教育情報セキュリティポリシーに関するガイドライン(令和6年1月)36

2025年3月3日 2025年2月21日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

９. SaaS 型パブリッククラウドサービスの利用

全面的に書きなおされている部分になります。クラウドの進化と社会への浸透がそれだけ進んでいるということだと思います。

今回特に「SaaS型パブリッククラウド」となっています。クラウドには大きく分けて3種類あります。

IaaS　：ハードや通信回線などのインフラを提供
PaaS　：OSなどのソフトウェア実行環境を提供
SaaS　：ソフトウェアを提供。ユーザーはログインして使用する

この中で、ネットワークを通してクラウド上に用意されたソフトウェアにログインして使う、SaaS型パブリッククラウドについて取り上げられています。

特に、SaaS型パブリッククラウドサービス利用が安全であり、クラウド事業者が信頼できるパートナーであることについては以下2点を確認するように述べられています。

クラウド事業者が提供するクラウドサービスが必要充分な情報セキュリティ対策を講じられていること
クラウド事業者のサービス提供ポリシー等から信頼できるパートナーであることを確認すること

それぞれの観点について詳しく述べられています。

９.１.SaaS 型パブリッククラウドサービスの利用における情報セキュリティ対策

学校でどのようなSaaS型パブリッククラウドサービスが利用されているかというと、例えば以下のようなサービスをあげることができます。

学習 e ポータル
デジタル教科書
デジタルドリル
協働学習支援サービス
デジタルコンテンツ配信サービス
校務支援システム
学校ホームページ作成サービス
緊急連絡網サービス
Webメールサービス　等

また、「IaaS の上に自社や他社のサーバを運用し、クラウド利用者にサービス提供するモデルでは、クラウド利用者は、当該事業者に対して SaaS と同等の契約を満たすことを求めることを推奨する。」とあります。IaaSの業者とその上にサービスを構築する業者が違う、ということは想定しておかなければならないことになります。

この部分では13項目の例示があります。SaaSの場合どうしなければならないか、ほぼ網羅されているので数が多い、と思ってもセキュリティとはとても確認事項が多いのだとご理解ください。

利用者認証
アクセス制御
クラウドに保管するデータの暗号化
マルチテナント環境におけるテナント間の安全な管理
クラウドサービスを提供する情報システムに対する外部からの悪意のある脅威の侵入を想定した技術的セキュリティ対策
情報の通信経路のセキュリティ確保
クラウドサービスを提供する情報システムの物理的セキュリティ対策
クラウドサービスを提供する情報システムの運用管理
クラウドサービスを提供する情報システムのマルウェア対策
クラウド利用者側のセキュリティ確保
クラウド事業者従業員の人的セキュリティ対策
データの廃棄等について
クラウドサービス要件基準を満たす配慮を含めたネットワーク設計

クラウドの場合、例えばサービスを終了しようと思った時に、「そのユーザーID等を管理しているインフラはクラウド事業者のものなので、IDやパスワードはクラウド事業者の持ち物であるサーバーのハードウェアに記録されている」から、その取扱いをどうするか、というところまで考える必要があります。SaaS事業者にのみ個人情報削除を徹底しても、その事業者がIaaSを利用していた場合、そちらに情報が残っていました、ということは十分考えられるリスクです。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。