教育情報セキュリティポリシーに関するガイドライン37

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.2 クラウドサービスの利用における情報セキュリティ対策

先週の続きです。例示文を確認していきましょう。だんだん難しくなり、微に入り細に入り、という内容になってきますが、クラウドを活用するためのセキュリティを考えるうえで、必要な内容です。ゆっくりご一緒に読んでいきましょう。よくわからないからまあいいや、という決断が難しい分野です。是非ご確認ください。

クラウドサービスを提供する情報システムの運用管理

4種類の例示があります。それぞれをよく読んで、どれが必要なのか、どれが合っているのか確認しましょう。例示文も長いですが、引用します。

• クラウド利用者は、クラウド事業者に対して、サービスの一時停止等クラウド利用者に影響があり得る運用手順の有無、有る場合にはクラウド利用者への影響範囲（時間、サービス内容）、連絡方法等について情報提供を求め、クラウド利用者が業務運営に支障がないことを確認し、合意しなければならない。また、クラウド事業者の設定不備等によるインシデント発生時にも同様の確認をしなければならい。【推奨事項】
• クラウド利用者は、当該クラウドサービスにおけるサーバの冗長化について、1.4.1(2)に準じた対策をクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、当該クラウドサービスにおけるデータバックアップについて、1.6.1(2)に準じた対策をクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、当該クラウドサービスにおける情報セキュリティの確保や監査に必要なログの取得について、1.6.1(6)に準じた対策をクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。

クラウドは、「提供されたリソースを使う」サービスですので、ではその保存領域や、CPUの実物が一体どこに存在するのか、ということは目で見て簡単に確認できません。そのため、影響が出そうなことは確認をしておく必要がある、と言っています。また、何か影響が出る場合、どのように告知されるのかということも確認する必要があります。思わぬ事故はどんな時でも発生する可能性がありますが、インシデント発生時にどのように告知されるのかも必ず確認しておいた方がいいです。プッシュ型ではない場合「知らない間に何かが発生していて気づいたら全然アクセスできなくなっていた」ということも起こり得ます。１は推奨項目になっていますが、担当者が変わっても確認することを忘れないために、項目化しておいた方が良いと考えます。

2以降は、それぞれガイドラインで説明している内容を確認せよ、という風に書いてありますね。

例えば2でいうところの「冗長化について、1.4.1(2)に準じた対策」とは、「サーバ等の機器が緊急停止した場合にも、業務を継続できるようにするために、バックアップシステムを設置することが有効である。校務系システムは、成績処理等において、教員が毎日の業務において活用するものであり、サーバが緊急停止した場合、校務の遂行に多大な影響を及ぼすことが考えられることから、校務系サーバ及び校務外部接続系サーバについては、冗長化を行うことが重要である。
一方で、学習系サーバについては、サーバ冗長化に係るコスト等も勘案し、ハードディスクの冗長化を図ることが適当である。
（注２）サーバの冗長化については、ハードウェアやソフトウェアが二重に必要となるほか、運用面でデータの同期化等が必要となり、これらの費用とサーバ等の緊急停止による損失の可能性を検討した上で、冗長化を行うか否かを判断する必要がある。」というような、ガイドラインで既に述べられていることを例示の参考として挙げているというものになります。

３の「データバックアップについて、1.6.1(2)に準じた対策」とは、「緊急時に備え、ファイルサーバ等に記録される情報について、バックアップを取ることが必要である。
校務系システムは、成績処理等、教員が毎日の業務において活用するものであり、校務系サーバ及び校務外部接続系サーバの情報資産を消失した場合、学校事務の遂行に支障を及ぼすことが予想される。このため、校務系サーバ及び校務外部接続系サーバについては、バックアップを行うことが重要である。
学習系サーバにおいても、児童生徒が作成した情報資産の消失を防ぐためにバックアップを行うことが望ましい。
（注１）バックアップを行う場合には、データの保全を確保するため、バックアップ処理の成否の確認、災害等による同時被災を回避するためバックアップデータの別施設等への保管、システムを正常に再開するためのリストア手順の策定及びリストアテストによる検証が必要である。」と解説されているものになります。バックアップが必要である、ということについてはきちんと理解をしておいたうえで、システム側に求めること、確認することをきちんと実施していくわけですね。

４の「ログの取得について、1.6.1(6)に準じた対策」とは、「ログ（アクセスログ、システム稼動ログ、障害時のシステム出力ログ）及び障害対応記録は、悪意の第三者等による不正侵入や不正操作等の情報セキュリティインシデントを検知するための重要な材料となる。また、情報システムに係る情報セキュリティの上の問題が発生した場合には、当該ログ等は、事後の調査の過程で、問題を解明するための重要な材料となる。したがって、情報システムにおいては、仕様通りにログ等が取得され、また、改ざんや消失等が起こらないよう、ログ等が適切に保全されなければならない。
なお、校務系システム及び校務外部接続系システムのログについては6か月以上保存することが望ましい。
（注３）保管期限を設定し、期限が切れた場合は、これらの記録を確実に消去する必要がある。なお、ログの取得については、セキュリティインシデントに対して即時に対応するためには、リアルタイムでログの取得・分析等を行う手法を採用することも効果的である。」という解説がされているものになります。インシデント発生時に、ログが取れていなければ原因の究明は困難になります。そのため、クラウドサービスを利用する際に、ログの取得ができることは、必ず確認しておいた方がいい、ということですね。

どんどん難しい言葉が出てくるようになって、理解するのが大変だ！　という場合もあると思います。今回は

• インシデント発生時やメンテナンス時の連絡方法
• 冗長化
• バックアップ
• ログ

をクラウドの事業者にちゃんと確認してね、ということです。確認する際に、「冗長化してる？」「してるよ！」でOKということではないので、様々注意書きがある、という風にご理解ください。

来週は参考資料の続き、クラウドサービスの利用における情報セキュリティ対策について読んでいきます。