見出し画像

国の学校向けセキュリティガイドラインを無視してシステム構成を考えてみた①

稲田友

先週は、小金井市・東京学芸大学・NTT Comとの3者連携協定などもあって、通常比150%ぐらいの忙しさでした。お蔭様でその日のNHKのニュースでも取り上げられるほどの反響でした。

この連携はここからがスタート。このnoteでも状況の共有など、随時やっていきたいと思います。よろしくお願いします。

前回言い放った「校務用PCを授業で使えるようにするシステム構成」を考えてみる

で、今回は前回の記事が思ったよりも反響があったので、その続きを。

前回記事の最後に以下みたいなこと書いていますが、、、

また、私自身ができることとしては、校務用PCを授業で使えるようにするシステム構成の提案を、次回以降でしてみたいと思います。
ぶっちゃけ、文部科学省の「教育情報セキュリティポリシーに関するガイドライン」の参考資料の対策基準例に適合しない内容になりますが、2019年12月にちょこっと改訂したとはいえ、大部分が2017年の記載のままの対策基準例なんて日進月歩のセキュリティ対策のなかでは知ったことではないです(暴言)。

今読んでみると、ホント暴言ですね。すみません...。
でも折角なので、自分なりに考える校務用PCを授業で使えるようにするシステム構成を書いてみます。

まずは市場トレンドの整理

どんなシステムが良いのか、まずは要求の整理から。
要求整理はいいから結論のシステム構成プリーズ、という方はこちらをクリックしてくださいー。

最初に学校教育のシステムを設計するうえでの市場トレンドを整理箇条書きしてみます。

コロナ禍への対策&働き方改革に伴う在宅勤務の広がり
感染予防で在宅勤務広がる
教員の在宅勤務や時差出勤求める ガイドラインを改訂
東京都港区 教職員の働き方改革
デジタル教科書がパブリッククラウド配信へ移行していく
デジタル教科書の今後の在り方等に関する検討会議 中間まとめ
学習者用デジタル教科書普及推進事業
教育データの標準化と一元管理
教育データの標準化
教育データの利活用に係る論点整理(中間まとめ)
学びの保障オンライン学習システム(MEXCBT)に伴う学習eポータル構想
学びの保障オンライン学習システム
学習eポータル 標準モデル v1.0

市場トレンドをシステム設計の要求としてまとめると、以下の2つでしょうか。

・パブリッククラウドの積極活用(クラウド・バイ・デフォルト)
・データの標準化=システム間のデータ連携

学校現場とシステム管理者の課題の整理

続いて、現場の課題整理。
学校現場の課題、先生方の状況はこんな感じでしょうか。多いので図示化。

画像2

学校現場の状況・要望をまとめると以下でしょうか。

・いつでもどこでも利用可能
・軽快に動く
・ワンスオンリー(2回以上同じこと入力させんな)

そしてシステム管理者=教育委員会の方の状況・要望はこんな感じ?

画像3

システム管理者=教育委員会の要望・状況をまとめると以下でしょうか。

・コスト・管理負荷の軽減
・利便性とセキュリティの担保

おおよそこんな感じでしょうか。
システム管理者からすると「分かっているけど、実現するのはメッチャ難しい...。」というのが本音なんだと思います。そういう仕組みを考えても、内部説明するのも難しいですよね。

要求をまとめて、システム設計のポイントを整理

以上の要求をまとめてポイントを整理していみます。
市場トレンド・学校現場の課題・システム管理者の課題の3つをまとめて、そこから導かれるシステム設計のポイントを箇条書きすると以下みたいな感じでしょうか。

ポイントまとめ

今後の学校教育のシステム構成を考えるうえで、ポイントまとめとしては以下の5つとしました。

①ワンネットワーク
②フルパブリッククラウド
③クラウド型セキュリティ
④システム間相互運用
⑤端末統合

これを踏まえて、かつ国が公表している「教育情報セキュリティポリシーに関するガイドライン」を一旦は無視して(横暴)、システム構成を考えてみます。

提案するシステム構成の全体像

Tobe構成図

5つのポイントを踏まえ、できるだけシンプルに提案するシステムの概念図を書くと、こんな感じです。
ポイントは以下になります。

1. ネットワークはインターネット接続のみ(閉域網(VPN)は使わない)
⇒ 校務・学習のネットワーク分離は行わない
2. 利用システムはSaaS(パブリッククラウド)に徹底する
⇒ クラウド・バイ・デフォルトに則る
3. セキュリティ対策はクラウド側とエンドポイント(情報端末)で実施
⇒ 校内やセンタ集約されたシステムなどでは行わない
(おまけ)4. 学びの入口・集約として学習eポータルを
⇒ 折角ネットワーク分離が解消されるならデータ連携も

システムもネットワークも可能な限り集約し、セキュリティ管理や利用するソフトウェアをSaaS前提としつつ、セキュリティをクラウド側で統一ポリシーで一元化し、いつでもどこでもを実現しつつ、管理稼働とコストを軽減させるモデルです。
目的の1つであった、校務用PCを授業で使えるようにするシステム構成も叶えた内容としています。

4の学習eポータルの部分はまだこれからの部分かもですが、1~3は既存のサービスや技術で今すぐ実現可能です。
「校務環境がインターネットに接続できて良い訳ないだろ!」ってツッコミきそうですが、今のガイドラインの対策例だとNGですが、そんなの企業なら大分前から同様に機微なデータをインターネット接続可能な環境で扱っています。
ネットワーク分離も分かりやすい対策ではありますが、それは対応策として唯一解ではないのです。

考え方としては、以前記事でも書いた「ゼロトラスト」に近いでしょうか。

実際、私が所属しているNTTコミュニケーションズでは、1~3は既に導入済みです。お蔭様で機微な情報がある社内システムにも、自宅からアクセスすることができ、私も月に2回ぐらいしか出社せずで仕事ができています。

どんなシステム構成・製品を使ってやっているのかなど、興味がある方は「すべてわかるゼロトラスト大全 さらばVPN・安全テレワークの切り札」のP142-145に記載があるので、ご確認いただけたらと。
※日経クロステックさんの回し者って訳ではないですが、、私もこの本を買って読んで自社システム構成を知りました(苦笑)

画像6

画像5

本当はシステム構成の内容を書きたかったのですが、だいぶ長くなってしまったので、それぞれの対策内容の具体については、次回で補足記載したいと思います。

おわりに。GIGAスクール整備の次に向かって。

なんかシステム調達・整備者向けのニッチな内容ですみません...。ニーズあれば良いですが、、

私が最初にnoteを書いたのは、1年半前の【最速解説】教育情報セキュリティポリシーに関するガイドラインの改定でして、その記事の最後に以下のように書いていました。

まだまだ参考資料の中身を細かく見ていくと、クラウド・バイ・デフォルトに完全対応したとは言えない部分も見受けられます。ただ、GIGAスクール構想に向けて、まずは第一歩として公表したと思いますので、中の人は超頑張っているはず(それこそ死のスタンプラリーをやっているはず)...。
本当に大事なのはこのガイドラインをタイムリーに更新していくことだと思います。私も国の仕事を色々やっていますが、とくかくこれが一番困難な仕組みになっているので、そういった部分も変えていきたい。

GIGA前に急ぎ改訂したのは素晴らしいことですが、結果としてガイドラインは道半ばの状態で1年半以上そのままになっていました。
怒涛のようなGIGAの整備が終わり、学習系だけクラウド利用がなし崩しで広がり、システム全体としては整合が取れていない部分が多くなってきています(運用上の建前で整合させている自治体が多数)。

今年度からはGIGA環境の利活用がテーマになってきますが、それを支えるシステム基盤のアーキテクチャが旧来のままだと、結果として地盤がゆるゆるで先生も子供たちもしっかり腰を据え・根を下ろした活動ができません。

このままだと、今年度のシステム調達どころか、来年度のシステム調達でもアーキテクチャの刷新がなされないままになることが明白なので(自治体では早いと来年度予算を今ぐらいから策定しているので)、我慢限界になってこのような記事を書いてしまいました。なんかすみません...。

改めての記載ですが、特に校務系システムや学習系のセンタシステムの更改を検討している教育委員会の方には、是非、先を見据えたシステム構成例の1つとして本記事をお読みいただけたらと思います。
次回、各構成の詳細も書きますのでそちらも合わせてお読みいただけたらと。

去年2月に「GIGAスクールにおけるインターネット接続 ローカルブレイクアウトのススメ」を書きましたが、結果として約1年後に文部科学省も「GIGAスクール構想の実現標準仕様書 学校からのインターネット接続編」を公表してくれています。
同じように、学校の状況や市場のトレンドを踏まえ、セキュリティポリシーガイドラインも、タイムリーに更新されることを切に願っています。

そして、、、最後に言い訳を。タイトルが釣りになってしまっている件をグダグダ言い訳します。

言い訳(読み飛ばしてOKです)

本記事の最初や途中の部分で

文部科学省の「教育情報セキュリティポリシーに関するガイドライン」の参考資料の対策基準例に適合しない内容
これを踏まえて、かつ国が公表している「教育情報セキュリティポリシーに関するガイドライン」を一旦は無視して(横暴)、システム構成を考えてみます。

などと書いていますが、実はガイドラインは無視していなかったりします。

教育情報セキュリティポリシーに関するガイドライン」は、全部で163ページあるように見えますが、本文は最初の18ページだけです。
19ページ目以降の「情報セキュリティ対策基準 の例」はあくまで参考資料で、遵守すべきは18ページまでです。

目次前の序文でも以下の記載があります。

平成29年10月版「教育情報セキュリティポリシーに関するガイドライン」は、確実に教職員の情報セキュリティに関する意識を高める効果をもたらしているが、一方でガイドライン記載の具体的な対策例を一言一句遵守することが目的化してしまったため、昨今の急速な技術的進展(クラウド活用等)に対応できず、その結果、教育情報の活用に硬直性が生じるという弊害が各地で生じている。
本来セキュリティは教育関係者が遵守すべき基本理念をしっかりと共有したうえで、各教育委員会がそれぞれの状況(費用、活用状況や環境整備状況)に応じて最新技術を随時取り入れながら適切なセキュリティを独自に確保すべきものである。
このため、本書の構成を見直し、本書の目的や基本理念を記載した従来の第1章を本文とし、基本理念に基づいて、教育委員会が学校の特徴を踏まえて対策基準を検討・策定する際の考え方について記載した従来の第2章を、「参考資料」という位置付けとした

なので、実はガイドラインを無視して書いた訳ではありません。
タイトルが釣りになってしまい、すみません。
でも、その意味では「ガイドライン違反」ではないとも言えますので、それはそれでご安心いただけたらと...。(言い訳)

グダグダとした言い訳も書きましたので、今回はこの辺で。
次回は今回提案したシステム構成のポイントを補足説明するようにします。是非、本記事と合わせてお読みいただけたらと。

ではまたー。

この記事が気に入ったらサポートをしてみませんか?