2021年の学校×ICTでのバズワード？知っておきたい"ゼロトラスト"

今日はこれ書いたら出かけます。Go To Travel！
といっても、都内のホテルに泊まるだけ。遠距離はまだ抑えてます。
観光業は本当に大変、特に都内のホテルは10月から対象になっているので余計に厳しいのではと思って、応援を兼ねて。
COVID-19(って書くと意識高い感じになる)の感染対策はしっかりしながら。

ウイルスへの感染対策というと、学校×ICTだとセキュリティ対策ですかね(無理やり)。前回の最後に「ゼロトラストのこととか書きたいな」と書いていたので、そのことを書いてみます。

GIGAスクールの予算は学校内の環境整備。学校の外のネットワークやシステムはどうか？

今はGIGAスクールの環境整備の真っ盛り。
これからどんどん情報端末が入ってくるので、学校現場も事業者もかなり大変になってくるのでは。

これ読んでいる人には釈迦に説法ですが、情報端末だけでなくネットワークやクラウド、人的支援など、配備後の活用を考えていくとトータルでのシステム設計がとても大事になってきます。

以前「学校外のネットワークをしっかり考えないと情報端末が使い物にならなくなるかも」ということでローカルブレイクアウトの記事を書き、なかなかのアクセスでした。（残念ながら渾身のネタだった"GIGAブレイク"は全く流行りませんでしたが、、、）

半年前の記事なのですが、先月くらいからまたアクセス数が伸びています。GIGAスクールの補助金は、情報端末と校内LANの環境整備向けだったので、来年度予算で学校の外のネットワークやシステムを更新しようとしている自治体の方も多いのからかな、と思っています。

GIGAスクールではクラウド前提、新型コロナのこともあって持ち帰りでの自宅学習も前提になってきています。そうなるといつでもどこでもを前提としたシステムの設計・セキュリティ対策が必要になってきます。

これから書く"ゼロトラスト"は、いつでもどこでも安心・安全にシステムを利用するために考えられた方式です。まだ学校教育の分野では馴染んでいない言葉だと思いますが、いずれは「これ一択でしょ！」という状況になりそうな代物です。
なので今後、システムを更新していく自治体の担当者の方には知ってもらいたいと思っています。

今のセキュリティ対策は"水際対策"

ゼロトラストの前に、まずは現行のセキュリティ対策のことを。
従来のセキュリティ対策のベースは"水際対策"です。
ウイルスは外から入ってくる、ヤバいことする奴も外からくる、なので自分たちの領域の外縁に境界を定め、外部からの侵入を防御します。いわゆる境界防御です。

文部科学省が示している「教育情報セキュリティポリシーに関するガイドライン」もまさにこの方式が採用されていて、校務系システムと学習系システムの物理または論理的に分離し境界防御することが必須要件とされています。

新型コロナで言えば、海外からの渡航者を制限したり、入国時の空港での検査をしっかりやるような対策です。

「帰国者からクラスター」厳戒を　都市部の対策重要に（写真＝共同）

ただ、入国時に検査し陰性だったとしても、偽陰性で後に発症することもあります。14日間の待機宿泊についても、外部との接触がゼロになるほどの行動制限は課すことはできず、感染拡大の可能性はあります(行動制限した方が良いと思っていません。悪しからず)。
境界のなかに入ってしまうと信用(トラスト)してしまい、色んなところに行けてしまう。それによって感染が拡大するかもしれず、場合によってそこを狙う悪い人がいるかもしれない。

これが情報システムだともっと難しい。
ましてや、GIGAスクールでクラウド利用が解放されつつある状態なので、学校×ICTでは鎖国をやめて開国したような状態です。
自宅からのアクセスも推奨するし、私有PCからも学習できるようにする可能性もあるし、情報資産がクラウドにあがっていく。

境界がどんどん曖昧になってくる。

いつでもどこでも学べる環境、という意味ではGIGA = Global and Innovation Gateway for Allの方向性とは合致していて良いことなんだけど、こうなってくると境界防御は機能しなくなる。
そこで出てきた考え方が"何も信用しない＝ゼロトラスト"です。

"内部は信用"をやめる。疑り深いゼロトラスト。

あらゆる場所から色んな人が情報資産にアクセスするようになり、境界があいまいになる。そうすると境目を防御する方式では限界がきます。
そういった現実を踏まえ、曖昧化する境界で防御する方式を捨て、情報資産へのアクセスは誰であろうと信用せず、アクセスするたびに検証を行っていくのがゼロトラストのモデルです。

図示化するとこんな感じでしょうか。

左図が従来型の境界防御モデルで、右図がゼロトラストのモデルです。

左図では内部(校内であったり閉域網の中だったりでしょうか)と外部で境界が分かれていて、そこに門番がいて外部からの通信を確認しています。一方で内部の人については信用しているので原則、情報資産にアクセスができます。

右図は内部と外部の境がなく、情報資産のある場所も校内や閉域網(VPN)の中とは限りません。そのうえで、中の人であろうと外部の人であろうと信用せず(ゼロトラスト)、誰であろと情報資産にアクセスする場合はその都度アクセス元を確認し、許可か不許可を判断します。
アクセス元の確認は、IDによる"誰か"の特定だけではなく、アクセスしてきている場所(例えば校内か自宅などの校外か)、時間、学校が支給している端末か私有端末か、ウイルス対策等が更新されているか、不審なふるまいをしていないか(人には難しい短時間での膨大なアクセス等)、などなどがあります。
情報資産の重要度とアクセス者の状況に応じて、二要素や二段階の認証(例えば生体認証やスマホやUSBキーなどを用いた認証)＝リスクベース認証をかけることも考えられます。

無理やり新型コロナで例えると・・・

ゼロトラストを新型コロナをベースに考えると・・・

たとえ家族であろうと2メートル以内に近づくときは検温をしてから、場合によってPCR検査を受けてから話をする

という感じでしょうか。
実際はそんなことできず、マスクをつけつつ店内や会社に入る前にアルコール消毒、マスクを外すような飲食店では入り口で検温、ぐらいが社会活動していくうえで限界ですよね。

でも、情報システムの世界では検温やPCR検査は一瞬で可能です。
ましては、この"with COVID-19"の新しい生活様式では、あらゆる場所から、色んな人が協働的に学び・働くことを前提にしないといけなくなります。
そうなってくると、境界防御のモデルでは難しく、ゼロトラストの設計思想でシステムを組み直す必要があるのです。

教育情報セキュリティポリシーガイドラインも改訂が必須

そうなると、文部科学省が示している「教育情報セキュリティポリシーに関するガイドライン」も今のままでは対応できず、更新が必須です。
既に政府はデジタル庁の背景もあり、ゼロトラストをベースにセキュリティのあり方を組み直しの検討に入っています。

政府、サイバーセキュリティ対策に「ゼロトラスト」導入へ

上記はデジタル庁が設置される来年度に向けて急ピッチで進むはずです。
そこに呼応し、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改訂、そして文科省「教育情報セキュリティポリシーに関するガイドライン」改訂と続くことはまず規定路線だと思います。

課題は多いが「いつでも・どこでも」は学びの改革・働き方改革の必須要件

まずは概念説明を、ということでざっくりとした説明のみになってしまいました。

狭義にはゼロトラストは認可の仕組みのような気もしますが、既に一般的には認証・認可やエンドポイントのセキュリティまで含めた「ゼロトラストモデル」とも言われており、ここでは広義意味でのゼロトラストを書かせてもらいました。
詳細を知りたい方は、Googleが開示しているBeyondCorpのページとかどうでしょうか。Googleが社員の働き方を考えて、VPNを利用せず社内システムを使えるように8年かけてゼロトラストを実証したプロジェクトです。

BeyondCorp - 企業セキュリティ  |  Google Cloud

この動画だと具体的な設定画面とか見えるので、システム管理者の方はイメージが湧くかも(私は自動翻訳・日本語設定が必須です(汗))。

ゼロトラストは、まだ新しいモデルのためノウハウ的に実装可能な事業者が限られていることや、クラウドでアプリケーションを提供するサービス(SaaS)側でも細かな認可の設定が必要になることなど、導入は課題もあります。

ただ「セキュリティがガチガチで使い辛い」という声はどの学校でも聞こえてきます。GIGAで開国した後、その声は量も切迫度もこれまでとは比較にならないほど大きくなることが想像できます。

子供たちの学びが学校に閉じず、校外でも家庭でも切れ目なく学べるようにしていくことは私たちの責務で、一方で先生方の働き方の自由度を高めることも同じくらい重要なことです。

根底にあるのは「いつでも・どこでも」のICT環境で、その実現にはゼロトラストは必須の設計思想・実現方式になってくるはずです。
まずはこういう考え・方式があることを知っていただけたらと思います。

おわりに

今回はだいぶニッチな話になってしまいました。
初めて聞く人はこの記事に辿り着かなそうか気がするし、詳しく知りたい人からすると「じゃあ、どうやって導入するのか」の実装例が知りたくなりそうですし、果たしてこの内容でニーズがあるのか、、
でも、まずは概念を伝えらればと思っています。

既に私自身が関わっているところで、ゼロトラストの導入に向けて動いている教育委員会もあったりしていますので、ゼロトラストのニーズがあるなら、いずれセミナーとかもやってみたいと思います。

次は、GIGAスクールでの保護者との対応のことや、ICT支援員のこととか書いてみたいですね。
ではまたー。