第2回 IIJアフターGIGAスクールセミナー~アフターGIGAスクールに必要なセキュリティとは?~

IIJでは、「アフターGIGAスクール」をテーマとしたWebセミナーを複数回にわたり開催予定です。2023年1月に開催した第2回では、合同会社KUコンサルティング代表 髙橋邦夫様をお迎えし、「アフターGIGAスクールに必要なセキュリティとは?」として、教育情報セキュリティを取り巻く環境や対策の事例などを紹介しました。セミナーの内容を一部抜粋してレポートします。

<話者>
合同会社KUコンサルティング 代表 髙橋 邦夫 様(写真中央)
IIJ セキュリティ本部 セキュリティオペレーション部 セキュリティオペレーション企画開発課 兼子 敦史(写真左)
IIJ 公共システム事業部 自治体等営業統括 丹野 圭二(写真右)

IIJ丹野よりご挨拶と合わせて、教育委員会様よりお問い合わせが増えてきた「リモートワークの対策の一例」を紹介しました。

髙橋様からは「次を見据えた情報セキュリティ」として、教育情報セキュリティガイドライン概要や重要なポイントをはじめ、校務システムなどのクラウド化の流れから「適切なアクセス制御(認証)」などの重要性にも触れていただきました。更には当日午前中に行われたという文部科学省主催の検討会議での報告内容(次世代の校務DXの方向性)についても説明いただきました。

IIJ兼子からは「クラウドを利用する端末のセキュリティ強化の進め方」として、コロナ禍に伴うテレワーク環境へ変化する中、攻撃手法も変化が生じていること。お客様自身による端末側の対策の方法論だけでなく、専門的な技術を要することから運用そのものを外部業者にアウトソーシングするのも一つの手と紹介しました。

当日回答した内容を含め、参加者様よりいただいたご質問と回答を紹介します。

ご質問
  1. 現在の三層構造の仕組みから、ゼロトラストネットワークへ移行していく際の気を付けるべきポイントは?
  2. MDR(SOC)の重要性、必要性、AV/NGAV/EDR/MDRの選定方法、SASEを検討していく上での注意点など。
  3. 中核市規模の自治体がゼロトラストネットワークを構築する際のおおよその費用感は?
  4. タブレット端末の買い替え時期は何年後か?
  5. タブレット端末の設定、セキュリティレベルの妥当性を考えるときに大事なことは?
  6. ゼロトラストネットワークを活用した具体的な校務系、学習系のネットーワーク構成例を聞きたい。
  7. ネットワークの分離(校務系/校務外部系/学習系)から最終的にクラウドベースのゼロトラスト環境へのシフトを目指す場合、その途中段階(過渡期、クラウドとオンプレが混在)においては「どのような対策」を講じることが望ましいか。仕組みの導入など投資の無駄回避・教職員の運用負荷増加回避の両視点を交えたご意見を伺いたい。
  8. 教員の負担減が具体的にどのようになるのか、教えてください。面倒なことはこれ以上やりたくないという精神面のハードルを下げるには、具体例が必要と考えています。

Q1.現在の三層構造の仕組みから、ゼロトラストネットワークへ移行していく際の気を付けるべきポイントは?

(髙橋)

首長部局員の方向けから話すと、年金機構の事故を発端として三層対策を取られていますが、この環境をゼロトラストにしていくということは総務省の方からは正式な見解は出ていません。そのため三層対策は当面は続くものと思われます。丹野さんからご説明されたように、今後新しい働き方が求められる中、自宅や外出先からのリモートワークを行うには三層対策は使いづらい状況と言えます。このような環境下で重要なのは「認証」であり、何の情報が大切であるかの情報資産の分類と、どのような場所でいつから利用するかと言ったアクセスルールの整備をしていくこと。これは首長部局にとっても大事なことであるため是非ともみなさん検討いただければと思います。教育委員会におかれましても、教職員の方々が学校の外からも情報資産へのアクセスが増えていくならば、ゼロトラストは大事だと思います。ただし、ゼロトラスト対応の製品群を一気に導入することはコストの面からも大変かと思われるため、学校の中にはどのような情報があり・どのような人が触って良いものなのか、外から利用する場合にはどのような認証をかけると良いか、情報資産の洗い出しと一歩一歩着実に内容を吟味した対策をしていけば良いと思います。

Q2.MDR(SOC)の重要性、必要性、AV/NGAV/EDR/MDRの選定方法、SASEを検討していく上での注意点など。

(兼子)

色々な製品群がありどのように選択していけば良いのか、という点で回答しますと、すべてを準備してすべてを導入するというのは非常に大変です。また既に一部は導入済みのものもあり、使い方や機能を変えることで継続利用できるものも多くあると思います。自分たちがどこを守ってどのように運用していきたいのかを考えながら製品も選んでいけば良いと思います。

その他多くの質問をいただきましたが、当日は時間の都合上、すべてを回答できませんでした。残りの質問と回答をここで紹介します。

Q3.中核市規模の自治体がゼロトラストネットワークを構築する際のおおよその費用感は?

(髙橋)

お客様の規模、構成、守りたい情報資産などによって一概に申し上げにくいですね。

(丹野)

一概には申し上げられませんが、億オーダーとお考えください。

Q4.タブレット端末の買い替え時期は何年後か?

(丹野)

一般的な回答で言うと、OSの息の長さと、OSがファット化していくことによって端末のレスポンス低下との兼ね合い……としか言いようがないですね。このことからiPad/Google Chromeは息が長そう、Windowsは短いと想定しています。またGIGA端末はノートPCやタブレットであり、バッテリーの寿命時期が購入後2~3年でやってくることを考えると、2025年ごろから更改のタイミングを迎えるのではないかと想像します。

Q5.タブレット端末の設定、セキュリティレベルの妥当性を考えるときに大事なことは?

(丹野)

貸与タブレットを活用する、かつ悪用を防ぐにはMDMで制御するしかないと思います。例えばネットカフェなどでは都度端末を初期化していたり、個人情報(キャッシュ情報、Cookieなどの本人の使い勝手の良さには繋がるものだが、他人には見せてはならない)がいかに端末側に残らないようにするかを意識して運営されていると思います。ちなみにIIJの場合も、社内端末はMDMで完全制御しています。

Q6.ゼロトラストネットワークを活用した具体的な校務系、学習系のネットーワーク構成例を聞きたい。

(兼子)

ゼロトラストという考え方は、ネットワークに接続している端末すべてにおいて、外部と内部で同等のセキュリティリスクがあると考えて対策を実施するというものです。対策ができている端末は、自宅環境やモバイル環境など持ち出し利用がしやすい状況となります。

(丹野)

貸与PC→ゼロトラスト→BYOD回線利用→リモートアクセス(インターネットVPN)、と繋がる話として、リモートアクセス環境が閉域モバイルである必要はなくなるでしょう。すなわち、より廉価なモバイルを用いたリモートアクセスの道が開かれると考えます。

Q7.ネットワークの分離(校務系/校務外部系/学習系)から最終的にクラウドベースのゼロトラスト環境へのシフトを目指す場合、その途中段階(過渡期、クラウドとオンプレが混在)においては「どのような対策」を講じることが望ましいか。仕組みの導入など投資の無駄回避・教職員の運用負荷増加回避の両視点を交えたご意見を伺いたい。

(兼子)

過渡期は、すべてのデータがクラウド上に置ける場合と置けない場合があり、データの整理を行う必要があると考えています。また、クラウドとオンプレミスが混在している場合は、クラウドサービスを決めて移行していく必要があるので、早めにデータ移行できるものから移していくことで、運用負荷軽減という観点から設備運用負荷の軽減を図っていただくのが良いと考えます(とはいえ、クラウドサービスはクラウドサービスとしてのセキュリティがあるため、そこは検討の必要あり)。

Q8.教員の負担減が具体的にどのようになるのか、教えてください。面倒なことはこれ以上やりたくないという精神面のハードルを下げるには、具体例が必要と考えています。

(髙橋)

まず大前提として、校務事務のデジタル化は情報共有や検索性の向上など、デジタル化が進めば進むほど教職員の負担軽減に繋がることは明白です(朝の職員室での職員会議を無くした事例などもあります)。更にクラウド化によって、職員室以外の場所からも情報にアクセスできることは、柔軟な働き方に寄与することは間違いありません。
一方でデジタル化が進むことは、情報漏えいリスクやシステム停止による業務不能などの危険因子を抱えることとなります。情報セキュリティ対策を組織として確立することで、教職員が各自で対策を考える必要がなくなり、安心して業務に専念できるようになります。これらのことから、教職員の負担が減るものと説明いたしました。

第2回セミナー開催後のアンケート結果

アフターGIGAスクールに関するセミナーでは、多くの団体様での取り組み・お悩みごとなどを取り上げて案内する場として、今後も年に数回の開催を予定しています。皆さまからのご意見、ご感想は次回以降のセミナーにも活かしていきます。ご参加をお待ちしています。

本セミナーの資料を差し上げます ダウンロード(無料)