教育情報セキュリティポリシーに関するガイドラインが2022年3月に一部改訂され、今後目指すべきネットワーク構築の仕組みとして、クラウドを想定した「アクセス制御による対策」の詳細が追記された。これまで各教育委員会が取り組んできた「ネットワーク分離」とはアプローチが異なる構成だ。「ネットワーク分離」を否定してはいない、しかし「アクセス制御による対策」を推奨するという、相反する2つのモデルを提示されている過渡期において、何を優先して配備計画を考えれば良いのか。文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」で座長を務めた髙橋邦夫氏(KUコンサルティング代表社員)と、ゼロトラスト環境のセキュリティ製品を提案しているテクマトリックス株式会社ネットワークセキュリティ事業部の塩見雅和氏・同吉澤崇氏が対談した。
■髙橋 2022年3月の一部改訂は、2021年5月のガイドラインの改訂内容を補足するものです。
その理由は、21年の改訂で「アクセス制御による対策」を新たに追加したところ、これについての反響が大きかったためです。最も多かったのが「ネットワーク分離によるセキュリティ対策とアクセス制御によるセキュリティ対策の違いがわからない」というもの。中には「ネットワーク分離をしていればアクセス制御になるのか」という突拍子もない質問も届き、きちんと整理する必要がある、ということになり、すぐに準備を進めました。
今回の一部改訂では、ネットワーク分離とアクセス制御による対策それぞれを実現するために、何が必要なのかを明確にしました。さらにアクセス制御を実現する具体的な対策として、校務端末に必要な生体等による多要素認証の技術的対策も追加しています。
さかのぼると、当初のガイドラインは総務省のガイドラインに多くを倣い「安全性」を最重視しており、学校での使い勝手の点で問題が生じました。そこで教育現場の利便性を確保するために文部科学省としては、早期に「どこからでも安全に接続できる環境」すなわち「クラウドバイデフォルト」を実現したいと考えた。「クラウドバイデフォルト」のためには「アクセス制御によるセキュリティ対策」に移行する必要があります。一般に、ゼロトラストネットワークと呼ばれるものです。しかしこれは、これまで推奨してきたネットワーク分離による対策とはアプローチと構成が大きく異なり、すぐに構築できるものではありません。そこで2つの方法を併記することとしました。
■塩見 米国には「ゼロトラストジャーニー」という言葉があります。ゼロトラストネットワークを実現するためには長い時間が必要であるという意味です。世界最大の先進的なIT企業でも8年かかったと聞いています。
■吉澤 ゼロトラストのガイダンスであるNISTの7つの基本原則公開以前に、同様の仕組みを実現する「AppgateSDP」を知り、これはネットワーク分離よりも理にかなっており、日本においても役に立つと考えて2018年から提案を始めました。当時は、ネットワーク分離や境界型防御が主流であり、ゼロトラストによるメリットを感じて頂けませんでした。しかしコロナ禍もあり、2020年から日本も含めて世の中の流れが一気に変わったと感じています。
■髙橋 コロナ禍、働き方の多様化が一気に進み、会社内でのみ情報にアクセスできる、という方法では仕事を進めることができなくなりました。自宅などからも安全に情報にアクセスできる仕組みが求められ、クラウドバイデフォルトを推進せざるを得なくなりました。これは学校にとっても望ましい変化です。感染症や長期入院など様々な理由で学校に登校できなくなっても学校の情報にアクセスでき、仲間や教員とやりとりできる仕組みにつながります。クラウドバイデフォルトとは「クラウドファースト」であり、クラウドを選択肢の最優先とするという意味で、「オールクラウド」とは異なります。
目標とするネットワークを視野に入れながら、現状の構成で、できることから着手していく、というスタンスを想定しており、様々な製品からアプローチのヒントを頂きたいと考えています。
■塩見 学校や教育委員会のデータの一部がクラウド、一部がオンプレミス等、分散する形であってもアクセス制御を実現する仕組み「AppgateSDP」は、既存の環境と連携しやすい点が特徴で、ニーズによりエンドポイント製品やプロキシサーバ等、既に導入している製品と連携することで投資を抑えながらゼロトラスト環境に一歩ずつ進めることができます。
■吉澤 ネットワーク分離の環境やプライベートネットワーク環境であっても、この仕組みは有効です。
ネットワーク分離の場合はどの端末から接続したのか、という点が信頼の理由になりますが、そのネットワークに入った人の故意や悪意、ミスによる漏洩の可能性があり、入り口対策では防げない危険が内部にもあります。AppgateSDPは、内部の危険も防止することができます。
■髙橋 例えばMicrosoft365 EducationではA5契約であればゼロトラスト対応が可能であるといわれています。しかしセキュリティを最新の状態に保つためはMicrosoftとの接続が常にとれていることが前提です。例えば、ネットワーク負荷の関係でOSのアップデートをキャッシュサーバに蓄積して定期的に行っている教育委員会の場合、その「定期的な頻度」が課題になる可能性があります。
プライベートネットワーク環境でも効果を発揮する点が御社製品の強みですね。
■吉澤 はい、ゼロトラストとは概念のため、各社の考えによって実現できる範囲が違います。セキュリティの業界は日進月歩で進化しており、今利用している製品も5年後、優れているかはわかりません。Appgate SDPはアクセスのプラットフォームですので、その時に利用したいセキュリティ製品や優れている製品に入れ替えてゼロトラストを実現できる点が利点です。また、端末への不正な攻撃の保護や環境や連携対象を問わない点、リアルタイムのアクセス制御を実現する点など、他にゼロトラストをうたう製品では対応できない機能も多く有しています。特に、EDR製品やAV製品、SWGやFWなど、RestAPIやJavaScriptなどの豊富な連携の仕組みにより、相手方製品に連携の仕組みがあれば、ベンダーや製品を制限しない連携を実現できまので、コストを抑えることができます。兼ねてより皆様が考えていた「マルチエンジン」による多層での検知により、セキュリティを高めることができます。