教育情報セキュリティポリシーに関するガイドライン32

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.1. 学校現場におけるクラウドサービスの利用について

クラウドに関しては、ガイドラインでも詳細に触れられています。今週も1.9.1学校現場におけるクラウドサービスの利用について、を読みます。

その中の「クラウドサービスの特性に起因する留意点」を取り上げます。気になる方が多い分野ですので、ガイドラインもページを割いて説明しています。

特性は6点あります。それぞれに説明がありますので、かいつまんでみていきましょう。

特性１ マルチテナント

　リソースを自分だけが使っているのではない、ということです。例えば特定の利用者の悪意ある利用によって、他の利用者が迷惑を被ってはいけないですね。「第三者の検証による国際標準への準拠状況を確認する等、適切な安全管理措置が行われていることを確認する必要がある」と説明があります。

特性２ サービス提供元のセキュリティ情報を確認

　サービス提供元だけで完結していない場合もある、ということを想定しなければならないということです。ガイドラインでは

インフラ基盤を IaaS 事業者から供給を受けて、アプリケーションを SaaS として提供する事業者も存在する

ケースについて具体的に説明があります。サーバ等は他の業者から借りて、アプリケーションをそのサーバ上で動かし、それをSaaSとして提供している事業者については「サーバの提供事業者、アプリケーションの提供事業者、双方のセキュリティについて確認する必要がある」と言っています。長くなりますがその部分を引用すると

「クラウドサービスのセキュリティレベルは、SaaS 事業者が適切なセキュリティレベルを確保していることを確認する必要がある。（IaaS 事業者が堅牢なセキュリティ対策を実施していたとしても、SaaS 事業者の委託作業の中でセキュリティインシデントが発生すると、データの流出が発生したり、データにアクセスできなくなったりする可能性がある。）なお、セキュリティインシデントだけでなく、クラウドサービスに
集約される教育データの取り扱いについても IaaS 事業者及び SaaS 事業者にて利用者の意図しない取り扱いをされることが無いよう留意する必要がある。」

データの取り扱いについても、双方の事業者の確認が必要ですね。とはいえ、クラウド利用者が「どこの事業者をどのように確認するのか」というのはとても難しいですので、「第三者による認証や各クラウドサービス事業者が提供している監査報告書を利用することが重要」です。

特性３ グローバル展開

オンプレミスの時には考えずに済んだことですので、言われて初めて気づくことも多いです。特に一番注意すべきことは「自らの情報資産の管理に日本の法令が適用されること、係争時における管轄裁判所が日本国内となることを留意する必要がある」です。著作権等権利についての考え方は国によって違います。また、何か問題が起こった場合、海外の裁判所から出頭命令が届いても困りますね。

特性４ サービス利用型の外部委託構造

教育委員会とお話をしていて、よく出てくるのは「今までこのやり方だったから、これに合わせてほしい」「カスタマイズしてほしい。100校あったら100校別々のものがいい」というようなことです。学校の独自性を追求するのはとても素晴らしいことですが、業務面からいうと、異動の度に複雑なローカルルールを覚えるところから始まるので、メリットデメリットがありますね。

パブリッククラウドの事業者は基本的に「利用者からの過度に詳細なカスタマイズの要求には応えられない」と思っておいてください。クラウドを利用する際は自治体内の業務の見直しも必要になってきます。

特性５ 責任分界点

ガイドラインでは「クラウド事業者が管理責任を負う部分と、クラウド利用者が管理責任を負う部分を分けて考えることが重要である」とあります。オンプレミスだと、目の前に物理的リソースがありますから、管理責任を明確に区分することについて、問題が発生することはあまりありません。クラウドの場合「サーバを提供しているが回線は別。どこで障害が起こったかうちではわかりません」というようなことが発生してしまう可能性があるということですね。意識して、責任分界点を明確にしておく必要があるということです。

特性６ サービスの継続性

「クラウド事業者の経営方針などに起因して、一方的にサービスを停止する可能性もあることから、クラウドサービスを利用する場合には、利用停止等に係る契約上の規定を確認しておくことが必要である」とあります。極端な事業者だと「明日から使えません」という可能性もあるということですね。利用停止等の規約を十分確認しておく必要があります。

このように、オンプレミスの時には考える必要のなかったこと「普通こうしてくれるだろう」という暗黙の了解というものはないと考えたほうがいいこと、などを気付くことができます。

ガイドラインを参考にして、今後はこのようなことを確認する、ということについてアップデートして行けるといいですね。

来週は参考資料の続き、クラウドサービスの利用について読んでいきます。