ゼロトラスト・フルクラウド次世代教育ネットワークを支える統合ID基盤をExticで構築

埼玉県新座市は、2023年9月の教育ネットワーク更改にあたり、文部科学省セキュリティガイドラインに適合した全国的にも先進のフルクラウド・ゼロトラスト環境を構築。併せて、Exticによる統合ID基盤を整備することで、従来のID運用にかかる業務負荷を大きく削減。二要素認証によるセキュリティ強化、SSOによる利便性向上も実現した。

背景・課題
ガイドライン改訂に適合する
教育ネットワークの
ゼロトラスト
セキュリティ確立を目指す

教育総務部 教育総務課 専門員の仁平 悟史氏は、今回のID基盤更改の経緯を次のように話す。「本市は、2023年9月に予定していた教育ネットワークの大規模な更改に際し、2021年5月に改訂された文部科学省の『教育情報セキュリティポリシーに関するガイドライン』に適合させるべく、校務系、学習系、校務外部接続系ネットワークの完全統合およびフルクラウド化、ゼロトラストネットワーク化など、全面的な刷新を決断しました。具体的には、ネットワーク刷新と併せて、仮想環境に頼らないテレワークを実現するとともに、端末を認証装置内蔵の機種に一新し、校務支援、保護者連絡、図書管理、ホームページ作成、勤怠管理等の各システムをすべてクラウド利用型に入れ替え、印刷環境も単一機種の複合機に統一したいと考えました。セキュリティについても、ゼロトラスト要件を充足させるため、個人認証関連のセキュリティを強化し、二要素認証を実装する必要がありました。」

同市には小学校が17校、中学校が6校あり、約13,000名の児童生徒が学び、教職員数は約1,200名に上る。これまでのID運用の課題について、教育総務部 教育総務課 管理係 主任の森 智寛氏はこう明かす。「従来は、教職員や生徒の異動が生じる都度、IDの更新に係るExcelファイルを学校から教育委員会、運用保守業者の流れで申請し、保守業者に登録作業を行ってもらっていました。さらに、ローカルのActive Directory、旧校務支援システム、Googleなど複数の環境でそれぞれID更新を行う必要があり、例えば児童生徒のGoogle ID登録は市教育委員会で対応する必要があるなど、各所でかなりの業務負荷が発生していることに加え、申請から情報の反映、学校への通知までに時間を要していることが課題であると感じていました。」

同市では、次期教育ネットワークの構築業者を選定するに当たり複数のSIerと協議しながら必要となる要件をまとめ、ID認証に関しては「各システムで利用するIDを統合すること」「重要情報が含まれるWebシステムを利用する際には追加の認証を求める仕組みとすること」「生体を含む二要素認証を必須とすること」などを仕様として明記しRFP（提案依頼）に臨んだ。

同市は、ゼロトラスト環境における二要素認証において、知識要素であるパスワードに加えて生体要素を採用した理由を、こう説明する。「所有要素は、どうしても本人性否認の危険性が残ります。生体にも偽装の危険性はありますが、FIDO2に対応しているWindows Helloなら、写真による顔認証や指紋情報をセロハンテープ等に貼り付けて読み取らせる指紋認証を拒否できるとの説明を導入ベンダーから受け、仕様として定めました。」

検討・選定
新教育ネットワークを支えるID基盤として
Exticを活用
汎用性および連携実績が豊富な
拡張性を評価

新座市が考える新教育ネットワークにおいては、校務系と学習系の各システムへのアクセスは「認証」と「認可」によるゼロトラストセキュリティ構築を前提としており、各系統のネットワーク統合に加えて、ID（アカウント）統合を実現する必要があった。また、重要資産へのアクセスには、端末にログインする際の認証とは別に、二段階認証として生体認証も実現可能なID基盤を必要としていた。
同市は指名型プロポーザル（4社）を経て、導入ベンダーを選定。導入ベンダーの提案を受け、ID統合と認証強化を合わせて実現ができるID基盤として、エクスジェン・ネットワークスのExticを導入した。導入ベンダーは、実際のID運用を踏まえた機能が豊富であり、パスワードの運用や各システムへのID連携（プロビジョニング）なども実現できる、汎用性や拡張性のあるクラウドサービスとして、Exticを評価していた。

「導入ベンダーからExticのIdP機能と、併せて提案を受けていたゼロトラストセキュリティを構成するSASEの機能を組み合わせた実現案が提示され、ExticのIdPで、端末認証で使用するWindows Helloの生体情報をそのまま転用できることが合理的と感じました。オンプレミス環境を主とする旧ネットワーク上では独立して存在していた各システムのIDを、SaaSおよびIaaSにて構築する新ネットワーク上で統合できることはもちろん、今後5年間にわたって活用できる汎用性、連携実績が豊富な拡張性などが評価ポイントでした。さらに、認証部分は専用ソリューションだと高額になりがちな中、Exticのオプションライセンスで実現されており、コストメリットも感じました。」（仁平氏）

導入効果
校務DXに求められる
校務系・学習系のID統合を実現
ID運用の負荷を軽減し、
ユーザーの利便性とセキュリティも向上

新しい環境では、ID統合により校務支援システム「C4th」への入力内容を源泉として、IDを各システムに引き継ぐ仕組みが確立され、同市が目指していた「一度入力した情報を再度入力する必要がない」を実現できた。各学校は教職員の異動および生徒の転入、転出があれば専用のフォームで申請、教育総務課側での承認を経て各システムに反映される。

「各学校で校務支援システムを更新すれば、教職員や児童生徒のIDが作成・変更され、最新の情報が各システムに連携、反映される統合ID管理の仕組みおよび業務フローを実現しましたので、これまでのように各学校から申請を受けて登録情報を精査、保守業者に依頼するといった煩雑な作業がなくなり、業務効率と情報反映までの即時性が大きく向上しました。新年度が始まる教職員の異動時期はもちろん、生徒の転入転出は毎日のように依頼があり、都度急ぎで対応していましたので、それらの作業負荷がなくなったことは大きな成果です。」（森氏）

「パスワード忘れの対応ひとつとっても、これまでは教育総務課で問い合わせを受付し、システムごとに異なる作業を必要としていましたが、新教育ネットワークでは作業が簡略化され、速やかに対応できるようになりました。Exticは管理画面もシンプルで使いやすいです。さらに今回のネットワーク更改では専用のヘルプデスクを設置し、回答期限の明文化や保守状況閲覧システムによる対応進捗状況の見える化をしたことで、さまざまな問い合わせ対応に関する各所の業務負荷や、『対応が遅い』、『状況が分からない』といった心理的なストレスも解消できています。」（仁平氏）

ID統合を実現したことでID管理の運用負荷を大きく低減できただけでなく、旧教育ネットワークではアクセスするシステムごとにIDとパスワードの入力が必要であったが、新教育ネットワークでは1つのID・パスワードで系統を問わず各システムへSSOでログインできるようになり、ユーザー利便性も向上した。
また、文部科学省の指針に従い、教職員など校務端末の利用者は今回クラウド化されたファイルサーバや校務支援システムなど重要資産が含まれる情報リソースへのアクセス時にFIDO2よる再度の生体認証を通してアクセスする動作となり、端末放置や盗難による第三者からのアクセスに対するセキュリティが強化された。これにより、ユーザーの利便性の向上とセキュリティの強化を両立した認証基盤を実現できた。

今後・期待
今後も業務効率化と
教職員の働きやすさを追求
新基盤でさらなる教育活動の高度化を推進

こうして文部科学省が推進する「GIGAスクール構想の下での校務ＤＸ」、いわゆる次世代校務DXに基づく、全国的にも先進の教育ネットワークのフルクラウド化とゼロトラストネットワーク化を実現した新座市。残る課題について、同市は次のように語る。

「市と学校のやり取りではまだ紙媒体やFAXが多く残っています。メールでのやり取りも煩雑で見落としなどが発生します。紙媒体による情報のやりとりが完全に無くなることはないと考えておりますが、まずは文書管理システムにより文書をデジタル化し、業務効率化と教職員の働きやすさを実現していきたいと考えています。」

そして今後の長期目標として、今回構築した基盤とGIGAスクール構想で整備した環境を連携し、各種データを用いた教育活動の高度化を推進したいと同市は語る。

「本市では教育データの利活用・ダッシュボードの構築に向けて2023年9月から成績や出欠、保健などのデータの収集と蓄積を始めており、今後は収集したデータをどのように組み合わせて個別最適化された学びへ繋げるかが課題となります。」
「認証周りではデジタル教科書やドリルアプリなど教育現場で活用するアプリケーションが増えており、特に小学校低学年の生徒のパスワード運用が課題になっています。将来的には、GIGAスクール端末もパスワードレス化して、生体認証にできればと考えています。」

最後に同市は、エクスジェン社への評価を含め、次のように結んだ。
「今回の改訂はネットワークやセキュリティの仕組の見直しだけでなく、多くのシステムが連携する大規模なものでした。利用者の特定とログ収集が肝要であるゼロトラストネットワーク環境においては共用IDの利用を排除しなければならず、必要なIDライセンス数が当初想定より膨らむなど想定外のこともありましたが、導入ベンダーとうまく連携いただき、計画通りプロジェクトを推進していただいたエクスジェン社に感謝しています。一方、現在のExticの仕様では認証のセッション有効期限の下限が8時間となっていますが、本市としては端末放置や盗難等の有事の際に備えて、セッション有効時間が長い点に危機感を抱いております。単純に時間だけではなく、『端末がスリープになる』『ブラウザを閉じる』『移動等により接続先のアクセスポイントが変更される』等の端末の挙動や環境変化に合わせて再認証が走るような環境を実現したく、エクスジェン社および新教育ネットワークの導入ベンダーに対応を要望しているところです。今後も引き続き、Exticの機能向上と支援に期待しています。」

---