【G Suite「なしだいふぞくオンライン」導入】6.セキュリティ・管理・運用について
<セキュリティ・管理・運用について>
セキュリティ面については、一番時間をかけて検討しました。また現在も検討中の課題も存在します。
学校には様々な個人データが存在し、全てをクラウド上に保存して活用するのではなく、データの種類によって保存場所や活用場所を検討しました。
・Gスイートのクラウド上・・・授業・生徒のレポートに関わるデータなどの保存
・学校内のNAS(学校敷地内LAN内でかつ職員しかアクセスできないサーバー)には成績や写真などの個人データと保存場所の使い分けを行っています。これは、クラウド上のデータ保存もセキュリティの高さを理解はしているが、更にセキュリティに配慮した使用方法の使い分けとなります。
以下のように、Gスイートの管理者(Administrator)の場面では様々な初期設定からユーザー設定、ディレクトリ設定ができる。実際に教諭の先生方が設定を行うことはないが、管理者としてはこのページの設定が一番時間がかかる場面だと思われます。
G Suite for Education 導入に向けたセキュリティ・管理・運用チェックリスト
【学校導入に関わり足りない項目もあるかと思いますが参考までに】
1.ドメイン作成【管理者・教育委員会】
□ G Suite for Education を申し込むためのドメインを所有している
□ ドメインの所有権を教育委員会で保持している
□ 所有権の設定作業を教育委員会で行うことができる。もしくは、作業指示を行うことができる
□ ドメインを所有していない場合、ドメイン名が決まっている。申請の準備が整っている
□ G Suite for Education の申込が完了している
□ ドメイン所有権の確認をした
2.管理者【管理者・教育委員会・学校内管理者】
(1)組織に関して【管理者・教育委員会】
□ 組織の設計イメージがある
□ それぞれの学校を別々の組織とする
□ 全ての教員を1つの組織とする
□ 入学年度単位で全ての生徒を1つの組織とする
(2)管理権限と役割に関して【学校内管理者】
□ 各組織の管理者を選定し、設定内容が確定している
□ 各校の担当者に付与する権限と役割
□ ユーザー作成、変更(*教頭アカウントなど限定推奨)
□ ユーザーのパスワード変更
□ グループ作成(*教頭アカウントなど限定推奨)
□ サポート問い合わせ(*ICT 担当アカウントなど限定推奨)
□ パスワードリセットの役割とルールが決まっている
□ 異動の際のユーザー移行・データ移動方法を検討したか
□ ユーザー作成のスケジュール設定と日程確保
(3)管理設定と外部サービス連携に関して【管理者・教育委員会】
□ フィルタリングの設定を検討した
□ セーフサーチ、ホワイトリスト、ブラックリストの有効化
□ シングルサインオンを利用するか
□ 管理者アカウントの認証方法の検討
(4) 運用開始前に検討すべきこと【学校内管理者】
□ 導入完了後の教員研修を計画したか(全教員用、ICT 担当者用、推進教員用)
□ 運用開始以降、各教員が学習できる仕組みを用意している
□ 運用中のトラブル解決フローが決まっている
□ 運用中のプロファイル等のアップデートルールが決まっている
3.ユーザー【学校内管理者】
(1)ユーザー作成の際に考慮すべきこと【学校内管理者】
□ アカウントの利用者が決まっている
□ アカウントの命名規則が決まっている
□ パスワードの設定規則が決まっている
□ アカウントの作成者と作成タイミングが決まっている
□ 次年度以降の作成ルールが決まっている
□ 利用者へのアカウント / パスワードの配布方法が決まっている
□ 保護者の許諾をとるか方針が決まっている
(2)アカウント配布前にできる事前設定【学校内管理者】
□ 予め作成しておくグループが決まっている
□ 作成するグループの命名規則が決まっている
□ 予め Classroom のクラスを作成し、アカウント登録を行うか
□ Classroom の教師設定を事前に行うか
□ Classroom の保護者機能を利用するか
□ アカウントとパスワード配布の方法と
□ 情報モラル教育との連携
(3)ユーザープロファイルに関する設定【学校内管理者】
□ 児童生徒が利用可能なアプリの選定
□ 拡張機能の選定
□ Android アプリの利用可否
□ Chrome ブラウザの設定
□ ブックマークの設定
□ ログイン後の初期画面の設定
□ 初回導入設定後に追加設定する際の申請フローができている
4.Chromebookを導入する場合【学校内管理者】
(1)デバイスプロファイルに関する設定
□ 指定したドメイン以外のログインを禁止するか
□ ゲストユーザーのログインを許可するか
□ ログイン時のドメインのオートコンプリートを有効にするか
□ ユーザーがログアウトした後に、ローカルのデータを消去するか
□ USB デバイスの利用を許可するか、ホワイトリスト設定をするか
□ OS アップデート更新のルールを設定しているか
□ ネットワーク帯域幅の使用量をデバイスごとに設定するか
□ 初期化後に強制的にドメインへの自動再登録をするか
(2)Chromebook の運用に関して【管理者・教育委員会】
□ 学校備品以外の私物端末の校内利用の方針が決まっている
□ 故障時の代替機運用方法が決まっている
□ 充電保管庫の充電 / 保管場所が決まっている
□ 校内での貸出ルールが確立している
(3)ネットワーク環境【管理者・教育委員会】
□ Chromebook を利用する場所は具体的に特定されていて、
その場所のネットワーク環境の現状を確認できている
□ プロキシーやウェブフィルタリングの利用検討をしたか
□ G Suite for Education が使用するポートが開放されているか
□ 十分な帯域の確保が確認できているか
□ 標準的なユーザー: 0.2 - 0.5 Mbps 以上
□ HDハングアウト等を使用するユーザー: 1 Mbps 以上
□ HD動画ストリーミングを使用するユーザー: 4 Mbps 以上
□ 既存のネットワーク環境で Chromebook が動作可能か確認している
G suite for Educationの管理者のみがアクセスできる管理画面
■オンラインで一括管理が可能
教育の現場でICTを活用する場合、アカウントの管理はもちろんのこと、コンピューターやタブレットなどの端末の設定、セキュリティ対策、利用アプリの配布、トラブル時の対応など、さまざまなことを考慮し、管理を行う必要があります。本来、こうしたICT管理は、利用する端末すべてに設定が必要なほか、定期的にアップデート作業が発生するなど、大変労力が必要でした。しかし、Google が提供する chromebook 端末や G Suite for Education は、管理コンソールを介したオンラインでの一括管理が可能です。ICT管理業務の効率化が可能になるため、管理者の負担が大幅に軽減します。
■役割に応じた権限の設定
管理コンソールにアクセスできるのは、管理者権限を持つアカウントだけです。管理者には、すべての設定や管理ができる特権管理者のほか、ユーザー管理者やグループ管理者といった一部の設定や管理だけを行える役割が用意されており、複数のユーザーで分担して管理業務ができます。 また、独自で管理者の役割を作成し、ユーザーに割り当てることも可能です。 標準で用意されている権限やカスタマイズした役割を自由に組み合わせできるので、学校のポリシーに沿った柔軟な運営ができます。管理者権限のほか、ユーザーに管理者権限を付与する方法もあります。
■管理コンソールでできること
管理コンソールでは主に、ユーザーのアカウント管理、グループアドレスの管理、各種アプリの有効化と無効化、施設や教室·備品の登録設定を行うことができます。 例えば新入生が入ったときは「アカウントの設定·付与」 を行う形で、アカウント管理を実施します。「パスワードを忘れた」 「ログインできない」といった個別の相談にも対応できます。 またメーリングリストやグループアドレスの設定·削除ができるので、 「新規作成したい」「登録者を変更したい」といった声にも迅速に対応できます。 グループ別に活用できるアプリを選別したり、特定サービスの無効化を設定したりすることも可能です。
参考出典
・「できるGoogle for Education」株式会社インプレス 2020年6月11日
・G Suite for Education 教育委員会導入チェックリスト
・クイックスタート IT 設定ガイド Chrome デバイス管理の概要
yamanashi.ac.jp