Amazon Web Services ブログ
文科省「教育情報セキュリティポリシーガイドライン」の”攻め”の改訂を、クラウドのレンズで読み解く
今回のブログでは、 AWSジャパン・パブリックセクターより、文部科学省より発出された「教育情報セキュリティポリシーに関するガイドライン」の趣旨と、今回の「改訂」のポイントを紹介します。
1)ネットワーク分離を必要とせず、そして、2)クラウドにこそ利便性向上とコスト削減のメリットを期待できる──と整理した今回の改訂は、画期的なものであるとAWSでは認識しています。ご不明の点、「Contact Us」までお問合せください。
ガイドラインの趣旨
文部科学省は、「教育情報セキュリティポリシーに関するガイドライン」の趣旨と今回の改訂(2021年5月)の狙いを、次のように説明しています(*以下、太字強調などは全てブログ執筆者によるもの)。
“文部科学省では、「教育情報セキュリティポリシーに関するガイドライン」を策定し、地方公共団体が設置する学校(小学校、中学校、義務教育学校、高等学校、中等教育学校及び特別支援学校をいう。以下同じ。)を対象とした情報セキュリティポリシーの策定や見直しを行う際の参考となるよう、学校における情報セキュリティポリシーの考え方や内容を示してきました。
この度、GIGAスクール構想における1人1台端末整備や高速大容量の校内通信ネットワーク整備が概ね整うなど、急速な学校ICT環境整備の推進を踏まえ、1人1台端末を活用するために必要なセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成等の課題に対応するため、本ガイドラインの第2回改訂を行うとともに、本ガイドラインの中核となる考え方を解説したハンドブックを作成しましたので、お知らせします。”
では、今回の「改訂」では、どのような方針が打ち出されているのでしょうか?
「攻め」に転じた改訂
AWSでは、今回の改訂を「守り」から「攻め」に転じた画期的なもの──として理解しています。
従来の「教育情報セキュリティポリシーガイドライン」は、「ネットワーク分離」を発想の土台とし、言わば、「守り」のためのガイドラインであったと位置付けることができます。つまり、インターネットを教育現場で利用するために情報漏洩などのインシデントが絶対に発生し無いように、様々な制限を設けることに主眼が置かれていました。文部科学省のこのガイドラインに限らず、とかく『セキュリティ』の話題は「守り」の観点で偏って考えられてしまい、利便性や追及されるべきメリットが犠牲とされてしまうことが多く、どうしても硬直的な指針・運用になってしまいがちでした。
それに対して、「改訂」を伴った新たなガイドラインは、「攻め」のガイドラインだと読むことができます。つまり、教育におけるデジタル化を積極的に進めるため、「最低限の約束事」を守ってもらい、より多くの児童・生徒、先生方にデジタルを活用いただけるような環境を提供することを主目的としています。「GIGAスクール構想」という学校教育のデジタライゼーションの意図を踏まえ、ICT環境を積極的に利活用し情報資産=データを活用していく、その転換点の指針となるのだ──という強い意思を見て取ることができます。(*なお、最低限の約束事の一例=「新たなセキュリティ対策」として、こちらの文科省作成資料のp.3 – p.4には、「シングル・サインオン」「多要素認証」「ID管理の運用」などの項目が記載されています。)
注目すべき改訂ポイント①:NW分離を必須とせず
注目すべき改訂ポイント②:クラウドのメリットを明記
- 「>クラウドサービスの特徴は? ──── クラウドサービスの特徴に、「随時最新機能へのアップデートが行われる」という点があります。旧来のインストール型のソフトウェアでは、5年に1回インストールし、操作マニュアルを作成して、それを見ながら運用する、という形式でしたが、クラウドソリューションでは「その都度作業者側で操作をしなくても、常に最新のセキュリティとテクノロジーを活用したバージョンに自動でアップデートされる」ことが強みです。サービスの見た目が時々変わるのも、こうしたアップデートの一部です。突然のアップデートに驚いて、ICT機器やクラウドソリューションの活用を止めるのではなく、新たな時代の流れとして適応していきましょう。」──「教育情報セキュリティポリシーに関するガイドライン」(令和3年5月版)ハンドブック[*以下、『ハンドブック』] のp.3より抜粋
- 「>GIGA スクール構想において、学習系のシステムはクラウド利用を前提としています。第三者機関による認証(ISO/IEC27017,27018)等に基づき、適切にセキュリティ基準を満たしていると判断の上で教育委員会・学校が構築・管理・採用している環境は、クラウドの利用を含め「組織内部」と整理できるため、クラウドへのアップロードは「組織外部への情報資産持ち出し」や「情報の外部送信」にあたりません(本ガイドライン(令和3年5月版)図表6「情報資産の取扱例」注釈を参照)。すなわち、子供たちが作成した学習の記録をクラウドにアップロードしたり、クラウド上で教師と児童生徒及び児童生徒間のコミュニケーションを行うことが規定上も可能になっています。積極的に環境を活用していきましょう。」──前掲『ハンドブック』のp.11 より抜粋。
- 「>本ガイドライン(令和3年5月版)では、1人1台端末、1人1アカウント、クラウド利用を前提とした学習環境において、安全に、かつ充実した学びの実現のために必要な検討事項を示しています。[・・中略・・]本ハンドブックの発行(令和3年5月)時点では、旧来のオンプレミス型環境を利用している自治体や学校も、徐々にクラウド環境への移行が進んでいくことが想定されます。一度に全て移行しようと身構えるのではなく、少しずつ進めていくことが大切です。」──前掲『ハンドブック』のp.18 より抜粋。
注目すべき改訂ポイント③:クラウド利用時の「留意点」も書き切る
“クラウドサービスの日常的な 活用に必要なネットワーク帯域の確保や、 クラウドサービス利用における同時接続数などの留意点を整理。また、クラウドサービス事業者において適切にセキュリティ対策を実施していることを確認するための 契約内容及び 第三者認証などの確認内容を充実”
技術的な構成でお悩みの際には
このようにAWSクラウドを用いた構成を採用いただくことで、数十万人のユーザ(生徒や教員)を対象に、一元的かつ安全に、伸縮自在なITリソースの管理を実現することができます。
日本国内には、小学校が約2万校(645万人)・中学校が約1万校(333万人)・高校が約 4,000校(328万人)存在しており、総計100万人を超える教員が日々生徒たちと向き合っています。教育現場のユーザ皆さまの21世紀に相応しい学習環境の実現を、AWSが支えていきたいと考えています。
Learn More
- 文部科学省のサイト:「教育情報セキュリティポリシーに関するガイドライン」公表について (here)
- [AWS Blog]
- 公教育向けのシステムをAWSに構築する際のポイント
- AWSも作成に協力した教育分野でのパブリッククラウド導入拡大を謳う「政策提言ペーパー」が発表されました
日本の公共部門の皆様へのご案内
AWSでは、政府・公共部門、パブリックセクターの皆さまの各組織におけるミッション達成が早期に実現するよう、継続して支援して参ります。
今後ともAWS 公共部門ブログで AWS の最新ニュース・公共事例をフォローいただき、併せまして、「クラウドの”調達”に特化した無償のオンライントレーニング」「気象庁の衛星ひまわり8号のデータセット」や「AWS公共部門サミット 2021の速報」など国内外の公共部門の皆さまとの取り組みを多数紹介した過去のブログ投稿に関しても、ぜひご覧いただければ幸いです。「クラウド×公共調達」の各フェーズでお悩みの際には、お客様・パートナー各社様向けの相談の時間帯を随時設けておりますので、ぜひAWSまでご相談ください(Contact Us)。
* * * *
このブログは、アマゾンウェブサービスジャパン株式会社 パブリックセクター 統括本部長補佐(公共調達渉外担当)の小木郁夫が執筆し、教育機関担当の平塚建一郎とソリューションアーキテクトの深井宣之が監修しました。
* * * *