東京都立工業高校 ー 教職員ネットワークと教室ネットワーク間の安全な橋渡し

大学進学を重視し、日本および世界の工業界を支え、リードする人材の育成に力を入れている工業高校。学業だけでなく学校行事や部活動にも注力し、生徒が学校生活を豊かに過ごせるように学校運営を行っています。また、海外の学校や協力組織との活発な交流や海外修学旅行などの体験を通して、国際感覚の理解にも積極的に取り組んでいます。

導入前の課題

この学校では、授業・校内活動用で生徒も接続可能な「教室系ネットワーク」と、教職員が業務に使用する「教職員系ネットワーク」の2つのネットワークを構築しています。この2つは、学校データや個人情報の保護の観点から互いに接続できないように物理的に分離されています。

しかし、このネットワーク分離は、情報保護のセキュリティ性を高める一方、別のセキュリティリスクを顕在化させ、さらに業務効率の低下を招く結果となっていました。

工業高校の特性上、授業でPCを使用するケースがたくさんあります。教職員は、授業に必要な準備を行うとき、教室系ネットワーク内のファイルサーバーに教材データを登録します。しかし教職員系ネットワークに接続されている職員室の端末PCからは直接登録することができず、作成したファイルをメディアに書き込んで、ファイルサーバーが設置されているコンピュータルームに持参する必要がありました。生徒の提出（保存・アップロード）した課題成果物のチェックや、生徒へのフィードバック業務も同様に教室系ネットワークと教職員系ネットワークの壁を越えたデータの往来を伴います。

データを書き込んだメディアを持ち歩くことは、メディアの紛失によるデータ流出事故のリスクをともないます。また、授業時間中に忘れたデータを取りに職員室まで往復するのは、純粋に時間の無駄でもあります。

折しも授業でのPCおよびタブレット端末の利用が増えてきていおり、教室系ネットワークのファイルサーバー内のデータを、タブレット端末およびPCでファイル共有するシステムの導入が検討されました。この際、教室系ネットワークと教職員系ネットワークとの間に、「橋を架ける」しくみの構築も同時に可能になるような製品への期待がありました。

システムイメージ

教職員系ネットワークにあるSSL証明書をインストールした端末から、インターネット接続で教室系ネットワークに接続します。証明書が認証されるとFileBlogに接続できます。ほかの端末への接続は遮断されています。

FileBlogに決めたポイント

教室系ネットワークと教職員系ネットワークは完全分離され、それぞれ独立にインターネットに接続されるというIT運用のルールがあるため、インターネットを通じてネットワーク間を安全に中継できるようなソリューションを探したところ、Webブラウザからファイルサーバーに接続できるようにする「FileBlog」に行き当たりました。

セキュリティ面においては、アプライアンスサーバー型のプライベート認証局を用いて、暗号化通信と端末認証を行うこととなりました。インターネットからの接続が許可されるのは、予めSSLクライアント証明書を配布された登録済の端末PCに限定され、不特定な端末からの接続を排除できるため、教職員系ネットワークからも安全に教室系ネットワークのファイルサーバーに接続できるようになります。

導入後の効果

制約の多い中、「FileBlog ＋ プライベートSSL認証局」という組み合わせで、分離されたネットワーク間の橋渡しが安全にできるようになりました。FileBlogを利用することで、職員室から教室系ネットワークにあるファイルサーバーに接続できるようになったため、業務中にわざわざコンピュータルームへ行くことが激減し、業務が効率的になりました。認証システムにより接続できるPCは限定され、通信も暗号化されているため安全に利用できます。USBメモリなどのメディアにデータをコピーして持ち歩くことはなくなり、情報漏えいリスクが低くなりました。

安全な接続のために採用したFileBlogですが、利用してみると実用的なことがわかりました。検索機能はとても便利で、全生徒が使用しているファイルサーバーの中から目的のデータを素早く見つけることができます。文書データは実ファイルを開くことなくプレビュー機能で直ぐに内容を閲覧でき、コメントを投稿することもできます。

PCで作成した文書がスマートデバイスでも利用できるため、当初の目論見どおり、授業でのタブレット活用も実現されました。