Amazon Web Services ブログ

公教育向けのシステムをAWSに構築する際のポイント

全国の小中高校で一斉休校が実施されるなど昨今のCOVID-19などの情勢によるリモート教育への注目に限らず、学校教育の現場は変化の時期を迎えています。
昨年(令和元年)6月に文部科学省より発行された「新時代の学びを支える先端技術活用推進方策(最終まとめ)」を皮切りに、教育現場へIT技術を取り入れるために児童生徒1人1台コンピュータを目指すGIGAスクール構想の実現に向けた施策も開始されました。
同様に経済産業省も“EdTech導入補助金”を今年の6月から開始し、民間企業のアプリケーションが学校教育の場で取り入れられる機会が一層増えることが予想されます。それに付随して、EdTech企業、SIer等の教育委員会へサービス提供をする企業から公教育向けに意識すべきセキュリティ事項の相談を受ける機会が増えています。その中で、様々な規制やガイドラインへの準拠がクラウド利活用の障壁になることもあります。

そこで、本Blogでは、文部科学省が発行している「教育情報セキュリティーポリシーに関するガイドライン」を踏まえ、教育機関のお客様が効率的かつ安全にクラウドを活用するためのポイントを示してみたいと思います。

“教育情報セキュリティーポリシーに関するガイドライン“とは

そもそも“教育情報セキュリティポリシーに関するガイドライン”とはどのようなものなのでしょうか?

“地方公共団体の各教育委員会が教育情報セキュリティポリシーの策定や見直しを行う際の参考として、教育情報セキュリティポリシーの基本理念と検討する際の考え方について解説したもの”
– 抜粋 : 教育情報セキュリティーポリシーに関するガイドライン(令和元年 12 月版)

と記載のある通り、地方公共団体の教育委員会が教育関連システムを提供する際の体制、インフラ、運用等のセキュリティやコンプライアンスに関するガイドラインとなっています。教育委員会のシステムは基本的には入札方式がとられるので、その際にこのガイドラインを元にした仕様が提示されることも多いです。

クラウド利用時の考え方が新規に記載

平成29年10月に公開された初版では校務系・学校外部接続系・学習系のネットワーク分離(*1)を求めた指針が注目を集めました。当時のガイドラインではクラウドに関する言及はなく、またオンプレミスを前提としたデータセンター要件に関連する記載も多いものとなっていました。
一方、昨年(令和元年)12月に改定された現行版では「1.9. クラウドサービスの利用」としてクラウドサービスに関する利用時の考え方が記載され、具体的な例示がされました。これまでのデータセンター要件とは切り離す形の構成になっており、クラウド上にサービスを展開するにあたってはこの章を押さえておくことが重要となります。

*1)成績管理等の校務、HPやインターネット閲覧等の校務外部接続、授業支援等の学習各々のネットワークは物理的、もしくは論理的に分離して相互に接続できない設計にするべきという指針

初版ではクラウド利用に関して明記されていなかった為“クラウドは使えない”と誤解をされるケースが多かったのですが、今回の改定によりクラウドを使うことに問題が無いと明確に記載されたことにより先端技術活用やEdTech企業の登用に向けて大きな後押しになりました。

“ガイドライン”の立ち位置

詳細な内容に入る前に、もう一点おさらいをさせてください。
“教育情報セキュリティーポリシーに関するガイドライン”はあくまでも“ガイドライン“なので、文書の読み解き方や位置づけを確認します。

1.強制力はない

誤解している方も多いのですが、あくまでも”ガイドライン”のため本文章自体に強制力はありません。ただし調達時に本文書を意識する自治体は多く、調達仕様書の引用元になるケースなど少なからず“影響力”があります。実際に初版ではクラウドに関する言及がなかったことから、利用制限がないにも関わらずクラウドを使えないと誤解されるケースが多かったのも事実です。

2.地方公共団体毎のポリシーは別に存在する

1に付随しますが各地方自治体は行政側と統一もしくは規模が大きい場合教育委員会独自のセキュリティポリシーを持つ自治体も多いです。その中にはクラウドサービスが普及する以前から改定されていないものもあり、教育情報セキュリティポリシーに関するガイドライン 1.9.1. (6) でも言及(*2)されています。

この二点を踏まえ、本ガイドラインだけに固執せず、実際の自治体ポリシーや入札条件に合っているかは改めて確認のうえ、調達者側はクラウド利用の計画を策定し、応札者側はクラウド利用の提案を行うことをお勧めします。

*2) 1.9.1. (6)より抜粋 – “現在の地方公共団体における教育情報セキュリティポリシーにおいては、「データセンタ ーを(目視で)確認すること」など、クラウドサービスの利用にはなじまない内容となっているケースがあることから、クラウド利用者は、自らの情報セキュリティポリシーを、クラ ウドセキュリティに関する認証や、クラウド事業者が提供する監査報告書を利用する等、クラウドサービスの利用を前提とした内容に改める必要がある。”

“1.9. クラウドサービスの利用”のポイント

前置きが長くなりましたが、本題である“1.9. クラウドサービスの利用”に触れます。
今回の改定でのポイントは大きく以下の2つです。

1. クラウド上で重要性の高い情報資産の取り扱いも可能 である

“(抜粋)今回の改訂では、パブリッククラウドの特性を踏まえ、「1.9 クラウドサービスの利用」 として、パブリッククラウドの利用に向けた考え方を追記した。 具体的には、パブリッククラウドサービスの積極的な活用に向けて、パブリッククラウ ドにおいて重要性の高い情報資産を取り扱うことも想定し、その特性に基づくメリット及 び留意点、さらにその留意点を踏まえつつセキュリティ確保に関して検討・確認すること が望ましい事項を記載した。”

と“ 1.9.1. 学校現場におけるクラウドサービスの利用について”に記載がされています。今回の改定がクラウド上で扱うことができる情報資産を限定したものではなく、重要性の高いものを扱う前提でそのためのHOWを整理したものであると示しています。

2. データセンター要件、物理要件からの脱却

パブリッククラウドに関してはデータセンター要件による確認ではなく、それらの代替として第三者認証を重視する旨の記載が様々な観点で記載されています。

“本項においては、特にサーバ及び管理区域に関する部分の取扱いについては、主にオ ンプレミスの場合を想定している。クラウドサービスを利用する場合には、「1.9 クラ ウドサービスの利用」を軸に確認・検討すること。” – (抜粋)1.4. 物理的セキュリティ

“クラウドサービスの情報セキュリティを把握するための第三者認証等の活用 クラウドサービスの情報セキュリティの実態を、クラウド利用者自らが詳細に調査する ことは困難であることから、クラウドの利用に関しては、第三者による認証や各クラウド サービス事業者が提供している監査報告書を利用することが重要である。”- 1.9.1. (5)より抜粋

これらの他に(*2)で既に引用した 1.9.1. (6)など。

データセンターの間借りや単なるサーバのホスティングと考えると機器やデータセンターの話に議論が向いてしまいがちですが、一定の基準を満たした複数データセンターを利用できるメリットや、コンピューティングサービス以外も意識した記載に改められました。
こちらに関しては“政府機関等の情報セキュリティ対策のための統一基準”および内閣官房IT室 “政府情報システムにおけるクラウドサービスの利用に係る基本方針 ”でも同様の考え方が言及されています。

AWSユーザとして意識するべき“サプライチェーン”の話

“1.9. クラウドサービスの利用”を読んだ方はお気づきかもしれないですが、この章はクラウドを利用して自社サービスを展開する企業を意識した構成になっています。
これらは “1.9.1. 学校現場におけるクラウドサービスの利用について(3)クラウドサービスの特性に起因する留意点”において特性2として“クラウドサービスは、サービス提供元のクラウド事業者内のみでサービス運営が完結 しているものだけでなく、インフラ基盤を IaaS 事業者から供給を受けて、アプリケーシ ョンを SaaS として提供する事業者も存在する。”と言及されています。

クラウドサービスの利用や要件に関して具体的に記載された以下の2つの章もこのようなSaaSとして提供する事業者を対象とした内容となっています。

  • “1.9.2 クラウドサービスの利用における情報セキュリティ対策”
  • “1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項”

この中にはデータ破棄に関する記載(*3)や、準拠法に関する言及(*4)など、クラウドサービスを利用する際の確認点が記載されています。公教育向けのサービスをAWSに展開する際は、上記の章押さえることが近道であると考えます。対処や構成を見直す上での疑問点はSolutions Architectにご相談ください。

*3)AWS Blog 「クラウドにおける安全なデータの廃棄( https://aws.amazon.com/jp/blogs/news/data_disposal/)」参照
*4)AWS Blog 「日本準拠法に関する AWS カスタマーアグリーメントの変更: AWS Artifact( https://aws.amazon.com/jp/blogs/news/how-to-change-aws-ca-by-artifact/ )」参照

まとめ

冒頭に述べた通り、昨今の教育改革の中でも“教育情報セキュリティポリシーに関するガイドライン”の改定は重要な意味を持っていると考えられます。
重要情報の取り扱い、第三者認証の重視等大きな変化がある一方、単純に利用シーンを緩和するだけではなくクラウド故に考慮すべき事項、特にサービス構築者が意識するべきポイントが明確に整理されたことでクラウドが使われる場面がより多くなると考えます。このようなガイドラインを効果的に活用することでお客様はより安全にクラウドの利活用に取り組むことができます。

最近は、私たちがいただく相談も改定前に多かった「データセンター要件」 に関する相談から「クラウドの使い方」に関する相談へと内容・質 共に変化しています。構築事業者、教育機関双方のご担当者様でガイドラインへの対処や個別相談等 ございましたら AWS 教育担当 までaws-jpps-er@amazon.com お気軽にお問い合わせください。

パブリックセクター ソリューションアーキテクト 根本