教育情報セキュリティポリシーに関するガイドライン38

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.2 クラウドサービスの利用における情報セキュリティ対策

先週の続きです。例示文を確認していきましょう。そんなの言わなくても分かっているだろう、というのは何度も申し上げていますが通用しません。すべての心配事は必ず確認しておく必要があり、心配事を網羅するのは難しいので、こうやってどんどん細かいところまで例示してくれているわけです。

クラウドサービスを提供する情報システムのマルウェア対策

２つの例示があります。マルウェア対策は当然実施しなければならない対策ですが、それを明確に言語化するのは難しいので、ガイドラインは参考になります。例示文も長いですが、引用します。

• クラウド利用者は、クラウドサービスを提供する情報システムを構成するサーバ及び運用管理端末等について、マルウェア対策を講じることをクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、内部システムに侵入した攻撃を検知して対処するために、通信をチェックする等の対策を講じることをクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。

サービス提供定款や、契約書に書いてある言葉は難しくて、理解するのも一苦労です。ですが、それらを確認しておく必要があるということですね。

クラウド利用者側のセキュリティ確保

こちらも例示が2つあります。利用者側のことも考えなければなりません。クラウド事業者側でどんなに頑張っても、使う側が全く注意を払っていなければ、セキュリティは守れません。

• クラウド利用者は、クラウドサービスにアクセスする利用者側端末について、保管するデータの外部流出、改ざん等から保護するために必要な措置を講じなければならない。
• クラウド利用者は、標的型攻撃による外部からの脅威の侵入を防止するために、エンドユーザへの教育や入口対策を講じなければならない。

自分たちの状況を確認し、利用者側として何を守らなければならないか確認、明示する必要があるということです。

来週は参考資料の続き、クラウドサービスの利用における情報セキュリティ対策について読んでいきます。