事例：Account@Adapter+で県立学校すべての認証基盤を構築

岡山県総合教育センター 副参事
原田 幸浩 氏

　岡山県のほぼ中心部に位置し「岡山県のへそ」といわれる吉備中央町の一角に施設された岡山県総合教育センター。近隣にはアカマツ、ヤマツツジ、コバノミツバツツジといった美しい樹木が生い茂り、絶滅危惧種の野鳥・ブッポウソウも飛来する豊かな自然が広がっている。

　岡山県総合教育センターは県内の教育の充実と発展を担っており、主な業務は ①県内の小・中・高校と特別支援学校、幼稚園（一部）の教職員の能力向上を目指す「研修講座」 ②教育に関する「調査研究」 ③時代に即した教育の指導・助言を行う「学校支援」 ④不登校やいじめなどの相談を受け付ける「教育相談」 ⑤教育関連図書の収集やWebによる情報発信を行う「教育情報の収集および提供」の五つだ。多い時では毎日のように研修が行われており、県内各地から多くの教職員が訪れるという。

　岡山県では、県内全域を10Gbps・IPv6の高速・大容量光ファイバーで結んだ、独自のWANである「岡山情報ハイウェイ」を整備しており、県内の県立学校は全て接続されている。ハイウェイに接続された県立学校では、この中に教職員が利用する業務システムにつながる校務系、インターネットを利用するための校務外部接続系、児童・生徒の授業などに活用するための学習系などのネットワークを構築している。岡山県総合教育センターでは、県立学校において必要となるネットワークの一元管理を行っているが、かつてはそこに課題があったという。

　「各学校には独自に構築された校内LANが存在するのですが、センター側では末端までサポートできませんでした」と、岡山県総合教育センター原田 幸浩氏は当時の悩みを語る。外部からの不正侵入から情報資産を守ろうというセキュリティの観点から、校務系の校内LANにも学校独自にルーターなどを設置していた場合があったというのだ。

　「何かトラブルが発生した際に、センターで機器の状態が把握できない状況になっていました」と原田氏は当時を振り返る。また、従来のネットワークはポートベースのVLANで構築されており、端末の増設時には配線の追加や挿し替えが必要だったという。

　「学校ではしばしば改修工事による部屋の転用を行っており、そのたびにLANケーブルを手作業で抜き挿ししていました。学校の先生方はネットワークの専門家ではないので、このような作業での負荷が大きくなっていたのです」（原田氏）。

　「岡山県では、総務省のガイドラインにより自治体ネットワークの強靭化に対応しネットワーク分離に対応していました。さらに文科省から教育情報セキュリティポリシーに関するガイドラインが公表されたことから、双方バランスのとれた、われわれにとって一番よいネットワークについて検討を始めました」と、岡山県総合教育センター 主事 渡邉 孝治氏は言葉をつなぐ。

岡山県総合教育センター 主事
渡邉 孝治 氏

　原田氏と渡邉氏は、教育分野に特化した展示会を視察するなど精力的に情報収集に努め、さまざまな方法を検討したという。

　「ネットワーク分離時に導入されたVDI（仮想デスクトップ）は限られた機能しかなく、教職員向けの独自VDIなども考えましたが、センターから一元管理ができ、費用対効果を考えると認証システムの導入が良いという結論に至りました」（原田氏）。

　そこで選ばれた機器はエイチ・シー・ネットワークスのAccount@Adapter+だった。この製品の気に入った点としては「柔軟性の高さです。管理を楽にしたいという目的に沿って認証情報の登録を行うためのインターフェースが充実しており、柔軟にカスタマイズできる点が良いと感じました」と原田氏は語る。さらに「DHCPサーバーとしての機能も内包されていること、VA（仮想アプライアンス）版がある点も惹かれました」と続ける。別のDHCPサーバーを構築する必要がなく、またVA版には物理的な筐体がないため限られたサーバースペースに設置できる点にメリットを感じたのだという。

　新しいシステムの概要は、約半年の検討期間を経て2017年の9月に決定。2018年6月から構築をはじめ、2カ月後の8月には稼働をはじめた。県内の県立学校すべてをつなぐ大規模ネットワークの更改だが、移行はうまくいったのだろうか。渡邉氏は、当時を振り返って「拍子抜けするほど、スムーズに導入できました。切り替わったことがわからないくらいでした」と笑みをこぼす。

　新しいシステム導入後、大きく変わった点は、教員のPC利用シーンだという。通常、教員の机上にある校務用PCはインターネットに接続されていない。これは、教育情報セキュリティポリシーに関するガイドラインにも則ったもので、校務系ネットワークと校務外部接続系ネットワークは物理的、または論理的に分離する必要があるからだ。そのためインターネットで情報を得たい場合は、校務用PCで利用する仮想ブラウザか、特定のインターネット接続用PCからアクセスするしかなかった。

　「学校にはインターネット接続用PCの置かれた専用の席が用意されていました。席には限りがあるので、先生方は交代で使っていたのです。資料もその席へ持参して作業をするなど、ご苦労をされていたようです」と、原田氏は当時を回顧する。

　しかし新システム導入後は、インターネット接続用PCを自席に持ってきてLANケーブルを挿し変えるだけでインターネットを利用できるようになった。接続された端末の情報をAccount@Adapter+が照合し、DVLAN（ダイナミックVLAN）によって自動的にしかるべきネットワークへ接続されるからだ。自席のLANケーブルに校務用PCを接続すれば校務系ネットワークへつながり、インターネット接続用PCを接続すれば校務外部接続系ネットワークへとつながるのだ。これにより、セキュリティの確保と教員の業務効率向上を同時に実現した。

　また、端末にはすべて固定IPアドレスが払い出されている。Account@Adapter+が、登録された端末と固定IPアドレスをひも付け、払い出しているのだ。この理由について原田氏は「インシデント時に端末を特定しやすくするためです」と語る。従来はDHCPサーバーによって動的にIPアドレスが払い出されていたため、ネットワーク上でインシデントが起きた際に端末を特定することが容易ではなかった。新システムではIPアドレスごとに端末を特定できるので、インシデントが起きた際に素早い対応が可能となったのだ。

　端末の登録方法も進化した。従来は、学校ごとに購入した端末の情報を提出してもらい、センターで一括登録するフローだったため時間もかかっていたという。新システムでは、Account@Adapter+のユーザーツールを利用した端末情報登録ポータルを整備し、各学校のセキュリティ担当教職員が直接登録できるようになっている。これによって、教育センター側での登録作業は大幅に減り運用の負担は減少したという。

　現在、Account@Adapter+で管理している端末は、69校71拠点の約8900台にも上るが、コスト面でのメリットはあったのだろうか。システム導入前は前述した通りポートベースのVLANだったため、端末やスイッチの移設・増設時には設計変更などの作業が発生しコスト面での負担が大きくなっていました。

　渡邉氏は「ポートベースVLANの場合、スイッチの増設にはさまざまなコストがかさみます。新しいシステムは認証を基にしたDVLANなので、最小限のコストで拡充できることを実感しています」とコスト面のメリットを語る。もちろんコスト面だけではなく、利用者する教職員の負担軽減とセキュリティの確保とのバランスがとれたシステムといえる。

　岡山県総合教育センターの管理するネットワークは、教育に時代に即したIT機器の、迅速な導入も可能となり、これからもますます県内の教育の質を上げていくことだろう。