【最速解説】教育情報セキュリティポリシーに関するガイドラインの改定
教育情報セキュリティポリシーに関するガイドラインの改訂版が、12/23に文部科学省のWEBにUPされました。今話題の補正予算:GIGAスクール構想のページにUPされています。
教育委員会の情報担当者やシステム提供事業者にとっては、どのような影響があるのか知りたいところかなと思いますので、世界最速?で簡単解説してみます。
そもそも「教育情報セキュリティポリシーに関するガイドライン」とは?
一応、教育情報セキュリティポリシーに関するガイドラインについての解説を(そんなの知っとるは、という人は読み飛ばしてくださいー)。
教育情報セキュリティポリシーに関するガイドライン(以下、長いので「ガイドライン」)は、2018年10月18日に文部科学省が「これこれこういうセキュリティ対策はやってね」と国が自治体向けに示したもの。
自治体が学校向けのセキュリティポリシーの作成や改訂するときに大いに参考にされています。
ただ、上記のガイドラインはクラウドサービス利用について言及が不十分だったり、例示された対策そのものが目的になったり、という課題も出てきていました。今回はそんな課題を踏まえて改訂、となっています。
※長文なので読了に7分ぐらいかかります。お暇なときにどうぞ。
ガイドライン改訂のポイント
左が初版(2018.10.18)、右が今回の改訂版(2019.12.23)のテキストマイニング結果です。
大して意味ないけどなんかすごい感じ。User Localさんはそれっぽいことやることに使えます(失礼)。比較してもほとんど差分はないですが、右の改訂版だけ「CLOUD」の文字が出てきていて(なぜかカタカナではなく英語に…。)、改訂の影響が出ていますね。
改訂の大きなポイントは以下の3点ではないでしょうか。
① クラウド・バイ・デフォルト原則からクラウドサービス利用に対応
② 対策基準や例文などが「参考資料」になった
③ システム構成例として将来像が描かれている(が、まだ色々と道半ば)
それぞれ簡単解説していきます。
① クラウド・バイ・デフォルト原則からパブリッククラウドに対応
「クラウド・バイ・デフォルト」ってなかなか一般では聞かない言葉です(でも口に出すとなんかカッコイイ)。今まで政府のシステムはほとんど個別に作っていた(=オンプレミスだった)けど、これからはまずはクラウドでやれるか検討しようよ、というルールです。
しかも、クラウドといってもパブリッククラウドのSaaS (Software as a Service)から考えなさいよ、と言っています。元は2018年6月に政府システムが対象として発表されていましたが、それが学校にも適用されますー、ということです。
学校の場合は、今も校内にサーバを設置することも多いですし(学校も事業者も管理が大変...。)、クラウドと言っても自治体がデータセンタを借りて個別にシステムを作って利用するプライベートクラウドが大多数。言うなればオンプレミス・バイ・デフォルト原則が適用されていた感じ。かなりの大転換になります。
今までは、各自治体の個人情報保護条例やセキュリティポリシーから「クラウド使おっかな」と思っても関係各所に説明して回らないといけなかった(別名:死のスタンプラリー)のですが、今回のガイドラインを踏まえてセキュリティポリシーを改訂すると「パブリッククラウドを使わない場合は理由を説明しないといけない」という状況になる訳です。
詳細は今回公表されたガイドラインの本文「5章 教育現場におけるクラウドの活用について」と、参考資料「1.9. クラウドサービスの利用」に詳しく書いてあります。特に参考資料の1.9は、クラウド利用のメリットや対策の考え方が書いてあるので、内容的にはなかなか難しいですが読んでおきたいところです。
※文部科学省が発表した「概要資料」にはクラウド・バイ・デフォルト原則を本文に記載、となっているのですが、5章でその文言はなく、若干弱いものになっているようです。今後に修正していく感じでしょうか?
② 対策基準や例文などが「参考資料」になった
2点目は、対策基準や例文が書かれていた部分が「本文」から「参考資料」になったことです。
パッと見では、ガッツリ書いてあった対策基準などが参考資料に「落ちた」格好です。この意図について、文部科学省の概要資料では以下を理由にあげています。
ガイドラインは、教職員のセキュリティに関する意識を向上させた一方で、ガイドラインに記載された対策例を一言一句遵守することが目的化してしまったため、急速な技術進展、中でもクラウドサービスの活用に対応できず、教育情報の活用に硬直性が生じるという弊害が各地で起きている。
良かれと思ってガッツリ書いたけど、手段と目的が逆転してしまって、より良いものが出てきても取り入れられなくなっていた(例えばクラウドとか)。でも抽象的な考え方だけじゃ自治体もガイドライン策定・改訂は難しいので、参考資料として残します、ということみたいです。
自治体としては選択の自由度が高まるのですが、一方で丸パクリではなく自分で考えないといけない、ということなのだと思います。
多くの自治体では情報担当の専任者がいないのも事実で、実態として「新しく出てきたより良いものを意識してタイムリーに更新」なんてのは難しい課題のままになりそうです。
いっそのこと、自治体間ではお互いにセキュリティーポリシーを参照しあえるような仕組みを作ったら良いのに、とか考えてしまいます(勿論一般公開は厳禁で)。GitHubとかで簡単にできそう。それこそクラウド・バイ・デフォルトで考えてみたい。
③ システム構成例として将来像が描かれている(が、まだ色々と道半ば)
3点目は、システム構成例として将来像が描かれていること、です。今回の改訂タイミングで噂になっていた「ネットワーク分離以外の選択肢が書かれる」という部分も「参考:今後の展望」として記載されています。
上記の図は本文の3章(P15)に記載があります。全部で3パターン書かれているのですが、残り2つはプライベートネットワークありきの構成。クラウド・バイ・デフォルト原則が適用されるのであれば、こちらが「参考」ではなく1つ目のパターンとして書かれるべきのはず。まだこれから更新して進化していくのだと期待しています。
その他、システム構成を考えるうえで、以下も注目した方が良さそうです。
参考資料 1.3 P35~36 「図表 情報資産の例示」の注釈
重要性分類Ⅱに相当する情報について、学習系システムに格納することを一義的に禁止しないこと、学習者に学習記録を還元できるように検討することが書かれています(すごい細かい部分ですが、、、)。従来のガイドラインを杓子定規に捉えると、学習系システムに個人情報を格納して学習活動をより良くする、ということができにくい状況だったのですが、道が拓けた恰好です。
本文3章 P11 (補足)技術的対策に関する考え方
参考資料 1.4.3 P46 通信回線及び通信回線装置の管理
変更点としてはインターネット回線もデータセンタ集約一辺倒ではなく、用途・目的に応じて柔軟に考えましょう、となっていました。具体的な記載内容は以下です。
インターネット回線については、外部からの不正アクセスの侵入経路となり得る他、内部からの情報漏えい経路にもなり得るため、これらの情報セキュリティ上の危険性に対する監視と運用を効率的且つ確実に実施するためにも教育委員会でインターネット接続口を集約することが情報セキュリティの観点からは重要である。ただし、局所的にネットワークの負荷が増大し、授業における安定的な稼動に支障をきたす可能性もあることから、用途・目的に応じて柔軟に判断する必要がある。
②学校のインターネット接続環境の一元管理によるセキュリティ対策強化
教育委員会のデータセンター等でインターネット接続環境を集約することが想定される一方で、局所的にネットワークの負荷が増大し、授業における安定的な稼動に支障をきたす可能性もあることから、用途・目的に応じて柔軟に判断されたい
GIGAスクール構想の1人1台環境を考えると、通信量が爆発的に増大します。授業運営の支障もそうですが、コストにも大きく影響しそうで、このような記載になったのかな、と。
この辺りの学校外のネットワーク設計は、結構できる人が限られる印象なので、教育委員会の人は相談相手に困りそう...。本当に困っている人は声かけてくださいー。WEB会議であればどこへでも行きますー?
まとめ
ざっくり解説としては以上です。
まだまだ参考資料の中身を細かく見ていくと、クラウド・バイ・デフォルトに完全対応したとは言えない部分も見受けられます。ただ、GIGAスクール構想に向けて、まずは第一歩として公表したと思いますので、中の人は超頑張っているはず(それこそ死のスタンプラリーをやっているはず)...。
本当に大事なのはこのガイドラインをタイムリーに更新していくことだと思います。私も国の仕事を色々やっていますが、とくかくこれが一番困難な仕組みになっているので、そういった部分も変えていきたい。
個人的に自治体の担当者になった気分で、クラウド・バイ・デフォルト版のセキュリティポリシーとか勝手に作って公開しちゃおうかしら、とか思っています。需要がありそうだったら誰か教えてくださいー
また、今後も、定期的にこの手の情報の提供をしていきたいと思っていますので、どうぞよろしくお願いしますー。
この記事が気に入ったらサポートをしてみませんか?