(クラウドバイデフォルト)
学校ではあまり関係ないかもしれませんが、国(政府)の情報システムでは、デジタル庁から、「クラウド・バイ・デフォルト原則」が示されていて、クラウドサービスの利用を原則とした業務環境が目指されています。
民間企業でも、コロナ禍でテレワークが普及したこともあり、モバイル端末から利用できるクラウドサービスの活用場面が拡大していると思われます。
GIGAスクール構想でも、学習系のシステムはクラウド利用が前提とされています。クラウドの利点を最大限活用するには、GIGA端末の学校外での利用や、持ち帰りを認めることが重要となりますが、様々な理由で、持ち帰りを認めていない学校も多いようです。
このようにクラウドサービスの利用が進むと、従来の物理的な境界を前提としたセキュリティの考え方では、対応が困難になってきます。そこで出てきたのが「ゼロトラスト」という考え方です。
(ゼロトラストとは?)
従来の物理的な境界を前提としたセキュリティについては、大雑把に言えば、インターネットとの境界に、ファイアウォールを置いて、外部からの不正なアクセスを粗s機内のネットワークに侵入させないようにするものでした。
しかし、クラウドサービスの利用が進み、セキュリティ基準を満たすクラウドの利用を含め「組織内部」と整理されるようになると、ファイアウォールなどでのセキュリティ対策では対応が困難になります。
「境界内のネットワークは安全で、境界外部のネットワークは危険」という考え方ではなく、「境界内部であっても信⽤せず、適切かつ必要最小の権限でのアクセス制御を行う」というのが、「ゼロトラスト」と呼ばれる考え方です。
デジタル庁の作成している「ゼロトラストアーキテクチャ適用方針」では、ゼロトラストについて、以下のように説明がされています。
ゼロトラスト
境界の内部が侵害されることも想定したうえで、情報システムおよびサービスの要求ごとに適切かつ必要最小の権限でのアクセス制御を行う際に、不確実性を最小限に抑えるように設計された概念。
2021年5月に改定された、文科省の教育情報セキュリティポリシーガイドラインでは、「新たなセキュリティ対策」として、「シングル・サインオン」「多要素認証」「ID管理の運用」などの項目が記載されています。文科省の説明資料には、「1人1台端末を利活用するにあたり、クラウドサービスの日常的な活用や、利用するネットワーク・場所にとらわれないセキュリティ対策が必要となる。」との記載もあり、ゼロトラストの考え方を踏まえたものとなっています。
(クラウド利用の努力義務?)
最後に余談ですが、2021年に制定された自治体システム標準化法(地方公共団体情報システムの標準化に関する法律)で、地方自治体のシステムでのクラウド利用の努力義務が定められています。
(クラウド・コンピューティング・サービス関連技術の活用)
第十条 地方公共団体は、デジタル社会形成基本法第二十九条に規定する国による環境の整備に関する措置の状況を踏まえつつ、当該環境においてクラウド・コンピューティング・サービス関連技術を活用して地方公共団体情報システムを利用するよう努めるものとする。
クラウド化については、このように自治体の取組み全般に影響する背景もありますので、ご参考までです。(法制度の備忘としても。。)
(ポイント)
・クラウドサービスの利用が進み、ゼロトラストの考え方が出てきた。
(従来の境界型防御では対応が困難なため、境界内外を問わずアクセス制御する。)
・教育情報セキュリティポリシーガイドラインは、ゼロトラストを踏まえ改訂。
