教育情報セキュリティポリシーに関するガイドライン(令和6年1月)31

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

7. 運用

版を重ねるたびに、新しい技術がどんどん浸透している様子がわかります。学校では「今までこうやってきた」「今更なんでそんな面倒なこと」という話を最もよく聞く場所の一つですが、何度も申し上げるように、「先生方ご自分の身を守るために」必要なことがガイドラインに書かれている、ということは強調したいところです。行政職の皆様は、何度でも先生方にこの説明をする必要があると感じます。

7.4. IC カード等の取扱い

ガイドラインには「認証情報等は、人的な原因により漏えいしやすい情報である。」とあります。パスワードを大声で伝えたりする光景はさすがに見なくなりましたが、付箋で貼ってある、アカウントの貸し借りをする、ICカードを忘れた人に貸してあげる……など、まだまだ見聞きすることも多いのが現状です。

ICカードについては2点あげられています。どちらも重要なことですので、規定して忘れないように実施する、ということが重要ですね。

  • 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。
  • 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。

7.5. 児童生徒における ID 及びパスワード等の管理

1人1台端末を活用するためには、児童生徒のアカウントが必要です。それまでのPC教室での活用のように、下駄箱方式に慣れていた学校現場は、「小学校1年生に複雑なパスワードを入力させられない」と、「教員が全員のIDパスワードを知っている」が当然のこととして受け入れられてきた状況があります。

ですが、本来、アカウントとは、インターネットにおける自分の居場所、家であり、IDとパスワードはその鍵だと考えられます。先生方に、児童生徒の自宅の鍵の管理をお願いしたとしたら「どう考えても業務範囲外」「なくしたらどう責任取るんだ」など、いくらでもそれをすることがダメな理由が出てきます。ところが、IDとパスワードだと途端に「子供たちが忘れるから=授業が止まるから」「小学校1年生はパスワードなんか覚えない」と、先生が把握していなければならない理由が出てきます。

現状、先生が把握していないと困る部分が大きいことも重々承知していますが、タブレットを文房具のように使いこなしていれば、小学校1年生でも複雑なパスワードをスムーズに入力できるようになります。また、今後の子どもたちの人生で、いつか自分でパスワードを管理する日がやってきます。学校で学習用に使うパスワードを、自分で管理するのが基本である、という考え方に基づいて、パスワードの管理を考える必要があると思います。

「パスワードに関しては定期的な更新を求める運用は廃止し、複雑性を満たすパスワードを設定の上、パスワードの流出を検出した際には速やかに新しいパスワードに変更しなければならない。」とガイドラインにはあります。最近のセキュリティはこのように変更してきているのですが、まだまだ「1年に1回パスワードを更新する」という運用の自治体も多いのではないでしょうか。

ポイントは、複雑性を満たすパスワード、というところです。数字だけ6桁、とかいうのはあっという間に見破られます。(参考:杏林大学総合情報センター https://www.kyorin-u.ac.jp/univ/center/information/hon/3%E5%88%86%E3%81%A7%E3%82%8F%E3%81%8B%E3%82%8B%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E7%B7%A8/

さらに、タブレットへのログインはこのIDとパスワード、こっちのドリルは別のIDとパスワード、あの共有システムは別のIDとパスワード……というのは管理が大変すぎます。先生も、児童生徒も、情報セキュリティ責任者も大変なだけで何もいいことがありません。ただ、どうしてそういうことになっているかというと、シングルサインオンの仕組みについてあまり担当者が理解しておらず、導入時にそれについて考える時間がないため、どんどんIDとパスワードが増殖する、ということになります。

単純にシングルサインオンにすればいいじゃないか、というのは簡単ですが、シングルサインオンを実行するための基盤を整える必要があり、それにはもちろんお金がかかります。

ガイドラインではさらっと「クラウド上の学習用ツールごとに異なるID/パスワードでのログインが必要になるなど、学習面での利便性の低下が課題となることも考えられる。そこで、シングルサインオンを採用し、ID/パスワードなどによる認証を必要とする複数のシステム(アプリケーション)に対して、最初に1回だけ認証を行うことにより、その後の認証を全てシステムにより自動化する技術もある。」と書いてありますが、実現するためには行政職の担当者の方に頑張っていただく必要があります。

例えば、奈良県の学校DX環境整備ガイドラインはとても参考になります。奈良市では、「調達段階でシングルサインオンに対応しないものは調達しない」と決めているそうです。

そうなると、アカウントの管理、IDパスワードの管理はますます重要になってきます。例えば

  • 入学/転入時のID登録処理
  • 進級/進学時のID関連情報の更新
  • 転出/卒業/退学時のID削除処理

について、どうするかきちんと決めておく必要があるほか、多要素認証によるなりすまし対策、学習用ツールへのシングルサインオンを規定しておくと、物事を進める一助になります。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。