2.8K Views
September 01, 24
スライド概要
【第11回】サイバーセキュリティ勉強会2024夏 in 塩尻
https://shiojiri-cyber.connpass.com/event/319879/
AWS Japan 深井 氏 平賀 氏 教育委員会におけるクラウドセキュリティ
文部科学省が策定している「教育情報セキュリティポリシーに関するガイドライン」ではクラウドサービスの利用を前提としたセキュリティ対策が纏められています。AWS環境でのガイドラインへの対応方法や事例を元に、どの様な対応が出来るかを解説します。
🤔I'm a beginner.
サイバーセキュリティ勉強会2024夏 IN 塩尻 教育委員会における クラウドセキュリティ 深井 宣之 (Nobuyuki Fukai) アマゾン ウェブ サービス ジャパン合同会社 パブリックセクター技術統括本部 教育・研究技術本部 ソリューション アーキテクト © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 1
自己紹介 • 氏名 : 深井 宣之 (Nobuyuki Fukai) • 経歴 : 国内独立系SIベンダー SEとして業務 公共・教育機関のお客様を担当 • 担当領域 : 教育関係のお客様の技術支援を担当 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved.
教育情報システム 教育情報ガイドラインの変遷 校務DXとクラウド化 アジェンダ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. まとめ
教育情報システム © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 4
教育情報システム 教育情報システム は大きく「校務系」「学習系」に分けられます 教育情報システム 校務系 学習系 管理者ツール 学籍/成績管理 保健管理 学習ツール 出欠管理 多要素認証設定 遠隔教育システム 活用レポート チャット 多要素認証設定 生徒所見入力 電子メール システムツール 認証によるアクセス制御 教員 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 児童・生徒 教育情報セキュリティポリシーに関するガイドライン https://www.mext.go.jp/content/20240202-mxt_jogai01-100003157_1.pdf P.192 「図表 14 強固なアクセス制御による対策を講じたシステム構成例」 を元に作成 管理者 5
教育情報システム 教育情報システム は大きく「校務系」「学習系」に分けられます 教育情報システム 校務系 保健管理 学籍/成績管理 児童生徒の成績, 出欠席及びその理由, 健康診断 結果, 指導要録, 教員の個人情報など、 出欠管理 多要素認証設定 児童生徒がアクセスすることを想定しない情報 生徒所見入力 学習系 管理者ツール 電子メール 学習ツール 児童生徒のワークシート, 作品など, 学校が保有 する情報資産 教員及び児童生徒がアクセスする 遠隔教育システム ことが想定されている情報 チャット システムツール 活用レポート 多要素認証設定 認証によるアクセス制御 教員 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 児童・生徒 教育情報セキュリティポリシーに関するガイドライン https://www.mext.go.jp/content/20240202-mxt_jogai01-100003157_1.pdf P.192 「図表 14 強固なアクセス制御による対策を講じたシステム構成例」 を元に作成 管理者 6
教育情報ガイドラインの変遷 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 7
教育情報ガイドラインの変遷 平成29年5月 日本年金機構情報漏洩問題 ネットワーク分離の推奨 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 8
教育情報ガイドラインの変遷 平成29年5月 日本年金機構情報漏洩問題 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 ネットワーク分離の推奨 GIGAスクール構想における ・1人1台端末 ・高速大容量の通信環境 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 9
教育情報ガイドラインの変遷 平成29年5月 日本年金機構情報漏洩問題 ネットワーク分離の推奨 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 ・1人1台端末の加速 ・クラウドサービスの活用を前提とした 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① ネットワーク構成 ・ネットワーク分離を必要としない構成 令和2年 GIGAスクール構想予算執行 令和元年 GIGAスクール構想予算化 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 10
教育情報ガイドラインの変遷 平成29年5月 日本年金機構情報漏洩問題 ネットワーク分離の推奨 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ ローカルブレイクアウト ネットワーク分離を 必要としない構成 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 11
教育情報ガイドラインの変遷 平成29年5月 日本年金機構情報漏洩問題 ネットワーク分離の推奨 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ ローカルブレイクアウト ・ネットワーク分離を ネットワーク分離を しない場合に取るべき対策を追記 必要としない構成 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 12
教育情報ガイドラインの変遷 ネットワーク分離の推奨 平成29年5月 日本年金機構情報漏洩問題 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 ローカルブレイクアウト ネットワーク分離を 必要としない構成 次世代の校務DXでは データ連携, 柔軟な働き方が求められる 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 13
教育情報ガイドラインの変遷 ネットワーク分離の推奨 平成29年5月 日本年金機構情報漏洩問題 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ ローカルブレイクアウト ネットワーク分離を 必要としない構成 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. GIGAスクール構想の下での校務DXについて~教員の働きやすさと教育活動の一層の高度化を目指して~(1枚概要版) https://www.mext.go.jp/content/20230925-mxt_jogai02-000027984_001.pdf 14
教育情報ガイドラインの変遷 平成29年5月 日本年金機構情報漏洩問題 ネットワーク分離の推奨 平成29年10月 教育情報セキュリティポリシーに関するガイドライン策定 令和元年 GIGAスクール構想予算化 令和元年12月 教育情報セキュリティポリシーに関するガイドライン改訂① 令和2年 GIGAスクール構想予算執行 令和3年5月 教育情報セキュリティポリシーに関するガイドライン改訂② 令和3年9月 デジタル庁発足 令和4年1月 教育情報データ 利活用ロードマップ 公開 令和4年3月 教育情報セキュリティポリシーに関するガイドライン改訂③ ローカルブレイクアウト ネットワーク分離を 必要としない構成 アクセス制御による対策 令和5年3月 GIGAスクール構想の下での校務DXについて 公開 令和6年1月 教育情報セキュリティポリシーに関するガイドライン改訂④ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 15
校務DXとクラウド化 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 16
次世代の校務DX 次世代の校務DX では ゼロトラスト の考 え方に基づいたセキュリティ対策が必要 文部科学省GIGAスクール構想の下での校務DXについて~教員の働きやすさと教育活動の一層の高度化を目指して~(概要版) https://www.mext.go.jp/content/20230925-mxt_jogai02-000027984_002.pdf © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 17
責任共有モデル 責任共有モデルという考え方により、高いセキュリティを実現する © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 18
Amazon Elastic Compute Cloud(EC2) とは • AWSが提供する仮想マシンサービス • 1時間、または秒単位の従量課金で利用可能 EC2インスタンス Guest 1 Guest 2 Guest n Hypervisor • 起動に必要なパラメータを設定すれば数分で起動 • 管理者権限(root/Administrator)で利用可能 • 独自のHW/Hypervisorにより最適化 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Host Server 19
Amazon EC2のDC、物理ホストはAWSが管理 ハイパーバイザー層と物理的な領域はAWSが管理・運用を実施 仮想環境構築時の空きリソース管理や、リプレース業務が不要に いつでも起動できる予備機 ファイアウォール機器 Guest 1 Guest 2 オンラインバックアップ機器 Hypervisor サーバ Host Server Guest n 冗長電源 耐震ラック インターネット直結の高帯域回線 第三者認証を得たデータセンター 冗長構成された複数のデータセンター © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 20
Amazon Relational Database Service (RDS) 人気のある 8 つのデータベースエンジンの選択による管理されたリレーショナル データベースサービス 容易な管理 可用性と耐久性 高い拡張性 高速で安全 インフラストラクチャのプロ ビジョニング、データベース のインストール、メンテナン スは不要 マルチAZデータレプリケー ション、自動バックアップ、 スナップショット、自動フェ イルオーバー 数クリックでデータベー スのコンピュートとスト レージを拡張可能; アプリケーションのダウ ンタイムは最小限 SSDストレージと保証された プロビジョンドI/O; 保存時、 転送中のデータ暗号化 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved.
自動化されたタスク – マネージド・サービス スキーマのデザイン クエリの作成 自動化されたフェイルオーバー バックアップとリカバリ You データベースの最適化 分離とセキュリティ AWS データベース管理者は、データベース構築、 バックアップ、リカバリ、高可用性の確保、 パッチ適用など時間のかかるデータベース 管理タスクから解放されます。 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. コンプライアンスへの準拠 数クリックでスケール 自動化されたパッチ適用 拡張モニタリング OS、DBのインストール
Amazon Simple Storage Service (Amazon S3) © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 23
Amazon S3とAvailability Zone (AZ) © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 24
マネージドサービスでの責任共有モデル © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 25
マネージドサービスの活用によるメリット 政府情報システムにおける クラウドサービスの適切な利用に 係る基本方針 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c310f06fca67afc /5167e265/20230929_resources_standard_guidelines_guideline_01.pdf © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 26
責任共有モデル お客様が持つべきセキュリティに対する責任 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 27
教育情報セキュリティポリシーガイドラインとゼロトラスト要素技術 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 「GIGAスクール構想の下での校務の情報化について(最終まとめ)【素案】」より https://www.mext.go.jp/kaigisiryo/content/20220120-mxt_jogai01-000026482_002.pdf 28
ゼロトラスト要素技術と必須項目 必須要素 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 「GIGAスクール構想の下での校務の情報化について(最終まとめ)【素案】」より https://www.mext.go.jp/kaigisiryo/content/20220120-mxt_jogai01-000026482_002.pdf 29
ゼロトラスト要素技術を適用した教育情報システム © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 「GIGAスクール構想の下での校務の情報化について(最終まとめ)【素案】」より https://www.mext.go.jp/kaigisiryo/content/20220120-mxt_jogai01-000026482_002.pdf 30
ゼロトラスト要素技術を適用した教育情報システム クラウド環境は AWSとパートナー 製品の組み合わせ で実現 クライアント環境は パートナー製品を 活用 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 「GIGAスクール構想の下での校務の情報化について(最終まとめ)【素案】」より https://www.mext.go.jp/kaigisiryo/content/20220120-mxt_jogai01-000026482_002.pdf 31
AWSのセキュリティサービス AWS Organizations AWS Shield AWS Certificate Manager AWS KMS Amazon GuardDuty AWS Network Firewall Amazon Macie Amazon CloudWatch AWS OpsWorks Amazon Detective AWS Security Hub AWS WAF Identify AWS Config AWS Trusted Advisor AWS Firewall Manager AWS CloudHSM IAM AWS Transit Gateway AWS CloudFormation Investigate Protect Amazon Cloud Directory AWS CloudTrail Amazon AWS Inspector Security Hub AWS Secrets Manager Detect Amazon VPC Automate Respond Recover Snapshot Amazon CloudWatch AWS Step Functions Archive AWS Systems Manager AWS Control Tower AWS Single Sign-On AWS Amazon VPC AWS Directory PrivateLink Direct Service Connect © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Cognito AWS Systems Manager AWS Lambda Amazon S3 Glacier CloudEndure Disaster Recovery 32
AWSのセキュリティサービス セキュリティトレンドからみたセキュリティサービス 脅威検出 Amazon GuardDuty AWS の API ログ, Amazon VPCフローログ、 DNS クエリログなどから機械学習による脅威検知 既存ワークロードに影響なく検出可能 構成管理 AWS Config 誰が, いつ, 何をしたかを記録ルールから逸 脱していた場合に通知等のアクションを実行 ランサムウェア対策 Amazon S3 Object Lock S3のオブジェクトに対し一定期間改ざんで きないImmutableな状態を提供 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 33
Webinarの紹介 統合型校務支援システム共同利用(ゼロトラストモデル)の実現に取り組まれている教育委員会 や支援を担っているベンダーから具体的な取り組みや事例をご紹介いただきます。 また、関連するソリューションを提供しているベンダーや AWS からもゼロトラストの実現を支 援するサービスや構成等をご紹介いたします。 【教育委員会様向け】クラウド化で実現する校務支援システムの共同利用とゼトロラスト https://resources.awscloud.com/public-sector-jp/school-management-support-system-cloud-computing © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 34
まとめ © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 35
まとめ 教育情報システム では 認証によるアクセス制御, クラウド化 が求められてきている。 認証によるアクセス制限(ゼロトラスト構成)はより高いセ キュリティ要件を求めるため、マネージドサービス等を活用し 自身が管理する範囲を少なくすることが大切になる。 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 36
Thank you! © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 37