本記事では、令和4年3月に一部改訂された「教育情報セキュリティポリシーに関するガイドライン」（文部科学省策定）に関して、内容を解説するとともに、このガイドラインの背景にある企業や組織を取り巻くセキュリティ環境や今後意識すべき対策のポイントをご紹介いたします。あくまでＳＣＳＫの見解となり、内容を保証するものではありませんので、ご了承ください。

第4弾となる今回が本シリーズ最後の解説記事となります。今回はクラウドサービスの利用における情報セキュリティ対策について解説いたします。

 クラウドサービス利用における１２のセキュリティ対策

本ガイドラインでは、校務系システム・学習系システムについてクラウドサービスを使用する場合、利用者（教育委員会等）は、自らの情報資産を預けることになるクラウド事業者をさまざまな観点から慎重に確認し選定しなければならないという点に触れています。特にクラウドサービスの利用においては情報セキュリティの確保が重要となり、サービスを展開するSaaS事業者だけでなく、その先のIaaS／PaaS事業者が供給するインフラ基盤やプラットフォーム基盤まで含めたセキュリティ対策を確認できる（※）、または本ガイドラインへの準拠を求めることができるよう、クラウド事業者と協働することが必要であるとまとめられています。

※SaaS事業者はIaaS／PaaS事業者が共有するインフラ基盤やプラットフォーム基盤上でサービスを提供する形態が多い

クラウドサービス利用にあたり、念頭に置くべきセキュリティ対策として、文部科学省は以下の12点をあげています。

1. 利用者認証
2. アクセス制御
3. クラウドに保管するデータの暗号化
4. マルチテナント環境におけるテナント間の安全な管理
5. クラウドサービスを提供する情報システムに対する外部からの悪意のある脅威の侵入を想定した技術的セキュリティ対策
6. 情報の通信経路のセキュリティ確保
7. クラウドサービスを提供する情報システムの物理的セキュリティ対策
8. クラウドサービスを提供する情報システムの運用管理
9. クラウドサービスを提供する情報システムのマルウェア対策
10. クラウドサービス利用者側のセキュリティ確保
11. クラウド事業者従業員の人的セキュリティ対策
12. データの廃棄などについて

ここでは、１．利用者認証の部分について詳しく見てみたいと思います。

以下の例文は、本ガイドラインからの抜粋となります。クラウド利用者は、クラウドサービスを提供するクラウド事業者側に対し、適切な利用者確認がなされているかの確認または合意、そしてクラウドサービスのログインに関わる認証機能の提供を求めることが必要とされています。つまりは、クラウドサービスにログイン可能なユーザーを適切に管理しなければならないということです。

利用者認証における文部科学省の解説についても、以下に記載します。

（１）利用者認証

①クラウド事業者、利用者に関わらず、クラウドサービスにおいて認証情報が漏えいした場合のセキュリティ侵害の影響度が甚大であることから、適切な本人確認が行われていることが必要。

例えば、クラウドサービスへのログイン及び端末へのログイン時 における多要素認証や、管理者が操作するエリアへの入退室の厳格な管理等があげられるが、具体的な手法については事業者によって異なることに留意すること。

② クラウドサービスへのログインにおける利用者認証は、権限のない者によるなりすまし及びマルウェア感染した端末からの不正アクセスを防御する上で必要な機能である。

特に、インターネット接続前提の端末で重要な情報資産を扱う場合は、ID・パスワード認証に加え 、多要素認証による対応など 、より強度の高い認証方式を採用し なければならない

---

（注1）教職員等のクラウドサービスへのログインにおける個人認証は、なりすましによる不正アクセスに対する防御として必要な機能である。特に重要な情報資産を取り扱う場合は ID・パスワード認証に加え、多要素認証を導入するなど、ネットワークの構築状況 を踏まえつつ適切なセキュリティ対策を行うことが重要である。

https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf　P132から抜粋

 ＳＣＳＫによる注目ポイント

今回は、クラウドサービス利用におけるセキュリティ対策の一つである「利用者認証」に焦点をあてました。

データをクラウド上に置くということは、いつでもどこからでもアクセスできる便利さを与えてくれる一方、何も対策を講じなければ、誰でもそのデータにアクセスできてしまう怖さも隣り合わせとなります。

まずは、アクセスの最初の段階で適切なユーザーであるかの確認（本人認証）を実行することが有効であると考えます。

また、文部科学省の「利用者認証」に関する解説の中において“多要素認証”というワードが度々出てきますが、裏を返せば、これまで主流となっていたID・パスワードの組み合わせだけではもはや本人認証の安全性を十分に満たせない段階に来ているのだと言えるでしょう。

多要素認証の方法として、クラウド事業者の中には事業者自身がAuthenticatorアプリを提供する場合があります。

その場合には、個人が所有する携帯電話やスマートフォンにAuthenticatorアプリをインストールさせることになりますが、学校現場では学校教員や生徒に対し、教育委員会等から端末を貸与されることは少なく、対応が難しい場合が多いのではないでしょうか。

ハードウェア型のセキュリティキーであれば、携帯電話・スマートフォンがない、または使えない（オフライン）環境でも多要素認証を実現できます。弊社で取り扱っているYubiKeyは教育現場をはじめ、そのような環境下で多要素認証を実現したいユーザー様に広く導入されていますので、ご検討の際にはお気軽にお問合せください。

 最後に

4回にわたり教育情報セキュリティポリシーに関するガイドラインの解説記事をお届けしましたが、いかがだったでしょうか。

一般企業や組織に比べて業務改革が遅れていると言われている教育現場においても、Gigaスクール構想に端を発したクラウド利用が進みつつあります。それと共に、なりすまし等による情報漏洩なども増加の一途をたどっています。

そのような重大インシデントを回避するために、文部科学省は本ガイドラインを通じて、様々なセキュリティ対策を施すべきと、教育委員会をはじめ教育現場に携わる方々に注意を促しています。

弊社SCSKは、長年に渡ってさまざまなサイバーセキュリティ対策製品を取り扱いつづけてきたからこそのノウハウやナレッジがあります。今回のガイドライン解説を通じ、改めて弊社としても教育現場のセキュリティ対策の底上げに貢献していきたいとの思いを強くしました。

今回の取り組みをきっかけに、本ガイドラインの策定や改訂に関わった合同会社KUコンサルティング代表社員である高橋邦夫氏との対談も実現しましたので、ぜひ以下も合わせてご覧ください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

　

プロダクト･サービス事業グループ
ネットワークセキュリティ事業本部
セキュリティプロダクト第二部