教育情報セキュリティポリシーに関するガイドラインが2022年3月に一部改訂され、文部科学省は3月、「GIGAスクール構想の下での校務DXについて(最終まとめ)」を公表。クラウド活用の具体的な姿を示した。当初はこれまでと異なるネットワーク構成の推奨に戸惑っていた教育委員会も、クラウド移行を意識した計画の着手・検討が始まっているようだ。文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」で座長を務め、GIGAスクール構想の下での校務の情報化の在り方に関する専門家会議委員を務めた髙橋邦夫・合同会社KUコンサルティング代表社員と、ゼロトラスト環境のセキュリティ製品を提案しているテクマトリックス株式会社ネットワークセキュリティ事業部の塩見雅和氏・同吉澤崇氏が対談した。
文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」座長
髙橋邦夫氏
■髙橋 ガイドラインの一部改訂では、アクセス制御によるゼロトラスト対策を推奨していましたが、その具体的な背景については記載することはできませんでした。それが「GIGAスクール構想の下での校務DXについて(最終まとめ)」により明確化できました。今後、これを基に「次世代の校務DXガイドライン」(仮称)の策定を進めます。
学校内ネットワークを保護する「境界型セキュリティ」がこれまでは一般的な対策でしたが、現状ではこの方法により安全を確保することが難しくなっています。そのため、利用するユーザ・端末・ネットワークを常時確認し、さまざまな認証を組み合わせて各種データへのアクセスを制御することで守っていこう、というのがゼロトラストです。
■塩見 教育委員会や教員を対象にしたセミナーで展示をしていると、ゼロトラストについて質問にくる方が日々増えています。特に先生からは「それは良い、いつ実現するの」と、期待の大きさを感じます。特に新年度当初や年度末は、作成する書類も多く、安心して皆で共有できる仕組みになってほしいと考えているようです。
テクマトリックス株式会社
ネットワークセキュリティ事業部
塩見雅和氏/吉澤崇氏
■吉澤 ガイドラインの一部改訂により、問い合わせが増えた一方で、様々な製品がゼロトラストを謳ったことで間違った考えも広がっていると感じています。例えば「ゼロトラストはクラウドやリモート用途」などです。ゼロトラストの概念は内部通信の保護であり、クラウドやリモートに限らず、サーバも端末もロケーションは関係なくどこにあっても保護し、アクセスは多要素による動的な認証認可によって制御をすることです。つまり、ゼロトラストのためにフルクラウドが必須ではないということを最初にお伝えするようにしています。
■髙橋 ここ半年ほどの顕著な変化として「教育情報セキュリティポリシー」を策定したい、という教育委員会が増えてきました。
これまでは首長部局のポリシーを準用する教育委員会が多かったのですが、首長部局は「ネットワークの3層分離によるセキュリティ対策」が基本です。教育委員会でポリシーを策定するということは、首庁部局とは別のポリシー即ちネットワーク統合や教員用端末の1台化を目指すということです。ゼロトラスト対策やクラウド活用への機運の高まりを感じています。
■吉澤 「校務支援システムにアクセスできるのは職員室のみ」というこれまでの制御から、「校内のどこからでも校務支援システムにアクセスできる」というニーズに移行しています。次の段階でもある「学校外からもアクセスできる」を視野に、段階を踏んで導入している教育委員会もあります。
弊社がご提案している「Appgate SDP」は、柔軟な拡張性が特徴で、管理者は、例えば「職員室のみ」の設定から「校外から」のアクセスが可能な設定に変更することができます。
当然職員室と同様のポリシーでアクセスしますので、いつでもどこからでも安心してアクセスが可能です。
教育機関向け価格も設定しており、教員の自由な働き方を支援する仕組みの1つになると考えています。
■塩見 アクセス制御製品の導入当初は大枠で設定をし、導入後にポリシーや活用について理解が進むことで「こういう場合はこのような設定にしたい」等、より細かいニーズが出てくる教育委員会が増えています。使ってみて初めてわかる、ということが多いのです。セキュリティ製品の導入は、ゴールではなくスタートであると改めて感じているところです。導入後も柔軟に拡張できる点はお役に立てると感じています。
■髙橋 そうですね。当初からロケーションフリーを目指す教育委員会は稀で、徐々にエリアを広げ、その都度ポリシーを微修正し、境界の在り方を変えるというアジャイル的な方法は現在のニーズに合っていると思います。
ネットワークを統合する際には、首長や財政部門の同意をどう得るかについても現在の課題です。
「首長部門は3層分離である、なぜ教育現場はゼロトラスト対策を図る必要があるのか」と首長部局の了解が得られないケースもあるようですので、予算確保のためにはエビデンスや理念も必要となります。
これについては、今年度策定予定の「次世代の校務DXガイドライン」(仮称)で整理する方向です。
5月には実証地域などが決まり、実証結果による知見が盛り込まれる予定です。
■髙橋 クラウド事業者が提供するゼロトラストサービスでは、ほぼすべての対策が網羅されますが、フルクラウド環境であることが前提です。
クラウド事業者を含め多くの事業者から様々な提案があると思いますが、自分たちの目指す教育が実践できるか否かを考えて判断する必要があります。
教員の働き方改革とクラウド活用は方向性として重なっており、そのためにはフルクラウド化が理想という考えもありますが、「すべての校務データをクラウドに上げることには抵抗がある」というのが現実解ではないでしょうか。
■吉澤 現状では「校務の一部やファイルサーバはオンプレミスにしたい」等のニーズも多く、そのような場合に「Appgate SDP」をご提案しています。現在はMicrosoft 365 Educationの「A5」契約と組み合わせた導入実績が増えており、Chromebookも利用できます。
本製品の特徴は、リアルタイムの動的な制御が可能な点、端末まで含めたマイクロセグメンテーションができる点、他ベンダー製品との連携も可能な点です。ユーザ認証、端末認証、端末設定、ネットワーク、アクセスの時間帯・場所等でアクセス権を判断しており、セキュリティ要件を満たさないユーザは接続できません。一度認証・アクセスした後も接続条件の変化を検知すると再度認証を求め、認証されなかった場合は通信が切断され、その理由を日本語表示します。データのやりとりは常に暗号化されており、CSAの定義したSDP(ZTNA)フレームワークにも準拠しています。
■髙橋 今後、動画やVR、学習者用デジタル教科書など、扱うデータ容量の一層の増加が予想されます。そうなるとネットワークの強化が必須ですが、すぐには実現できません。データ量の多いものはファイルサーバやキャッシュサーバに格納してアクセスする仕組みを採用している教育委員会もあるようです。
校務支援システムのクラウド版提供も加速していますが、ファイルサービスについては教育委員会や学校の中に置くケースがまだ主流です。
クラウド活用イコールSaaS活用(アカウントを用意することで利用できるブラウザベースのサービス)と考えている方もいますが、SaaSはクラウドの一部であり、すべてではありません。アプリやシステムを開発できるクラウド環境としてはIaaS(イァース)やPaaSがあり、Microsoft AzureやGoogle cloud Platform、Amazon Web Services(AWS)等はこれに該当します。これらを利用して自前のアプリを作ることもクラウド活用といえるのです。
■吉澤 SaaSの利便性は高いのですがデータをすべて事業者に渡すことになり、解約したときにデータはどうなるのか、学校が変わった際はどうするかも考えて契約する必要がありそうです。また、必然的にインターネットへの通信量が増えるため、回線の見直しなども必要となってしまい、一気に導入するのがベストなのかも注意が必要です。
■塩見 そういったことも踏まえて、クラウドとオンプレミスの棲み分けが今後、必要になる可能性はありますね。
■髙橋 2つの側面からゼロトラスト対策は一層増えていくでしょう。
1つは、教員の働き方改革の側面です。5月の調査で今年度の教員の欠員状況が明らかになると思いますが、昨年度以上に欠員が出ると思います。採用後の退職・転職も増えています。この状況を打開するためには、柔軟な働き方を可能にすることが必須です。教員確保という課題解決のために取り組む覚悟が必要です。
次に、データ連携の側面です。こども家庭庁が4月1日に発足しました。今後、子供を取り巻くデータ連携が必須になり、システムが分離した環境では効率が悪いことから、データ連携が進むことでゼロトラスト対策が求められます。その際はデータをどんな環境に置くべきかを検討しながら、必要に応じて随時ポリシーや環境をアップデートしていくことをお勧めしたいと思います。「次世代の校務DXガイドライン」(仮称)を踏まえ、教育情報セキュリティポリシーに関するガイドラインの改訂も行う予定です。
■吉澤 個人的には、多要素認証をしっかりすること、動的制御を可能とすること、ファイルを暗号化することが重要であると感じています。様々なノウハウを生かしながらサービスと経路、端末を論理的に分離した世界に進化させ、アクセス制御のために何をどう実現すればゼロトラストに移行できるのかについてイメージを共有していきたいと考えています。
■塩見 教育委員会では、情報やICT環境の構築を1人で担当していることが多いのですが、米国の企業では、IT部門は経営部門と同等のステイタスで人員も豊富です。教育委員会に限りませんが、情報担当の人員増も必要であると感じています。弊社としても校務DXについては、可能なかぎり協力していきたいと考えています。
教育家庭新聞 教育マルチメディア号 2023年5月1日号掲載
