【対談】ネットワーク分離からクラウド環境へ

教育情報セキュリティポリシーに関するガイドラインが2022年3月に一部改訂され、今後目指すべきネットワーク構築の仕組みとして、クラウドを想定した「アクセス制御による対策」の詳細が追記された。これまで各教育委員会が取り組んできた「ネットワーク分離」とはアプローチが異なる構成だ。「ネットワーク分離」を否定してはいない、しかし「アクセス制御による対策」を推奨するという、相反する2つのモデルを提示されている過渡期において、何を優先して配備計画を考えれば良いのか。文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」で座長を務めた髙橋邦夫氏(KUコンサルティング代表社員)と、ゼロトラスト環境のセキュリティ製品を提案しているテクマトリックス株式会社ネットワークセキュリティ事業部の塩見雅和氏・同吉澤崇氏が対談した。

【対談】ネットワーク分離からクラウド環境へ:文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」で座長を務めた髙橋邦夫氏(KUコンサルティング代表社員)、ゼロトラスト環境のセキュリティ製品を提案しているテクマトリックス株式会社ネットワークセキュリティ事業部の塩見雅和・同吉澤崇

アクセス制御による対策は現状の構成でできることから

「ゼロトラスト」環境は長期計画で進める

教育情報セキュリティポリシーに関するガイドライン(以下、ガイドライン)が2022年3月に一部改訂されました。そのポイントと経緯を教えてください

髙橋邦夫氏 教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会 座長 髙橋
2022年3月の一部改訂は、2021年5月のガイドラインの改訂内容を補足するものです。

その理由は、21年の改訂で「アクセス制御による対策」を新たに追加したところ、これについての反響が大きかったためです。最も多かったのが「ネットワーク分離によるセキュリティ対策とアクセス制御によるセキュリティ対策の違いがわからない」というもの。中には「ネットワーク分離をしていればアクセス制御になるのか」という突拍子もない質問も届き、きちんと整理する必要がある、ということになり、すぐに準備を進めました。

今回の一部改訂では、ネットワーク分離とアクセス制御による対策それぞれを実現するために、何が必要なのかを明確にしました。さらにアクセス制御を実現する具体的な対策として、校務端末に必要な生体等による多要素認証の技術的対策も追加しています。

さかのぼると、当初のガイドラインは総務省のガイドラインに多くを倣い「安全性」を最重視しており、学校での使い勝手の点で問題が生じました。そこで教育現場の利便性を確保するために文部科学省としては、早期に「どこからでも安全に接続できる環境」すなわち「クラウドバイデフォルト」を実現したいと考えた。「クラウドバイデフォルト」のためには「アクセス制御によるセキュリティ対策」に移行する必要があります。一般に、ゼロトラストネットワークと呼ばれるものです。しかしこれは、これまで推奨してきたネットワーク分離による対策とはアプローチと構成が大きく異なり、すぐに構築できるものではありません。そこで2つの方法を併記することとしました。

塩見
米国には「ゼロトラストジャーニー」という言葉があります。ゼロトラストネットワークを実現するためには長い時間が必要であるという意味です。世界最大の先進的なIT企業でも8年かかったと聞いています。

吉澤
ゼロトラストのガイダンスであるNISTの7つの基本原則公開以前に、同様の仕組みを実現する「AppgateSDP」を知り、これはネットワーク分離よりも理にかなっており、日本においても役に立つと考えて2018年から提案を始めました。当時は、ネットワーク分離や境界型防御が主流であり、ゼロトラストによるメリットを感じて頂けませんでした。しかしコロナ禍もあり、2020年から日本も含めて世の中の流れが一気に変わったと感じています。

髙橋
コロナ禍、働き方の多様化が一気に進み、会社内でのみ情報にアクセスできる、という方法では仕事を進めることができなくなりました。自宅などからも安全に情報にアクセスできる仕組みが求められ、クラウドバイデフォルトを推進せざるを得なくなりました。これは学校にとっても望ましい変化です。感染症や長期入院など様々な理由で学校に登校できなくなっても学校の情報にアクセスでき、仲間や教員とやりとりできる仕組みにつながります。クラウドバイデフォルトとは「クラウドファースト」であり、クラウドを選択肢の最優先とするという意味で、「オールクラウド」とは異なります。

目標とするネットワークを視野に入れながら、現状の構成で、できることから着手していく、というスタンスを想定しており、様々な製品からアプローチのヒントを頂きたいと考えています。

塩見雅和 テクマトリックス株式会社 ネットワークセキュリティ事業部シニアエンジニア 塩見
学校や教育委員会のデータの一部がクラウド、一部がオンプレミス等、分散する形であってもアクセス制御を実現する仕組み「AppgateSDP」は、既存の環境と連携しやすい点が特徴で、ニーズによりエンドポイント製品やプロキシサーバ等、既に導入している製品と連携することで投資を抑えながらゼロトラスト環境に一歩ずつ進めることができます。

吉澤
ネットワーク分離の環境やプライベートネットワーク環境であっても、この仕組みは有効です。

ネットワーク分離の場合はどの端末から接続したのか、という点が信頼の理由になりますが、そのネットワークに入った人の故意や悪意、ミスによる漏洩の可能性があり、入り口対策では防げない危険が内部にもあります。AppgateSDPは、内部の危険も防止することができます。

髙橋
例えばMicrosoft365 EducationではA5契約であればゼロトラスト対応が可能であるといわれています。しかしセキュリティを最新の状態に保つためはMicrosoftとの接続が常にとれていることが前提です。例えば、ネットワーク負荷の関係でOSのアップデートをキャッシュサーバに蓄積して定期的に行っている教育委員会の場合、その「定期的な頻度」が課題になる可能性があります。

プライベートネットワーク環境でも効果を発揮する点が御社製品の強みですね。

吉澤
はい、ゼロトラストとは概念のため、各社の考えによって実現できる範囲が違います。セキュリティの業界は日進月歩で進化しており、今利用している製品も5年後、優れているかはわかりません。Appgate SDPはアクセスのプラットフォームですので、その時に利用したいセキュリティ製品や優れている製品に入れ替えてゼロトラストを実現できる点が利点です。また、端末への不正な攻撃の保護や環境や連携対象を問わない点、リアルタイムのアクセス制御を実現する点など、他にゼロトラストをうたう製品では対応できない機能も多く有しています。特に、EDR製品やAV製品、SWGやFWなど、RestAPIやJavaScriptなどの豊富な連携の仕組みにより、相手方製品に連携の仕組みがあれば、ベンダーや製品を制限しない連携を実現できまので、コストを抑えることができます。兼ねてより皆様が考えていた「マルチエンジン」による多層での検知により、セキュリティを高めることができます。

「ゼロトラスト」「アクセス制御」とは

そもそもゼロトラストネットワークやアクセス制御とは何ですか

髙橋
かつてはファイヤウォールによるセキュリティが中心でした。守らなければならない情報は壁の内側に入れて脅威から守る、というものです。ネットワーク分離もその1つの形です。

端末がほぼ「固定」で使用されていた時代はIPアドレスの認証で信頼性を確保できましたが、端末がほぼモバイルになった今、セキュリティの仕組みも変わらざるを得ません。様々なセキュリティ製品を入れたとしても、そこで終わりにはならず、さらに新たな脅威や心配が生まれ、新たな仕組みを追加で入れる、ということが起こっていました。これでは仕組みが複雑になり、コストもかかります。各ソフトのアップデートでネットワークも逼迫していきます。この仕組みをリセットする必要があります。

そこで生まれたのがゼロトラストネットワークという考え方です。

ゼロトラストとは「すべてのアクセスを信頼しない」「許可された人だけがアクセスできる」ことを意味します。

そのため、その通信が信頼に値するかどうかを様々な方法で検証する「認証」の仕組みが必要になります。それが「アクセス制御」です。

吉澤 崇 テクマトリックス株式会社 ネットワークセキュリティ事業部セキュリティプロダクツ 主任 吉澤
ゼロトラスネットネットワークでは、論理的なユーザ情報、物理的な端末情報、時間などの環境情報等を利用し、多岐にわたる情報を用いて認証及び認可を実現します。

例えばAppgate SDPの仕組みでは、アクセス時間や場所、使用端末の状態、起動しているアプリの状態(状態確認は5分毎)を把握し、状態に変化が生じた場合は、その都度、アクセス制御のルールを見直します。これにより、許可されていない場所や時間、異常な状態の端末からサーバへのアクセスを防ぐことができます。

対象はPCやスマートフォン等の他、複合機やWebカメラなどのIoT機器などの制御も可能です。複合機はスキャンデータをファイルサーバに保存することがあり、この通信を保護します。サーバを保護することで、サーバ間通信の保護はもちろん、サーバを踏み台にした攻撃も防ぐことが可能になります。

髙橋
ゼロトラスト環境の構築により、セキュリティだけではなく、教員の働き方や健康管理などもできる可能性がありますね。

塩見
持ち出した端末の状態を把握し、自宅からインターネットに接続するときは本製品のゲートウェイ経由とすることで危険なサイトにいかないようにする設定もできます。何時から何時まではデータにアクセスできないという設定も可能です。

髙橋
まずは大前提を設定し、例外について認める際は学校長に許可を得るというのが現状の一般的な流れです。それをシステム的に進めることができるのではないでしょうか。メールやチャットで連絡を取って許可を得ることで、普段はデータに触れない時間や権限のない教員がアクセスできるようにする、ということはできそうです。柔軟性は重要です。

段階的な構築に向けて最初は資産の洗い出し

段階的にゼロトラストネットワークを構築することは可能であるということはわかりましだ。そのためには今、どのような準備が必要ですか

髙橋
最も重要なことが、資産の洗い出しです。

どんな機器やシステムを使っているのか、サーバはどこにあるのか、PCは何台あり誰が使っているのか、それぞれにどこまでアクセス権が必要か、等です。それがないと、ルールブックを作ることができず、ゼロトラスト環境を構築できません。

それを誰がするのか。これは予算確保だけでは解決できない問題です。2021年度補正及び2022年度予算に「GIGAスクール構想運営支援センター」構築事業があります。これは主にネットワークの運営やトラブル対応、保守管理が中心となっていますが、資産管理の担当についても明確に位置づける必要があります。資産管理については、製品を入れるだけでは運用できない、ポリシーの洗い出しに時間がかかりなかなかスタートできないという問題が現在も起こっています。

吉澤
何をどこまで保護するのかを決めるのは教育委員会など設置者になります。それがないと設定・構築はできません。

組織が大きくなるほど資産が分割しており、例外が頻出する傾向にあり、当初の構築以上に調整のための工数がかかります。仕組みを構築してからも継続的な対応が必要であると考えたほうがよさそうです。

今後のネットワーク構築に向けて期待することや注意点を教えてください

髙橋
今年、学年更新で苦労した学校も多いのではないでしょうか。次年度に同様のことが起こらないようにするためには次のステップとして、「校務系と学習系」を連携する仕組みを構築することです。今年度の「校務系・学習系ネットワークの連携に関する実証研究」でも取り組む予定です。

ガイドラインでは、ゼロトラストによるアクセス制御によるセキュリティとネットワーク分離をした中で仮想化による分離の2モデルを示していますが、前者に舵を切ることができるように、資産管理などの棚卸をしていくことをお願いしたいと考えています。

吉澤・塩見
クラウド化が進んでいる米国では、昨年から一部がオンプレミスに戻っているという傾向があります。すべてクラウド化したものの、この仕組みやはやりオンプレミスの方が良いという棲み分けが一部で始まっています。

クラウド化も過渡期にあり、オールクラウドではなくても運用できる仕組みが求められていると感じており、そこに、ハイブリッドな環境にも対応できる弊社製品がお役に立てるのではないかと考えています。

髙橋
日本のクラウド移行はこれからです。米国と同じようなことが起こる可能性もありますね。やってみないとわからない部分はあります。

最もしてはいけないことは「ゼロトラストに対応した製品を入れる」だけで終わってしまうこと。ポリシーの設定が肝になりますから、これまでの仕組みで不便を感じている部分を一つずつ変えていくことが重要です。

ゼロトラストネットワーク構築のために今までネットワーク分離で導入した仕組みを否定するところから始めるのではなく、今まで作ってきた中で、どうゼロトラストネットワークの仕掛けに入れるかという視点で、ハイブリッドを実現する製品も利用しながら、一歩ずつ進めて頂きたいですね。
髙橋邦夫 氏
東京都豊島区役所CISOなどを経て2018年合同会社KUコンサルティングを設立。文部科学省「スマートスクール構想検討WG」委員、総務省「スマートスクール・プラットフォーム実証事業評価委員会」委員、文部科学省「教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会」座長、文部科学省「学校健康診断情報のPHRへの活用に関する検討会」委員ほか。
テクマトリックス株式会社(東京都)
ネットワークセキュリティ関連事業、教育機関向けのスクール・コミュニケーション・プラットフォームなどを提供。

<「教育家庭新聞」 2022年5月号より>

テクマトリックスの提供するAppgate製品は、Appgate Cybersecurity, Inc.(またはその関連会社)のサイバーセキュリティ製品であり、楽天コミュニケーションズ株式会社のモバイルチョイスAPPGATEアプリとは別製品です。
日本における Appgate Cybersecurity, Inc.(またはその関連会社)、およびテクマトリックスによるAppgate の商標の使用は、楽天コミュニケーションズ株式会社のご協力とご理解によるものです。
楽天コミュニケーションズ株式会社の提供するモバイルチョイスAPPGATEアプリは、以下のURLよりご参照下さい。
https://comm.rakuten.co.jp/houjin/appgate/

Appgate SDPに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業3課

    03-4405-7869

メールでのお問い合わせ
appgatesdp-sales@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。