- ライター:山崎 恵子
- 教育委員会のお客様と次期基盤のグランドデザインを検討しています。
先生方の働き方改革、教育DXの実現、データ利活用を念頭に、
パートナー企業様とともに、セキュアでコスト効果の高いIT基盤を構築するご支援をいたします。
目次
2019 年(令和元年)に発表された「GIGA スクール構想」を機に構築した「学習系ネットワーク基盤」がそろそろ更改だという教育委員会様も多いのではないでしょうか。次期基盤では、従来からある「校務系ネットワーク基盤」と“統合”し、「クラウドシフト」、「アクセス制御型」を柱に、「物理回線」や「教職員端末」も“統合”できたら良いなと考えられているかもしれません。
今回、弊社のパートナー企業様であるミカサ商事株式会社(以下、「ミカサ商事」)様、ハミングヘッズ株式会社(以下、「ハミングヘッズ」)様のご協力のもと、
「クラウドシフト」、「教職員端末“統合”」をした環境で、『校務系データを組織外や学習系領域に漏洩させないセキュアなファイルサーバをクラウド上で実現する』
という検証を行う機会に恵まれました。
検証に使用したツールは、「Google Workspace」と「セキュリティプラットフォーム」です。さまざまな選択肢の中の1つにすぎませんが、考え方は普遍的なものです。
こちらのブログが、全国の教育委員会様の有益な情報となりますことを願っております。
また、この場を借りて、検証にご協力くださった、ミカサ商事様、ハミングヘッズ様に深く御礼申し上げます。
ファイルサーバ機能に関するお客様のご要望
「次期基盤のファイルサーバはクラウドで実現したい」と多くのお客様はお話しされます。
ファイルサーバの多様な選択肢
以下は、今まで弊社にご相談いただいたものの一例です。ご覧の通り多くの構築方法(製品)があります。
- Microsoft社やGoogle社のグループウェアを利用しているので、バンドルされているSharePoint/OneDrive、Google Driveを有効活用したい
- 現基盤のファイルサーバを、使い勝手を変えずにそのまま利用したいので、パブリッククラウドのIaaSサービスにリフトするか、FSx for NetApp ONTAP(AWSサービス)を採用したい
- 行政側で、Microsoft社のAzureを契約しているので、Azure Filesを採用したい
- 運動会や演劇などの写真や動画ファイルの容量がどんどん大きくなっているし、教育ダッシュボードで非構造化データを扱うかもしれないので、容量無制限でさまざまなサービスとセキュアに連携出来るBoxを採用したい
このように、世の中には多くの製品があふれかえり、どれを選んだら
“先生方の使い勝手が良く”、
“運用が楽”で、
“コストを抑えた”
構成になるのだろうと頭を悩まされている方も多いのではないでしょうか。
グループウェアの機能を利用したファイルサーバ
「教育情報セキュリティポリシーに関するガイドライン(令和 6 年 1 月)」(以下、「ガイドライン」)の 9.3章には、「クラウドサービスを学習用途と校務用途で使い分ける形が望ましく、…」という記載があります。
教育委員会様でよく目にするのが、学習系はGoogle Workspaceを、校務系はMicrosoft 365をご利用されている環境です。「ガイドライン」に沿うと、学習系はGoogle Driveで、校務系はSharePoint/OneDriveをファイルサーバとすることになります。お客様の中には、この組み合わせで既になんらかのPoCを始められている方もいらっしゃるかもしれません。
そのような中、多くはありませんが、校務系も学習系もGoogle Driveでセキュアに実現できないだろうかというご相談をいくつかのお客様から頂きました。
教職員が使う端末はWindowsだけど、生徒の端末はChromebookで、有償版のGoogle Workspaceを購入する予定があるから、その環境を最大限に活かしたいとのことでした。さらに、
- 校務系データを学習系ファイルサーバに移動する時は役職者などの「承認」を入れたい
- 端末で行われるファイル操作のログをすべて取りたい
などのご要望もありました。
そこで、国内500校以上の教育機関に「Chromebook」や「Google Workspace for Education」の導入実績をお持ちのミカサ商事様、端末の情報漏洩対策製品「セキュリティプラットフォーム」(以下、「SeP」)を販売されているハミングヘッズ様とともに、「ガイドライン」とお客様のご要望を満たす構成が組めないかを検証いたしました。
Google WorkspaceとSePで次期ファイルサーバ基盤をセキュアに構築
Google Workspace環境の準備
まず、ミカサ商事様に、「校務系」用と「学習系」用の2つのドメインを用意していただきました。
「ガイドライン」の3.2章には「校務系用途と学習系用途で教員アカウントを分けるなどの措置を推奨」と記載があります。これに従い、1人の先生に2つのユーザアカウント、無償版の「校務系アカウント」と、有償版の「学習系アカウント」を作っていただきました。
次に、Google Driveの共有フォルダにあたる「共有ドライブ」を作成いただき、校務系共有ドライブには、「校務系アカウント」を、学習系共有ドライブには、「学習系アカウント」を割り当てていただきました。
図01 検証環境のユーザと共有ドライブへの割り当て
SeP環境の準備
一方、先生が利用する「教職員端末」にはSePクライアントをインストールします。SePは「信頼領域」と「非信頼領域」を定義し、“領域”で情報を守ります。
教育委員会が指定するクラウドサービスは信頼するけれど、個人で使うクラウドサービスは信頼しない、ファイルサーバは信頼するけれど、USBメモリは信頼しない、というような具合です。
「非信頼領域」に移動されたファイルは自動的に暗号化されるため、SePクライアントが入っていない端末で開くと文字化けをしたかのような表示になります。
図02 「信頼領域」と「非信頼領域」でのSePの動作
SePサーバでは「校務系機微モード」と「学習系モード」という2つのモードを定義します。
そして「校務系機微モード」ではGoogle Workspaceに「校務系」アカウントでのみ、「学習系モード」には「学習系」アカウントでのみログインできるようポリシーを作成し、SePクライアントが入った物理端末へ適用します。
すると、1台の物理端末でありながら、SePのモードを切り替えることで、あたかも「校務系」と「学習系」の2台の端末があるかのように”見せかけて”使うことができるのです。(セパレートオプション使用時 / SePはWindows端末でのみ動作)
図03 複数のポリシーを定義した「モード」を切り替えて利用
SeP導入済み教職員端末の使い勝手
「校務系機微モード」と「学習系モード」
今回の環境では、電源投入時に「学習系モード」で起動するようにしました。この時、Windows Helloと連携して多要素で認証させることもできます。このモードでは、学習系共有ドライブにのみアクセスが可能です。
図04 「学習系モード」では学習系共有ドライブにのみアクセスが可能
「校務系機微モード」へ切り替える際は、画面右下のランチャーより「校務系機微モード」を選択します。「学習系モード」で起動していたアプリケーションがすべて終了され、切り替え先のポリシーが適用された後「校務系機微モード」に遷移します。
図05 「学習系モード」から「校務系機微モード」への切り替え
「校務系機微モード」では、校務系共有ドライブにのみアクセスが可能です。なお、両方のモードを同時に立ち上げることはできません。
図06 「校務系機微モード」では校務系共有ドライブにのみアクセスが可能
「校務系機微モード」ではプロジェクタに投影させない
この「校務系機微モード」には、先生方のうっかりミスを防ぐためのちょっとした仕掛けがあります。「校務系機微モード」の時に端末をプロジェクタにつなぐと、その瞬間、プロジェクタの投影が停止されるのです。
「ガイドライン」の9.3章に、「教職員端末上で重要な情報を表示する際の、児童生徒への誤表示や、児童生徒による不正閲覧が発生することのないよう、運用において留意することが望ましい」と記載がありますが、まさにこれを実現するものです。
図07 「校務系機微モード」の時はプロジェクタを無効にできる(要設定)
「校務系機微モード」から“承認”を経て「学習系モード」へファイル転送
SePでは校務系領域のファイルを持ち出す際、「リリース承認フォルダ」を経由して、「上長承認」を強制することができます。
例えば、「校務系機微モード」にある校務系データを持ち出したい場合、先生はまずそのファイルを「リリース承認フォルダ」にドラッグします。「申請リスト」画面が自動で表示されるので必要事項を記入し「承認」を依頼します。
図08 申請者の画面
申請者が「承認」を依頼した瞬間、承認者の端末画面右下にポップアップが表示されます。ポップアップをクリックすると「承認リスト」画面が表示されるので、承認者は申請内容を確認し「承認」するか判断をします。
図09 承認者の画面
「承認」されると、申請者の画面では「承認済み」タブに申請が移動します。「リリース承認フォルダ」内のファイルを、校務系/学習系両方からアクセス可能な共有フォルダである「受渡しフォルダ」へ移動させます。その後、「学習系モード」に切替え、「受渡しフォルダ」から該当ファイルを取り出します。
図10 承認が行われた後の申請者の画面
※「受渡しフォルダ」は、校務系機微モードで「非信頼領域」として定義されており、「リリース承認フォルダ」を経由しない場合、そのファイルコピーは禁止されます。
「学習系モード」からは“承認なし”で「校務系機微モード」へデータ転送
逆に「学習系モード」から「校務系機微モード」へは「承認」をはさまずに任意のタイミングで先生自身がデータを移動させることができます。ファイルを移動したというログはSePに記録されますが、機微情報ではないためより少ない手順で移動を行えます。
図11 学習系から校務系へのファイルの移動
ファイルの移動に関するログはすべて記録
前述の通り、SePでは端末で行われるファイル操作ログはすべて記録されます。有事の際はスムーズに状況を把握することができます。
図12 SePサーバ内のログファイルをCSV形式で出力するSePトレーサ
グループウェアのDLP機能との違い
あれ?Google Driveにはファイルの情報漏洩対策としてDLP機能で「ラベル」をつけて制御する機能があったよね?と思われる方がいらっしゃるかもしれません。
今回の環境でも、ミカサ商事様が、ファイルに含まれるキーワードをもとに「ガイドライン」の重要性分類に沿った「ラベル」を自動で付与するような設定をしてくださいました。
しかし、この機能は、組織外への情報漏洩を防ぐものであり、組織の中、つまり「校務系領域」から「学習系領域」へのファイルの移動は制御することができません。「ファイルの移動時に「上長承認」をはさむ」という機能も今のところはないため、先生が誤って学習系共有ドライブに機密ファイルをコピーしてしまう可能性があります。
図13 「重要性分類Ⅰ」ラベルが自動で付与されたファイル
なお、SharePoint/OneDriveでもファイルに「ラベル」を付与できます。
この機能も「校務系領域」から「学習系領域」へのファイルの移動を止めることはできませんが、“校務系“「ラベル」が付与されたファイルを「学習系領域」へ移動してしまった際、Googleとは異なり「生徒から見えないようにする」ことは可能です。「上長承認」機能もありませんが、このポリシーでよしとして運用をされているお客様もいらっしゃいます。「ラベル」付与は自動でも手動でもできますが、このお客様は、先生が手動で「ラベル」を付与するルールを定めて業務をしていらっしゃいます。
このように、製品も様々あり、機能も異なる中、どのレベルでセキュリティ対策をするか、先生方のリテラシーや作業負荷をどこまで求めるかは状況を鑑みて決定することになります。
おわりに
今回は、SePを使ってGoogle Driveのセキュリティをさらに強化し、組織内での機密ファイルの移動を制御する検証を行いましたが、
校務系はSharePoint/OneDriveで、学習系はGoogle Driveを使うケースであっても、
校務系はオンプレミスのファイルサーバを使って、学習系はクラウドサービスを使うというケースであっても、
今回と同等の設定をすることで、よりセキュアなファイルサーバ環境を実現することができます。
当検証の内容を詳しくお知りになりたい方、自環境で検証をしてみたい方、教職員端末をよりセキュアにしたい方、次期のファイルサーバや基盤全体の構想や構築で困られている方がいらっしゃいましたら、ぜひ我々にご一報いただけますと幸いです。
パートナー様と共に“期待値を超えていく”
弊社行動指針より
ミカサ商事様 :https://www.mikasa.ne.jp
ハミングヘッズ様 :https://www.hummingheads.co.jp/sep/index.html
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
