- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
2022年3月に教育情報セキュリティポリシーに関するガイドラインが改定され、「ネットワーク分離による対策」だけではなく「アクセス制御による対策」が追記されました。この改定により、セキュリティレベルを下げず、現場の利便性を高める校務システムの導入が可能となったといえると思います。また、文部科学省としても将来的にも「アクセス制御による対策」への移行を推奨しているようです。
改定前の教育情報セキュリティポリシーに関するガイドラインでは、当初は教員が利用するネットワークは「校務系」と「校務外部接続系」のネットワーク分離することを求めており、そのため、端末も物理もしくは仮想での校務専用端末が必要でした。物理の校務専用端末の場合、職員室のみで利用可能とする教育委員会様も少なくないようです。職員室でしか校務システムが利用できないことで、生徒の出欠管理など日常的な業務の教員の方の負担が増えてしまう点が懸念点でした。また、端末1台で利用するために仮想デスクトップを導入しているケースもあるようですが、この場合は利便性は上がりますが、仮想デスクトップのコストがかかってしまうという懸念点があります。
「アクセス制御による対策」で求められる要件としては「アクセス制御を徹底する」必要があります。この要件は、まさに昨今IT業界で言われいる「ゼロトラスト」の考え方であり、今回のガイドラインの改定は校務系ネットワークに対すて「ゼロトラスト」を要求されているとも理解できます。
では、教育情報ネットワークにおいて利便性の良い「ゼロトラスト」を実現するにはどうすればいいでしょうか?
その答えがパロアルトネットワークス社が提供するPrisma Accessと言っても過言ではないでしょう。
以下にPrisma Accessを教育情報ネットワークに導入する時の典型的な概略図を2つ示します。
【図1】導入方法①各学校はリモートネットワーク接続、テレワーク用にモバイルユーザ接続
【図2】導入方法②学校内およびテレワークのどちらもモバイルユーザ接続
Prisma Accessではゼロトラストを実現するためのトラフィックの可視化、脅威防御、アンチウィルス、URLフィルタリング、DNSセキュリティ機能やその他様々なセキュリティ機能がクラウド上で提供されます。SSL復号機能も利用可能ですので、SSL通信が9割を超える昨今のインターネットトラフィックに対しても検査することが可能です。
導入方法については2通りありますが、導入方法②の方がライセンス的に安価に導入でき、各学校にIPsecトンネル接続用の機器も不要です。また、現状まだテレワークを実施していない教育委員会様でも、導入方法②であれば、追加コストなくテレワーク環境としても利用可能で、校務用のノートPCを自宅に持ち帰り、インターネット接続すれば何の操作もすることなくVPN接続(AlwaysON機能利用時、後述します)され学校と同等のネットワークと校務システムへのアクセスが可能です。
さらなる懸念事項として、今後クラウドサービス上の校務支援システムを利用する場合、クラウドサービスにアクセス権限を持つ教職員が、個人所有端末で自宅のインターネットからもアクセスできてしまうため、クラウドサービスの導入に対して懸念を感じているケースがあると聞きます。Prisma Accessでは、利用していただく各ユーザに対して固有のグローバルIPアドレスを割り当てますので、送信元IPアドレス制限ができるクラウドサービスと組み合わせることで、図3で示しているようにアクセス制御でき、その懸念を排除することができます。
【図3】Prisma Access経由でのみM365等のクラウドサービス利用可能
改定されたガイドラインに基づき利便性の高い校務ネットワークを構築を今後検討される場合、多くのメーカーのネットワーク機器やセキュリティ製品を組み合わせるのではなく、Prisma Accessにて必要な機能要件をまとめて実現できます。また、Prisma Accessはフルクラウド型のサービスですので、ハードウェアの導入は不要で導入やメンテナンス負担も非常に少ないです。
その他、Prisma Accessを利用するとき、端末にGlobalProtectというVPN接続するためのエージェントソフトウェアのインストールが必要になりますが、このGlobalProtectエージェントにも利便性を高める豊富な以下の機能があります。
- VPN接続を自動的に行うAlwaysON機能
- ActiveDirectory環境にて、Windowsログオン前にVPN接続を行うPreLogon機能(AlwaysON機能のオプション機能)
- Windowsシングルサインオン機能
- IPアドレスおよびDNSドメイン単位でのスプリットトンネル機能
(DNSドメイン単位はWindowsおよびMacOSのみ対応) - 端末のWindowsアップデートやWindowsファイアウォールなどの状態に対する検疫(Host Information Profile:HIP)機能
- VPN接続せずにネットワーク利用を防止する機能(Enforcement機能)
- VPN接続時の各種多要素認証に対応
今後、校務系ネットワークを検討される場合には、是非Prisma Accessもご検討いただければと思います。
