埼玉県新座市教育委員会 「ゼロトラストって何？」からスタートし、次世代教育ネットワーク環境を構築 実質1.5名体制で、ゼロトラスト・フルクラウド化を実現

埼玉県新座市は、2023年9月の教育ネットワークの更改にあたり、「教育情報セキュリティポリシーに関するガイドライン」等に示された方向性に従い、ゼロトラストネットワークを採用するとともに、フルクラウドによる構築という、全国的に見ても先駆的な環境を実現されました。運用開始から間もなく1年を迎えるにあたり、整備の目的や経緯、重視したポイントなどを、埼玉県新座市教育委員会教育総務部 教育総務課の仁平 悟史 専門員と森 智寛 主任に伺いました。（2024年6月取材）

教育ネットワークの残存課題の解消が必須

新座市は埼玉県南部に位置し、イメージキャラクターの「ゾウキリン」図1が象徴するように、首都圏近郊にありながら豊かな自然を残し、都会の利便性と田舎の心地よさを兼ね備えた街です。市内には小学校が17校、中学校が6校あり、約13,000名の児童生徒が学んでいます。

教育委員会事務局の中で、私たちが所属する教育総務部 教育総務課は主に施設管理を担っており、教育ICT施策も担当しています。ICT施策は2名で担当していますが、兼務もあるため、実質1.5名相当の人員で環境整備や運用管理を行っています。

GIGAスクール構想による整備は無論、それ以前から継続的にICT施策や情報教育環境の整備に取り組んできたことで、日経BP社がまとめた「公立学校情報化ランキング2021」で、小・中学校ともに全国1位となるなど高く評価いただきました。一方、既存のICT環境の老朽化や校務系と校務外部接続系のネットワークが完全に分離できていないなど、教育ネットワークには複数の残存課題もありました。

ガイドラインの改訂によって大幅に方針変更

2023年9月の教育ネットワークの更改に向けた検討を始めたのは、その2年前となる2021年です。検討過程の経緯は、YouTube「新座市公式チャンネル」（https://www.youtube.com/@niizacity）にて詳しくご紹介していますので、ぜひご覧ください。

当時の本市は教育ネットワークに関する契約が約10種類あり、それぞれ更改タイミングが異なるという状態でした。しかし、前任者が更改のたびに調整し、すべての契約の終了を2023年8月末にそろえていてくれたこともあり、教育ネットワークをゼロベースで見直して一新する、具体的にはGIGAスクール構想で整備したもの以外のほぼすべてを入れ替えるという大規模な更改に踏み切ることができました。

当初は、完全な三層分離（校務系・学習系・校務外部接続系の分離）の実現を想定していました。しかしRFI（情報提供依頼）などによる情報収集を始めたばかりの2021年5月に文部科学省の「教育情報セキュリティポリシーに関するガイドライン」が改訂され、「ネットワーク分離を必要としない認証によるアクセス制限を前提とした構成」が示されました。いわゆる「ゼロトラストネットワーク」というものです。

ゼロトラストとは、直訳すると「何も信用しない」という言葉です。従来の「境界防御型セキュリティ」では、安全に利用できる内部（校内ネットワーク等）と多くの脅威が存在する外部（インターネット等）を区別し、その境界をファイアウォールやUTMによって守ります。一方「ゼロトラスト」では、ログイン時に2要素認証を行ったり、クライアントPC（教職員用端末・学習者用端末）がサーバに接続する際に、サーバ・PC双方の証明書を互いに参照して認証したりする仕組みを複数取り入れて、強固なユーザ認証を実現。その上で、ユーザには必要最小限の権限のみを付与する、エンドポイント（端末）セキュリティを強化するといった対策を講じることで、高い安全性を保つ考え方です図2。つまりゼロトラストは、内部と外部を区別せず、端末がどのネットワークに接続しているときでも等しく十分な対策を行うことで、セキュリティレベルを引き上げることが目的となります。

図2ゼロトラストセキュリティでは、内外を区別せず認証によって安全性を担保する

三層分離とゼロトラストを比較検討して方針を決定

しかし、この段階の私たちは「ゼロトラストって、結局どういうもの？」と疑問ばかりが浮かぶような状態でした。そこで、RFIに協力いただいた複数のシステムインテグレーション事業者（以下、SIer）の回答を徹底して熟読し、疑問点は逐一SIerに問い合わせるなどして理解を深めました。そして、この機を逃せば、本市がゼロトラスト環境を実現するのは5年以上先になってしまうことや、総務省も文部科学省もクラウド・バイ・デフォルト原則を提唱していることなどを踏まえ、一気にゼロトラストネットワークを構築する方が得策であると判断。さらに本市のケースでは、三層分離よりもゼロトラストネットワークの方が、若干ですが安価になることが分かり、ゼロトラストへと舵を切りました。

しかし、わずかな時間で理解した程度の知見で仕様書が作成できるのか、どの程度の予算が必要になるのか、前例がない環境構築にSIerが対応できるのかなど、あらゆる課題が山積していました。

まず、RFIに協力いただいた事業者をSIerとメーカに分けて、本市はSIerの1社とのみ契約をするという構成としました図3。そして、RFP（提案依頼）に向けた事前調整にあたり、本市として譲れない要件をまとめました表1。

図3事業者を2種類に大別し、SIer1社と契約

表1最初に決定した本市として譲れない要件

SIer各社との事前調整を進めるなかで新たな疑問が生じるたびに、ほかのSIerにも相談。A社からの回答をB社にも尋ね、本市を通して両社の考えを突合させることで、担当者としてゼロトラストの理解が深まるとともにSIerごとの考え方や技術的なアプローチの違いなども見えました。

このようにSIerとの事前調整を積み重ねるなかで、本市が目指したい教育ネットワークについての具体性が高まり、徐々に見落としがなくなっていく手応えを感じられるように。そして各SIerとの調整から得られた気づきをRFP（提案依頼）の仕様に反映していきました。

複数のSIerとの綿密な協議のおかげで、本市ではコンサルタントを用いることなく、自力でゼロトラストネットワークを構築することができたのだと思います。

想定外のケースも考慮して提案してくれたＳｋｙ株式会社

前述のとおり、今回の更改ではSIerの1社とのみ契約をする構成としたので、個々のソリューションの選定はSIerの見立てに任せました。その上で、本市はSIerの提案の全体的な調和を確認しつつ、費用面、機能面、運用面など多角的な評価を行いました。

このため、個別システム同士の相性やデータ連携、シングルサインオンの方法など、判断が難しい個々の問題について自分たちで考える必要がなかったのは、大きな成功要因の一つだったと感じています。

特に、本市の思いや状況に寄り添い、課題解消のために調査し、具体的な提案をしてくれるＳｋｙ株式会社の存在は大きかったです。われわれ担当者が想定していなかったようなケースも含めて検討して、問題解決のための代替案を用意してくれたり、見積もりについても松・竹・梅というレベル感の異なる3種類の提案をしてくれたりと、教育委員会の立場を考えてきめ細やかにサポートしてくれたことを高く評価しています。

『SKYSEA Client View』は必要不可欠なツール

最終的に指名型プロポーザル（4社）を経て、Ｓｋｙ株式会社が選定されました。その結果、現在の本市における教育ネットワーク構成の概要は図4のとおりになっています。

図4現在の新座市教育ネットワークの構成と情報セキュリティ対策の概要

個別のソリューションの詳細説明は省略しますが、この中で『SKYSEA Client View』については触れておきたいと思います。前述のとおり、ゼロトラストネットワーク構築における個別ソリューションの選定はSIerに任せていましたが、教職員用端末の運用管理ソフトウェアについては『SKYSEA Client View』を指定させていただきました。

これは、以前に行政の情報システムを担当していた頃の経験が背景にあります。当時既設のクライアント運用管理ソフトウェアが使いづらく、代わって導入したのが『SKYSEA Client View』でした。当時、情報担当になったばかりの職員でも「こうすればいいのかな？」と、おおよその当たりをつければひととおり使えました。それ以降の運用を通じて「経験が浅くても使いこなせるのなら、今後の人事異動で担当が替わっても、同等の運用を継続できる」と確信できたことから、自分たちで教育ネットワークの教職員端末を管理するなら『SKYSEA Client View』が必要不可欠だと考えたのです。

現在は、端末の資産管理や制限設定、操作ログの管理などに活躍しています。例えば先日、重要なデータを保存しているフォルダが見当たらなくなったという問い合わせがありました。すぐに操作ログをたどり、端末操作画面の録画データを確認することで、誤った操作でデータを削除してしまったことを確認し、復旧できました。

そのほか、日常的に利用しているのは［USBデバイス管理者承認］機能です。現在は、まだ新環境の運用が始まったばかりのため、例外的にUSBメモリの使用を認めるケースがあります。しかし、通常はすべてのUSBデバイスを使用禁止しているため、教職員の申請に応じて、一時的に私たち教育総務課が制限を解除しています。こうした運用も『SKYSEA Client View』であれば手間なく行えるので、少人数の体制でも全校のUSBメモリの使用状況が把握できており助かっています。

ゼロトラスト環境が実現し、教職員端末の使用場所に制約がなくなったこと（ロケーションフリー化）により、今後はUSBメモリでのデータの持ち出しは減り、端末そのものを校外に持ち出すケースが増えると予想しています。業務データを紛失しやすいUSBメモリに保存して持ち運ぶより、クラウド上に保存した上で、強固な認証システムによって守られている教職員端末を用いてアクセスする方が、結果的に情報漏えいリスクが低いからです。

万が一端末の紛失等が発生した場合は、リモートで端末操作をロックしたり、重要情報を消去したりといった対応ができます。また、端末に不具合が生じた場合も、端末を［リモート操作］でサポートできるのでトラブル対応にも役立っています。この機能は、二次被害防止のために端末側のネットワーク接続を遮断しても、管理機側からはリモート接続ができる図5ので、被害の拡大を防ぎながら問題に対処できます。当然こうした事故が起きないに越したことはありませんが、万が一のときに、迅速な対応ができる体制を整えておくことが何よりも重要と言えます。

図5端末のトラブル発生時も『SKYSEA Client View』の［リモート操作］で迅速な対応が可能

現在は、まだゼロトラスト環境に合わせた情報セキュリティポリシーの改訂が不十分であることから、学校管理職の認可の下で端末の持ち出しを可能とするという暫定ルールで運用しているため、教職員のテレワークでの活用例は多くありません。しかし、修学旅行に教職員端末を持ち出し、宿泊先で学校ホームページを更新したという活用例もあり、校外活動でできる業務の幅が拡がったとの声が挙がっています。

印刷環境の統一やデジタル採点システムの整備などで校務DXによる教職員の働き方改革へ

今回の整備では、教職員の日常的な課題の解決にも取り組みました。その一つが印刷環境の統一です。本市の学校では、プリンタ、孔版印刷機、コピー機、FAX機などが混在していました。特に、孔版印刷機は1分間に140枚程度の印刷が可能で、定期テストや期初・期末などの大量の印刷物が必要になる時期に欠かせない環境だと考えられていました。しかし、現在の複合機は印刷速度が大きく改善されており、調べてみると1分間100枚程度の印刷が可能な機種もあることが分かりました。これを複数台設置できるのなら、結果的に待ち時間が減らせますし、故障発生時に修理待ちで作業が止まることもありません。さらに機種ごとに必要だった、消耗品管理の煩雑さも解消されます。

この入れ替えに際しては、エプソンのスマートチャージ「アカデミックプラン」を採用し、職員室と印刷室に小学校5台、中学校6台のLX-10050M（各校1台のみFAX機能付きのLX-10050MF）を整備写真1。校長室にはA4プリンタ（PX-S880X）を1台整備し、重要書類を手元で印刷できる環境を整えました。

学校からは、児童生徒に見せる資料や保護者に伝える資料がカラー印刷できるようになったことで「格段に伝わりやすくなった」といった声が寄せられています。

このほか、中学校では自動採点（デジタル採点）システムを導入したことより、定期テストの採点にかかる時間がおよそ70％短縮されたという話も聞いています。このシステムを利用し、校内で答案用紙をスキャンして取り込んでおけば、教職員はどこにいても効率よく採点ができます。また、新装した双方向型保護者連絡システムから送られる欠席、遅刻連絡を校務システムに自動で反映し、電話対応などの労力軽減に繋がっています。次期GIGAスクール構想においては校務DXによる教職員の働き方改革が求められていますので、今後もこうした改善に注力したいと考えています。

悩まれているすべての自治体の皆さまの参考に

大規模な教育ネットワークの更改を終え、今年度（2024年度）はＳｋｙ株式会社と共に、文部科学省の委託事業「生成AIの校務での活用に関する実証研究」に取り組んでいます。また、教育データ利活用の一環として教育ダッシュボードの構築にも着手しました。

教育ネットワークの統合によりデータ連携が容易になったことを踏まえ、『SKYSEA Client View』やSIEM（統合ログ管理システム）のログ、デジタル教材のデータなどを組み合わせたデータ連携基盤ダッシュボードを実現するプロジェクトを発足。Ｓｋｙ株式会社の協力を受けて準備を進めています。現在はその前段階として、教職員の勤怠情報を可視化して働き方改革に役立てるための「勤怠ダッシュボード」の運用を開始しました図6。

図6教育データの利活用に先駆けて作られた、教職員の勤怠情報を可視化するダッシュボード

これらはすべて、今回構築したゼロトラストネットワークを基盤として、その上で展開されるものばかりです。大きな変革はまだ始まったばかりではありますが、今後もこうした取り組みを続けていくことで、児童生徒の学びを支え、教職員の働き方改革を進めていく力としていきたいと考えています。

本市では、今回ご紹介した経験が、現在教育ネットワークの更改などでお悩みを持つ教育委員会の皆さまの参考になればと考えています。「今後の教育ネットワークの在り方について悩んでいる」「ゼロトラスト環境を実現したいが、どうすればよいか分からない」というご担当者様がいらっしゃいましたら、本市がRFPで使用した仕様書をはじめ、各種資料もご提供できますので、気兼ねなく本市へご相談ください。それが日本の公教育が抱えているさまざまな課題を改善する一助となればと考えています。