教育情報セキュリティポリシーに関するガイドライン34
皆さんこんにちは。
令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。
平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。
参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。
参考資料 1.9.1. 学校現場におけるクラウドサービスの利用について
クラウドに関しては、ガイドラインでも詳細に触れられています。今週も1.9.1学校現場におけるクラウドサービスの利用について、を読みます。
その中の「クラウドサービスの情報セキュリティを把握するための第三者認証等の活用」「自組織の内部統制基準や情報セキュリティポリシーとの適合性の確保」を取り上げます。詳細は後に詳しく述べられますので、まず今回は概要を抑えておきましょう。
クラウドサービスの情報セキュリティを把握するための第三者認証等の活用
情報セキュリティは「自分でやってます、大丈夫です」というのが通用しない世界です。何がどう大丈夫なのか、「自分」の頭の中身や考え方を明らかにするのはなかなか大変で、それが「大丈夫」なのか判断するための知識を「自分」もそれを聞く人も付けていかなければなりません。
そのため、ガイドラインでは「クラウドの利用に関しては、第三者による認証や各クラウドサービス事業者が提供している監査報告書を利用することが重要」とあります。
認証制度は厳格に運営されており、通常、何かをごまかして認証を取得するということはできません。ガイドラインでは以下の認証制度の例を挙げています。
- ISO/IEC 27001(情報セキリュティマネジメントシステム)
- ISO/IEC 27002(情報セキリュティマネジメントシステム)
- ISO/IEC 27014(情報セキリュティガバナンス)
- ISO/IEC 27017(クラウドサービスの情報セキュリティ)
https://isms.jp/isms-cls/lst/ind/index.html - ISO/IEC 27018(クラウドサービスにおける個人情報の取扱い)
- 米国 FedRAMP
https://marketplace.fedramp.gov/#/products?status=Compliant - AICPA SOC2(日本公認会計士協会 IT7 号)
- AICPA SOC3(SysTrust/WebTrsuts)(日本公認会計士協会 IT2 号)
- JASA クラウドセキュリティ推進協議会 CS ゴールドマークhttp://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/
- ASP・SaaS 安全・信頼性に係る情報開示認定
これらの認証制度の認証を取得しているかどうか、ということでクラウドサービスの安全性を確認することができます。
自組織の内部統制基準や情報セキュリティポリシーとの適合性の確保
何度もご説明していることですが、公立学校なら、自治体の情報セキュリティポリシーに従う必要があります。学校は特別なので教育情報セキュリティポリシーを別途定めている自治体もおありでしょう。ですが、基本的に自治体のセキュリティポリシーは守らなければなりません。
ガイドラインでは、「「データセンターを(目視で)確認すること」など、クラウドサービスの利用にはなじまない内容」がある場合は、セキュリティポリシーの改訂が必要です。
ガイドラインでは「クラウド利用者は、自らの情報セキュリティポリシーを、クラウドセキュリティに関する認証や、クラウド事業者が提供する監査報告書を利用する等、クラウドサービスの利用を前提とした内容に改める必要がある。」とあります。今後クラウドに代わる手段が出てくれば、それにあわせてまた改訂する必要があります。
「その上で、クラウド事業者のサービス提供基準が自組織の内部統制基準や情報セキュリティポリシーを満たしている」ことを確認する必要もあります。
セキュリティに関しては「知らなかった」では済まないので、確認をしなければならないのですが、ガイドラインで、「何を確認しなければならないのか」ということを明らかにしてもらえるのは活用したいですね。
来週は参考資料の続き、クラウドサービスの利用について読んでいきます。
投稿者プロフィール
-
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
最新の投稿
- HBI通信2024年10月7日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)20
- HBI通信2024年9月30日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)19
- HBI通信2024年9月9日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)18
- HBI通信2024年9月2日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)17