令和元年、「GIGAスクール構想」が閣議決定され、文部科学省が「GIGAスクール実現推進本部」を設置したことにより、教育現場におけるデジタル化が急速に進みました。次のステップとして同省は、校務・学習系システムのクラウド化を推奨しているものの、既存システムをクラウドサービスに移行するためには、コスト面以外にもセキュリティ対策に関する情報不足など、様々な課題があるのが実情です。
そこで本セミナーでは、校務・学習系システムのクラウド化におけるメリットをはじめ、クラウド化を推進する上で検討が必要な課題を整理し、回避するべきリスクを解説。また、ネットアップ社よりセキュアなクラウド環境を構築するために必要な、セキュリティ対策について紹介して頂きました。
<概要>
■テーマ:教育現場におけるクラウド活用のすゝめ ~クラウド化におけるメリットと必要なセキュリティ対策~
■実施日:2024年2月22日(木)
■参加対象:教育委員会
■申込者数:85人
■プログラム
Program1
クラウド環境を活用した教育DXの実現を支える教育情報セキュリティ対策
Program2
教育現場におけるクラウド活用に向けたファイルストレージのデータガバナンス
Program3
パブリッククラウド環境下における教育情報マネージメント
クラウド環境を活用した教育DXの実現を支える教育情報セキュリティ対策
<講師>
文部科学省 初等中等教育局 学校デジタル化プロジェクトチーム
校務DX推進係 安井 里沙 氏
プロフィール
令和元年度、文部科学省入省。令和2年7月まで研究開発局開発企画課、令和3年7月まで研究開発局環境エネルギー課、令和5年4月まで外務省国際協力局国別開発協力第三課を歴任し、令和5年5月より現職。
文部科学省は次世代校務DXの方向性として、校務・学習系ネットワークの統合、校務でのクラウド活用を掲げており、モデルケースの創出と展開を推進中だ。教育DXの進展は、教育現場で必要とされるセキュリティ対策を高度化・重要化させるものの、「教育情報セキュリティポリシー」を策定している教育委員会は、全体の49%に止まっているという。クラウド活用が進む教育現場で求められるセキュリティ対策とその重要性、教育委員会の役割を、安井氏が解説する。
教育現場におけるクラウド活用と、校務におけるクラウド化の実態について
GIGAスクール構想により、教育現場でのクラウド活用が大きく進展しています。校務の分野でも、昨年3月に文部科学省が専門家会議の議論の結果を取りまとめ、「次世代校務DXの姿」を示しています。校務でのクラウド活用のメリットは、下記の図をご覧ください。
●働き方改革の観点
校務にクラウド環境が整うことで、校務用PCの教室内への持ち込みが可能となったり、Teams、Forms等の汎用クラウドツールを併用することが可能になります。これにより、児童生徒の出欠席の連絡がオンタイムで可能となり、教員が校務支援システムに転記する必要がなくなるなど、業務負担削減につながります。子育て中や出張中の職員でも会議に参加できたり、在宅業務を行ったりと、柔軟な働き方も可能になるでしょう。
●データ連携の観点
学習系の情報を、ダイレクトに校務系情報に反映させることができます。例えば、児童生徒の成績付けの際、出席情報やテスト結果をスムーズに参照できるようになります。ダッシュボード機能で各種データを統合的に可視化することで、学校経営・学習指導・教育政策の高度化を図ることが可能になります。
●レジリエンスの観点
クラウド化すれば、学校や教育委員会にサーバーを置く必要がなくなります。自然災害の発災時も、データは守ることができます。1月に発災した能登半島地震においても、校務のクラウド化を実施していた自治体では迅速にデータ復旧し、数日後には授業ができるようになったという報告を受けています。
上の図は、昨年12月27日に速報値が公表された「GIGAスクール構想の下での校務 DX化チェックリスト」に基づく自己点検結果を抜粋したものです。「教職員間の情報共有や連絡にクラウドサービスを取り入れている」と回答した学校が、70%を超えていました。
また、「職員会議での資料、職員間での調査・アンケート、もしくは児童生徒の欠席連絡、保護者に対するアンケート等でクラウドを活用している」が全体の半分以上を占めています。
このように現行のGIGA環境を活用した教育現場でのクラウド活用が進んでいます。さらに、次世代校務DXのモデルケース展開に先駆け、ネットワーク統合・アクセス制御型セキュリティへの移行が進む自治体も少なからず出てきています。文部科学省としては、令和11年度までに、全ての自治体において、強固なアクセス制御型セキュリティに基づいたネットワーク統合が完了することを目指しています。
しかしながら、教育に関する情報セキュリティポリシーを策定しているかを全教育委員会に尋ねたところ、策定済み自治体が49.1%、策定していないが、自治体ポリシーを準用していると回答した自治体が36.1%との結果でした。
教育情報セキュリティポリシーがないデメリット
独自の教育情報セキュリティを策定している教育委員会が半数に満たないのは、由々しき事態だと言えます。教育情報セキュリティポリシーがないと何が起こるかを、学校と教育委員会とに分けて例示します。
【学校】
学校が何をやって良いか悪いか判断できないために
●児童生徒が閲覧できる場所に成績情報等の校務情報が混じり、児童生徒や保護者の閲覧が発生する
●重要性の高い情報の持ち出し・私用端末への転送による意図しない情報漏洩が起こる
【教育委員会】
学校現場におけるセキュリティリスクを把握できないために
●セキュリティインシデントが発生した際、何が悪かったのか原因が特定できない
●報告ルートがないので、教育委員会の情報把握が遅れ、大きな事故につながってしまう
●原因が特定できないために再発防止策を検討できない
ルールブックがないと、教育委員会や学校が知らないところで、意図しない情報漏えいの発生につながります。保護者や、場合によってはメディアに取り上げられた際に、ポリシーをつくっていない教育委員会が責任を問われますし、何よりここまで進んだGIGAの後退につながりかねません。
「教育情報セキュリティポリシー」とは
以下の図の通り、情報セキュリティは「基本方針」、「対策基準」、「実施手順」の3つに分かれます。教育情報セキュリティポリシーは、基本方針および対策基準を総称したもので、対策基準策定の参考資料として、文部科学省が「教育情報セキュリティポリシーに関するガイドライン」を公表しています。
文部科学省は令和6年1月、セキュリティポリシーガイドラインに、以下の3つの改定を加えました。
①最新の政策動向を踏まえた教育情報セキュリティの考え方の提示
校務をパブリッククラウド上で行った際に必要なセキュリティ対策を明示しています。
②関連法令・指針の改訂・改正に伴う対応
前回の改定後に関連の文書が改定されましたので、それと整合性を取る形の改定を行っています。
③ガイドラインの読みやすさ向上
これまでのポリシーガイドラインは読みにくいという意見があったため、改訂後、クラウド活用に関する考え方を1カ所にまとめたり、用語集を追加したりする対応を行っています。
セキュリティ対策は、GIGAの基盤を支える重要課題です。1月のガイドライン改訂は、読みやすさの向上を大きな改訂ポイントとしました。これを機に、ポリシー策定・改訂に着手していただきたいと考えています。「インシデントは起こる」、「人は失敗をする」という前提が重要です。ただ、何もかも規制することにならないよう、「何を」「何から」「どのように守るか」を意識したセキュリティ対策を講じてください。困り事がありましたら、気軽に文部科学省に問い合わせください。
参加者とのQ&A(※一部抜粋)
Q:クラウド化における先進都道府県の事例を、いくつか知りたいです。
A:例えば、奈良県は県域での校務DXを前向きに推進しており、Googleの環境で同じドメインのメールアドレスを、児童生徒、教職員に全員分割り振っています。児童生徒の転校や教員の異動の際も、同じメールアドレス・同じアカウントを使えるので、自分たちが積み上げてきた資料やメールをそのまま使うことができます。また今年度は次世代校務DXのモデルケースを創出する事業を実施しています。こちらの成果も追って公表しますのでぜひご確認ください。
また、都道府県域での事例ではありませんが、汎用(はんよう)クラウドツールに入力した情報が、そのまま校務支援システムに反映される仕組みをつくっている自治体の事例もありますし、児童生徒が帰宅しないなどの問題が発生した際に、チャットツールを使って教員同士のコミュニケーションを行いながら捜索を行ったためにオンタイムのやり取りを行え、学校に電話番を置く必要もなかったという事例もあります。
教育現場におけるクラウド活用に向けたファイルストレージのデータガバナンス
<講師>
.jpg)
ネットアップ合同会社
クライアント エグゼクティブ 原田 将史 氏
プロフィール
ネットアップ歴7年、関西エリアの自治体を担当。過去、ジチタイワークスやJ-lisフェア等で、自治体を対象とした取り組み(ランサムウェア防災訓練、データ暗号化消去の実証実験)について講演を担当。
教育システムのクラウド化に伴う採用事例やクラウド環境下のデータ管理に際し課題となる項目について、原田氏が概要を解説する。クラウド移行に伴っては、教育情報セキュリティポリシーのガイドラインや、IaaS、SaaSを前提とした利用者~事業者間データ運用で発生するデータ所在責任を意識する必要があるが、特に今回は、ファイルサーバー領域にフォーカスして紹介してもらう。
クラウド活用の期待値とメリット(採用事例)
総務省が示す「教育クラウド調達ガイドブック」本編からの引用ですが、教育分野のクラウド活用のメリットについて、以下の4点が挙げられています。
(1)教職員の事務負担軽減の可能性
(2)セキュリティ対策が講じられたデータセンターへの保存可能性
(3)児童生徒徒数や利用の増減等の変化への対応可能性
(4)時間や場所、端末等の違いを超えた切れ目ない活用可能性
このうち、今回のテーマは(2)です。機微な情報が含まれるユーザーデータの保管先になっているのが、クラウドストレージ上にあるファイル領域で、この領域をクラウド環境(マルチテナント環境)下でいかに安全に管理できるかがポイントになります。
【某自治体採用事例/アマゾン ウェブ サービス(AWS)に事務系ファイルサーバーを移行】
採用サービス名は「Amazon FSx for NetApp ONTAP」で、当社のONTAPを利用したAWSのフルマネージドサービスです。検討のポイントは、メールやファイル無害化などの内部事務系と、インターネット接続系をまたぐ事務作業を、スムーズに連携できる点です。
【Microsoft Azure採用事例/豊田市教育委員会、西条市教育委員会】
仮想デスクトップAzureバーチャルデスクトップ(AVD)のユーザープロファイル領域に、Azure NetApp Filesを利用した事例です。
●豊田市教育委員会
1カ月程度の短期間で、AVDをパイロット導入。アクセスが集中する朝と夕の時間帯の負荷を最適化する目的で、ユーザープロファイル領域にAzure NetApp Filesを採用しました。
●西条市教育委員会
オンプレミス環境とハイブリッドでセキュリティと利便性を担保するため、機微な情報を扱う教育現場の校務はVDI(AVD)を用い、分離型の仕組みを確立。そのユーザープロファイル領域にAzure NetApp Filesを採用しました。
クラウド化にあたり意識する必要がある項目
文部科学省から提示されている教育情報セキュリティポリシーに関連するガイドラインは、総務省発行の地方公共団体情報セキュリティポリシーガイドラインを基本方針にしています。ピックアップしたいのは、情報資産の分類と管理方法、教育現場におけるクラウドサービスの利用についてです。
●情報資産の分類と管理方法
情報資産の分類と管理方法は、機密性、完全性、可用性にもとづく情報資産の分類に応じた取り扱いを定めた上で、情報資産の管理責任を明確にし、情報資産のライフサイクルに応じて取るべき管理方法を規定したものです。
以下は、データ破棄についてです。ここには機微な情報の保管、破棄について明記されていますが、パブリッククラウド環境でどう実装するかという点が課題となっています。
次に、重要性分類で定義される具体的な機微なデータを確認します。校務型だと機密性3に該当する教職員の人事情報や、健康情報、成績情報などが該当します。これらの情報のクラウド利用ケースとして、SaaS・IaaS環境で、単独もしくは共同利用型を想定したパターンがあります。
先ほど紹介したクラウド環境でのデータ破棄についてもガイドラインに明記されており、サービス事業者とユーザー側で、署名の合意が必要とされています。クラウド利用者はサービス事業者と契約時に、注意すべき課題は2つあります。
【課題1】「責任分界点」教育データの生成から破棄に伴う責任
【課題2】データ連携やクラウド利用に伴う漏えいの危険性
以下は、クラウドサービス提供における情報セキュリティ対策ガイドラインからの抜粋です。SaaS、PaaA、IaaSとの環境でも、一番上のデータについては、利用者側の責任というのが責任共有モデルの原則になります。
つまり、校務学習用ユーザーデータは、どのような環境でも最終的には利用者側の責任で、破棄が必要という点が原則となります。
以下は、ISMAPの管理基準改定時の文章です。パブリッククラウド環境下はディスクの物理破壊が難しいので、暗号消去という方式が推奨されました。
業務サービスの多角化、ただし業務はこれまで同様に連携が必要
マルチクラウドやIaaS、オンプレミスの連携したサービスの提供が当たり前になりつつある一方で、一連の業務は異なるプラットフォームをまたいで行う必要性が出てきました。裏を返すと、1つのサービスが停止すると複数業務が停止するということになります。この観点で当社は、各プラットフォーム共通のセキュリティ、可用性、管理性を一元化させる機能を強みとして、行政システムの安定化に向け、日々提案活動を行っています。
複数プラットフォームを利用するために、サイバーセキュリティ対策やクラウド環境での最適化、機微な情報の適切な消去を異なるプラットフォーム上で一元管理することで、連携業務の安定稼働につなげるという考え方です。
当社は採用実績の豊富なONTAPのOSを軸に、パブリッククラウド、マルチクラウドで、一貫したデータ管理手法を提供できるために、高いセキュリティレベル、可用性・管理性を実装することができます。クラウド環境下での教育情報のデータ管理は、ぜひネットアップに気軽に相談ください。
パブリッククラウド環境下における教育情報マネージメント
<講師>
ネットアップ合同会社
アカウントテクノロジー スペシャリスト 野上 宗一朗 氏
プロフィール
ネットアップ歴5年。アカウントテクノロジースペシャリストとして関東圏の自治体や官公庁をメインに従事。
パブリッククラウドへファイルサーバーを移行する際、ランサムウェア対策やデータガバナンス、情報漏洩等を含むセキュリティ対策などが、特に重要なポイントとなる。パブリッククラウドへファイルサーバーを移行・統合しても、安心で安全な教育情報のデータマネージメントについて、野上氏が自社の具体的なソリューションを紹介する。
パブリッククラウドにおけるネットアップのファイルサーバー
弊社がMicrosoft Azure、AWS、Google Cloudで提供しているファイルサーバーには、大きく2つの種類があります。1つ目は「Cloud Volumes ONTAP」と呼ばれるIaaS型のクラウドストレージ、2つ目は、各ハイパースケーラーが提供している、PaaS型のクラウドストレージです。
これら3つのPaaS型クラウドストレージは、各ハイパースケーラーがフルマネージドサービスとして提供するという特徴があります。IaaSとして提供しているCloud Volumes ONTAP、PaaSとしてクラウドベンダーがフルマネージドサービスで提供しているファイルサービスの実績というのは、海外だけでなく日本国内でも、数多くの実績があるのが強みです。
ファイル領域での最新ランサムウェア対策
ランサムウェア対策の考え方としては、予防、検知、復旧、改善の4つが重要です。ランサムウェアによる被害を100%防ぐことは困難ですが、非常に難しいですが、感染することをあらかじめ想定し、感染とその振る舞いを検出。バックアップから、迅速な復旧をすることが“鍵”になります。
弊社はストレージベンダーですので、XDR(ストレージ領域での異常検知)で不審な振る舞いを検出することが可能です。ストレージに格納されたデータへのアクセス傾向や操作を監視し、異常な操作やランサムウェア感染による不審な振る舞いを検知できるのが強みになります。
具体例として、弊社のストレージで実現できるランサムウェア対策ソリューション『3+1防御アプローチ』を紹介します。以下の概要図をご覧ください。
第1に、「FPolicy」という保護機能があります。こちらは、特定の拡張子以外のファイルの書き込み処理をあらかじめ制限をし、データ保護をしておくことが可能です。
第2に検知と対応として、「Anti-Ransamoware Protection」と「Cloud Insights Storage Workload Security」というソリューションがあります。前者は、ランサムウェア感染によるファイルの異常な振る舞いを検知し、後者はユーザーによる異常なファイル操作を検知。対象ユーザーからのアクセスをブロックすることが可能です。
第3に復旧の点から、「Snapshot」があります。ランサムウェアの影響を全く受けずに、バックアップをセキュアに保管し、容量を問わず迅速にデータ復旧が可能という特徴があります。より強固な対策を実現するためにプラスαとして、WORMの改ざん防止機能によりデータを確実に保護する「SnapLock」、感染状況の検知や対応ガイドを提示する「ActiveIQ」があります。
データガバナンス対応について
データガバナンスへの対応を行うにあたり、日々増えつづけるデータ量や教育機関が扱うデータ管理に関して、以下のような課題が発生していると思われます。
●データ侵害とサイバーセキュリティ攻撃
●データ検出とデータ分類
●データ漏洩とプライバシー侵害
●増加するデータ量によるコストとリソース
これらの課題を解決するソリューションとして、弊社の「BlueXP classification」があります。これは、企業や組織がハイブリッドマルチクラウド上のデータソースに対して、データの属性や中身に注力し、データの検索やデータのマッピング、分類、個人情報の識別を可能にしながら、データガバナンスを維持するためのクラウドサービスになります。
AI、機械学習、自然言語処理を使用してお客さまのコンテンツをスキャンし、分類を行います。弊社のストレージだけではなく様々なストレージに保存された膨大なファイルをスキャン可能で、属性情報を収集することも可能です。
データの最終更新日時、最終アクセス日時、重複ファイル数などからストレージの活用状況を可視化し、パスワードやカード番号、マイナンバーなど、取り扱いに注意が必要なデータが含まれているおそれを可視化することができます。
クラウド・バイ・デフォルト時代の確実なデータ消去
総務省から出されたセキュリティポリシーに関するガイドライン(令和5年3月版)には、データの消去方法として暗号化消去が記載されています。クラウド・バイ・デフォルト時代の確実なデータ消去である暗号化消去は、データを暗号化し、データの抹消が必要となった際は暗号鍵を抹消することで情報の復元を不可能にするという、論理的な削除情報になります。
弊社では、米国国家安全保障局「NSA」のCSfC認定を受けています。また、国内では「CRYPTREC」(電子政府推奨暗号リスト)というものがあるのですが、弊社も推奨される暗号化方式を提供しています。
暗号化消去においては、暗号鍵の管理が非常に重要です。鍵を使い回さない、鍵を紛失しない、ユーザー自身が適切に鍵を管理していることが大切です。2022年、長野県塩尻市で暗号化消去の実証実験を行いました。データの暗号化消去、データの消去証明の発行に必要となるログの収集を行い、データ消去の第三者証明サービスを提供する組織であるADECにて、ログの解析を行いました。その解析結果として、FIPS 140等で規定される暗号鍵の適正管理方法との併用により、「NIST SP800-88 Rev.1」で規定される「暗号化消去」の基準に適合していることが本実証実験にて示されました。
[参加者とのQ&A(※一部抜粋)]
Q:クラウド化における先進都道府県の事例を、いくつか知りたいです。
A:弊社ユーザーである芝浦工業大学の事例を紹介します。ランサムウェア対策でAnti-Ransamoware ProtectionやStorage Workload Securityを、日本で最初に導入したのが、同大学となります。
もともとは学生がランサムウェアの被害に遭ったところから、セキュリティ対策を重点的に考えておられ、ランサムウェア対策を積極的に採用していただきました。学生だけではなく教職員、事務職員のデータを堅牢なものにする取り組みを実施しておられます。
Q:ネットワークサーバーや端末に対して、サーバー攻撃の対策を実施していますが、ストレージでもその対策をするべきでしょうか。
A:講演でも紹介しましたが、やはりストレージ側でのセキュリティ対策は必須です。データを保管している場所がストレージになりますので、データを保護するという観点からは、そのストレージでのセキュリティ対策が必要になります。
具体的には、データをあらかじめ保護するという観点からFPolicyや、ファイルの異常な振る舞いを検知するAnti-Ransamoware Protection、もしくはユーザーの振る舞い検知を行うCloud Insights Storage Workload Security。こういった機能を用いて、セキュリティ対策をしていくというのは非常に重要になっています。
_ バナー.png)
