Solutions ソリューション

文教ソリューション

Solutions TOPへ

教育ネットワークの概要

はじめに

教育分野でのICT利活用について、文部科学省の公示した「新学習指導要領」では2020年までに全児童生徒に対して1人1台の情報端末を使用できるように整備することが目標として掲げられています。

近年では、児童生徒が授業で利用するための可動式コンピュータとしてタブレットPCの導入が進められていることや、大規模災害が発生した場合でも避難所となる学校にてインターネット環境が提供できるよう、安定した無線LAN環境の整備も不可欠です。

アライドテレシスが考える教育ネットワークの要件

  • 要件1:無線LANの整備
    • 安定かつセキュアに利用できる無線LAN環境の構築
    • 災害発生時における無線LAN環境の開放
  • 要件2:ネットワークの分離
    • 校務系、学習系のネットワークの分割
    • 分離後の通信無害化対策
  • 要件3:認証の強化
    • なりすましを防止したセキュリティ対策
  • 要件4:情報漏洩対策
    • ウイルスやマルウェア等の感染を防ぐセキュリティ対策
    • USBメモリでの情報の持ち出しや不正アクセスを防ぐセキュリティ対策
    • 不正端末の監視、ログの記録
  • 要件5:ネットワークの運用管理
    • 容易な運用管理によるネットワーク管理者の負担やコストの軽減

要件1:無線LANの整備

安定した無線LAN環境の構築

無線LAN環境があることで、教室内はもちろん、校外・体育館・図書館等の場所でも情報端末が利用出来るようになり、児童生徒は画像や映像、インターネットを活用した効果的な授業を受けられます。

「第2期教育振興基本計画」での目標

超高速インターネット接続率及び無線LAN整備率100%
全ての公立小・中・高・特別支援学校への無線LAN整備

AWCの利用

  • 生徒からの一斉アクセスや動画の視聴、屋外などの様々な利用シーンを考慮し遅延なく途切れない安定した無線LAN環境の整備が必要
  • 授業でのICT利活用以外に、災害時のインターネット環境の開放が必要
AWCで実現できること
  • 無線APの集中管理
  • ゲーム理論による無線LAN環境の最適化
  • 無線LAN環境の視覚化
  • 災害時における無線LAN環境の開放

災害時のネットワーク開放

地域の中核的な施設である学校は、教室や体育館等が避難所や情報拠点として利用されることから、平成28年に総務省が公表した「防災等に資するWi-Fi環境の整備計画」において、以下の通り定められています。

防災等に資するWi-Fi環境の整備計画

整備計画の主旨

防災等に資するWi-Fi環境の整備について、
災害発生以降、災害の危険性がなくなるまで滞在し避難生活を送る避難所、避難場所被災場所として想定され、災害対応の強化が望まれる公的な拠点などにおいて、整備箇所数、整備時期などを示す「整備計画」に基づき整備を着実に実施することで、災害時の必要な情報伝達手段を確保する。なお、平時においては、観光関連情報の収集、教育での活用などにより 利便性の向上を図る。

AWCの利用

AWCで実現できること
  • 無線APの一元管理
  • 無線APの一括設定変更

要件2:ネットワークの分離

「教育情報セキュリティポリシーに関するガイドライン」では、ネットワークの用途として従来の「校務系」「学習系」に新しく「校務情報系」を追加し、物理的または論理的にネットワーク系統の分割を行うことが必須とされています。

「教育情報セキュリティポリシーに関するガイドライン」での方針

教育情報システム管理者は、校務系システム及び学習系システム間の通信経路の物理的又は論理的な分離をするとともに、校務系システム及び校務外部接続系システム間の経路を物理的又は論理的に分離し、それぞれで適切な安全管理措置を講じなければならない。
従来のネットワーク分離方法
  • VLAN機能によってネットワークを分割
  • 各ネットワーク系統間の通信はACL(アクセスリスト)機能で制御

⇒ACLの数が多くなると、設計構築と管理が煩雑に



ガイドライン推奨のネットワーク分離方法
  • VRF(仮想ルーティング)機能で各ネットワーク系統を分割する

⇒ACLが不要なため、シンプルかつセキュアな構成

さらに利便性を向上させるためには、仮想ブラウザの導入や分離後のネットワーク間通信の無害化対策も必要

要件3:認証の強化

校務系ネットワークでは児童生徒の成績を始めとする個人情報を扱うため、なりすましを防止し、児童生徒や悪意のあるユーザーからのアクセスを制御する仕組みを導入します。

「教育情報セキュリティポリシーに関するガイドライン」での方針

  • 教職員等は、統括教育情報セキュリティ責任者の許可なくパソコンや モバイル端末をネットワークに接続してはならない。
  • 統括教育情報セキュリティ責任者又は教育情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない教職員等がアクセスできないように、システム上制限しなければならない。
従来の認証方式

IEEE 802.1X認証、MACアドレス認証、Web認証等の方式を利用

ガイドライン推奨の認証方式

生体認証(指紋、静脈、顔、声紋等)や物理認証(ICカードやUSBトークン等)を併用する二要素認証でなりすましを防止

さらにセキュリティを強化する対策として、二要素認証情報に基づくネットワーク(VLAN)の自動制御も実現可能

SESの利用

SESで実現できること

認証アプリケーションと連携したアクセス制御

  • 入退室の情報に基づき、端末のネットワーク接続を自動制御
  • 生体認証の情報に基づき、所属ネットワークを振り分け

要件4:情報漏洩対策

これまでのサイバー攻撃対策は、外部からの攻撃(DoS攻撃等)からネットワークを守る 「入口対策」が主でしたが、標的型攻撃の増加により「出口対策」をはじめ、内部犯行も含めたセキュリティ対策が求められています。

「教育情報セキュリティポリシーに関するガイドライン」での方針

コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、以下の対応を行わなければならない。

  • (ア)パソコン等の端末の場合
    LANケーブルの即時取り外しを行わなければならない。
  • (イ)モバイル端末の場合
    直ちに利用を中止し、通信を行わない設定への変更を行わなければならない。
  • ウイルス・マルウェアなどを検知するためのアンチウィルスの導入が必要
  • 標的型攻撃の侵入を防止するUTM装置の導入が必要
  • 端末の脆弱性や不正操作を検知するためのIT資産管理システムの導入が必要
  • 不正はWebサイトへのアクセスを制限できるWebフィルタリング
さらに、感染端末をネットワークから即時切り離すためには、ネットワークで自動検知・ 自動制御(隔離/遮断)が必要

SESの利用

SESで実現できること
  • ウイルスやマルウェアに感染した端末の自動検知・遮断
  • 悪質なWebサイトにアクセスした端末の自動検知・遮断
  • USBメモリの禁止を始め、ポリシーに合致しない不正端末の自動検知・隔離

教育情報セキュリティポリシーに関するガイドラインで推奨されている内容をもとに提案するセキュリティ対策は以下のとおりです。そのなかでも、SES(Secure Enterprise SDN)を利用することで更なるセキュリティ強化を図ることができます。

教育情報セキュリティに対するアライドテレシスのご提案

1.校内ネットワークの分離

セキュリティ対策における必要事項
【ネットワークの分離】2.6.1(11)
  • 「校務系」-「公務外部接続系」-「学習系」間の通信経路の分離
  • 「校務外部接続系」用端末と「校務系」用端末の分離
  • 「校務系-校務外部接続系」間、「校務系-学習系」間における通信の無害化
アライドテレシスのご提案
1-1. VRF-Liteによる論理的なネットワークの分離

ネットワーク仮想化技術を用いて、校務系、校務外系、学習系のネットワークの安全を確保しつつ、低コストで論理分離します。

1-2. 仮想ブラウザシステムによる分離

校務系ネットワークをインターネット接続環境から分離した後も、仮想ブラウザを用いて、校務系ネットワークから安全にインターネット閲覧ができる環境をご提供いたします。

1-3. 無害化システムの構築

ファイルをネットワーク間で受け渡す場合や、メールの添付ファイルを受け取る場合に、無害化システムを通すことにより、脅威が校務系ネットワークに持ち込まれることを防止します。

2.端末のアクセス管理

セキュリティ対策における必要事項
【無許可でのネットワーク接続の禁止】2.6.1(20)

持ち込み端末の学内ネットワークへの無許可接続禁止

【教職員等の遵守事項】2.5.1(1)/2.6.1(21)

業務以外の目的でのウェブ閲覧の禁止

アライドテレシスのご提案 SES連携
2-1. 二要素認証による端末管理(推奨事項)

従来のID・パスワードによる認証に、生体認証(指紋・性脈等)、ICカードによる認証を加えることで、第三者による端末への成りすましログインを防止します。

SES
2-2. IT資産管理による端末管理

利用者のファイルをアクセス、WEB閲覧履歴、端末の利用ログを収集するとともに、管理されていないUSBメモリ等のデバイス接続を制御し、不正情報持出を防止します。

SES
2-3. ウェブフィルタリングによるwebサイトへのアクセス制御

WEBアクセス制御機能で、標的型攻撃による外部C&Cサーバへの接続リクエストや、悪意あるWEBサイトヘの接続をブロックします。また、業務目的外のWEBサイトヘのアクセスを制限します。

SES

3.外部からの脅威対策

セキュリティ対策における必要事項
【不正プログラム対策】2.6.4(3)

端末が不正プログラムに感染した場合、又は、感染が疑われる場合は、以下の対応を行わなければならない
①パソコン等の端末…LANケーブルの即時取り外し
②モバイル端末…利用の即中止、通信を行わない設定への変更

【不正アクセス対策】2.6.5(4),(7)
  • 外部からのサーバーへの攻撃監視
  • 標的型攻撃の防止対策および内部に侵入した攻撃の早期検知・対処
アライドテレシスのご提案 SES連携
3-1. ウィルス・マルウェアによる感染防止

各端末上で常時ウィルスやマルウェアの検疫を行うとともに、ウイルスパターンファイルを常に新しい状態に保ち、感染被害を防止します。

SES
3-2. 標的型攻撃の脅威を監視・検知

UTM(United Threat Management=総合脅威管理)は、アプリケーションレベルで内外の通信を包括的に監視し、不正な通信を遮断します。

SES

4.セキュリティの運用管理

セキュリティ対策における必要事項
【セキュリティ管理】
  • ID/パスワード管理(2.5.4)
  • ログの取得、定期的なログ確認(2.6.1(6))
  • 情報資産の保管(2.6.1(2))
アライドテレシスのご提案
4-1. Net.Serviceによる保守運用代行サービス

各種セキュリティログを収集し、外部監視センターと共有することで、運用強化やインシデント発生時の円滑な対処をサポートします。

4-2. 情報資産のバックアップと保全

重要なデータは、定期的なバックアップを行い、聞き生涯やデータ消失時もすぐに校務が復旧できる体制を整えます。

4-2. 情報資産のバックアップと保全

重要なデータは、定期的なバックアップを行い、聞き生涯やデータ消失時もすぐに校務が復旧できる体制を整えます。

<推奨事項>①サーバー冗長化

冗長化技術により、可能性の高いシステムをご提供します。

<推奨事項>②ファイル暗号化

重要なファイルを暗号化することで、不正な情報持出や、外部記録媒体の紛失時に情報漏洩を防止します。

SES連携…SDN技術によりネットワーク機器とアプリケーションを連携させ、統合的なセキュリティ対策として機能します。

要件5:ネットワークの運用管理

教育委員会のシステム担当者をはじめ、ネットワーク管理者にとってはネットワークインフラの安定運用が重要なポイントになりますが、管理しなければいけない機器は増えていく一方で運用管理は簡単に行えるわけではなく、多くの課題があります。

ネットワーク運用管理の課題
  1. 各学校にネットワーク管理者がいない
  2. システム管理者が変わる度に引き継ぎが正確に行われていない
  3. 保守業者に100%依存した契約はランニングコストが高額となる
  4. ネットワーク機器の設定変更やファームウェアバージョンアップ 実施後はトラブル発生が多い
  5. ネットワークに接続される機器毎に管理ツールが異なるため、管理が複雑である

これらの課題を解決する容易な運用管理の仕組みや、万一の障害に備えた24時間365日のリモート監視サービスなどを導入するとネットワークの管理者の負担やコストを大幅削減可能

AWC / Net.Serviceの利用

AWCで実現できること
  • ネットワーク機器の一元管理
  • 設定情報の自動バックアップ
  • 機器故障時の自動復旧
Net.Serviceで実現できること
  • 設計構築サービス
  • リモート監視サービス
  • 障害切り分けサービス
  • ログ確認サービス

導入事例

岐阜県教育委員会 様

教育情報ネットワークをAMFで一元管理、AWCで無線LAN環境の自律的最適化

岐阜県教育委員会事務局では、県内の学校を結ぶ教育情報インフラである「学校間総合ネット」県立学校ネットワークを刷新。アライドテレシスのネットワークソリューションを導入し、県内87拠点におよぶ大規模ネットワークの一元管理や、無線LAN環境の自律的最適化など、さまざまな効果を実現した。

学校法人 帝京平成大学 様

AMFの導入により、キャンパスネットワークの運用管理を効率化

学校法人帝京平成大学では、千葉県市原市のちはら台キャンパスネットワーク構築にあたり、アライドテレシスのネットワークソリューションを導入。AMF(Allied Telesis Management Framework)対応のネットワーク機器、無線LANアクセスポイントなどを導入し、安定稼働と迅速な復旧に対応できるネットワークを構築した。

学校法人広島文化学園 様

AMFにより、離れた4つのキャンパスネットワークを一元管理

広島県の学校法人広島文化学園では、キャンパスネットワークの更新にあたり、アライドテレシスのネットワークソリューションを導入。AMF(Allied Telesis Management Framework)機能を活用して、ネットワークの一元管理や一括設定変更、速やかな復旧など運用性の高いネットワーク構築を実現した。

教育施設ネットワークガイド

教育施設ネットワークガイドをご提供いたしております。

ICT環境整備のための教育施設ネットワーク構築のポイントをご説明した教育施設ネットワークガイドをご提供いたしております。

教育施設ネットワークガイド
お問い合わせ