SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

教育情報セキュリティポリシーに関するガイドラインからゼロトラストを考える

ゼロトラスト
2022.07.25

高橋 邦夫さんとテクマトリックス社による対談から考えるゼロトラストネットワークとは


先日テクマトリックスの吉澤さんからお話を頂きまして、教育家庭新聞の2022年5月2日の記事に、教育情報セキュリティポリシーに関するガイドラインの改訂に係る検討会 座長の高橋邦夫さんと「ネットワーク分離からクラウド環境へ」という対談記事が掲載されたというお話を聞きました。

とても参考になる対談内容でゼロトラストに関わるエンジニアとして、また子を持つ親として、この対談の内容を引用しながら、個人的な見解をまとめさせていただきます。

対談記事はこちらからご確認ください。

https://www.techmatrix.co.jp/product/appgate/interview.html

「ネットワーク分離」と「アクセス制御」によるセキュリティ対策の違いとは?


高橋さん

「安全性」を再重視しており、学校での使い勝手で問題が生じました。

この言葉はとても深い。

ネットワーク分離の方法は物理や論理などの方法がありますが、各システム間を切り離すことで、万一不正な操作があったとしても、重要なシステムにアクセスさせない方法です。

古くから利用されるセキュリティの手法ですが、ネットワーク分離は確実性こそ高いですが、セキュリティレベルをもとに、コスト、利便性の天秤にかけられることが多くなります。

高橋さん

教育現場の利便性を確保するために文部科学省としては、早期に「どこからでも安全に接続できる環境」すなわち「クラウドバイデフォルト」を実現したいと考えた。

ネットワーク分離は、特に利用者の場所に依存してしまいます。教育現場における場所とは、「学校」でしょう。どうしても物理的な分離をする場合は、目的のシステムを利用できるネットワーク間を物理的に接続する必要があり、「どこからでも」という利便性とは全く別のアプローチとなります。

この様に教育情報セキュリティに関するガイドラインの改訂は、安全性と利便性の両立を目指したとても重要なアプローチになると思います。

安全性を管理側の視点だけで見るのではなく、利用者側から見た安全性についてもしっかり考えられたガイドラインへの改訂になっているということでしょう。

ゼロトラストとはネットワーク分離をすることなのか?


ゼロトラストについて携わったことがある方なら敏感に感じていると思います。ネットワーク分離、境界型防御が主流であった状況から、世の中の流れが少しずつ変わってきています。

高橋さん

働き方の多様化が一気に進み、会社内でのみ情報にアクセスできる、という方法では仕事を進めることができなくなりました。自宅などからも安全に情報にアクセスできる仕組みが求められ、クラウドバイデフォルトを推進せざるを得なくなりました。

世の中はコロナ禍を発端として、外出できないことがきっかけとなって、どこからでもシステムにアクセスできる仕組みが必要となり、その結果、ネットワーク分離、境界型防御ではなくゼロトラストネットワークに注目が行くようになりました。

この動きは企業だけにとどまるわけがありません。

高橋さん

感染症や長期入院など様々な理由で学校に登校できなくなっても学校の情報にアクセスでき、仲間や教員とやり取りできる仕組みにつながります。

企業がゼロトラストネットワークを採用するのは、企業の成長において必要なアプローチですが、教育現場においても、生徒、教員とのコミュニケーションを学校だけに分離して留めてしてしまうのはもったいないと思います。

教育現場だからこそ必要なゼロトラストネットワーク


高橋さん

例えば、ネットワーク負荷の関係でOSのアップデートをキャッシュサーバーに蓄積して定期的に行っている教育委員会の場合、その「定期的な頻度」が課題になる可能性があります。

教育現場は、一般的な企業とは違い、生徒、教員が一斉にネットワークを利用します。 現在のセキュリティはインターネットにつながっていることで、常に最新の状態にすることでセキュリティを担保する方法が多くありますが、この様に、ネットワークの負荷が問題になる環境において、全てがオンラインと言うのは難しい場合があります。

学校という設備が中心となり、コミュニケーションツールなどはクラウドを使うことにはなりますが、テスト結果や学内で完結させる必要のある情報も多く、教育現場は「オールクラウド」ではなくてもオンプレミスとクラウドをハイブリッドで運用できる仕組みが求められます。

ゼロトラストはオールインワンでもクラウドでもない


クラウド型でネットワークやセキュリティで包括的な対策ができる製品を使うこともできますが、ゼロトラストネットワークを中心とすることで、既存の資産を有効活用する必要があります。

テクマトリックス塩見さん

一部がオンプレミス等、分散する形であってもアクセス制御を実現する仕組み「AppgateSDP」は、既存の環境と連携しやすい点が特徴で、ニーズによりエンドポイント製品やプロキシサーバ等、既に導入している製品と連携することで投資を抑えながらゼロトラスト環境に一歩ずつ進めることができます。

使えるものは使い続ける、足りないものは、連携することによってお互いを補い合うということができることも重要です。

テクマトリックス吉澤さん

ゼロトラストとは概念のため、各社の考えによって実現できる範囲が違います。セキュリティの業界は日進月歩で進化しており、今利用している製品も5年後、優れているかはわかりません。Appgate SDPはアクセスのプラットフォームですので、その時に利用したいセキュリティ製品や優れている製品に入れ替えてゼロトラストを実現できる点が利点です。

今いいものが、今後もいいものとは限りません。この考え方は重要で、セキュリティは今日より、明日はもっとよくしていく必要があります。必要な機能を必要な分だけ。そして、その時最もベストな方法で組み合わせることで、教育現場のITシステムを継続しながら、ゼロトラストへ移行していく対策が必要かもしれません。

まとめ


過去私のブログでは、多数Appgate SDPに関わる記事を書いてきました。Appgate SDPは次世代セキュアアクセスプラットフォームとして利用するための、ゼロトラストネットワーク基盤を提供できるソフトウェアです。

ゼロトラストの実現方法としては、基礎となるプラットフォームを中心に、アクセス制御に必要なセキュリティ機能を組み合わせていくことで、その環境に応じた最適なネットワークを作り上げる必要があり、それはクラウドのサービスを使ったツールドリブンではなく、クラウドもオンプレミスも両方を組み合わせた、「クラウドバイデフォルト」になるのかもしれません。

ゼロトラストはまだまだ始まったばかりです。「ゼロトラストジャーニー」という言葉に置き換えられる様に、長期に渡るネットワークやセキュリティの長い移行を伴う変革になるでしょう。

今回の対談記事を引用したのは、「ネットワーク分離」からクラウドとの接続が必要となり、IT活用の本質である、「使い勝手」という点についてセキュリティの観点でしっかり考えられてていたことに共感した次第となりました。

【ZTNA実践】Appgate SDPでZTNAを構築するシリーズ

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部
宮本 世華

釣りが好きです。