教育情報セキュリティポリシーに関するガイドライン36

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.2 クラウドサービスの利用における情報セキュリティ対策

先週の続きです。例示文を確認していきましょう。クラウドを活用するためのセキュリティを考えるうえで、必要な内容です。是非ご確認ください。

アクセス制御

2種類の例示があります。必要に応じて採用することができます。

• クラウド利用者は、当該クラウドサービスに対して、アクセスする権限のない者がアクセスできないように、システム上制限する機能の提供をクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、クラウド事業者の提供するアクセス制御機能を用いて、情報資産毎に、許可されたエンドユーザのみがアクセスできる環境を設定しなければならない。

自分たちはきちんとセキュリティポリシーを守っているけれども、どこかの知らない誰かが勝手に自分たちの情報にアクセスする、というのは防がなければなりません。そのための確認事項だと考えてください。「普通そんなことないだろう」というのは通用しません。書面で条件が明記されている、ということを確認するのが重要です。

クラウドに保管するデータの暗号化

• クラウド利用者は、当該クラウドサービスへのデータの保管に際し、情報漏えい等に備えて、暗号化等の保護措置を講じられていることを、クラウド事業者にサービス提供定款や契約書面上で確認または合意しなければならない。

例文が1つだということは、多くの自治体で似たようなシチュエーションになる、と想像できるわけですが、データを保管する際には、暗号化等の保護措置が必要です。万が一情報が盗まれたとしても、暗号化を解除できなければ読むことはできませんから、少しでもセキュリティを高めるために必要な措置ですね。

マルチテナント環境におけるテナント間の安全な管理

• クラウド利用者は、複数のクラウド利用者がクラウドリソースを共用する環境において、特定のクラウド利用者に対して発生したセキュリティ侵害が、他のクラウド利用者に影響を与えないように対策が講じられていることを、クラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。

通常クラウドはマルチテナントが基本です。

クラウドリソースは共有され、だからこそ柔軟に、適切に運用することが可能です。一方で、そのため、自分は大丈夫でも、たまたま同じリソースを利用していた別の利用者のセキュリティ侵害に巻き込まれてはいけないということです。

クラウドサービスを提供する情報システムに対する外部からの悪意のある脅威の侵入を想定した技術的セキュリティ対策

• クラウド利用者は、当該クラウドサービスを提供する情報システムを監視し、セキュリティ侵害を検知することを、クラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、当該クラウドサービスを提供する情報システムのインターネット接続境界において、クラウド利用者以外による不正な通信・侵入を防ぐ措置を講じるとともに、外部脅威の侵入を検知し、防御する対策を講ずることを、クラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。

どのような環境を利用していたとしても、外部からの悪意ある脅威の侵入は起こり得ます。その際に、きちんと検知することをクラウド事業者に求めたり、不正な通信・新入を防ぐ措置を講じるとともに、検知・防御する対策を講ずることを求める必要がある、といっています。

本日は例文を4つ確認してみましたが、どれも「普通そんなこと確認しなくても」と思うことも多いでしょう。ただ、いざインシデントが起こった際に「契約する時確認はしたのか」「書面で実施することを確認したのか」ということは重要なポイントとなってきます。

全て確認をしたがインシデントは起こった、という場合と、そうではない場合とでは、責任範囲が変わってきます。下手をすれば、被害にあったのに、確認しなかったのが悪い、契約上そのようなことを義務として実施することにはなってない、というような話の展開になる可能性もあります。

ですので、ガイドラインを参考にしてぜひ確認をし、書面で契約を取り交わしておく必要があります。

来週は参考資料の続き、クラウドサービスの利用における情報セキュリティ対策について読んでいきます。