- ライター:阿部 豊彦
- 経歴:エンタープライズ系インフラの提案、設計、構築や、SDN提案、
工場IoTネットワークやセキュリティのコンサルなどを担当。
ファシリティ、インフラ、セキュリティなどボーダーレスです。
昨年末から文教フィールドへ参入。
目次
++++++++++++++++++++++++++++++++++++++
その1 通信速度(通信帯域)(Wi-Fi(無線LAN)区間、有線LAN区間)編
その3 通信速度(通信帯域)(デジタル教科書と学校サーバ)編
その5 セキュリティ(有線LAN区間、外部回線の利用、テレラーニング)編
++++++++++++++++++++++++++++++++++++++
■ セキュリティ編
本当のセキュリティホールはどこでしょうか? 検討すべき部位は多岐におよびます!
セキュリティホールが発生すると考えられる部位(例)
その5 セキュリティ(有線LAN区間、外部回線の利用、テレラーニング)
① 有線LAN区間
有線区間のセキュリティって? と思われるかもしれませんが、スイッチやルータ、アクセスポイントには直接操作できるコンソール接続ポートが備わっています。簡単に通信をモニターできたりしますので、ここからのアクセスをパスワード設定して防ぐ必要があります(Telnetなどのリモートアクセスも同様です)。Wi-Fiの無線区間は暗号化されますが、有線LAN区間は一般的に暗号化しません。スイッチやルータの管理アクセスを守る必要があります。
② 外部回線の利用状況
外部回線が「センター集約構成」の場合は、センターでのインタネットセキュリティを提供することになります。この場合、セキュリティ機器を拡張する必要があります。ただ、学校回線、センター回線とも増強すれば、クラウドのセキュリティサービスを導入することも可能と思います。
外部回線が「学校個別接続構成(LBO)」の場合は、拠点ルータのUTMセキュリティ機能を使うか、クラウドのセキュリティサービスを利用する方法があります。
拠点ルータのUTMセキュリティとクラウドのセキュリティサービスの比較
持ち帰り学習が前提となると、ファイアウォールも一緒に持ち帰るわけにはいきません。学校からでも、どこからでも、インターネットへアクセスして、全く同じ防御セキュリティとアクセス制限がかけられる「クラウドのセキュリティサービスが適切」と考えられます。この場合、拠点ルータでは標準搭載のアクセス制御程度のセキュリティがあれば問題ないということになります。
学校の拠点ルータセキュリティを使う場合と、クラウドのセキュリティサービスを使う場合
■さらなるセキュリティ
生徒のPCに、さらなるセキュリティを提供できるクラウドサービスもあります。クラウド無害化サービスです。いわゆるクラウドのセキュリティサービスは、多層防御として様々なセキュリティ機能が積み重なって役目を果たします。この防御は「検査と分析」を得意としますが、常に新しい攻撃とイタチごっこ状態です。新しい攻撃には、新しい防御法を準備しなければなりません。これと違って、「分離と無害化」というセキュリティがあります。たとえば、VDI(仮想デスクトップ)は代表的分離ソリューションです。
クラウドで「分離・無害化」を生徒のPCに提供できます。Menlo Security社のGlobal ProxyとIsolationを併用することで、安全にブラウザアクセスとメールを利用し、ダウンロードされるファイルを無害化できるようになります。
③ テレラーニング
PCの持ち出しを資産として管理する必要があります。台帳管理やQR管理など工夫する必要があります。もし盗難となると、Wi-FiのPSKパスフレーズを悪用されてしまうかもしれません。また、PCを家庭のネットワークに接続することで、家庭のPCからウイルスを移されたり、その逆も起こりえます。当然のこととは思いますが、PCにウイルス対策ソフトをインストールすることも必要です(End Point Protection)。
④ ISMAP承認
政府情報システムとして利用するクラウドサービスの認証が始まります。教育向けでも参考にすべき認証と思います。ISMAP(政府情報システムのためのセキュリティ評価制度、Information system Security Management and Assessment Program、イスマップ)は、政府の要件を満たしているクラウドサービスを認証する制度です。ISMAP の認証の最初の認証時期は 2021年2月~3月頃と言われています。まだ将来の承認ですが、利用するクラウドサービスやデジタル教材が一定のセキュリティ要件を満たしているかの、指標となるかもしれません。
 |
ほかにも、クラウドサービスのセキュリティ指標として、以下の規格や基準があります。
・ISO/IEC 27017/27018 情報セキュリティ対策に関する国際規格
・FedRAMP 米国政府機関のクラウドサービス調達基準
⑤ ユーザ認証
生徒のクラウド利用にはそれぞれのクラウドに対して、IDとパスワードの入力が必要とされる場合が起こりえます。利用するクラウドサービスごとにばらばらなIDを設定したりすると、生徒が利用できなくなったり、管理自体も煩雑なものとなります。これを解決するために、クラウドベースの統合ID管理サービスがあります。
いわゆるシングルサインオン(SSO)ですが、クラウドサービスとなります。IDやパスワードのような機微な情報をインターネットに出すことを許容しない場合は、利用できません。
⑥ ICT支援員&ベンダー&アカデミー
最後に、教育の現場のICTを見守るのはICT支援員(人)です。PCが従来の何倍にも一気に増えるわけで、増員は必須と思います。ただ人が増えても適切に対応できるとは限りません。当然ながら、GIGAスクールとして納品された、PC、Wi-Fi AP、スイッチ、拠点ルータ、充電保管庫について、その技術的な特性の理解と運用に必要な製品知識を身につけなければなりません。そのために機材を納品したベンダーから、運用管理に必要な知識を伝授されなければいけません。
最後に、以下の三要素に要素分類してみると
- H/W PC、通信(外部回線、Wi-Fi、有線LAN)
- S/W デジタルコンテンツ、デジタル教材・宿題(家庭学習)、学習分析(AI)
- 人 ICT支援員、外部人材登用、職員のICTの利用習熟、指導方法(スキル)
話しの中に出てこなかった「学習分析(AI)」、「指導方法」を実現するために「通信」と「セキュリティ」の問題点を解決する必要があると考えます。
ICTを基盤とした先端技術を活用して、「子どもの力を最大限に引き出す学び」を実現しましょう!
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
