ブログ
- 2024/04/25
【2024年1月改訂】「教育情報セキュリティポリシーに関するガイドライン」情報資産を守る方法と新たに追記された「暗号化消去」について解説!
こんにちは。「FinalCode」製品担当です。
2024年1月に文部科学省が策定している「教育情報セキュリティポリシーに関するガイドライン」が改訂されました。
今回は、情報セキュリティメーカー「デジタルアーツ」の製品担当者が、ガイドラインで求められている情報セキュリティを解説するとともに、弊社製品で実現可能な対策方法についてご紹介いたします。
1.「教育情報セキュリティポリシーに関するガイドライン」とは?
「教育情報セキュリティポリシーに関するガイドライン」は、文部科学省が策定したもので、学校の教職員や児童・生徒がICTを安心して利用できるようにするための対策や考え方をまとめています。
学校では、「GIGAスクール構想」によって1人1台端末が整備されたことにより、児童・生徒が日々情報システムにアクセスするようになりました。また、校務で取り扱う住所、指導要録、進路希望などの個人情報は学校教育に携わる複数の関係者により多目的に利用されることから、その特性を踏まえた情報セキュリティ対策が必要とされています。
「教育情報セキュリティポリシーガイドライン」は、このような状況において、各自治体や学校がセキュリティ対策を策定し、必要に応じて見直す際の指標として活用することができます。
■学校で扱う情報資産とは
ガイドラインの対象範囲は、学校で扱う情報資産全てとされています。具体的には、学校が保有するデータそのものとそのデータを生成・保管・流通する媒体(紙、ネットワーク、サーバ、端末等)を、セキュリティ侵害から守り、情報漏えいを防止することが目指されています。
学校で扱う情報資産は「校務系」、「学習系」、「公開系」の三つに分類されています。そして、それぞれの情報資産の重要度を、「外部漏えいの影響(機密性)」、「情報の改ざんの影響 (完全性)」、「情報が使えなくなる影響(可用性)」の3つの観点から評価し、4段階の重要性分類を行います。
4段階の重要性分類の基準は、以下となります。
出典:文部科学省「教育情報セキュリティポリシーに関するガイドライン」(p35 「3.情報資産の分類と管理方法」)
https://www.mext.go.jp/content/20240202-mxt_jogai01-100003157_1.pdf
具体的には、以下のような情報資産の分類が挙げられます。
出典:文部科学省「教育情報セキュリティポリシーに関するガイドライン」(p36 「図表7 重要性分類に基づく情報資産の例示」)
https://www.mext.go.jp/content/20240202-mxt_jogai01-100003157_1.pdf
■分類された重要情報の取り扱い方法
また、各情報資産については上記の4段階の重要性分類に応じた取り扱いをする必要があります。その中で、重要性に応じた情報資源の廃棄の方法についても、以下のように言及されています。
出典:文部科学省「教育情報セキュリティポリシーに関するガイドライン」(p36 「図表12 重要性分類に応じた機器の廃棄等の方法」)
https://www.mext.go.jp/content/20240202-mxt_jogai01-100003157_1.pdf
廃棄方法について、重要性分類Ⅲは「一般的に入手可能な復元ツールの利用によっても復元が困難な状態に消去することが適当である。」とされているのに対して、重要性分類Ⅰ・Ⅱの情報は「研究所レベルの攻撃からも耐えられるレベルで抹消を行うことが適当である」とされており、より高いレベルの抹消が求められていることが分かります。
この「研究所レベルの攻撃からも耐えられる抹消」の方法として、特に有効とされているのが「暗号化消去」です。
■「暗号化消去」とは
「暗号化消去」とは、情報を電磁的記録媒体に暗号化して記録しておき、情報の抹消が必要になった際に該当情報の復号に用いる鍵を抹消することで情報の復号を不可能にし、実質的に利用不能にする論理的削除方法のことを指します。
また、「暗号化消去」の特長として、復号に用いる鍵を抹消する方法のため、暗号化されている情報そのものを抹消する方法と比べて、速く抹消することが可能です。
「暗号化消去」によって、安全に暗号化された情報が抹消されたかどうか(暗号鍵なしで情報を復旧できるかどうか)は、暗号アルゴリズムや暗号鍵の強度によって変わるとされています。そのため、暗号化アルゴリズムか暗号鍵の強度が強ければ強いほど、安全に情報が抹消することが可能です。
2.「暗号化消去」が可能な、ファイルセキュリティ「FinalCode」とは
上記で解説した、「教育情報セキュリティポリシーに関するガイドライン」で有効であるとされている「暗号化消去」を行うことができるのが、ファイルセキュリティ製品「FinalCode」です。
「FinalCode」で暗号化されたファイルは、手元にあるファイルだけでなく、外部に共有したファイルであってもリモートで削除することが可能です。ファイルの削除を行うと、管理者であっても復号することができなくなり、暗号化されたファイルを確実に抹消することができます。
さらに「FinalCode」は電子政府推奨の暗号化技術であるAES-256bit形式およびSSL+RSA2048の通信を採用しており、強度の高い暗号化アルゴリズムを用いているため、暗号鍵なしで情報を復旧させることは限りなく困難です。
「FinalCode」は「暗号化消去」以外にも、以下の3種類の暗号化機能を備えています。
また、フォルダーにファイルを格納するだけでファイルを暗号化する「共有フォルダー自動暗号化」など、利便性を落とさずにセキュリティを向上させることができる機能も多く備えています。
重要な情報資産からの情報漏えいを対策したい方は、この機会にぜひご検討ください!