「その教育委員会の管理対象となるアカウントは約1万ユーザーです。導入の背景・課題は、アカウント管理の運用負荷低減、ユーザーデータが分散して増分や差分が発生するという課題を抱えていました。そこに、IDによる権限管理…まさにゼロトラストが必要になりました。ほかにも、重要資産に分類されたシステムへのアクセスセキュリティが必要となるなど、さまざまな課題がありました。

システム選定のポイントは、最新のユーザーデータを各システムに連携できること、ユーザーデータの登録・更新・削除を一元管理できること、シンプルでわかりやすい運用ができること、生体認証によるアクセス制御が実現できることでした。」

「ID管理基盤の構成イメージを、図を用いて解説します。『組織やユーザーの状態』が実際のアカウントの状態です。学校にある各名簿や、旧校務支援システムにあるデータ、各学校にあるActive Directory、日々の業務で発生する増分・差分データを、新しい校務支援システムに集約管理をするという全体設計をしています。

この校務支援システムに入っている『人』の情報をIDaaSがアカウントに変えて、『管理系』・『学習系』・『外部公開系』のシステムに連携しています。アカウントを最新の状態で運用できる構成になっています。

『管理系』にはActive Directoryや各セキュリティツール、管理ツールがあります。『学習系』は、学習ポータルやMEXCBTなど学習支援ツール系です。『外部公開系』には保護者連絡ツールなどがあります。」

「この図では、校務支援システムを源泉とした統合ID管理基盤の構築を示しています。校務支援システムからID情報を各システムで連携できて、ユーザー情報の登録・更新・削除の操作を簡略化できることも特長です。

上の緑色の矢印が『シングルサインオン』としてMicrosoft Entra IDにつながっています。Microsoft Entra IDが前提のシステムだったことから、『重要資産』・『学習系』・『管理系』にMicrosoft Entra IDのシングルサインオンが実装されています。この環境にIDaaSが導入されました。

一方、『重要資産』にアクセスする際には、IDaaSの生体認証（FIDO2）の認証を利用するというルールを作っています。

『ID管理』の構成ですが、校務支援システムが最新の『人』の情報を持つことにより、その情報をアカウントに変えて、各システムに配信します。認証用のID情報、認可のID情報などを最新の状態にしています。ほかにも、役職や所属によるアクセス制御もまとめて実現しています。

補足情報となりますが、このMicrosoft Entra IDで構成している部分を、IDaaSを用いて設計することも可能です。非常に多くの自治体で今、すでに利用しているMicrosoft Entra IDを用いた構成で提案していますが、何もない状況であれば、すべてIDaaSの構成で提案も可能です。」