教育情報セキュリティポリシーに関するガイドライン43

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項

先週に引き続き例文を読んでいきます。

情報インシデント管理及び対応フローの合意

２つ例文があります。インシデント発生を０にするのはとても難しいことです。発生してしまった後どのように管理されるのか、どのようなフローで対応するのか、確認しておくことが重要です。書かれているとたくさんある、と感じて大変だという意識になりがちですが、可能な限り網羅することがセキュリティには大事です。

• クラウド利用者は、情報セキュリティインシデント管理に関する責任範囲と及びインシデント対応フローを、サービス仕様の一部として定めることについて、クラウド事業者に対して求めなければならない。
• クラウド利用者は情報セキュリティインシデント管理に関する責任範囲と及びインシデント対応フローを検証しなければならない。

クラウドサービスの提供水準及び品質保証

例文は１つです。

• クラウド利用者は、クラウドサービスの提供水準（サービス内容、提供範囲等）と品質保証（サービス稼働率、故障等の復旧時間等）を確認するとともに、それらの水準・品質が、業務遂行に求められる要求水準を満たすことを確認し、合意しなければならない。

業務水準に見合うかどうかを事前に確認しなければならない、ということです。例えば故障時の復旧時間を、業務では３時間と定めていたとして、クラウドサービスがそれに対応したサービスでなければたちまち困ってしまう、ということですね。

クラウド事業者の再委託先等との合意事項

例文は2つです。

• クラウド利用者は、クラウド事業者と合意したサービス履行内容及び情報セキュリティ対策について、クラウド事業者自らが実施する内容と、再委託先等に委託する内容も含めて提示することをクラウド事業者に求めなければならない。また、サプライチェーンリスク対策が適切に講じられていることをクラウド事業者に求めなければならない。
• クラウド利用者は、①の提示内容が、クラウド事業者と合意したサービス履行内容及び情報セキュリティ対策と整合していることを確認しなければならない。

クラウド事業者が、その運営の一部等を再委託することも考えられます。その再委託先とどのような契約を結んでいるのか等を確認する必要があるということですね。その契約内容が、自分たちの業務と整合しているかというのも確認しなければなりません。

まあこれくらいいいだろう、と思っていたところから、インシデントは発生しがちです。ガイドラインで述べられていることは、たくさんありますが、確認できるとよりリスクが減ることは間違いありません。

　来週は参考資料の続き、パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項について読んでいきます。