教育DXを推し進める関西学院、多様なユーザー種別に対応した柔軟な認証基盤としてOktaを採用

ポストコロナ時代に求められる新しい情報基盤

通称「関学」と呼ばれる関西学院は、兵庫県西宮市上ケ原に本部を構え、14学部・14研究科を持つ総合大学である関西学院大学のほか、幼稚園、小学校、中学校、高等学校、短期大学、インターナショナルスクールを擁する学校法人です。米国南メソジスト監督教会の宣教師W.R.ランバス博士によって1889年に創立された当時は、神学部と普通学部（中等教育）から成る生徒19名＋教師5名の小さな学校でしたが、現在は園児、児童、生徒、学生、院生に教職員を加えた総勢3万2000人超の総合学園へと成長。キリスト教主義教育の実践によって、スクールモットーである「Mastery for Service （奉仕のための練達）」を体現する創造的かつ有能な世界市民（世界的課題の解決に挑む、「強さと品位」を持った人間）の育成をミッションとしています。

関西学院ではこうしたミッションの実現と学園のさらなる発展を目指し、創立150周年（2039年）を見据えた将来構想「Kwansei Grand Challenge 2039」を2018年に打ち出し、未来予測にもとづいた超長期ビジョン、長期戦略、それらを実現する中期総合経営計画を策定して、未来に向けて着実に歩みを続けています。超長期ビジョンには教育理念や学校教育、学校経営等のさまざまなテーマが掲げられていますが、その中でも経営上の最重要戦略として位置づけられているのが「DX（Digital Transformation）」です。

人工知能をはじめとするデジタル技術の急速な発展や、新型コロナウイルス感染症拡大の影響による生活様式の変化、また少子化問題などの社会環境の変容といったパラダイムシフトにどのように対応していくか。関西学院では教育・研究・経営の本格的なデジタル化が不可欠と判断し、ITガバナンスの確立や教育・研究の情報化（オンライン化）、業務プロセスの標準化、データの一元管理、デジタル人材の育成や外部資源の有効活用、利便性と両立したセキュリティ強化などを積極的に推し進めています。

こうした関西学院のDX推進の中核を担うのが、2021年度より設置された「情報化推進機構」です。法人傘下の全ての学校における情報環境の戦略構築を担当する情報化推進機構では、教学・業務・基盤の3つの柱から学内のDXを推進しており、2022年12月からは利便性と安全性を両立した学内の情報基盤の刷新を図る「情報基盤整備プロジェクト」をスタートしています。

このプロジェクトが発足した背景には、組織の拡大やコロナ禍によって生じた、ポストコロナ時代に避けては通れない課題がありました。その1つは、"セキュリティリスクの高まり"です。具体的には、「学院配備の業務端末は持ち運びができないため教職員が在宅勤務時に私物端末を使用している」、「私物端末はセキュリティレベルの担保が難しく、情報漏洩の追跡手段がない」、「業務利用が拡大しているクラウドサービスでセキュリティインシデントが発生している」、「新しい個人情報保護法では情漏漏洩時の報告が義務化されて違反に対するペナルティが強化された」といった安全面の課題がありました。

また、もう1つの課題は、"業務のサイロ化とエンゲージメントの低下"です。例えば、「部課やキャンパスの増加に伴って業務のサイロ化と組織の縦割りが起こり、学院横断プロジェクトの進捗不良や担当者内での情報のタコツボ化が発生している」、「オンラインでのプロジェクト遂行において勤務環境の違いによる孤立感や相互の遠慮によるミスコミュニケーションや進捗の遅延、トラブル発生など業務やその出来への満足感の低下を招いている」といった課題です。

関西学院のみならず、多くの日本の学校や企業が同様に直面するこうした課題を解決するために発足したのが「情報基盤整備プロジェクト」であり、関西学院では「業務端末がどこでも使用できること」、「機密性の高い情報が守られること」、「危険なシャドーITを使うことなく、快適に使用できること」、「導入時だけでなく、永続的に安全性が担保できること」、「今後起こるサービスの世代交代にも迅速に対応できること」、「学院構成員全体に波及するエンゲージメント醸成の渦を起こせること」の6つのポイントを重視し、新しい情報基盤の構築にいち早く着手したのです。

多彩なユーザー種別の認証・認可のためにOktaを導入

この情報基盤整備プロジェクトの一環として、関西学院が新たな認証・認可基盤として採用したのが、アイデンティティ管理サービスの「Okta Workforce Identity Cloud」（以下、Okta WIC）です。

「教職員や学生が学校や自宅、外出先などのさまざまな場所から学院サービスに接続するようになると、学校の中だけを守る境界型防御では不十分です。安全性をしっかりと担保するにはVPNを強要するか、新たな認証の仕組みを導入して入口を防御するかのどちらかになりますが、基本的には認証部分できっちりとコントロールするほうがセキュリティ設計はシンプルです。そのために新たな認証・認可基盤を導入することにしたのです」

このように語るのは、情報基盤整備プロジェクトを担当する情報化推進機構の北島大助さん。2010年に関西学院に入職し、大学の学部事務室における5年間の業務を経て、情報化推進機構へ異動。その後、メールやファイルサーバの認証やネットワークなどの情報インフラを担当したあと、現在は10名ほどの職員と力を合わせながら情報基盤整備プロジェクトの先導役を担っています。

北島さんによると、新たな認証・認可基盤を導入するうえで特に重視したのは「さまざまなユーザー種別に対応した認証・認可が行えること」だったと言います。なぜなら、一般企業と比べて教育機関に求められる組織内部の安全設計は非常に複雑だからです。一般企業では、社員のみが対象となり、"業務端末以外では何も行えない"という一律の安全設計が可能ですが、教育機関では1つのテナントの中に職員や教員に加え、一般企業では顧客に当たる学生、さらには教員を手伝う研究員やアルバイト、業務委託の職員などさまざまなユーザーが存在します。

また、教育機関ではユーザーが使用するデバイスも多岐にわたります。職員は高機密データを扱える業務端末に加えて、学内でのさまざまなサポートを行うために別の端末も利用。教員や学生は私用端末からさまざまなデータにアクセスできなければなりません。学内には学生、教職員が共同利用するポータルサイトなども存在するためシステム内部での権限管理も必要となるなど、機密性の高いデータを扱うユーザーやデバイスだけを完全に分離することによる安全設計は非常に困難なのです。

「各サービスのユーザー『認証』は学内のActive Directory（AD）で行っていたものの、『認可』の仕組みがこれまで存在しませんでした。権限管理はADとつながっている各システムに委ねられており、ユーザー認証後にその人がどのようなサービスを利用できるかはブラックボックスだったのです。そのため新しい情報基盤ではそれをしっかりと把握でき、かつ利用者種別と利用データ種別によって適切な権限設定を可能とする高機能な統合認証・認可基盤が必要でした」

これまで関西学院でユーザーにアクセス権限を付与する際はIDM（ID管理システム）を用いて、部署（たとえば情報化推進機構）とユーザーの種別（たとえば、職員）をセットにしたセキュリティグループを作成して対応していました。しかし、このセキュリティグループはオンプレミスのシステムであればADで接続できるものの、クラウドサービスには接続不可。そのため各サービスで手動で権限構築を行っていましたが、ユーザー種別が多様かつ1人が複数のセキュリティグループに所属することも珍しくないため、その作業には時間がかかり、かつ職員の異動時などには漏れの発生や反映の遅延といった課題がありました。

そこで活用したのが、Okta WICの「Lifecycle Management」の機能です。これにより、IDMで作成したユーザーやセキュリティグループをOkta経由でクラウドサービスへ自動でプロビジョニングできるようになり、入職や異動、離職等のユーザーのライフサイクルに合わせたユーザー情報やアクセス権の変更・削除などが容易に行えるようになったのです。Okta WICでは中立性を特徴とする「Okta Intergration Network（OIN）」によって様々なアプリケーションのプロビジョニングが可能であり、この「連携のしやすさ」がOkta WICを選んだ1つの決め手になったと言います。

安全かつスムーズに使える共通認証をOktaで実現

関西学院でOkta WICを導入したもう1つの大きな理由は、教職員や学生向けに提供する学院サービスへのアクセス性の向上と、増加するクラウドサービスに対応するためです。

「たとえばコロナ禍では、機密性の高いデータを保管するオンプレのストレージには業務用ネットワーク内の端末からしかつながらないようにしていました。そして自宅からはVPNを経由して業務用端末にリモートデスクトップで接続するように方針を出していたのですが、遠隔授業用に導入したTeamsを私物端末で利用して業務のやりとりする教職員が出てきました。また、同時に情報部門が関知していないクラウドサービス、いわゆる"シャドーIT"を利用する人も増えていったのです」

そこで、関西学院では共通認証の仕組みをOktaへリニューアル。Oktaの「Single Sign-On」の機能を活用して、ポータルサイト「kwic」やLMSの「Luna」、学生システム（学務システム）、メール、Microsoft 365 Apps、Teams、OneDrive、教材ドライブといった各サービスへシングルサインオン（SSO）できる環境を構築。また、コロナ禍で増加したさまざまなアプリに加え、今回、学生、教職員の利便性を向上させる目的でSlackやBox、Zoomといったクラウドサービスも2024年3月に全学導入。これらもSSOで簡単にログインできるようにしました。

「これまでも学外から利用する際は、Google Authenticator／Google認証システムまたはメールによる2段階認証を行っていましたが、システム利用IDとパスワード入力後に確認コードの入力が必要となるため、ユーザーの利便性は決して高いとは言えませんでした。そこで、Okta WICを使って、多要素認証による安全性の向上を図りながら、同時にSSOによる利便性の向上を実現したかったのです。Okta WICはさまざまな多要素認証を提供していますが、中でもスマートフォンアプリである『Okta Verify』によるプッシュ認証や『Okta FastPass』による生体認証を利用すればパスワードレスでログインできるため、パスワード管理の手間や使い回しによる情報漏洩リスクの低減による安全性の向上と、スムーズに使える利便性の向上を同時に実現できます」

情報化推進機構では、2023年8月16日にOkta WICへの正式切替を実施。大掛かりな認証基盤の変更とあって、あらかじめ詳細な設定ガイドやログインガイドを用意したり、8月1日より先立ってOktaでログインするための初期設定作業（デバイスへのOkta Verifyのインストール・セットアップ方法、プッシュ通知や生体認証の許可等）を行えるようにするなどして、正式切替時の混乱を最小限に留めました。そして現在は、手持ちのPCやスマートフォン、タブレットで初期設定を済ませていれば、教職員や学生はOktaのログイン画面に一度ログインするだけで、再度パスワードを入力することなく、各種のサービスをスムーズに利用できるようになっています。

「指紋をかざしたり、顔を見せたりするだけで簡単にログインできることの便利さは一度体験してもらえれば直感的にわかってもらえると思います。ユーザーの触れる時間を極力少なくできることがOkta WICの美徳であり、また良いインフラシステムに欠かせない条件だと思います」

具体的な認証手段としては、学生等のユーザーに関しては切替時は1要素認証を可能として約半年間の移行期間を設けつつも、全ユーザーで2要素以上の多要素認証を原則とし、Okta WICの「Multi-Factor Authentication」や「Adaptive MFA」の機能を用いて、ユーザーの種別やログインしている場所、ログイン後に利用するシステムによって必要な認証数を設定。スマートフォンやタブレット、PCを利用しているユーザーに対してはOkta Verifyでの認証とデバイスに搭載された顔認証や指紋認証等の組み合わせによる2要素認証を推奨し（デバイスを所有していないユーザーに対しては認証用物理キーを貸与）、教職員が業務用端末から機密性高いデータを扱うシステムへアクセスする際は「Okta Device Trust」の機能を用いてMDMと連携したデバイス認証を追加した3要素認証を必須としています。

「Okta WICを選定した理由の1つがこうした最新かつ幅広い認証要素へ対応していることです。世の中にあるサービスでは最新の認証要素に対応したものの、時代に合わせてアップデートがされないこともあります。その点、Oktaの場合は『Okta Verify』の最新OSへの追従もスピーディですし、『Passkeys』のような最新の認証規格へのキャッチアップも早く、業界をリードしている点が大きな魅力です」

また、Okta WICは「OIN」によって実に7500以上のクラウドやオンプレミスのシステムとあらかじめ統合していることから、今後も欲しい機能に合わせて柔軟かつ容易にサービスを導入できる点にも大きな魅力を感じています。

「これまでの情報基盤でも、いくつかのサービスはSSOでログインできるようにしていました。情報化推進機構の内部では実装できないのでベンダーにお願いしていたのですが、接続するサービスによっては仕様が複雑だったり、問い合わせ対応に時間がかかったりして、1つのサービスプロバイダーをつなぐのに2〜3ヵ月かかることもありました。その点、Okta WICではGUIによってSSOの設定が簡単に行えます。使用するサービスのパラメータをもとに設定することができるため、SSO接続の手続きの高速化・簡便化も実現できました。クラウドサービスを機能単位で導入していくと通常はユーザビリティは下がりますが、今後はOktaが認証のハブとなる形で様々なサービスを1つにまとめることができます」

なお、北島さんによると、Okta WICを導入する際は「稼働率の高さ」も大きな決め手になったと言います。現在Oktaでは世界中のすべての顧客に対して99.99%の稼働率を提供し、ゼロダウンタイムを前提とした「常時稼働」を1つの大きな特徴としています。

「学校では台風や電車の運休停止などのタイミングであってもシステムを止めることができません。これまではSSOが利用できなくなることがあったので各システムに迂回路を設けて、ローカルログインできる経路を設けていました。しかし、ローカルログインは直接ADとつないでID＋パスワードだけで認証を行うため、セキュリティは高くありません。ですから、そうした迂回路を使うことなく、安定して稼働する認証プラットフォームが必要だったのです。そのうえではアップタイム（可用性）が99.9%では十分とはいえませんので、実績ベースで99.99%の稼働率を唯一公表しているOkta WICを選んだのです」

情報基盤プロジェクトの今後と関西学院が目指す本質的なDX

組織の拡大によって生じていた"業務のサイロ化とエンゲージメント低下"という課題や、コロナ禍によって増大した"セキュリティリスクの高まり"という課題を解決するための情報基盤を新たに構築するにあたり、Okta WICを導入することで、安全性と利便性を両立し、多様な利用スタイルに対応した認証・認可の仕組みを整えた関西学院。情報基盤整備プロジェクトは第一段階の「構築・導入」フェーズを終え、これからはユーザー向けのガイドラインやマニュアル、Bot等の整備を行うことで、コラボレーションの活性化やワーカーエンゲージメントの向上など「"関学"で学ぶこと、働くことの魅力や価値」を高めていくフェーズへと突入します。つまり、情報基盤整備プロジェクトのゴールは単なるインフラ整備ではなく、それを通じた「エンゲージメントの醸成」であり、それこそがDXの本質だと北島さんは考えます。

「DXと聞いて、世の中の多くの組織がとりあえずシステムを導入しようとしていますが、それは間違っていると思います。システム導入は手段であって、目的ではありません。DXの目的は、"デジタルにトランスフォームする"ことではなく、"デジタルでトランスフォームする"ことです。そしてトランスフォームするのは"組織文化"であり、それによって"構成員を幸せにすること"が目的です。政治であれ、経営であれ、どんなプロジェクトであれ、最終的には人をハッピーにすることが仕事のモチベーションになっているのではないでしょうか」

最後に、今後の情報基盤プロジェクトの在り方について北島さんに尋ねると、このような答えが返ってきました。

「関西学院に所属する人だけではなく、関西学院に関係のあるすべての人に"良い影響"を与えていきたいです。"良い影響"とは、Goodの影響もありますし、Badな影響を与えないことも含まれます。安全な情報基盤を設計するのは、回り回れば人の幸せのため、不幸を作らないためです。現在は、意図せずにデータが漏洩して被害者になることもあれば、加害者になることもあります。ですから、そうした事態を招かないためにも適切なツールの導入は必須ですが、それを苦労して手にいれるのでは嬉しくありません。『"安全性"と"利便性"を融合した情報基盤の要』を簡単に手に入れられることがOkta WIC導入の最大のメリットだと思います」