導入事例CASE
校務システムのクラウド化を見据え、ゼロトラスト・セキュリティの実現にLANSCOPEとDeep Instinctが貢献
- 学校法人 清風学園
| 基本情報 |
|
|---|---|
|
教職員が持ち込む私物PCによるシャドーITのリスク軽減が課題
清風学園は、大阪府にある中高一貫の私立学校で、「徳・健・財」を身につけ、社会の全てから安心、尊敬、信頼される人間を育てるという方針のもとに、仏教を基盤とした教育を実践している。
同学園では、GIGAスクール構想に基づいて教育のICT化を進めており、生徒一人に1台、タブレットの導入を進めている。根岸氏によると、「生徒側の端末管理にはMDM(モバイルデバイス管理)の仕組みを導入している」ということだ。
しかし、教職員の端末管理については課題があった。「教材などの持ち込みのため、教職員のPCについては独自にルールを定め、私物の持ち込みを許容していた」と根岸氏は説明する。そこで、まず着手したのがセキュリティポリシーの整備だ。職員の私物PCについては、どこまでセキュリティ対策が行われているか「所有者に委ねられている状態」であったため、シャドーITのリスクが高く、これを軽減するため、職員が学園内で使用するPCについては学園側が購入して貸与するルールとした。
そして、教職員用のWindows端末約300台の購入が決まり、設定などのキッティングを経て、2022年2月から3月にかけて教職員に支給することとなった。
一方、端末管理の仕組みについては、マイクロソフトが提供するEMS(Enterprise Mobility + Security)ソリューションに含まれる「Microsoft Intune」を利用する選択肢もあった。しかし、「管理者側のスキル面から、使い勝手に問題を感じることが懸念されるため、日本製品でサポートもしっかりしていて、わかりやすいソリューションを使いたい」と、MDMおよびエンドポイントセキュリティ対策としてアンチウイルス製品の検討を開始することとなったのだ。
ゼロトラストの中核を担う機能を1社で提供できる点が決め手
ソリューション選定は、2021年の年末頃から開始、2022年2月から3月に教職員への端末貸与が決まっているタイトなスケジュールの中で行われた。LANSCOPEを含む、複数製品で検討が進められ「各社の提案を聞き、実際に操作して、管理画面は直感的な操作が可能かといった使い勝手を確認した」と根岸氏は話す。
エンドポイントマネージャー クラウド版を選定したポイントは、「クラウド型であること」「MDM、アンチウイルス、そしてWebフィルタリングが、一つのメーカーで統合管理できる」という点だ。
また、サポート面では、新しいシステムの導入にIT担当者のリソースを多く割けない状況が考えられる中、「外資系企業にありがちな、英語によるメール定型文の返信などの心配がなく、エムオーテックスには電話でのサポートチャネルも用意されているため安心できると考えた」と根岸氏は述べた。
機能面で評価したポイントとして、エンドポイントマネージャー クラウド版については「今後、校務システムのクラウド化を進めていく中で、セキュリティ対策も従来の境界防御から、認証型のゼロトラストモデルへと移行しようと考えている」と根岸氏は話し、エンドポイントマネージャー クラウド版がその中核を担うことを期待しているという。
「教職員もクラウド化したシステムにアクセスし業務を行う。教職員が利用するエンドポイント端末に対し、ゼロトラストで1台ごとにUSBメモリなどの管理・制御といったポリシー適用を行ったり、アプリのダウンロードなどの操作履歴を確認したりするなど、直感的に操作できると感じた。」
そして、Webフィルタリングについては、ゼロトラストで業務を行うために、有害なWebサイトに誘導させない役割が期待された。「エンドポイントマネージャー クラウド版のWebフィルタリングには、Googleのプライベートアカウントを除外し、指定されたアカウントからしかアクセスできないようにする機能があり、認証強化に役立った。」
また、Deep Instinctについては、「ディープラーニングによる検知を行うため、定義ファイルを更新する必要がない点と、ディープラーニングを用いて自律的に学習することで検知の精度が高まる点が、導入後の運用負荷軽減に寄与したと考えている」と同氏。
教職員にセキュリティ向上への意識が生まれてきた
教職員向けに支給する300台の端末への各種設定、キッティングは計4名のスタッフで対応した。期間が短い中での対応だったが、エムオーテックスのソリューションは初めての導入にも関わらず「色々と無理を聞いていただき、手厚くサポートしていただいた」と根岸氏は話す。
操作方法のレクチャーについては、オンサイトでの対応に加え、コロナ禍の中、電話によるサポートや、営業担当者によるサポートも行われた。
日常的な運用について、根岸氏は「校務システムのクラウド化を進めていく中で、エンドポイントマネージャー クラウド版により、USBメモリの制御やアプリのインストール状況の管理などがしっかりとモニタリングできている」ということだ。
エンドポイントマネージャー クラウド版はポリシー変更も柔軟に行うことができる。「セキュリティと利便性は相反する要素だが、例えばUSBメモリの使用禁止などのように、高く設定したセキュリティレベルを、後から調整する際にも、管理コンソールのインターフェースがわかりやすい」ということだ。
導入効果について、MDMとアンチウイルスがエンドポイント1台1台にインストールされることで、利用する教職員に「学園側はちゃんとモニタリングしている」という意識が生まれた点を根岸氏は挙げる。
根岸氏は、「セキュリティで大事なのは、ヒューマンエラーが起因となって情報漏洩が起こるケース」だとし、そうした教職員の意識改革に寄与しているというのだ。
「例えば、このUSBメモリをPCに接続して問題ないかといった確認が教職員から入るようになった。セキュリティに関する不明点を確認しようという意識が生まれたことは大きな前進だ」と根岸氏は話す。
ゼロトラストを実現するセキュリティのパートナーとしての役割に期待
根岸氏は、エンドポイントマネージャー クラウド版に今後期待したい点として「オンプレミス版にはアプリケーション配信の機能があるが、クラウド版にはないので、教職員からも要望が高いアプリケーション配信の仕組みを利用できるようにしてほしい」と述べた。
今後、学園の基幹業務システムである校務システムのクラウド化は、本格的な推進フェーズに入っていく。教職員が利用するエンドポイント1台1台が、クラウドにアクセスする環境となる中で、「今回のソリューション導入によるゼロトラスト・セキュリティの効果は、これから本格的に実感できるだろう」と根岸氏は話した。
そして、エムオーテックスには「今後も機能面での改善を継続し、当学園のセキュリティ向上のパートナーとして継続的なサポートをお願いしたい」と締めくくった。
※本事例は2022年7月取材当時の内容です。
