教育情報セキュリティポリシーに関するガイドライン35

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.2 クラウドサービスの利用における情報セキュリティ対策

クラウドのセキュリティ対策は、とてもとっつきにくい印象があります。そもそもクラウドという概念自体が新しいものですし、セキュリティは常々知識を更新しないとどんどん新しいリスクや脅威が発生します。

趣旨として、「クラウドの利用者である教育委員会等（以下、「クラウド利用者」と言う。）は、クラウド事業者（以下、「クラウド事業者」と言う。）が、自らの情報資産を預けるに値する安心安全で信頼できるパートナーであることを慎重に確認しなければならない。」と述べられています。

知らなかったから、理解できなかったから、わからなかったから、「大丈夫だろう」で契約した、では済まされないということですね。

それをどのようにすればよいか、という助けのためのガイドラインです。非常に丁寧に一つずつ説明がなされています。ご一緒に読んでいきましょう。

大前提としてまず述べられているのは「クラウドサービスにおいて情報セキュリティを確保するためには、クラウド事業者が協働して情報セキュリティ対策を構築することが必要」ということです。

オンプレミスの場合、「そこに物理的にある」ため、どの機器をどの事業者が入れているかなどについてはわかりやすく判断できました。ところがクラウドの場合、例えば、SaaS 事業者の多くは IaaS/PaaS 事業者が供給するインフラ基盤やプラットフォーム基盤上でサービスを提供していますから、SaaSサービスを利用する場合でも、IaaSあるいはPaaS事業者のセキュリティについても確認しなければならない、ということが発生します。難しいですね。

具体的にどうすればその確認ができるかについては2通り述べられています。

• SaaS 事業者が自らのサービスのセキュリティに加え、責任をもって IaaS/PaaS 事業者によるインフラ基盤やプラットフォーム基盤を確認し、クラウド利用者に回答することが望ましい。
• SaaS 事業者と IaaS/PaaS 事業者間のセキュリティ対策においても本ガイドラインを準拠していることを求めることで確認することも有効

これらを踏まえて、クラウド利用者が有するべき規定について12の例示があります。

1つ1つボリュームが大きいので、少しずつご一緒に読んでいきましょう。

まずこの規定の前提条件として

• クラウド事業者を SaaS 事業者、すなわち、自らのサービスのセキュリティに加え、IaaS/PaaS 事業者によるインフラ基盤やプラットフォーム基盤のセキュリティを確認し、クラウドサービスを提供している事業者であると設定

ということです。上で述べているセキュリティについて事業者選定の前に「ちゃんとそういうことしているよね」という確認が終わっている、ということですね。つまり、調達仕様書に明記が必要だということになります。

例示文は「クラウド利用者がクラウド事業者に求める事項と、クラウド利用者自らが実施すべき事項との組み合わせで、クラウド利用者が有するべき規定」となっています。

利用者認証

3種類の例示があります。必要に応じて採用することができます。

• クラウド利用者は、クラウド事業者における当該クラウドサービスを提供する情報システムの運用もしくは開発に従事する者又は管理者権限を有する者について、適切な利用者確認がなされていることをクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、当該クラウドサービスのログインに関わる認証機能の提供をクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者側管理者権限を有する者のIDの管理について、1.6.2例文(1)③を遵守しなければならない。

３の例文は「特権を付与されたIDの管理等」で、7項目あります。長いですが再度引用します。

• 統括教育情報セキュリティ責任者及び教育情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
• 統括教育情報セキュリティ責任者及び教育情報システム管理者の特権を代行する者は、統括教育情報セキュリティ責任者及び教育情報システム管理者が指名し、CISOが認めた者でなければならない。
• CISOは、代行者を認めた場合、速やかに統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者及び教育情報システム管理者に通知しなければならない。
• 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。
• 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードについて、その利用期間に合わせて特権IDを作成・削除する、もしくは、入力回数制限を設ける等のセキュリティ機能を強化しなければならない。
• 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。
• 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDのログ監視を行わなければならない。【推奨事項】

え！　たった一つの内容にこんなにたくさん！　と思われるかもしれませんが、こんなにたくさんのことを考えなければセキュリティは守れない時代になっています。特に特権管理者については性善説を決してとってはなりません。

これを、個人で考えて網羅するというのはとても大変ですので、ガイドラインで例文が挙げられています。参考にして、ご自分の自治体で必要なものについて取り入れていただければと思います。

来週は参考資料の続き、クラウドサービスの利用における情報セキュリティ対策について読んでいきます。