翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ユースケースの例
さまざまなシナリオにおけるこれらの原則の適用をよりよく理解するために、いくつかのユースケースの例について説明します。これらのユースケースは、実際の教育機関がクラウドサービスを導入している方法に基づいています。
+ [仮想コンピュータラボ](virtual-labs.md)
+ [学生の成功の予測](student-success.md)
+ [ID フェデレーションとシングルサインオン](identity-sso.md)
+ [研究コンピューティングにおけるクラウドでのバースト](cloud-bursting.md)
# 仮想コンピュータラボ
ウェブベースの学習ツールが広く利用され、ラップトップ、Chromebook、タブレットなどのユーザーデバイスが豊富にあるにもかかわらず、ほとんどの教育機関では、リソース集約型やレガシーアプリケーション向けに物理的なコンピュータラボを維持しています。こうしたコンピュータラボは、科学、技術、エンジニアリング、数学 (STEM)、キャリアと技術教育 (CTE)、メディアとアート、エンジニアリングなどのカリキュラムで必要とされています。学校は、クラウドベースの仮想デスクトップやアプリケーションストリーミングサービスを活用することで、物理的なコンピュータラボを拡張または置き換え、すべての学生が、いつでも、どこからでも、あらゆるデバイスで必要なアプリケーションにアクセスできるようにできます。これにより、デジタルの公平性が向上し、リモート学習が可能となり、一貫したユーザーエクスペリエンスと安全なリモートアクセスを確保しながら、コストを削減できます。
初等および中等 (K12) 教育では、多くの米国の学校がフルマネージド型のデスクトップおよびアプリケーションストリーミングサービスである [Amazon WorkSpaces Applications](https://aws.amazon.com/appstream2/) を使用して仮想コンピュータラボを提供し、Adobe Creative Cloud、Autodesk ソフトウェア、Project Lead the Way (PLTW) などの STEM および CTE カリキュラムへのアクセスを提供します。また、多くの K12 組織では、SaaS アプリケーションである Google Workspace と Google Drive を利用して、学生のシングルサインオンとファイルストレージをすでに管理しています。これらの機関は、SAML 2.0 フェデレーションを通じて Google Workspace と WorkSpaces アプリケーションの間でシングルサインオンを設定できます。また、学生が既存のストレージを使用できるように、WorkSpaces アプリケーションと Google Drive 間のネイティブ統合を設定することもできます。次の図は、このユースケースの WorkSpaces アプリケーションのデプロイを示しています。
![\[仮想コンピュータラボでの Amazon WorkSpaces アプリケーションの使用\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/virtual-computer-lab.png)
このアーキテクチャは、次の推奨事項に従います。
+ **プライマリの戦略的クラウドプロバイダーを選択します。**このアーキテクチャでは、1 つのプライマリクラウドプロバイダーのクラウドサービスを使用します。同じプロバイダーでホストされていない SaaS アプリケーションとの統合が含まれていますが、これらの統合は簡単な設定で実現できます。クラウドに関する専門知識とスキルセットは、プライマリクラウドプロバイダーのサービスをデプロイおよび管理するためにのみ必要です。
+ **SaaS アプリケーションと基盤クラウドサービスを区別します。**Google Workspace と Google Drive は AppStream 2.0 と同じクラウドプロバイダーでホストされていませんが、このデプロイでは必要な統合が行われているため問題ありません。シングルサインオンにより ID 管理を一元化でき、SAML 2.0 を使用して安全に設定できます。学生の永続クラウドストレージを有効にするには、Google Drive と WorkSpaces アプリケーションで簡単な設定変更が必要です。
+ **各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立します。**このアーキテクチャで使用されているサービスと統合は、機関のセキュリティとガバナンスの要件を満たすのに役立ちます。ストリーミングトラフィックは暗号化されます。Google Workspace を使用したフェデレーションにより、ID 管理を一元化できます。[Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/) などのネットワークサービスは、サブネット、ルーティング、ファイアウォールの設定に対応しています。DNS 設定、エージェント、仮想アプライアンス、または Amazon Route 53 Resolver DNS Firewall などのマネージドサービスを使用して、コンテンツをフィルタリングできます。などのサービスを使用すると[AWS Control Tower](https://aws.amazon.com/controltower/)、WorkSpaces アプリケーションをホストする AWS アカウントが標準の組織ガードレールとコントロールに準拠していることを確認できます。
+ **可能な限り、かつ実用的であれば、クラウドネイティブのマネージドソリューションを採用します。**WorkSpaces アプリケーションは、デスクトップおよびアプリケーションストリーミング用のマネージドサービスです。サーバーのプロビジョニング、スケーリング、保守を気にすることなく、デスクトップとアプリケーションをストリーミングできます。アプリケーションをインストールし、適切な ID、ネットワーク、ストレージソリューションを接続して、それらのアプリケーションを一元管理し、ユーザーにストリーミングします。これにより、自前の仮想デスクトップストリーミングソリューションを管理する際に必要となる未分化の手間のほとんどを省けます。
# 学生の成功の予測
米国中西部のある大学は、新入生にとっていくつかの重要なアクティビティが、最初の学期での成功と学位取得の両方を予測するうえで高い予測力を持つことを発見しました。この大学は、これらのアクティビティの完了を監視するシステムを導入し、主要な期限が近づいたり過ぎたりした場合には、学生にこれらのステップを完了するように促したいと考えました。
SaaS 学習管理システム (LMS) のデータは、このソリューションの重要な入力でしたが、そのデータは、大学の IT チームが使用するデータウェアハウスツールではアクセスと処理が困難であることが判明しました。さらに、学生へのメッセージは、学校のクラウドベースの顧客関係管理 (CRM) システムを通じて送信する必要がありました。機能的なソリューションを構築し、学生へのプロンプトの有効性を評価するために、大学は CRM を通じてメッセージを送信し、そこからデータを収集する必要がありました。
大学はソリューションを開発し、単一のクラウド環境にデプロイしました。このソリューションは、クラウドネイティブのマネージドサービス、プロビジョニングされたクラウドサーバー、オンプレミスシステムおよびクラウドベースの SaaS アプリケーションとの統合を組み合わせたものです。次の図に示すように、このソリューションは学生情報システム (SIS)、LMS、CRM からデータレイクにデータを取り込みます。この取り込んだデータを使用して、重要なアクティビティを実行できないおそれがある学生を特定し、CRM を通じてその学生にメッセージを送信して、大学のリーダーシップにダッシュボードを提供します。
![\[学生の成功を予測するシステム\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/student-success.png)
このアーキテクチャは、次の推奨事項に従います。
+ **プライマリの戦略的クラウドプロバイダーを選択します。**大学の戦略的クラウドプロバイダーが、デプロイされたソリューション全体をホストしています。これにより、IT スタッフとビジネススタッフは、統合された単一のクラウド機能セットでスキルの開発に集中できます。
+ **SaaS アプリケーションと基盤クラウドサービスを区別します。**大学は、SaaS アプリケーションとコアクラウド分析サービスを区別し、SaaS アプリケーションとの統合を使用してデータを収集し、適切な通信を開始します。
+ **各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立します。**大学は、学生データを適切に処理するために、転送中および保管中の暗号化を含むガードレールとコントロールを適用することで、アーキテクチャのすべてのコンポーネントの安全性を確保します。
+ **可能な限り、かつ実用的であれば、クラウドネイティブのマネージドソリューションを採用します。**クラウドネイティブのマネージドサービスは、データインジェスト、ストレージ、データベース、抽出、変換、ロード (ETL) 機能に使用されるため、エンドツーエンドのデータ処理ワークフローの開発時間を短縮できます。
# ID フェデレーションとシングルサインオン
コアシステム全体で一貫した ID 管理を確保することは、あらゆるテクノロジーを効果的かつ安全に採用するための鍵です。教育機関では、ID 管理を簡素化し、運用上の負担を軽減し、多要素認証や最小特権アクセスなどのベストプラクティスを一元的に適用するために、[AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/)、Microsoft Entra ID (旧 Azure Active Directory)、Okta、JumpCloud、OneLogin、Ping Identity、CyberArk などのクラウドベースの ID およびシングルサインオンソリューションを導入するケースが増えています。
これらの教育機関の多くでは、オンプレミス環境向けに Active Directory や Shibboleth などの ID 管理とディレクトリサービスを引き続き運用しています。これらのサービスはクラウドベースのソリューションと統合することで、学生、教員、スタッフの一元化された ID 管理とシングルサインオンが可能になります。クラウドソリューションプロバイダーには、クラウド ID プロバイダーを介して、既存のアプリケーション、SaaS ソリューション、クラウドサービスに ID をフェデレーションできる、堅牢で統合が容易な ID 管理プラットフォームが求められます。次の図は、アーキテクチャの例を示しています。
![\[Identity management flow from on-premises systems to AWS のサービス via cloud identity providers.\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png)
このアーキテクチャは、次の推奨事項に従います。
+ **プライマリの戦略的クラウドプロバイダーを選択します。**このアーキテクチャでは、プライマリクラウドプロバイダー AWS として を使用します。このアーキテクチャは、クラウド ID プロバイダーとオンプレミスの既存の ID 管理およびディレクトリサービスと統合することで、プライマリクラウドプロバイダーのサービスと、他のアプリケーションや SaaS ソリューションの両方へのアクセスの自動プロビジョニングと管理をサポートします。これにより、機関のテクノロジーポートフォリオにより多くのアプリケーションとサービスが追加されていくにつれて、セキュリティとガバナンスの要件を一貫性をもって管理しやすい方法で満たすことができます。
+ **SaaS アプリケーションと基盤クラウドサービスを区別します。**このアーキテクチャは、複数のタイプのクラウドベースの SaaS およびオンプレミスの ID システムを統合して、 AWS クラウド サービスやその他のアプリケーションへのアクセスを提供します。多くのクラウドベースの ID プロバイダーとシングルサインオンソリューションも SaaS アプリケーションであり、ネイティブ統合や SAML などの標準プロトコルを使用して、環境間で連携できます。
+ **各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立します。**このアーキテクチャは、米国国立標準技術研究所 (NIST) サイバーセキュリティフレームワーク (CSF)、NIST 800-171、NIST 800-53 など、多数のセキュリティフレームワークが発行するアイデンティティおよびアクセス管理に関するガイダンスに準拠しています。[AWS Organizations](https://aws.amazon.com/organizations/)、[AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)、およびその他の [AWS のセキュリティ、アイデンティティ、コンプライアンスサービス](https://aws.amazon.com/products/security/)との統合により、グループのアクセス許可に基づいて安全できめ細かなアクセスコントロールを提供できます。
+ **可能な限り、かつ実用的であれば、クラウドネイティブのマネージドサービスを採用します。**このアーキテクチャでは、ID 管理とシングルサインオンにクラウドベースのマネージドサービスを使用します。これにより、インフラストラクチャ管理に費やす時間と労力が削減され、これらの重要なシステムのメンテナンスが容易になります。
+ **既存のオンプレミス投資が継続利用を促す場合は、ハイブリッドアーキテクチャを実装します。**このアーキテクチャは、Active Directory、Lightweight Directory Access Control (LDAP)、および Shibboleth ワークロードをホストするためのインフラストラクチャに対する既存のオンプレミス投資を統合し、コア ID サービスを最終的にクラウドベースのインフラストラクチャへ移行するための道筋を提供します。さらに、オンプレミスワークロードで AWS リソースへの証明書ベースのアクセスが必要な場合は、[AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) を使用できます。
# 研究コンピューティングにおけるクラウドでのバースト
米国の R1 (博士課程大学 – 研究活動が非常に活発) に分類される研究機関の研究コンピューティンググループは、長年にわたり、Slurm スケジューラを使用してオンプレミスのハイパフォーマンスコンピューティング (HPC) クラスターを運用していました。数週間の定期メンテナンスを除き、クラスターは 80~95% の使用率で稼働しており、ほとんどのキューが満杯でした。
機関での研究活動の増加により、容量と処理能力の課題が生じていました。特定のキューでは、数人の著名な研究者が常に長時間実行されるシミュレーションを実行していたため、他のユーザーの待機時間が長くなっていました。新たに採用された教員は、気象予測用の新しい人工知能と機械学習 (AI/ML) モデルを構築するために多数の気象シミュレーションを実行する必要がありましたが、利用可能な容量よりも多くの容量を必要としていました。研究コンピューティンググループには、機械学習モデルのトレーニングに使用する最新のグラフィックス処理ユニット (GPU) に対するリクエストも増加していました。新しい GPU の資金は確保されていても、チームは、データセンター内のラックスペースを拡張するための承認を得るまでに、数か月待たなければなりませんでした。
多くの研究者が古いデータを削除したがらなかったため、ローカルストレージの容量も課題となっていました。オンプレミスの貴重な高性能ストレージを解放するには、よりスケーラブルで長期的なストレージオプションが必要でした。
クラウドは、オンプレミスの容量が不足している場合に研究コンピューティングをクラウドに*バースト*できる、ハイブリッドなコンピューティングおよびストレージソリューションによって、これらの課題に対処します。次のアーキテクチャ図は、[AWS ParallelCluster](https://aws.amazon.com/hpc/parallelcluster/) や [AWS Storage Gateway](https://aws.amazon.com/storagegateway/) などのツールを使用して、いくつかのコンピューティングとストレージのバーストアプローチを示しています。
![\[研究コンピューティングにおけるクラウドでのバーストのアーキテクチャ\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/cloud-bursting.png)
このアーキテクチャは、次の推奨事項に従います。
+ **プライマリの戦略的クラウドプロバイダーを選択します。**このアーキテクチャでは、最小公分母アプローチによる制約を回避するために、1 つのプライマリクラウドプロバイダーを使用します。これにより、プライマリクラウドプロバイダーが提供するイノベーションやネイティブなコンピューティングおよびストレージサービスを活用できます。研究コンピューティングチームは、異なるクラウド環境での対応方法ではなく、プライマリクラウドプロバイダーが提供する環境におけるワークロードの最適化に集中できます。
+ **各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立します。**このアーキテクチャで使用される各サービスとツールは、プライベート接続、転送中および保管中のデータ暗号化、アクティビティのログ記録など、研究コンピューティングチームのセキュリティおよびガバナンス要件を満たすように設定できます。
+ **可能な限り、かつ実用的であれば、クラウドネイティブのマネージドサービスを採用します。**このアーキテクチャでは、マネージド型のストレージおよびコンピューティングサービスに加えて、クラスター管理を簡素化するツールを使用できます。これにより、研究コンピューティングチームは、クラスターや基盤となるインフラストラクチャを自分たちで管理する必要がなくなり、こうした管理の複雑さや時間的負担から解放されます。
+ **既存のオンプレミス投資が継続利用を促す場合は、ハイブリッドアーキテクチャを実装します。**このアーキテクチャにより、機関はオンプレミスのリソースを引き続き使用しながら、クラウドを活用して容量を増やし、必要に応じてコンピューティング能力を増強できます。クラウドを利用することで、コンピューティングタイプを適切なサイズにして価格パフォーマンスを最大化し、追加のオンプレミスハードウェアに多額の先行投資を行うことなく、最新のテクノロジーを活用してイノベーションを促進できます。