昨今の教育機関によるセキュリティ事故の多発を受け、学校などで使われるネットワークのセキュリティが大きな焦点になっている。平成29年10月に文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を公表し、これに準拠することが求められている。では、どのようにセキュリティを確保し、校務や授業で快適に利用できるネットワークが構築できるのか。その方法について、ネットワークやセキュリティ製品において世界的なシェアを誇る、シスコシステムズ合同会社 デジタルトランスフォーメーション事業部 インダストリー事業推進部で自治体・教育ICT事業推進担当を務める林山耕寿氏に話を伺った。
求められているセキュリティ対策は「校務系」と「学習系」の完全分離
ガイドラインが定めている事項は極めてシンプルだ。「学校で扱う重要な情報資産」を「外部・内部の様々な脅威」から「技術・ルール・扱う人の意識を総合して守る」ことで、セキュリティ対策をするというもの。重要な情報資産とは名簿、成績、健康診断結果など、主に生徒の個人情報のことを指している。
具体的な方策として、ガイドラインで規定しているのが「校務系」と「学習系」のネットワークを分離することだ。校務系とは教職員が成績処理などの校務に使うもので、教職員のみがアクセスでき、しかもインターネットには接続しない。教職員専用の閉鎖ネットワークとすることで、外部からの不正アクセス、過失による情報流出、生徒による不正アクセスを未然に防ぐことが可能だ。
一方で学習系は、生徒と教職員が日々の学習用途として利用し、インターネットにも接続をする。また校務系とは別に「校務外部接続系」のネットワークも用意する必要がある。校務の中には、保護者や関係機関と電子メールで連絡を取るなどインターネットが必要な業務もあるため、インターネットには接続しておくが成績や健康といった重要情報は扱わないようにすることが必要だ。
この3つをそれぞれ分離したネットワーク構成にすることが、ガイドライン準拠のポイントとなる。
サーバーを職員室からデータセンターへ
現在多くの学校が、職員室内に校務のファイルサーバーを設置し、職員室専用のLANを構築している。そして、教員のパソコンからのみアクセスできるようにし、学習系との分離を図っている。しかし、この方法ではセキュリティ上多くの課題を残すことになる。
「職員室というのはデータセンターのような入退室管理を徹底できているわけではなく、日中の時間帯であれば教員の目による監視はあるものの、相談等で生徒が出入りしたり、事務機器等の業者の出入りもあります。また、職員室は1階に設置されていることが多く、窓も広く設計し、校庭が見渡せるようになっています。これは教育という観点からは優れた設計であるものの、セキュリティの観点からは大きな問題があります」と、林山氏は指摘する。
出入りしやすい環境なため、内外問わず攻撃者の侵入を許してしまう。しかも、1階にあるということは地震や水害などの自然災害による情報資産滅失等のリスクもある。
一方で、一般的なデータセンターでは、2階以上にサーバールームを置き、出入りに関しては厳重な警備体制を敷いている。外部からの侵入を防ぐために窓もなく、浸水、地震、火災などに対する防御施策も施されている。
つまり、職員室にサーバーを設置するのではなく、データセンターにサーバーを預けることが望ましいセキュリティ対策と言える。
「データセンター等で一元管理することで、現場の負担が小さくなることもセキュリティ上大きなメリットが生まれます。職員室にサーバーを設置した場合、その管理を教員のどなたかがすることになります。しかし、教員は教育の専門家であって、サーバー管理の専門家ではありません。しかも、本業の児童生徒への教育でものすごく忙しい。そのため教員による管理には限界があり、そこが大きなセキュリティ上の脆弱性を生んでしまう恐れもあります」(林山氏)
重要な情報資産を格納する校務系サーバー等はセキュリティ要件を満たしたデータセンター等に集約した上で、教育委員会による一元的な管理を行い、セキュリティを向上させる。また、教員の負担を軽減することで教員の働き方改革にもつながり、本来業務である教務に集中できる環境が生まれるのだ。
仮想デスクトップで校務系に安全にアクセス可能
校務系をデータセンターに集約した際に併せて考えたいのが校務系パソコンの仮想デスクトップ化だ。教員は手元のパソコンからネットワーク経由でデータセンターの「仮想デスクトップ」にアクセスし校務処理を行うことになるが、仮想デスクトップ化することで教員のパソコンとデータセンター間の通信は、画面情報のみが手元のパソコンに転送される。重要情報はデータセンター内のみに保存され、実ファイルの行き来がデータセンター内で完結するため情報漏洩の危険性は低く、外部からの攻撃にも強い。
校内側に置いてあるパソコンに実ファイルが保存されない仕組みを作り上げることができれば、校内側のセキュリティ対策を楽にできることも魅力だ。
教員の働き方改革にもメリット
校務系を仮想デスクトップにするメリットは、セキュリティ対策だけではなく、前述した教員の働き方改革にもつながる。
現在、教員が在宅勤務をしようとすると、USBメモリなどの携帯ストレージを使って、重要情報を持ち運びするしかない。しかし、セキュリティ上大きな危険性を生むため、多くの学校が使用禁止にしている。そうなると、教員は学校に行かなければ業務ができず、適切なワークライフバランスを取ることが難しくなっているのが実情だ。
「校務系を仮想デスクトップ化すると、どこからでも安全にアクセスができるようになります。つまり、将来的に在宅勤務を検討したいとなった際に二重投資を回避できます。これらを実現する当社のソリューションのひとつに、『Cisco HyperFlex(以下、HyperFlex)』があります」(林山氏)
HyperFlexは、ハイパーコンバージドインフラ(HCI)であるため、仮想デスクトップ化を実現する際の基盤としてだけでなく、業務システムを稼動させる仮想統合基盤や、自治体、企業グループ全体で利用するITインフラ統合基盤にも適している。
仮想デスクトップ環境では、高速に安定して動作することが重要になるが、HyperFlexはユニークな完全分散型のアーキテクチャにより、仮想デスクトップのような多数の並列的なデータの読み書きが発生する用途でもボトルネックが発生しにくく、安定した性能を発揮する。また、HyperFlexはハードウェア構成の選択肢が広く、運用開始後に「プロセッサの処理能力だけを高めたい」といったようなニーズにも対応でき、柔軟かつ効率的な運用の実現、また仮想デスクトップ環境だけでなく、様々なワークロードにも対応できる製品だ。
専用ストレージ装置が要らなくなるため、データセンター内のラックスペースと消費電力を大幅に節約でき、TCO削減効果があるのも特徴的だ。
クラウドでマルウェア感染を予防する
学習系、校務外部接続系については、インターネットに接続するためマルウェア対策が必要になる。また、学習系は生徒もアクセスするため、さらに有害サイトのフィルタリングなども必要だ。
こうした対策に適しているのが、DNS(Domain Name System)レイヤで守るクラウドセキュリティサービス「Cisco Umbrella(以下、Umbrella)」だ。
シスコシステムズでは、世界中の脅威情報を収集しており、マルウェアを感染させる可能性のあるサイトを常に分析し続けている。このような分析結果をリアルタイムでUmbrellaに適応して、最新情報に基づいたマルウェア対策が可能になる。
Umbrellaを利用するには、デバイスのDNSサーバーの設定をUmbrella指定のものに変えるだけなので、校内からのアクセスだけでなく、自宅や外部からアクセスしてもマルウェア対策が有効になる。特に学習系では、生徒が課題をこなすために自宅からアクセスすることがあり、ここでもマルウェア対策、フィルタリングが有効になる。
防ぎきれないマルウェアからデバイスを守る
教員や生徒のデバイスに対する脅威は、インターネットからのマルウェア感染だけではない。インターネット経由でのマルウェア対策ではUmbrellaで可能だが、非インターネット経由であるUSBメモリなどからの感染も考えられる。そこで、各デバイスにもセキュリティ対策を施しておく必要がある。
「Cisco AMP for Endpoints(以下、AMP for Endpoints)」は、クラウド型のマルウェア対策サービスだ。このサービスを利用すると、パソコン内に取り込まれたファイルのハッシュ値を生成し、これをクラウドに送信し、マルウェアハッシュデータベースと照合し判定する。
ハッシュ値というのは、ファイルの要約のようなデータで、極めて小さなデータになる。ハッシュ計算自体も軽いもので、パソコンの動作にほとんど影響しない。比較はクラウド上で行うため、パソコンの動作には影響を与えない。しかも、クラウドの定義データは随時最新のものに更新され続けているので、最新のマルウェアでも即時に検出ができる。一般的なセキュリティソフトに比べて、動作が重くならずに、最新のマルウェアも検出するという特長がある。
インターネットに接続する端末だからこそ、UmbrellaとAMP for Endpointsの組み合わせで未知のマルウェア対策を施し、学習系、校務外部接続系のセキュリティが向上するというわけだ。
セキュリティと利便性の両立を低コストで実現
シスコシステムズでは、仮想デスクトップ環境を構築するHyperFlex、インターネットのセキュリティを守るUmbrella、デバイスのセキュリティを守るAMP for Endpointsの3つをセットにして教育機関に勧めている。この3つを導入することで、文部科学省のガイドラインで触れられている内容を概ねカバーができるからだ。
さらにUmbrellaでは、用途に応じたライセンス体系や教職員の人数に対してのみ課金し、生徒の利用は無料にするといった教育機関向けのライセンスプログラムも用意している。
「ネットワーク、セキュリティサービスで最も重要なのは、実際に快適に使えるかどうかです。動作が重くなって、校務や授業の妨げになってしまうのでは意味がありません。私たちは『セキュリティと利便性の両立を実現し、コストパフォーマンスに優れたサービスである』と自信を持っています。また、教育機関向けにUmbrellaなどの無料体験プログラムも用意していまので、まずは実際に体験し、私たちが提供する快適なネットワークを実感していただきたいと思います」(林山氏)
教育に力を注ぎ続けてきたからこそ実現できるセキュリティ
シスコシステムズは、米国スタンフォード大学内で起業したという歴史を持ち、「教育」が同社の大きなテーマのひとつであり続けてきた。1984年の創業以来、「Changing the Way We Work, Live, Play and Learn(人々の働き方・生活・娯楽・学習のあり方を変える) 」を会社のビジョンとして掲げ、製品やサービスの提供だけでなく、次世代のIT人材育成にも注力している。
その一環として、中学校や高校の STEM(科学、技術、工学、数学)教育から高等教育機関での最先端研究まで、幅広いプログラムに投資している。また、開発者コミュニティと連携し、何百ものテクノロジーやプロジェクトを促進。さらに、グローバルで展開している「Cisco Networking Academy」では、20年間で180 か国以上920 万人もの受講生を輩出している。
こうした背景からも、シスコシステムズにおける教育機関に対する想いや歴史が見てとれる。また、自社内における働き方改革にも長年注力しており、Great Place to Work®︎ Institute Japanによる『2018年度版「働きがいのある会社」ランキング』では、大規模部門で1位を獲得している。自らが試行錯誤し、働き方を改革してきたからこそ、その知見を活かし、日本の教育業界や教員の働き方改革にも貢献できるのだという。
「当社はネットワークのトップランカーであるがゆえに、“ネットワーク”の会社というイメージが強いかもしれません。しかし、創業当時から“教育”に関わるさまざまな取り組みを実施し続けています。そのため、今回の『教育情報セキュリティポリシーに関するガイドライン』に対応するための環境構築において、上流から下流まで一気通貫でサポートできる会社は私たち以外にはないと自負しています。何かお困りごとや相談ごとがありましたら、ぜひ当社へお声がけいただければと思います」(林山氏)
教育向けソリューションはこちら
教育業界の事例はこちら
Cisco HyperFlex Anywhereの詳細はこちら
Cisco Umbrellaの詳細はこちら
Cisco AMP for Endpointsの詳細はこちら
[PR]提供:シスコシステムズ