ガイドラインが示すネットワーク分離対策を振り返る
はじめに、「教育情報セキュリティポリシーに関するガイドライン」が示すネットワーク分離対策について簡単におさらいします。ガイドラインでは「境界防御型」の対策として、児童・生徒の成績情報や生徒指導関連情報等の個人情報などを含む、重要性が高い情報を扱う「校務系ネットワーク」と、インターネットに接続できる「学習系ネットワーク」を明確に切り離すこととされています。
教育現場ではGIGAスクール構想によって児童生徒の1人1台端末導入や持ち帰り学習が進みました。こうしたICT環境の整備が進む中、学校が保有する重要度が高い情報への児童生徒の不正アクセスや、標的型攻撃、および不特定多数を対象とした攻撃などによる脅威への対応が必要になっています。これらの脅威に対するセキュリティ対策として、「校務系・学習系の論理的または物理的な分離」もしくは「アクセス権管理の徹底」が必要であるとされています。
実際の学校現場のネットワーク構成は?
では、実際の学校現場ではどのようなネットワーク構成で運用されているのでしょうか。文部科学省が実施した「校務の情報化に関する調査」によると、校務系、学習系の2層分離を実施している学校が全体の70%以上を占め、最も多いことが分かります。分離していない学校はわずか1.7%で、構成に違いはありますがほとんどの学校が分離環境で運用しています。
出典:文部科学省初等中等教育局 学校デジタル化プロジェクトチーム 校務の情報化に関する調査結果(令和4年9月時点)
「校務用端末と教務用端末を使い分けているか」という質問に対しては、全体の80%以上が端末を使い分けていると回答しており、やはり実際の学校現場では教職員が複数台の端末を使わざるを得ない状況であることが分かります。
出典:文部科学省初等中等教育局 学校デジタル化プロジェクトチーム 校務の情報化に関する調査結果(令和4年9月時点)
ネットワーク分離環境の課題とは?
これまで述べたように、学校現場では校務系と学習系にネットワークが分離され、教職員はそれぞれのネットワークで端末を使い分けて運用している状況です。物理的に環境を分離している場合には、ハードウェアや運用管理費用などでコスト負荷がかかってしまいます。また、端末の使い分けは利便性が悪く、業務に支障をきたすケースがありますし、持ち運びの負担も大きくなります。実際、文部科学省では校務用端末と教務用端末の一本化を推奨しています。さらに、分離環境は運用が複雑になったり、ネットワーク間のデータやりとりが困難になったりすることも問題です。これらを解決することは、教職員の作業負荷の軽減や運用コスト削減につながります。
1台の端末で校務系・学習系ネットワークの利用を実現
ALSIの簡易インターネット分離ソリューション「InterSafe SecureSwitch」は、1台の端末で2つのネットワーク利用を安全に実現し、教育現場の課題を解決します。
InterSafe SecureSwitchは、1台の端末の中に、接続できるネットワークが異なるデスクトップをそれぞれ用意し、用途に応じて切り替えて利用するソリューションです。例えば、成績情報の管理など重要情報を扱う際は校務用デスクトップ、児童・生徒とクラウドでのファイル共有やオンライン授業を行う際は学習用デスクトップ、というように用途を分けてお使いになれます。
VDIや物理分離によるネットワーク分離は、導入費用に加えてWindows OSや仮想化ソフト、ハードウェア費用が必要ですが、InterSafe SecureSwitchは導入費用とライセンス費用のみで導入いただけるため、大幅にコストを削減します。
さらに、情報を守るための仕組みが標準で準備されている点も特長です。
1.ローカルドライブ保存抑止機能
デスクトップ毎にローカルドライブへの保存を制御する機能です。例えば、個人情報のような重要性の高い情報を扱う校務用デスクトップでは、ローカルドライブへの保存を禁止し、パソコン本体にデータを残さない設定をすることで、端末紛失時の影響を最小限に抑えます。
2.外部デバイス利用制御機能
デスクトップ毎に外部デバイスの利用を制御する機能です。例えば、校務用デスクトップでは外部デバイスの利用を一切禁止することで、USBメモリの紛失・盗難による情報漏洩を防ぎます。
3.許可プロセスの指定
デスクトップモードごとに起動できるプロセスを指定する機能です。Microsoft Officeやブラウザのみ利用を許可したり、ホワイトリストに登録したりすることができます。
簡単かつ安全な校務系・学習系間のデータ転送を実現
InterSafe SecureSwitchでローカルドライブ保存抑止機能や外部デバイス制御機能を利用している場合、校務用デスクトップと学習用デスクトップ間では直接データのやり取りはできません。そこで、ファイル転送ソリューションの「InterSafe FileTransporter」を連携させることで安全にファイルを受け渡しできます。
受け渡しの操作はブラウザにファイルをアップロード、ダウンロードするだけです。申請承認やファイル無害化、個人情報チェック、ログ管理など、セキュリティ対策も万全です。オプション機能で、フォルダのみを利用してファイルを転送できる機能もご用意しておりますので、PCの操作に不慣れな教職員でも簡単に利用いただけます。
なお、この2つの製品は同一サーバーで稼働するため、ユーザーを一元管理できるだけでなく、ハードウェア費用も抑制します。
実際の学校現場では、学習用クラウドサービスを使用してデータ連携を行うケースが多いとのお話をよく伺いますが、証跡が取れず漏洩のリスクがある事から、弊社としてはセキュアなデータ連携製品の導入をお勧めしています。