについて追手門学院の図書館・情報メディア部の村上氏と元木氏に話を伺った。

【Q】追手門学院での情報セキュリティに関する取り組みを教えてください。

■2年がかりで情報セキュリティポリシーを策定

村上「数年前まで、本学では情報セキュリティに対する取り組みや、危機管理の弱さが課題となっていました。昨年、文科省からセキュリティポリシーを策定するよう文書が届いた（※1）時点では、30％程しか満たせていなかったと思います。
そこから実質2年ぐらいかけてセキュリティポリシー、セキュリティ規定、ガイドラインを整備してきました。また同時にCISO（Chief Information Security Officer 最高情報セキュリティ責任者）の設置など、学内の整備も同時に進めてきました。」

元木「文書を一通り作成した後、学内の教職員や学生に、どう周知していくかが次の課題でした。うちの大学と同じように、文科省からセキュリティポリシー策定に関する文書が届いて以降、『ポリシーは定めたが、そこからどう展開していくか』が課題となり、そこで止まってしまっている学校も多いのでないかと思います。」

【Q】どういった面で課題を感じられていますか？

■これまでのセキュリティ対策、リテラシーの低さ

元木「これまで、いくつかセキュリティ対策を進めてきました。システム側では、検疫や、メールの対策などによって制御しています。ブロックするものを複数入れているので、インシデントが起こりにくくなったと思いますが、反面、制御が複雑になり、運用面では苦労しています。また制御している分、利便性が悪くなっている部分はありますね。」

村上「学校で多いのはUSBメモリの紛失や盗難です。学校関係で出てくるインシデントの8割～9割はUSB関連ですが、本学では暗号化USBを配布し、書き込み制御も一通りやっています。また、大学職員に対しては標的型攻撃のメール訓練を不定期で行っています。偽メールを送ると、どの部署からも『変なメールがきています！』と電話がかかってきますので、そのあたりは効果が出てきているなと実感しています。
今の学生は、スマートフォンやパソコンに触れる時間が多く使うことには長けていますが、一方で情報セキュリティに関する教育が十分ではないので、リテラシーは低いと感じています。ソフトウェアのアップデートにしても、何故しないといけないのか、アップデートしないとどのような事が起こるのか、理解していない人が多いのではないかと思います。パスワードの設定についても同じです。そういったリテラシーの部分は、今後教育していくべきですね。」

【Q】その教育を行うためにオリジナルのセキュリティガイドを作られていますが、そのきっかけはなんだったのでしょうか？

■学内の周知にMOTEXのセキュリティブック！

村上「先ほどお話したように、作成したセキュリティの規定やポリシーをどうやって学内に周知していくかが次の課題でした。参考になるものを色々と探しましたが、ほとんどが文字ばかりのもので・・・これ (※2)を配っただけでは読んでもらえない。でも、やっぱり見て読んで欲しいという思いがあったので、色々と検討を続けましたが、なかなか進まず周知ができていない状態でした。
そんな中、昨年5月に教育ITソリューションEXPOへ参加し、このセキュリティブックを知りました。パッと見て「あ、いいな！」と思い手に取りました。このキャラクターとイラスト、セキュリティのポイントも分かりやすくまとめてあったので、「これなら見てもらえる！」と思いました。文字と絵のバランスもちょうど良かったですね。
そこで本学でもこんなイメージで、情報セキュリティに関する知識と一緒にセキュリティポリシーを載せて配ろうということになりました。MOTEXのセキュリティブックについて調べてみると、教育のために自由に利用しても良いという事が分かったので、文字や画像の利用などご相談させいただきました。」

※２：セキュリティ規定のサンプル

元木「セキュリティブックを参考にして、この厚さの冊子にするまで、ポイントを絞りました。あまり情報が多すぎても見てもらえないと思ったので、全30ページの構成として、10ページは学内のセキュリティポリシーや規定を載せ、残り20ページはセキュリティブックから抜粋させていただきました。」

村上「最終的にはセキュリティの7つの習慣と大学の情報セキュリティ関連規定を載せた『追手門学院　情報セキュリティガイド　～ネットの常識を学ぼう～』を作成し、学内の教職員・学生8,000人に配布しています。」

元木「ガイドブックの中にはMOTEXさんのことも書かせていただきましたので、ここから興味を持ってセキュリティブックを見てもらったり、さらに詳しいところに進んでもらえたら嬉しいなと思います。ひとまず、全員のリテラシーをセキュリティブックの「7つの習慣」に載っているセキュリティの原理原則、基礎の部分までは底上げしていきたいです。」
▲『追手門学院　情報セキュリティガイド　～ネットの常識を学ぼう～』

【Q】セキュリティブックに対して、ご意見あればお願いします！

元木「新たな脅威など世の中の流れも変わるので、定期的に改訂してもらえると良いですね。」

村上「こういった本を作ったり、セキュリティの啓蒙活動をしている企業はあまりないですよね。しかし、セキュリティに取り組んでいる企業や学校は、本学と同じように周知・教育の部分で課題を抱えているところは少なくないと思います。無償のコンテンツはいくつかありますが、文字だけだったり難しかったり・・・セキュリティブックはイラスト入りでわかりやすくそれでいて内容もしっかりしています。これを無償で自由に使わせてもらえるのは嬉しいですね。

元木「あとは、有名な方に監修してもらっているというのも安心ですね。MOTEXさんのWEBに載っている新しい情報も随時見せてもらって、参考にさせて頂こうと思います。情報セキュリティガイドについても年に1回ぐらいは見直して、改訂していきたいと思います。」

■今後は、小さなこどもにも理解できるセキュリティブック！

村上「大学ではやっとここまできましたが、学院内の幼稚園・小学校・中学校・高校では、それぞれセキュリティの課題も違うため、まだこういった取り組みができていません。また最近の小学生は4年生、5年生になるとスマートフォンを持ち始めます。そうなるとこどもに持たせる親自身のリテラシーが低いままでは、非常に危険ですよね。こどもはYouTubeやLINEなどのSNSを、いつの間にか親よりも使いこなしていますが、リスクは理解していないと思います。さらに年齢が低ければ低いほど、仲間はずれや、いじめなどのモラル的な部分など、セキュリティ教育に加えモラル教育も課題です。」

元木「学校によっては、すでに児童に対する教育を始めているところもありますが、教え方が難しいです。教えられる先生がいないという問題もあります。この辺りは、教科書とか指導要領に盛り込んでほしいですね。」

村上「でも、やっぱり親のニーズはあると思うので、セキュリティブックを改訂される際にはこどもでも理解できるモラル教育の部分も意識してもらえるといいかもしれないですね。」
▲充実した学内設備
▲2019年4月に開設される新キャンパス

編集後記

セキュリティブックをリリースしてから1年半。これまでに累計3万という予想をはるかに超えるダウンロードをしていただくことができました。同時に多くの企業や団体から「こんな風に使わせてほしい」と要望をいただいてきました。そんな中、特に熱心に取り組まれていたのが追手門学院の村上様、元木様でした。

今回取材をさせていただき、実施に完成した「追手門学院のガイドブック」を拝見し、MOTEXの取り組みがこのように活用され広がっていることに大変嬉しく思います。しかしそれと同時に、情報システム部門の担当者が抱える「セキュリティ教育の課題」を目の当たりにし、MOTEXとしてこれらの活動をより強化していかなければならないと感じています。

電子データは全て無償でご利用いただけます
セキュリティブック無償ダウンロードはこちらから▼