2020年度、日本全国の教育委員会ではGIGAスクール構想に基づき、一人1台の端末整備および全生徒が快適にインターネット環境を用いて学習できる広帯域なネットワークインフラ整備が求められています。また、現在の日本では緊急事態宣言は解除されたものの、新型コロナウィルスの影響により小中高校および大学は長期間の休校を余儀なくされており、今後の学習環境において自宅学習にも対応可能なインフラ整備が急務となっています。
これらの要件を検討する上で大きな課題としては下記があると考えています。
- 必要なネットワーク帯域を実現するためのネットワーク構成に関する懸念
GIGAスクール構想のガイドラインにおいて、必要帯域としてYoutube動画の2.5Mbpsがあり、多くの設計において、2.5Mbps×生徒数が必要な最大帯域として検討されているケースが多いです。しかし、多くの教育委員会では数万人程度の生徒がいるため、全体の必要帯域は数十Gbpsとなります。
【構成例】35人/クラス、2クラス/学年の小学校が50校ある場合、ピークで52.5Gbpsとなります。
計算式:35人/クラス x 2クラス/学年 x 6学年 x 50校 x 2.5 Mbps = 52.5Gbps
このピーク時のトラフィックに対応できるデータセンターの構築は費用面や設備面、回線確保などで非常に困難です。そのため、「学校個別接続型」という各学校から直接インターネットアクセスさせる構成方法もガイドラインには記載されています。学校個別接続にした場合、回線帯域としてのボトルネックの懸念は下がりますが、セキュリティ対策と有害コンテンツフィルター対策の設備を各学校に配置する必要となり、運用やコスト面で負担が増加します。
- セキュリティ対策および有害コンテンツフィルタ対策/Youtube動画アクセス制御
「センター集約型」の場合には、データセンターに必要なセキュリティ対策や有害コンテンツフィルターの設備を導入すれば比較的容易です。しかし、「学校個別接続型」の場合、各学校に配置する設備が増えるため、設計や管理が煩雑になります。また、多くの教育委員会でのニーズとして、Youtube動画のコンテンツ単位でのアクセス制御があります。これを実現するにはSSL復号機能が必須となり、それらを十分に処理できる機器は高価になり各学校に配置するには費用面でも厳しくなります。
- 学校が提供する端末の自宅でのアクセス制御
自宅に持ち帰った端末で児童が学習とは関係のないYoutube動画や様々な遊びコンテンツをアクセスすることを保護者は望んでおらず、持ち帰った端末には有害コンテンツフィルター含め厳しいアクセス制限が求められるケースが多いです。アプリケーションのインストールなどはMDMなどで可能ですが、アクセス制御まではできません。何らかの仕組みでアクセス制御が必要です。
尚、BYODの自宅学習の利用の場合、インターネットの利用に関しては各家庭環境に依存しますし、BYODの端末にアクセス制御されることを望まない生徒や家庭も多いと考えられるので、BYODの端末については検討についての必要性は低いと考えられます。
上記の複数の課題を解決するためのGIGAスクール構想を実現するためのパロアルトネットワークスのソリューションとしては、以下の2通りあります。
提案構成1.学校個別接続+ポリシーベース制御+自宅学習用VPN接続構成案
ご提案構成の特徴およびメリット
- データセンターにPA-5200シリーズおよび統合管理サーバーPanorama、各学校にPA-220もしくはPA-800シリーズを配置
- PA-5200シリーズでは、セキュリティ対策(IPS/アンチウィルス/アンチスパイウェア)、有害コンテンツフィルターとしてURLフィルタリング、NAT処理、ルーティングおよび回線負荷分散機能を集約。さらに、PA-5200シリーズのGlobalprotect機能にて、自宅学習時のVPN接続装置としても利用し、学校でも自宅でも同等のネットワーク環境を提供
- 各学校のPAシリーズでは、インターネット接続用ルータ、NAT処理、DHCPサーバー機能および学習用の特定のサイトへのアクセスのみ直接インターネットへポリシーベースフォワーディングを実施
- Panoramaにて、PA-5200シリーズおよび各学校のPAシリーズのポリシーの一元管理およびログ管理
PAシリーズ機種選定について
接続する端末台数(=生徒数)、スループット、セッション数、VPN同時接続数にて適切なモデルをご選定ください。セッション数の目安としては100セッション/端末程度を推奨いたします。また、自宅学習でGlobalprotectのAlwaysON機能を有効にしている場合、端末がインターネットへ接続されれば、生徒がインターネットの利用しなくても自動的にVPN接続されますので、生徒数がVPN同時接続数となるとお考え下さい。尚、学校数や生徒数が少ない、もしくはインターネット利用する授業を少なく想定し、ピーク時のトラフィックが10Gbps以下程度で設計する場合には、シンプルに「センター集約」型での構築をお勧めします。
尚、VPN接続のためのGlobalprotectのエージェントは、Windows OS、MacOS、Apple iOS、Android、ChromeOS、Linuxに対応しており、全OSにてクライアント証明書によるAlwaysONの自動VPN接続が可能です。また、生徒がVPNを切断できないモードも提供されています。
提案構成2. PrismaAccessの利用によるフルクラウド型構成案
PrismaAccessとは、パロアルトネットワーク社が提供するインターネット上のSecure Access Secure Edge(SASE)サービスです。クラウド型で次世代ファイアウォールの提供する各種セキュリティ機能を提供し、PrismaAccess経由で閉域アクセスおよびインターネットアクセスが可能です。PrismaAccessへはデータセンターや拠点からのIPsecVPN接続、端末からはIPsecおよびSSL-VPNによる接続が可能です。
PrismaAccessを活用したGIGAスクール構想のネットワーク設計は下記のように非常にシンプルになります。
ご提案構成の特徴およびメリット
- フルクラウド型のGIGAスクール構想の実現。オンプレミスでのセキュリティアプライアンスの導入なし!
- データセンターはインターネット回線およびIPsecVPN接続設備のみ必要。各学校はインターネットアクセスできる環境のみ
- 学校でも自宅でも同様のセキュリティ対応および有害サイトへのアクセス制御を実現
- 端末にはGlobalprotectエージェントをインストールしAlwaysONで自動的にVPN接続
- PanoramaにてPrismaAccessのポリシー制御およびログ管理可能
- 学習系トラフィックはデータセンターを経由しないため、全体のトラフィック量のピークを設計上考慮する必要なし
- PrismaAccessのサービスインフラはオートスケールにて、通信量が増加した場合には自動的にリソースが増加
既にお気づきになられた方もおられると思いますが、提案構成1と2で提供されるセキュリティ機能や自宅学習時のVPN機能、さらに生徒の端末操作は全く同じです。オンプレミスでインフラ設備を構築するか、クラウドサービスを利用するかの違いになります。
オンプレミスの提案構成1の場合、データセンターに広帯域なインターネット回線が必要があり、また冗長構成やハードウェア導入や保守コストが発生しますので、提案構成1と2でトータルコストで比較検討していただければと思います。
最後に
パロアルトネットワークス次世代ファイアウォールは、全国の自治体情報セキュリティクラウドにて非常に多く採用されており、また、国立情報学研究所(NII)にてSINET5のトラフィック監視にも採用されており、非常に多くの国内での安定稼働実績があります。従いまして、充実したセキュリティ機能や安定性、そして国内のサポート面は充実しており、安心してご導入いただけます。是非ご検討ください。