クラウドサービスの概要について

前回はパスワードの設定・運用の大切さを書かせていただきました。今回はGIGAスクール構想の要でもある、クラウドサービスとはどういうものか、クラウドサービスの情報セキュリティの認証制度にどのようなものがあるかについてご説明させていただきます。

教育情報セキュリティポリシーに関するガイドラインには、クラウドサービスについて、以下のように記されています。

「クラウドサービスとは、クラウドコンピューティングを利用したサービスである。クラウドコンピューティングは、共用の構成可能なコンピューティングリソース(ネットワーク、サーバ、ストレージ、アプリケーション、サービス)の集積に、どこからでも、簡便に、必要に応じて、ネットワーク経由でアクセスすることを可能とするモデルであり、最小限の利用手続きまたはクラウド事業者とのやりとりで速やかに割当てられ提供されるものである。」*1

<参考資料 教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)P18
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf (最終閲覧日 2021年10月7日)>

つまり、情報を先生方の個々の端末に置かないで、学校とは別の場所にあるサーバに記録する,サーバへはインターネットを介して接続し、そのサーバで用意されたサービスを利用して情報を取り出したり,活用したりする、というのが学校でのクラウドサービスの利用になります。上記図のように、インターネットを介してクラウドサービスへ接続し、ID・パスワードを入力し、(必要な場合は2次的な認証も行い)情報の入力、出力を行います。また、今後は一人一台端末を利用して、教職員だけでなく、児童生徒もクラウドを利用するようになることが予想されます。

恐らく、クラウドサービスを利用する先生の多くが、特に校務系の情報において「情報セキュリティは大丈夫なのだろうか? 情報漏えいの心配はないのだろうか? 安全に使えるのだろうか?」という不安をお持ちなのではないかと思います。これに対して、教育情報セキュリティポリシーでは、以下のように述べられています。

「専門的な知識を有し、かつ最新の情報に基づく情報セキュリティ対策を随時実施するクラウド事業者に一定程度委ねることができるため、より効率的・効果的に情報セキュリティを担保することが可能となる。」

その他にも第三者認証を利用することや、クラウドの基本的なセキュリティに加えてより高度なセキュリティ機能を追加利用することが可能となることも述べられています。*2

また、クラウドサービスには、随時最新の機能へアップデートが行われるという特徴があります。そのため、日々進化し続けている情報セキュリティ技術の恩恵を、自動的に受けることができます。*3

では、クラウドサービスを利用すれば情報は絶対に安心安全かというと、もちろんそういうわけではありません。前回ご説明させていただいたパスワード・IDの運用・管理が失敗してパスワードが流出したり、マルウェアに感染したりすると、クラウド上のデータ全体が危険にさらされるといった、これまでとは別種の危険性も存在します。そのため、事業者の選定や、運用、利用にあたってきちんと規則を作り、それを守ることがとても大切です。また、今後は児童生徒の学習にクラウドサービスを使う事も増えることと思いますが、その場合には、児童生徒にも運用規則の大切さを知ってもらう必要があります。

クラウドサービスの選定にあたって、サービス事業者がどの程度の情報セキュリティ対策を実施しているかの認証・監査制度例として以下の制度などが挙げられます。

<参考資料 IPA(情報処理推進機構)中小企業のためのクラウドサービス安全利用の手引きP5 (最終閲覧日 2021年10月7日)>

この他の制度として、政府が求めるセキュリティ要求を満たしているクラウドサービスの評価・登録を行っている「ISMAP(イスマップ)」があります。以下のサイトで、制度の細かな内容が解説されています。
<ISMAP – 政府情報システムのためのセキュリティ評価制度 様>
https://www.ismap.go.jp/csm(クリックすると外部リンクが開きます)

このように、クラウドサービスの情報セキュリティの認証・監査には様々な制度があります。これらの認証・監査制度をクリアしたクラウドサービスを参考にして、導入するものを決める、という方法も有効かと思います。

ここまでお読みくださいまして、ありがとうございました。

次回は、クラウドを導入するメリットをご説明させていただきたいと思います。

<参考文献>

*1 文部科学省 教育情報セキュリティポリシーに関するガイドライン(令和3年5月) P174
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_053.pdf (最終閲覧日2021年10月7日)

*2文部科学省 教育情報セキュリティポリシーに関するガイドライン(令和3年5月) P115
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_053.pdf (最終閲覧日2021年10月7日)

*3文部科学省 教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月) P3
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf (最終閲覧日2021年10月7日)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です