【セミナーレポート】ゼロトラスト×クラウド実現に向けた“導入までの道のり” ～ゼロトラストセキュリティ実現方法と必要性～

概要

■テーマ：テーマ：ゼロトラスト×クラウド実現に向けた“導入までの道のり”～ゼロトラストセキュリティ実現方法と必要性～
■実施日：2024/06/26（水）
■参加対象：自治体職員
■プログラム
＜Program1＞
次世代の校務DXについて
＜Program2＞
導入事例を交えた教育市場クラウド化におけるゼロトラストネットワークの実現方法

---

＜Program1＞次世代の校務DXについて

＜講師＞

文部科学省 初等中等教育局
学校デジタル化プロジェクトチーム
専門官　金岡 由岐子 氏

 

文部科学省は令和5年3月、「GIGAスクール構想の下での校務DXについて～教職員の働きやすさと教育活動の一層の高度化を目指して～」において「次世代の校務DX」の方向性を提示するとともに、全国で次世代の校務DX環境が整備されることを目指し、取組に力を入れている。本セミナーでは、次世代の校務DXの意義や必要な事項、関連する取組について、金岡氏が説明する。

校務DXが求められる背景と次世代の校務DX

これからの学校教育を支える基盤的なツールとして、ICT活用が必要不可欠となっています。教育面だけでなく、学校における働き方改革を実現する上でも、ICTは極めて大きな役割を果たすものと位置づけられています。

令和の日本型学校教育を支える基盤としての校務DXである「次世代の校務DX」の方向性が、令和5年3月に出されました。そこでは、現在の校務情報化の課題として、下記が挙げられています。

①校務処理の多くが職員室に限定され、働き方に選択肢が少ない
②紙ベースの業務が主流となっている
③汎用のクラウドツールと統合型校務支援システムの一部機能との整理
④教育委員会ごとにシステムが大きく異なり、人事異動の際の負担が大きい
⑤校務支援システムの導入コストが高く大規模な自治体の教育委員会で導入が進んでいない
⑥帳票類の標準化が道半ば
⑦学習系データと校務系データとの連携が困難
⑧教育行政系・福祉系データ等との連携が困難
⑨ほとんどの自治体で学校データを教育行政向けに可視化するインターフェースがない
⑩校務支援システムが災害対策が不十分な自前サーバーで稼働しており、大規模災害により業務の継続性が損なわれる危険性が高い

これらの課題を踏まえて提示されたのが、次世代の校務DXです。次世代の校務DXの実現には、「働き方改革」「データ連携」「レジリエンス」の3つの観点が重要です。

汎用クラウドツールの活用と学校の具体的な取組事例

汎用クラウドツールの積極的な活用は、教育活動を効率化したり高度化したりするだけではなく、学校を魅力ある職場にするためにも重要です。以下は、本年4月に文部科学省が公表した「教育DXに係る当面のKPI」です。
ここでも、「クラウド環境を活用した校務DXを積極的に推進している学校」を指標の一つとしています。

各学校・教育委員会におかれては、文部科学省が令和6年3月に公表した「GIGAスクール構想の下での校務DX化チェックリスト」も活用しながら、取り組んでいただきたいと思います。

●汎用クラウドツールを活用できること（例）
・児童生徒の欠席・遅刻・早退連絡の受付
・児童生徒への各種連絡の配信
・児童生徒への調査・アンケート等の実施
・学校から保護者へ発信するお便り・配布物等の配信
・保護者への調査・アンケート等の実施
・職員間の情報共有や連絡
・職員会議等の資料の共有
・教職員への調査・アンケート等の実施

学校では、例えば公開授業研究会でクラウドを活用している事例もあります。
公開授業研究会で使う資料を全てクラウドに置くことで、印刷したりホチキス留めをしたりする作業が割愛でき、かなりの負担減になります。また、これによりペーパレス化も図れます。

予定管理や備品管理、日程調整にもクラウド環境は活用できます。また、教員間の情報共有にチャットを活用することにより、発信したいタイミングに送信でき、受け取る側は隙間時間に確認することができるようになります。出張時も現地からリポートすることが可能ですし、管理職は出張中でも出張先から指示をすることが可能です。

GIGAスクール構想を支えるセキュリティ対策

GIGA環境を活用した教育現場でのクラウド活用が進むなど、教育現場の環境は変化しており、新たな環境に対応したセキュリティ対策は重要です。一方で、教育委員会独自の教育情報セキュリティポリシーを策定している自治体は半数に満たない状況です。

教育情報セキュリティポリシーがないと、学校は何をやっていいのか悪いのか分からない状態になってしまいます。また、教育委員会は学校現場におけるセキュリティリスクを把握できず、例えばセキュリティインシデントが発生したときに原因の特定が困難になり、再発防止策を検討できなくなってしまいます。
文部科学省では、教育情報セキュリティポリシーのうち、対策基準の策定に際する参考資料として「教育情報セキュリティポリシーに関するガイドライン」を公表しています。
セキュリティ対策はGIGAの地盤を支える重要課題であるため、教育委員会におかれては、教育委員会や学校にどのようなシステム・情報が存在し、どのように運用されているのかを把握して、教育情報セキュリティポリシーの策定や、現状に合わせた見直しを行っていただきたいと思っています。

文部科学省の伴走支援
最後に、文部科学省の伴走支援を紹介します。以下の「StuDX Style（スタディーエックス スタイル）」では、全国の学校や自治体から提供いただいた優良事例等を数多く紹介しており、校務DXに役立つ情報も多く掲載しています。ぜひご覧ください。

また、文部科学省は、YouTubeのmextchannelにおいても校務DXに関する動画を掲載しています。さらに、「学校DX戦略アドバイザー事業」で自治体や教育委員会等からの相談に対応するとともに、「GIGA StuDX推進チーム」（通称 ギガスタチーム）では教育委員会や学校現場の悩みや課題の解決に向けた伴走支援として研修のお手伝いをしています。これらもぜひご活用ください。

参加者とのQ&A（※一部抜粋）

Q：ネットワークの統合は、いつごろまでに実施する必要がありますか。

A：文部科学省としては令和11年度までに、ネットワーク統合等を前提とした次世代の校務システムを導入済みの自治体の割合が100%になるよう、取組を進めていきたいと考えています。ぜひ、次の更改のタイミングで、ネットワークの統合をご検討ください。

＜Program2＞導入事例を交えた教育市場クラウド化におけるゼロトラストネットワークの実現方法

＜講師＞

パロアルトネットワークス株式会社
Systems Engineer　菅澤 潤 氏

文科省が示すセキュリティポリシーガイドラインの令和6年1月改定により、ゼロトラストネットワークが強固なアクセス制御として推奨されている。ただ、多くの自治体の教育委員会は、その実現手段に悩んでいるようだ。パロアルトネットワークス社の菅澤氏が、実際の導入事例を交えながら、同社が考えるゼロトラストネットワークの実現方法や必要性を紹介する。

「Prisma Access」の概要

「教育情報セキュリティポリシーガイドライン」の第2回改訂の際、新たにローカルブレークアウト構成とネットワーク分離を必要とせず、直接インターネットにつないでクラウドを使うという内容が加わりました。さらに令和6年1月の改定では、「強固なアクセス制御」が追加されました。

強固なアクセス制御とは、インターネットアクセスを通信経路とする前提で、内部・外部からの不正アクセスを防止するため、利用者認証、端末認証、アクセス経路の監視・制御を組み合わせたセキュリティ対策のことです。いわゆる「ゼロトラスト」ネットワークです。

文科省が求める校務、学習におけるゼロトラストセキュリティ機能で、弊社の製品の「Prisma Access」「Cortex XDR」「Prisma Cloud」でどう対応できるか、下記の図をご覧ください。

IDを統合的に管理する機能や、MDMという端末自体を監視する機能については、ほかのソリューションを使っていただくことにより、全てのゼロトラストにおけるセキュリティを担保することができる製品を提供しています。

＜Prisma Accessの概要＞
Prisma Accessは、SASE（サッシー）と呼ばれるソリューションです。ユーザーの環境下に新たにハードウェアを置く必要はなく、弊社のクラウドサービスに接続していただくことでセキュリティ機能を提供します。以下は、実際に接続したときの例です。

例えば学校等のインターネット回線から接続する際は、既存の環境からIPSecに暗号化した状態で接続できます。教員が自宅でリモートワークをする場合も、セキュリティを担保した上でPrisma Accessに接続できる環境を提供しています。

●Prisma Accessの3つの接続形態
1.モバイルユーザー（MU）
2.リモートネットワーク（RN）
3.サービスコネクション（SC）

上記の接続方式を組み合わせることで、既存環境に合わせて提案できるところも弊社の強みです。通信の際、ゼロトラストをしっかりと引っかけて、ユーザーの○○さんであればどこに通信しても良い、もしくは各グループや各学校単位で、どこに通信して良いかをコントロールします。さらに、脅威防御、Webフィルタリングのようなセキュリティ機能を提供しますので、しっかりとユーザーを識別し、端末の状態も見て、通信を制御することができる製品になっています。

インターネットの出口は、弊社クラウドサービス側のバックボーンから接続されますので、ユーザーがこの帯域を気にする必要はありません。さらにセキュリティ機能は全てクラウド側で集中管理できますので、各学校のセキュリティポリシー等も一つの環境で管理することが可能です。そのため、WEB通信だけではなくレガシーなデータセンターにある運用管理ツールなどの接続もサポートしつつ、問題がある通信は、止めることができます。クラウド型のサービスの提供方式とは別に、ハードウェアのファイアウォールがあり、どちらも同じセキュリティを提供できます。これは、他社にはないサービスだと思います。

Prisma Accessの導入事例

現状、10団体がPrisma Accessを導入し、校務のゼロトラスト化を実施しておられます。以下は、ある教育委員会の導入事例です。既存システムの課題として、IDの一元管理やグループウェアへのアクセス容易性などから、ゼロトラスト化を検討され、弊社の製品を導入いただきました。

次に、教職員500名規模の導入事例です。ソフトウェアを展開することによって、教員が使用している端末だけ強制的にPrisma Accessに接続することができます。GIGAで整備したネットワークを生徒はそのまま使い、同じネットワークの中に仮想的に教員が使っているゼロトラストのネットワークを構成することができます。

次に、教育委員会で利用いただいている機能です。弊社製品はアプリケーションを識別して止めることができるので、例えばGoogle Workspaceを採用している教育委員会の場合、Microsoft356は通信できないようにすることもできます。また、ファイル共有にBOXやGoogleドライブ、One Driveを使っている場合、通信の中身を見て、利用できる機能を制限する機能もあります。ゼロトラストと組み合わせて、権限がある方はアップロードとダウンロードが可能で、学生ユーザーはダウンロードだけできる設定が可能です。

以下はPrisma Accessの管理画面ですが、全体の流れをチェックする機能、クラウドサービスのログを一つの管理画面でインシデントとしてチェックすることができます。

SaaS利用時に活用できる機能

Prisma Accessの通信データをもとに、どういったアプリケーションが使われているのかを可視化し、ユーザーごとに使えるアプリケーションを限定する機能があります。また、One Driveなどデータが保存されている先とAPI連携することで、機密データなのに外部にも共有されているなどもチェックできます。機密情報が公開されているときには、しっかり止める機能もあります。

例えば、教員が誤って住所録をクラウドに上げて共有権限をかけたときも、データの中身を見て住所録であれば止めるといった形で、SaaSにおけるセキュリティをシステマチックに担保することにも対応しています。

ユーザーの行動を分析する機能もありますので、特定のユーザーのがおかしな動きを可視化し、管理者に通知することもできます。このように、様々な機能を統合的に使うことで、セキュリティを担保しつつゼロトラスト化に対応可能となっています。

参加者とのQ&A（※一部抜粋）

Q：ユーザーごとに細かなセキュリティ設定ができるということは、人事異動や日々発生する人事案にもとづく設定に手間が発生すると思われます。運用の実態イメージができるような事例はありますか

A：基本的にはアクティブディレクトリーという認証サーバーであったり、Entra ID、あとはCloud Identityなど、認証サーバーと連携する製品になってます。皆さんが管理するべきことは、ID等の管理基盤の設定です。例えば、ユーザーの学校が変わった場合に、アトリビュートを変えていただくと、その情報をプリズムアクセスに持ってくれば、自動でポリシーを切り替えることが可能です。

お問い合わせ

ジチタイワークス　セミナー運営事務局
TEL：092-716-1480
E-mail：seminar@jichitai.works