教育情報セキュリティポリシーに関するガイドライン50

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.12.2. 児童生徒における ID 及びパスワード等の管理

1人1台端末を持つということは、その端末を活用するためのIDや、端末自体のロック、ログイン等に何らかの方法でパスワードを入力する、という行為が発生するということです。小学校1年生からパスワードを入力して端末のロックを解除する、という操作が必要になります。

そもそもなぜ個別のIDを発行するのでしょうか。それは、1人1台の端末をより活用するためです。自分が作ったものを共有したい、他の人と一緒に作業をしたい、というときに、様々なツールを利用できますが、それは基本的にそのツールを利用するためのIDが必要になります。

そうすると、先生が管理したらよい、という意見が出てきますが、ツールを使うたびに先生がパスワードを入れてログインして回ることは現実的でしょうか？　そもそも、他人のパスワードを把握している、ということ自体セキュリティに問題がありますね。

ガイドラインでは「利用する学習用ツールやクラウド上のアプリケーションのID/パスワードに対して安全管理措置を講じなければならない」とあります。そのためにはどうするのが良いか、ということが追記部分で書かれています。大切なところなので、追記分を全文引用します。

例えば、パスワードに関しては定期的な更新を求める運用は廃止し、複雑性を満たすパスワードを設定の上、パスワードの流出を検出した際には速やかに新しいパスワードに変更しなければならない。

「定期的なパスワードの変更」ではなく、「複雑性を満たすパスワード」を設定し、流出したら即変更する、という運用にするように書かれています。

ガイドラインの後ろの方、159ページにさらっと登場していることですが、これが今世界の潮流だということです。「パスワードを定期的に変更してない？　なにごとだ！！！」と目を三角にして怒る、という必要はないということですね。

例文は3つ挙げられていますので、それらを見てみましょう。

• ID登録・変更・削除
• 多要素認証によるなりすまし対策
• 学習用ツールへのシングルサインオン

特に１のID登録変更削除については、さらに3つに細分化されています。

• 入学/転入時のID登録処理
• 進級/進学時のID関連情報の更新
• 転出/卒業/退学時のID削除処理

ID登録変更削除作業は、今どなたが担っていますか？　本来このIDについては、ガイドラインでも「ID登録やパスワードポリシーにおいては情報セキュリティ対策として重要な要素であるため学校毎に管理するのではなく、同一の教育委員会等の組織にて一元管理することが望ましい」とあります。

この版のガイドラインではおそらく現状を顧みてまだ「望ましい」段階ですが、少なくとも行政職の皆様は、教育委員会の組織にて一元管理されていない、ということは問題だ、という課題意識を持っていただきたく思います。

現場の教員任せ、ICT支援員任せになっていないか、今一度ご確認ください。

来週は参考資料の続き、監査について読んでいきます。