教育情報セキュリティポリシーに関するガイドライン(令和6年1月)11
大江 香織皆さんこんにちは。
2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。
平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。
今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。
第1編 総則
第3章 教育現場におけるクラウドの活用について
クラウドに関して大幅に加筆修正されているということを申し上げました。
丁寧に説明を重ねることで、クラウドに対する理解が深まり、教育現場での活用について、イメージができていくことが大切ですね。どこまでかみ砕いて説明するのか、紙面の制約がありますから難しいところですが、行政職の皆様がご確認された際にわからないところは、どうぞハイパーブレインにご遠慮なくお問い合わせください。
(3)学校現場におけるクラウドサービスの利用
利用形態として2パターンあげられています。
①IaaS・PaaS 型プライベートクラウド利用
「IaaS・PaaS を利用してサーバ基盤(コンピューティング能力)の提供を受け、その基盤上に SI 事業者がアプリケーションを乗せて校務系システムを構築する形態である。」と述べられています。
この方式を選ぶと、「クラウド事業者と契約するのは SI 事業者となり、自治体は SI 事業者に外部委託する形態となる。」とあります。ですので、IaaSかPaaSかどちらを選ぶのかは下見積り等で外部業者に委託した場合の金額や期間、手間を考える必要があります。
その前にもっとシンプルに、「なんか難しいこと言われてるけどインターネットも接続したいし校務系にも接続したい! を実現したいだけだよ」というご要望もあると思います。技術的にクリアしなければならないことはたくさんありますが、「校務系システム、校務外部接続系システム、学習系システムにおいてインターネットアクセスを許容しつつも、アクセス管理や不正アクセス検知を行うことでインターネットからのサイバー脅威の侵入を遮断し、IaaS・PaaS を利用する構成も実装し得る。」とある通り、下見積りや仕様書作成の段階から、「こういうことをしたい」ということを明確にしておくと、「こんなはずでは!!!!」を防げると思います。
行政職のご担当の方がおひとりという自治体も多いです。おひとりで考えるのは難しいので、文科省のDXアドバイザーや、当社、外部業者にご相談いただくことはとても大切だと思います。
②SaaS 型パブリッククラウド利用
1人1台端末を持つことで「ログインして使いましょう」というアプリケーションが増えました。これらは主に、SaaS型パブリッククラウドに分類されることが多いです。基本的に「利用者の個別要望に沿ったカスタマイズは原則困難」です。
それだけではなく、システムの多くがクラウド上で動作し、そのクラウドは共有されている、ということを理解していることが大切です。
価格が安く、サーバー管理の手間もオンプレミスに比べて段違いに少ないSaaS型パブリッククラウドですが、セキュリティについては発注側である行政職の皆様が気を付けなければならないポイントがあります。
該当クラウドサービスの安全性及びクラウド事業者の信頼性等の確認
→クラウド事業者の提示するサービス要件、監査報告書等で確認
詳しくは「第2編9.1. SaaS 型パブリッククラウドサービスの利用における情報セキュリティ対策」及び「第2編9.2.SaaS 型パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項」にあるので、そこで再度確認します。「なんか雰囲気でいけると思った」というわけにいかないので、様々な情報を確認し、安全な事業者であることを証明できる状態で運用していきたいですね。
(4)クラウドサービスの情報セキュリティを把握するための第三者認証等の活用
とはいえ、先方は様々な「大丈夫なのか?」を潜り抜けてきた百戦錬磨。一方こちらははじめての体験で、何をどう確認したら大丈夫なのか、ということについてなかなか言い切ることができませんね。
そこで、「第三者による認証や各クラウドサービス事業者が提供している監査報告書を利用することが重要」になります。
認証制度の例として12種類あげられています。以下掲載しますので、参考になさってください。
- ISO/IEC 27001(情報セキュリティマネジメントシステム)
- ISO/IEC 27002(情報セキュリティマネジメントシステム)
- ISO/IEC 27014(情報セキュリティガバナンス)
- ISO/IEC 27017(クラウドサービスの情報セキュリティ)
- ISO/IEC 27018(クラウドサービスにおける個人情報の取扱い)
- 米国FedRAMP
- AICPA SOC2(日本公認会計士協会 IT7 号)
- AICPA SOC3(SysTrust/WebTrsuts)(日本公認会計士協会 IT2 号)
- JASA クラウドセキュリティ推進協議会CS ゴールドマーク
- ASP・SaaS 安全・信頼性に係る情報開示認定
- 政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP)
来週は教育情報セキュリティポリシーに関するガイドライン(令和6年1月版)第2編 教育情報セキュリティ対策基準(例文・解説)を読んでいきます。
投稿者プロフィール
-
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
最新の投稿
HBI通信2024年9月2日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)17
HBI通信2024年8月26日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)16
HBI通信2024年8月19日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)15
HBI通信2024年8月5日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)14
