豊島区 教育委員会事務局様

豊島区役所の教育委員会は、区内にある学校での情報漏えい事故を防ぐため、これまで様々な施策を打ってきた。その一環として学校の教職員が使っているパソコンは一般ユーザー権限しか与えられておらず、USBメモリを使ったデータのやりとりは禁じられていた。しかしこの方法では、業務における利便性が損なわれてしまう。そこで同区役所では、この状況を打破してセキュリティと利便性の両立を実現するため、DeviceLock(デバイスロック)を導入した。

豊島区 教育委員会事務局の導入前の課題と導入後の効果

導入前の課題

セキュリティ強化の一環とはいえ、USBデバイスの使用禁止で一般ユーザー権限のパソコンでは、セキュリティ機能付きのUSBメモリも利用することができず、業務における利便性が低下していた。

導入後の効果

DeviceLockで庶務課が支給するUSBメモリだけ、利用可能に設定することで、一般ユーザー権限のパソコンでもセキュリティを確保しつつ、USBメモリを利用した業務運用が可能となり、利便性が向上。

学校現場のICT事情 庁内ネットワークの配下に各校のICT基盤を集約

一般企業同様、小学校や中学校などの学校現場でも、ネットワークやサーバーといったICT基盤が構築されている。ICTは便利な技術ではあるが、使い方を間違えると、大きな被害が生じる可能性がある。例えば、個人情報漏えいなどはその最たる例と言えるだろう。学校現場におけるICT基盤の管理については運用管理負荷が大きな課題となっており、その課題を解決するため、学校現場のICT基盤の管理・運用を教育委員会が一元的に行うケースが出始めている。

 豊島区では2013年度に、これまで個別に構築してきた校務用のネットワークを庁内ネットワークの配下に集約し、その運用については教育委員会が一元的に管理することになった。同委員会では、情報漏えい事故を防ぐための策として、書き出し権限を持たない端末からは外部メディアへの書き込みなどを行えないという制限を設けている。これにより、学校現場はICT基盤の運用・管理から解放されるだけでなく、これまでまちまちだったセキュリティレベルを一定レベルで保つことができるようになった。

セキュリティレベルの向上と利便性のギャップ 両立への課題とは

このように、教育委員会の管理によってセキュリティレベルは向上したが、新たな課題も生まれた。 書き出し権限を持たない端末からは外部メディアへの書き込みが不可能となったため、物理的に分けている教育用ネットワークとデータのやりとりが困難になった。つまり、校務用ネットワークで作成したデータを教育用ネットワークで共有することが、事実上できなくなってしまった。これでは、学校現場作業の効率に大きく影響してしまう。そこで教育委員会では情報漏えいの防止を考慮して、セキュリティ機能付きのUSBメモリに限り利用を許可するようにした。

 豊島区・教育委員会事務局・教育部・庶務課・庶務担当係長(教育政策担当、学校ICTグループ)の入澤昌利氏は、これについて「私物のUSBメモリなどを使うとウイルスに感染する危険性があるため、これまでも、学校長が許可した記録媒体以外を使わないように運用を徹底してきました。とはいえ、実際の学校現場での状況を正確に把握することはできません。そこで、セキュリティ機能付きのUSBメモリ以外の利用を禁止し、セキュリティレベルを向上させようと考えました」と説明する。

 これにより学校現場作業の効率はアップしたが、別の課題にぶつかった。豊島区の場合、情報漏えいを防ぐために、一般ユーザー権限のパソコンに多くの制限を設けている。そのため、セキュリティ機能付きのUSBメモリを使うには、より多くの権限を持つパソコンを使用する必要があった。ところが、そのパソコンは各校に数台程度しか配置していないため、教職員が自由に使用することができなくなってしまい、再びセキュリティと利便性の両立について検討しなければならなくなった。

豊島区 教育委員会事務局
教育部 庶務課 庶務担当係長
(教育政策担当、学校ICT グループ)
入澤 昌利 氏

豊島区 教育委員会事務局
教育部 庶務課 学校ICT グループ
政策経営部 情報管理課 基盤グループ
畑 奨 氏

一般ユーザー権限の端末でも外部デバイスのアクセス制限を実現

この課題を解決するため、豊島区では、デバイスからの情報漏えい対策を行うDeviceLockを導入することにした。DeviceLockは、USBメモリやフロッピーディスク、CD-RといったUSB外部デバイスのアクセス権限を、ユーザーごとに細かく設定できるセキュリティソリューションである。DeviceLockの「USBホワイトリスト」機能を使えば、USBメモリに付与されているベンダーIDやプロダクトID、シリアルナンバーをもとに、特定のデバイスのみアクセスを許可することができる。仕組みはシンプルだが、導入効果の高いソリューションとして市場からの評価が高い。そこで同委員会でも、この機能を利用してセキュリティと利便性の両立を図ろうと考えた。
 その結果、「DeviceLockを導入したことで、一般ユーザー権限のパソコンでも安全にUSBメモリを使うことができるようになりました」と豊島区・教育委員会事務局・教育部・庶務課・学校ICTグループ・政策経営部・情報管理課・基盤グループの畑奨氏は語る。ここでようやく、長く取り組んできた課題に終止符を打つことができた。

Active Directoryとの連携で管理・運用工数も大幅に削減

しかし、DeviceLockの導入効果はそれだけではなかった。DeviceLockは管理サーバーを立てずに運用できる上、Active Directoryと連携することで、グループポリシーによって一元的な管理が実現できる。「Active Directoryを使ってユーザーを管理したところ、DeviceLockに導入後、すぐに一元管理できるようになりました。これにより、これまでブラックボックスだった学校現場が、適切に管理できるようになりました。管理画面も非常にわかりやすいため、簡単に操作できて助かります」と畑氏は語る。
 今後の展望としては、「管理サーバーを立て、それぞれのクライアントPCの状況を把握したり、監査ログを取得したりすることで、クライアントPCのモニタリング環境も構築していきたい」(入澤氏)とのこと。
 DeviceLockは管理サーバーがなくても導入・運用することができるが、管理サーバーを構築することで、クライアントPCから持ち出されたデータやプリンターから出力した画面イメージのミラーリングや保存ができるようになる。それらのデータを見ることで、システム管理者はどのようなデータが持ち出されたのかを把握できるだけでなく、セキュリティの向上や内部統制の強化にも活用することができる。このように、ニーズに合わせてさまざまな利用ができるのがDeviceLockのメリットと言えるだろう。
 記録媒体の使用に課題を持つ企業や団体にとって、今回の豊島区の事例は大いに参考になるはずだ。

DeviceLockのActiveDirectory連携機能

DeviceLockはActiveDirectoryのグループポリシーで管理ができます。DeviceLockをActiveDirectoryで一元的に管理することで、アクセス許可の管理、ソフトウェアの配布は大規模ネットワーク上でさらに容易になり、システム管理者の負荷を大幅に軽減することができます。

豊島区 教育委員会事務局

所在地 東京都豊島区南池袋2-45-1
人口 280,228 人(H27.10.1 現在)
区立小学校数 22校
区立中学校数 8校
URL http://www.city.toshima.lg.jp/