教育情報セキュリティポリシーに関するガイドライン34

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.1. 学校現場におけるクラウドサービスの利用について

クラウドに関しては、ガイドラインでも詳細に触れられています。今週も1.9.1学校現場におけるクラウドサービスの利用について、を読みます。

その中の「クラウドサービスの情報セキュリティを把握するための第三者認証等の活用」「自組織の内部統制基準や情報セキュリティポリシーとの適合性の確保」を取り上げます。詳細は後に詳しく述べられますので、まず今回は概要を抑えておきましょう。

クラウドサービスの情報セキュリティを把握するための第三者認証等の活用

情報セキュリティは「自分でやってます、大丈夫です」というのが通用しない世界です。何がどう大丈夫なのか、「自分」の頭の中身や考え方を明らかにするのはなかなか大変で、それが「大丈夫」なのか判断するための知識を「自分」もそれを聞く人も付けていかなければなりません。

そのため、ガイドラインでは「クラウドの利用に関しては、第三者による認証や各クラウドサービス事業者が提供している監査報告書を利用することが重要」とあります。

認証制度は厳格に運営されており、通常、何かをごまかして認証を取得するということはできません。ガイドラインでは以下の認証制度の例を挙げています。

• ISO/IEC 27001(情報セキリュティマネジメントシステム)
• ISO/IEC 27002(情報セキリュティマネジメントシステム)
• ISO/IEC 27014(情報セキリュティガバナンス)
• ISO/IEC 27017(クラウドサービスの情報セキュリティ)
  https://isms.jp/isms-cls/lst/ind/index.html
• ISO/IEC 27018（クラウドサービスにおける個人情報の取扱い）
• 米国 FedRAMP
  https://marketplace.fedramp.gov/#/products?status=Compliant
• AICPA SOC2（日本公認会計士協会 IT7 号）
• AICPA SOC3（SysTrust/WebTrsuts）（日本公認会計士協会 IT2 号）
• JASA クラウドセキュリティ推進協議会 CS ゴールドマークhttp://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/
• ASP・SaaS 安全・信頼性に係る情報開示認定

これらの認証制度の認証を取得しているかどうか、ということでクラウドサービスの安全性を確認することができます。

自組織の内部統制基準や情報セキュリティポリシーとの適合性の確保

何度もご説明していることですが、公立学校なら、自治体の情報セキュリティポリシーに従う必要があります。学校は特別なので教育情報セキュリティポリシーを別途定めている自治体もおありでしょう。ですが、基本的に自治体のセキュリティポリシーは守らなければなりません。

ガイドラインでは、「「データセンターを（目視で）確認すること」など、クラウドサービスの利用にはなじまない内容」がある場合は、セキュリティポリシーの改訂が必要です。

ガイドラインでは「クラウド利用者は、自らの情報セキュリティポリシーを、クラウドセキュリティに関する認証や、クラウド事業者が提供する監査報告書を利用する等、クラウドサービスの利用を前提とした内容に改める必要がある。」とあります。今後クラウドに代わる手段が出てくれば、それにあわせてまた改訂する必要があります。

「その上で、クラウド事業者のサービス提供基準が自組織の内部統制基準や情報セキュリティポリシーを満たしている」ことを確認する必要もあります。

セキュリティに関しては「知らなかった」では済まないので、確認をしなければならないのですが、ガイドラインで、「何を確認しなければならないのか」ということを明らかにしてもらえるのは活用したいですね。

来週は参考資料の続き、クラウドサービスの利用について読んでいきます。