教育情報セキュリティポリシーに関するガイドライン39

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.2 クラウドサービスの利用における情報セキュリティ対策

先週の続きです。例示文を確認していきましょう。クラウド事業者は様々な国の様々な人間を雇用していることも多いです。人間というのは非常に柔軟で、とてつもないことを思いつきますから、どんなにシステムにお金をかけて堅牢にしても、人間への対策は絶対に必要なことです。何を確認しなければならないか例示を確認し、必要な対策が取れるようにしておきましょう。

クラウド事業者従業員の人的セキュリティ対策

5つの例示があります。

• クラウド利用者は、クラウドサービスに関わるクラウド事業者従業員に対して、クラウド事業者の情報セキュリティポリシー及び保守運用管理規程等を遵守することをクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、クラウドサービスに関わるクラウド事業者従業員に対して、業務に用いるID及びパスワードその他の個人認証に必要な情報及び媒体について、部外者及び業務に関わらない従業員に漏えいすることがないように、適切に管理することをクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、クラウドサービスに関わらない従業員等がクラウド利用者のデータを知り得る状態にならないよう、業務に関わるクラウド事業者従業員に対して秘匿を義務づけることをクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、クラウド利用者のデータ及びデータを格納した端末機器又は電磁的記録媒体の外部持ち出しについて、クラウド利用者の許可なく外部持ち出しできないこと及び外部持ち出しにおける安全管理手順をクラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、クラウドサービスを提供する情報システムを構成するサーバ及び運用管理端末等に、マルウェアを侵入させないよう、クラウド事業者に求め、サービス提供定款や契約書面上で確認または合意しなければならない。

これも何度も言っていることですが、セキュリティポリシーやガイドラインは、守らない人は守りませんが、だからといって確認しないでいいわけではありません。遵守することを求め、それに応えた契約であることを確認するのはとても重要です。

2に関することは、学校は特にこういうことが起こりがちですので気を付けなければなりませんが、例えば研修に来た外部講師にアカウントを発行する、特権アカウントを付与する、ということは必要に応じて行われます。それを削除せずいつまでも放置しておくことはセキュリティリスクを高めることになっているわけですが、クラウド事業者にはそのようなことが発生しないように確認する必要がありますね。

３の情報の秘匿は、「これくらいの情報ならいいだろう」というものは一切ないということを念頭に「そもそもクラウド事業者の従業員がクラウド内部に格納されているデータを知り得る状態にしない」ための対策がどうなっているのか確認をする必要があるということです。

４は、あらゆる電磁記録媒体で外に持ち出すことがないようにする、ということです。USBメモリなどはもちろん、スマホでデータを写真で撮る、というのもダメだということは確認しておいた方がいいでしょう。

５は言わずもがなですが、確認しておかないと「確認されなかった」という一点において免責になってしまう可能性があります。

来週は参考資料の続き、クラウドサービスの利用における情報セキュリティ対策について読んでいきます。