- ライター:山崎 恵子
- 教育委員会のお客様と次期基盤のグランドデザインを検討しています。
先生方の働き方改革、教育DXの実現、データ利活用を念頭に、
パートナー企業様とともに、セキュアでコスト効果の高いIT基盤を構築するご支援をいたします。
目次
2023/5/10(水)~12(金)東京ビッグサイトで行われた『第14回 教育総合展 EDIX 東京』に出展いたしました。
3日間、非常に多くのお客様にお立ち寄り頂きました。
弊社ブースにお越しいただきました皆様、誠にありがとうございました。
今回の展示は「GIGAスクールセキュリティプラットフォーム」
弊社ブースでは、
「教育情報セキュリティポリシーに関するガイドライン」に記載されている
「アクセス制御による対策を講じたシステム基盤」を実現するソリューション
デモを交えてご説明いたしました。ご説明した内容は大きく以下の3点です。
1.学校内で使っている教職員端末(以下、支給端末)を自宅に持ち帰った場合に、業務システムを一部絞ってご利用いただく
2.教職員個人の端末(BYOD)で情報漏洩しないように業務システムをご利用いただく
3.複数のクラウドサービスにシングルサインオンをする
デモ1:自宅Wi-Fiから支給端末を利用する
1つ目は、「リスクベース認証」(+「多要素認証」※今回デモは未実施)のデモです。ユーザ、場所、端末、アプリケーションの違いによりアクセス制御を実現しました。
以下は、自宅に支給端末を持ち帰って電源を入れた直後の画面です。
支給端末が、学校外のネットワークにつながっていることを「自動で」検知し、セキュリティが担保されていない自宅のWi-Fiネットワークを、SSL-VPNにより通信を暗号化し、「強制的に」校内ネットワークと同じセキュリティ対策が施された、安全なネットワークへ遷移させることができます。
通常通り、端末にログインすると、右下に、SSL-VPNのクライアントアプリケーション(FortiClient)を確認できます。
「自宅のWi-Fiを使っているので、支給端末で自由にネットサーフィンが出来てしまい、場合によってはマルウェアに感染してしまったりしませんか?」このようなご質問を何人かの方からいただきました。
弊社がご提案するFortiClientを使った環境では、SSL-VPN接続が切断された場合においても自動で再接続を試みます。その間、支給端末から業務に関係のない外部サイトへの接続が制限される仕組みとなっています。悪意のあるサイトへアクセスはできませんので、支給端末がマルウェア感染してしまうことはありません。
支給端末のセキュリティを管理するための設定画面をご紹介します。
設定は統合管理できるので運用は非常にシンプルです。
※以下画面は設定の一部となります。管理コンソールから数万台規模の端末の一元管理が可能です。
デモ2:個人端末から利用する
2つ目は、個人端末で学校の情報システムへアクセスするデモです。
「個人端末」というと、自宅から個人のPCでテレワークをしているイメージを持たれるかもしれません。
もちろんその利用シーンもありますが、教室にいらっしゃる先生が、職員室に戻られることなく、個人のスマートフォンでさっと自分の予定を確認する時にも使っていただけたらと思っています。
しかし、そのような環境を実現するために、個人端末に仕事(学校)関連のアプリケーションをインストールしてください、と言われたらどうでしょうか?
抵抗感を持たれる方も多いのではないでしょうか。
また、個人端末の種別は異なりますし、利用されているOSもWindowsだけではありません。教職員の方々からの問い合わせや手順書の作成だけでも、相当な運用工数がかかることが容易に想定されます。
デモでは、Google ChromeやMicrosoft Edge等、PCにすでに導入済みの一般的なブラウザで、一部の業務システムへアクセスする方法をご紹介しました。
この環境では、個人端末は業務システムへ”直接”アクセスすることはなく、業務システムの“画面が無害化されて個人端末へ転送”されます。そのため、個人端末側の脅威は業務システム側へ影響しません。さらに、個人端末のローカルディスクへのファイル送受信も制限できます。
一番の特徴は、転送された画面にユーザ名が入った「電子すかし」を入れられることにあります。
PCでとられたスクリーンショットが他者へ転送され、重要な情報が漏洩したとします。この仕組みを使っていれば、スクリーンショットにはユーザ名が「電子すかし」として入っているため、誰から漏洩したか容易に特定できます。
また、利用者に対する「情報漏洩をしない行動」を促す力にもなります。
デモ3:複数のクラウドサービスにシングルサインオンをする
3つ目は、複数のクラウドサービスにシングルサインオン(SSO)するデモです。
昨今の教育現場は、クラウドサービスを多用します。
それぞれのクラウドサービスにログインするためのユーザIDとパスワードをすべて記憶するのは大変です。
そこで登場するのが「統合認証ポータル」のIDaaSです。
1度、「統合認証ポータル」にログインすると、連携している各クラウドサービスへ個別にログインする必要がありません。
また、認証情報としては、多要素認証に対応しているため、ID/パスワードに加えて、パスコード、証明書、FIDO認証、QRコード等の要素で認証強化を図ることも可能です。
「統合認証ポータル」にログインするとダッシュボードが表示されます。
各クラウドサービスの利用は、ダッシュボード上のアイコンをクリックするだけです。
ダッシュボードには、利用者がアクセスできるクラウドサービスのみが表示されるので、様々あるサービスへのアクセスを制御できます。
これにより、業務の効率化はもちろん、「統合認証ポータル」にログインを行うだけで、複数のWebサービスへアクセスできるため、複数のユーザIDとパスワードを紙にメモしてPCに貼っておく等のセキュリティを低下させるような行為を防ぐことができます。
おわりに
2023(R5)年3月に報告された「GIGAスクール構想の下での校務DXについて」の中に記載されている、「アクセス制御を前提としたネットワークにおける情報セキュリティの確保(イメージ)」には11個もの“いわゆるゼロトラストセキュリティに関する要素技術”が紹介されています。
これらの要素技術を一度に導入すると、コスト的にも、運用的にも非常に大きな負荷が現場にかかりますし、クラウドシフトが一気に進むわけではないため、段階的なセキュリティ機能の導入が必要だと考えています。
弊社は、今回の展示会で多くの教育委員会のお客様と会話し、
・お客様の現状の環境や課題に合わせて「段階的」に「移行」を進めていく必要があること、
・個人端末利用への強いご要望があること
を再認識しました。
デモをご覧になりたい、説明を聞きたい等、弊社ソリューションにご興味をお持ちいただけましたら、是非お問い合わせください!
GIGAスクール構想に最適な環境をご検討いただく際に、各教育委員会・学校様のご参考としていただき、校務DX、学習DXの一助になれましたら幸いです。
生徒や教職員に “ワクワクを広げる”
弊社行動指針より
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
