5つのQ&Aで理解。クラウドでの提案がしやすくなった文科省の「教育情報セキュリティポリシーガイドライン改訂」

はじめまして、こんにちは。AWSのコボクです。今回のブログから、定期的にこの韋駄天で情報発信をしていきます。

早速ですが、みなさん、文部科学省が出している、「教育情報セキュリティポリシーに関するガイドライン」って、ご存知ですか?実は、今年けっこう大きな改訂が発表されたのです。今回は、5つのQ&A形式で、このガイドライン改訂のポイントを説明していきたいと思います。

Q1:「教育情報セキュリティポリシーに関するガイドライン」には、具体的にどのような変更があったの?

A1:ちょっと引用しますね。「>1人1台端末を利活用するにあたり、新たな教育情報ネットワークについて整理」し、「>現状のガイドラインに記載していない、一部の通信を直接インターネットへ接続するローカルブレイクアウト構成及びクラウドサービス利活用を前提とし、ネットワーク分離を必要としない認証によるアクセス制御を前提とした目指すべき構成を明確化」──した点に、今回の改定の一番の特徴があります。クラウドを前提、ってハッキリと書かれているので、画期的なことだと思います。

また、「>1人1台端末及びクラウドサービス活用を前提とした1人1ID化に対する新たなセキュリティ対策の追加」が行われ、「多要素認証」「シングルサインオン」など、どんな対策を取れば良いのか、具体的なHowの記述が充実しています。資料も全部公開されています。読み物としても、おもしろいです。

Q2:「クラウドサービスの活用」とは具体的にどんな用途で利用できるの?

A2:「>GIGAスクール構想における1人1台端末整備や高速大容量の校内通信ネットワーク整備が概ね整うなど、急速な学校ICT環境整備の推進を踏まえ」──と書かれているとおり、校務・学習系を問わず、生徒や教師の皆さんの日常のあらゆるシーンでのクラウド利用が想定されています。今回の改定は、「ポリシー」に関してのものなので、「活用」の具体例については、文科省の下記のサイトなどを見るほうがイメージが湧くと思います。

今後、教育DXの向かう方向が分かりますので、A5で紹介する、ホワイトペーパーもおすすめです。

Q3:クラウド利用におけるどのような留意点があるの?

A3:まさに「クラウドサービス利用における留意点」という項目も設けられていて、「>クラウドサービスの日常的な活用に必要なネットワーク帯域の確保や、クラウドサービス利用における同時接続数などの留意点を整理。また、クラウドサービス事業者において適切にセキュリティ対策を実施していることを確認するための契約内容及び第三者認証などの確認内容を充実」──と書かれていますね。下記の資料です。

Q4:AWSへの接続はどのような接続パターンがあるの?

A4:インターネットを経由して接続する、認証によるアクセス制御を行う──との方向性が「目指すべき構成」として、打ち出されています。過渡期には「ローカルブレイクアウト」、そして将来的な【目指すべき構成】としては「ネットワーク分離を必要としない」インターネットを介したクラウドとの接続──と書かれていますね。

文科省「教育情報セキュリティポリシーガイドライン」第2回改訂では、校務/学習系を
ネットワーク分離「しない」クラウド前提の「目指すべき構成」の明確化に踏み込む

上記のガイドラインにある「ローカルブレイクアウト」と「ネットワーク分離を必要としない認証によるアクセス制限を前提とした構成」をAWSでは構成では下記の3パターンで実現することが出来ます。

「インターネット接続パターン」では各学校,自宅から通常インターネットを利用するのと同じ方法でAWSにアクセスを行います。AWS内で認証によるアクセス制限を行うことで、VPN等を利用せずにインターネット経由で学習系,校務系のシステムを利用することが可能です。この方法の実現のためには、SSOやゼロトラスト,MDMが必要になると考えています。

「VPN接続」は従来のネットワーク分離構成になりますが、ローカルブレイクアウトを利用しクラウドへのアクセスのみVPNを経由点が特徴になります。AWSではIPsecを利用したAWS Site-to-Site VPNサービスがあり、小規模から大規模までスケーラブルにVPNを構築することが可能です。

「専用線接続(DirectConnect)」は上記のVPNを専用線接続に置き換えた構成になります。既に各学校の回線をデータセンターで集約している自治体もあるかと思いますが、その場合にはデータセンターとAWSを帯域保証された閉域網で接続する方法がマッチするかと思います。

Q5:そもそもクラウドって大丈夫なの?利用はセキュリティ的に怖いのでは?クラウドの障害大丈夫?

A5:クラウドに対するセキュリティ観点での不安を打ち消すために、今回の「教育情報セキュリティポリシーに関するガイドライン」の改定が行われた──とも言えます。例えば、「クラウドサービス事業者において適切にセキュリティ対策を実施していることを確認するための契約内容及び第三者認証などの確認内容を充実」とのフレーズが入るなど、何をどう確認すると不安の払拭につながるのか、セキュリティ対策の記載が明確化されています。

端末整備推進に伴う新たなセキュリティ対策

■1人1台端末の活用における新たなセキュリティ対策の追加

1人1台端末を利用するあたり、クラウドサービスの日常的な活用や、利用するネットワーク・場所にとらわれないセキュリティ対策が必要となる。そのため、下記の対策について記述を充実。

主な対策 概要
クラウドサービス利用における留意点 クラウドサービスの日常的な活用に必要なネットワーク帯域の確保や、クラウドサービス利用における同時接続数などの留意点を整理。また、クラウドサービス事業者において適切にセキュリティ対策を実施していることを確認するための契約内容及び第三者認証などの確認内容を充実
Webフィルタリング 児童生徒が端末を利用する際に、不適切なウェブページの閲覧を防止するための対策を整理
(Webフィルタリングソフト、検索エンジンのセーフサーチ※1、セーフブラウジング※2
マルウェア※3対策 児童生徒が自分専用の端末を活用する機会が増えることにより、インターネットなど外部からのリスクに直接晒される機会も増えることから、端末におけるマルウェア対策について整理
不正ソフトインストール防止 MDM※4などによる不正ソフトウェアのインストール防止セキュリティ設定の一元管理、端末の盗難・紛失における遠隔からの端末のロックやデータ消去などの対策を整理
モラル教育 1人1第端末整備により、持ち帰り学習も推進することが想定されるため、学校のみならず過程で利用する際に保護者によるリテラシー教育の必要性について追記。また、学校と保護者の連絡体制を整備することについて留意点を整理

※1 検索エンジンのセーフサーチ:検索エンジンの検索結果に不適切な情報が含まれる場合に表示させないようにする機能。
※2 セーフブラウジング:ウェブサイト閲覧時に不正なサイトであることが疑われる場合、利用者に対して警告を表示する機能。
※3 マルウェア:コンピュータウイルスなどのコンピュータの正常な利用を妨げたり、利用者やコンピュータに害を成す不正な動作を行うソフトウェアの総称。
※4 MDM(Mobile Device Management):「モバイル端末管理」とも呼ばれる端末を管理する仕組み。利用状況の管理、遠隔からの端末ロックなどの機能を有する。
文部科学省Webサイトに、上記※1〜4に関するセキュリティ対策を含むOS事業者による端末の安心・安全な活用方法についての解説を掲載し、活用を促進。

クラウドの「障害」に対しても、可用性を高めるあらゆる構成上の工夫を採ることが可能です。各国での潮流としては、コロナ禍において、世界中の教育機関は一斉にクラウドへの移行を加速させました。
例えば、下記の『教育の「新時代」へと導く、7つの加速要因』というホワイトペーパー。

日本においても、「クラウドのほうが安全であり、落ちない(=障害に遭遇しづらい、障害発生しても冗長構成が取れている)」という認識が広まる日が近づいていると考えます。


****
ここまでお読みいただき、ありがとうございました。今回のお話は、AWSブログでももう少し固いトーンで取り上げたことがありますので、ぜひそちらも御覧ください。

1)ネットワーク分離を必要とせず、そして、2)クラウドにこそ利便性向上とコスト削減のメリットを期待できる──と整理した今回の改訂は、画期的なものであると思います。
****

このブログは、アマゾンウェブサービスジャパン合同会社 パブリックセクター 統括本部長補佐(公共調達渉外担当)の小木郁夫(Twitter @Koboku_Ikuo)が執筆しました。

マルチクラウドの記事