教育情報セキュリティポリシーに関するガイドライン30

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.1. 学校現場におけるクラウドサービスの利用について

ここは気になるところが多い内容です。ガイドラインの中でも最も初版から変遷しているものになります。少し長いですが、変遷を引用します。

ガイドライン初版（平成 29 年 10 月 18 日策定）においては、オンプレミスやプライベートクラウドの利用を想定した内容であった一方、パブリッククラウドサービスについては、利用を禁止してはいないが、機密性が低い情報資産に限定し、積極的な活用に向けた記述ではなかった。
令和元年 12 月版の改訂では、パブリッククラウドの特性を踏まえ、「1.9 クラウドサービスの利用」として、パブリッククラウドの利用に向けた考え方を追記した。
具体的には、パブリッククラウドサービスの積極的な活用に向けて、パブリッククラウドにおいて重要性の高い情報資産を取り扱うことも想定し、その特性に基づくメリット及び留意点、さらにその留意点を踏まえつつセキュリティ確保に関して検討・確認することが望ましい事項を記載した。
本項においては、学校現場におけるクラウドサービスの利用に関する考え方を示しており、基本的には、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」（2018年6月7日 各府省情報化統括責任者（CIO）連絡会議決定）の内容を参考にしている。

※2021年版は　https://cio.go.jp/sites/default/files/uploads/documents/cloud_policy_20210330.pdf

※2018年版は、「旧版」として扱われている。

教育情報セキュリティポリシーガイドラインを作成した段階では、2018年版を参照していたということですが、現在は2021年版が公表されています。

当初はクラウドを使うことが推奨されてはいなかったところ、ガイドラインの改訂を経て推奨するようになった、ということを言っていますね。

人間だれしも最初のインパクトは大きいので「文部科学省はオンプレミス推奨」というイメージが今でも残っている人がいます。最新版を確認しなければならない理由はこういう点ですが、そのような背景があるということを頭に入れておくと、「なんで？」が減って仕事がやりやすいです。

この章は、重要なことが多く書かれていますので、いつも以上にゆっくり読んでいきましょう。

まず、「教育システムにおけるクラウドサービスの定義」が書かれています。

このガイドラインが取り扱う「クラウドサービス」については、巻末の参考資料に詳細が掲載されています。なんとなくのイメージで話をしていては、細かなところですれ違いが起こることが考えられます。

長いですが「１　クラウドサービスとは」を引用してみましょう。

クラウドサービスとは、クラウドコンピューティングを利用したサービスである。
クラウドコンピューティングは、共用の構成可能なコンピューティングリソース(ネットワーク、サーバ、ストレージ、アプリケーション、サービス)の集積に、どこからでも、簡便に、必要に応じて、ネットワーク経由でアクセスすることを可能とするモデルであり、最小限の利用手続きまたはクラウド事業者とのやりとりで速やかに割当てられ提供されるものである。
このクラウドモデルは 3 つのサービスモデル、および 4 つの実装モデルによって構成される。
政府機関等の情報セキュリティ対策のための統一基準 平成 30 年度版

という定義で進みます。そのあと3つのサービスも出ると4つの実装モデルの説明も掲載されていますので、ご確認ください。

ガイドラインでは、教育システムにおけるクラウドの3つの定義を掲載しています。これも重要ですので引用します。

➢ 教育システムにおけるクラウド

事業者等によって定義されたインターフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定・管理が可能なサービス。

➢ 教育システムにおけるパブリッククラウド

学校や教職員や生徒が、必要な時に必要なだけ自由にリソースを特定のハードウェアや通信環境に依存せずに利用できる ICT サービス。

➢ 教育システムにおけるプライベートクラウド

サービス提供元の組織でのみ利用可能なクラウドサービスであり、リソースも自らによって制御する。政府内においては、政府共通プラットフォームや各府省独自の共通基盤、共通プラットフォーム等が該当する。

これらの用語が出てきたときは、このような状態であることが前提です。自分の頭の中でなんとなくこうだ、というイメージで確認するのではなく、定義された言葉の状態である、ということを理解して読んでいく必要があります。

また、「コミュニティクラウド」と「ハイブリッドクラウド」についても以下のように言及されています。

コミュニティクラウド

コミュニティクラウドでは、クラウドサービスのインフラストラクチャは複数の組織で共有され、共通の関心事(使命、セキュリティ上の必要、ポリシーまたは法令遵守の観点から)をもつ特定の共同体の専用使用のために使われる。例えば､統合型校務支援システムをクラウドサービス化して、複数自治体の学校が共同利用する場合は、コミュニティクラウドと言える。管理はその共有組織が行う場合も第三者の場合もあり、設置場所は組織の施設内または外部の場所となる。

ハイブリッドクラウド

ハイブリッドクラウドでは、クラウドサービスのインフラストラクチャは二つ以上の異なるクラウドインフラ(プライベート、コミュニティまたはパブリック)の組み合わせである。各クラウドサービスは独立した存在であるが、標準化された、あるいは固有の技術で相互に結合され、データとアプリケーションの移動可能性を実現している。

クラウド、というとなんだかもやもやしてよくわからないうえに様々な種類のクラウドがある！　となるととても難しく思ってしまいがちです。ただ、定義はよく確認して、これからご一緒にゆっくり読んでいきましょう。行政職の皆様にとって、クラウドを活用する、というのは新しい経験であることも多いと思います。学校はそれ以上に未知の世界だと感じています。

ご一緒に、ご自分の自治体に合った一番いい方法を探していきましょう。

来週は参考資料の続き、クラウドサービスの利用について読んでいきます。