教育情報セキュリティポリシーに関するガイドライン19

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.5.4. ID 及びパスワード等の管理

学校にさまざまなシステムが入るにあたって、IDとパスワードもさまざまなものが導入されるようになりました。

初期段階では、システムどうしが連携する、ということはほぼ考えられずに、それぞれ単独のID、パスワードを運用していることが多かったです。なぜなら、シングルサインオンの仕組みはお金がかかるからです。「そんなにシステムなんか導入しないよ」「先生が頑張って覚えれば大丈夫」というような理由で、校務支援システムはこのIDとパスワード、学習支援システムはこれ、ドリル教材はこれ、パソコンにログインするためには……というように、ID、パスワードがたくさん増えていくことになりました。

ガイドラインでは、「認証情報等は、人的な原因により漏えいしやすい情報である。教育情報システム管理者からの認証情報等の発行から教職員等での管理に至るまで、人的な原因で情報の漏えいするリスクを最小限にとどめる必要がある。」と述べています。

シングルサインオン環境にない場合、多くあるパスワードの管理が煩雑で、「全部同じパスワード」にしてしまいたくなるのが人情です。いくらガイドラインで定めていても、目の前の忙しい状況で、いちいちそれぞれのパスワードを確認しなければならない、というのは非常にストレスです。

それではここでガイドラインで推奨されているパスワードの要件を確認しましょう。

• 想像しにくいパスワード設定
• 名前などの個人情報からは推測できないこと
• 類推しやすい並び方やその安易な組合せにしないこと
• パスワードの使い回しの禁止
• 英数（可能であれば記号も）を混在すること
• 英字は小文字と大文字を混在すること
• 12桁以上とすること
• パスワードの共有禁止

です。システムをたくさん入れて、それぞれ別のパスワードにする、というのはなかなか現実的に難しそうですね。ガイドラインでも「一度の認証により一定時間は各種サービスにアクセスが行えるシングルサインオンの導入を行うことにより、運用効率化と運用負荷の最小化、煩雑な運用によるセキュリティリスクを低減することが期待できる。」とあります。

また、このガイドラインで述べられていますが

• パスワードの定期的な変更はセキュリティ対策としては効果が薄く、想像しにくいパスワードを設定した上で流出時に速やかに変更をすることが推奨

という事実はもっと周知が必要だと考えられます。さらにもう一つ、

• パスワードのメモを作成し、机上、キーボード、ディスプレイ周辺等にメモを置くことは禁止する必要はあるが、特定の場所に施錠して保存する等により他人が容易に見ることができないような措置をしていれば、メモの存在がパスワードの効果を削ぐものではないため、パスワードのメモそれ自体の作成を禁止するものではない。

とあります。メモするのは構わないが、施錠できる場所に保管することが必要だ、ということですね。

昔ながらの対策が、実は陳腐化していました、ということは時々あります。セキュリティについては特に最新の知見が必要です。

ガイドラインを確認し、知識をアップデートして、必要なところにお金をかけて、セキュリティを守っていきましょう。

来週は参考資料の続き、技術的セキュリティについて読んでいきます。