【解説記事③】教育情報セキュリティポリシーに関するガイドライン（文部科学省策定）

2022年11月17日2023年8月18日

本記事では、令和4年3月に一部改訂された「教育情報セキュリティポリシーに関するガイドライン」（文部科学省策定）に関して、内容を解説するとともに、このガイドラインの背景にある企業や組織を取り巻くセキュリティ環境や今後意識すべき対策のポイントをご紹介いたします。あくまでＳＣＳＫの見解となり、内容を保証するものではありませんので、ご了承ください。

今回は、生徒の情報資産管理についての解説となります。

児童生徒における情報資産管理

令和元年（2019年）にGigaスクール構想が始まり、全国の児童生徒一人に1台ずつの端末支給（※個人が所有する端末を利用ケースもある）と、高速ネットワークの整備が進められることになり、教員だけでなく児童生徒における情報資産管理にも目を向けなければなりません。個別最適化された学びの実現が期待されるAIドリルやデジタル教科書、授業支援システムによる成果物の保存といった学習用アプリケーションのクラウド利用が進み、児童生徒は各種デジタルサービスへアクセスする機会が今後ますます増えていきます。その一方で、各サービスの利用にあたりID・パスワードの入力といった認証操作も増えることになり、ID・パスワードの管理負荷もあがってしまうという課題が浮かび上がってきます。小学校低学年などでは児童生徒自身が管理することが難しい状況もあるでしょう。そうした児童生徒におけるID・パスワード等の管理について、「教育情報セキュリティポリシーに関するガイドライン」には以下の通り記載されています。

1.12.2. 児童生徒における ID 及びパスワード等の管理【趣旨】 GIGAスクール構想における1人1台端末の整備と併せて、児童生徒一人一人に個別のID を付与することで、児童生徒の学びを蓄積し、教員やAIによるフィードバックが行われ、個別最適化された学びを提供することが期待できる。一方で、なりすまし等による IDの不正使用や不正アクセスによる情報漏洩等のセキュリティリスクも考えられるため、利用する学習用ツールやクラウド上のアプリケーションのID/パスワードに対して安全管理措置を講じなければならない。例えば、パスワードに関しては定期的な更新を求める運用は廃止し、複雑性を満たすパスワードを設定の上、パスワードの流出を検出した際には速やかに新しいパスワードに変更しなければならない。なお、クラウド上の学習用ツールごとに異なるID/パスワードでのログインが必要になるなど、学習面での利便性の低下が課題となることも考えられる。そこで、シングルサインオンを採用し、ID/パスワードなどによる認証を必要とする複数のシステム(アプリケーション)に対して、最初に1回だけ認証を行うことにより、その後の認証を全てシステムにより自動化する技術もある。
文部科学省発行「教育情報セキュリティポリシーに関するガイドライン」より

ＳＣＳＫによる注目ポイント

前回の解説記事（第2弾）でも触れましたが、児童生徒におけるID・パスワード等の管理についても複数のクラウドサービスへのログインが必要となる事による利便性の低下に対し、シングルサインオンを採用した認証の効率化が有効であることが記載されています。やはり、教育現場においては、情報資産へのセキュリティ安全性と利便性どちらも担保されることが重要なポイントだと言えます。（使い勝手が悪いセキュリティツールはユーザーから敬遠され、結果としてセキュリティ性も低下することはこちらの記事でも明らかになっています）

児童生徒の学習効果を上げるためにクラウド上で利用できる学習用ツールが今後もますます増えていくでしょう。それに伴い、児童生徒の学習履歴や成績などといった情報資産がクラウド上に蓄積されることにもなるため、情報資産の重要度に応じた安全管理措置をしっかり講じる必要があります。しかしながら、本ガイドラインにある情報資産の分類表によれば、児童生徒の学習支援ツールの情報は「重要性分類Ⅲ」（直ちに重要な影響を及ぼすものではない）となっているため、まず教員の取り扱う情報資産に対するセキュリティ対策を行ったのちに、学習支援ツールにかかる情報資産への対策というのが現実的な形となるでしょう。

パスワードの流出によって、なりすましや不正アクセスにつながる被害は増加しており、昨今はIDとパスワードだけではセキュリティ対策の限界が来ていると言われています。複雑性を満たすパスワードの設定というのもサービス利用者側の負担になるため、教育現場においても将来的にはパスワードレス認証が求められていくのではないかと考えています。ただ、やはり大掛かりな認証基盤の整備というのは手間もコストも掛かってしまうため、まずはID・パスワード＋ワンタイムパスワード（OTP）による多要素認証を行うことでセキュリティ強化を実現することをおすすめします。OTPで多要素認証を実現する際には、携帯電話やスマートフォンが使われることも多いと思いますが、学校がすべての教職員にそれらを貸与するのは現実的ではなく、個人所有の端末を利用しなければならない状況になってしまいます。生徒においても同様で、携帯電話やスマートフォンを子どもに持たせる判断は各家庭に依存しますし、学校へ持ってきて良いか等は校則にも関わるため現実的ではありません。弊社取扱いのYubiKey（ユビキ―）は、そういった状況下にある企業・組織に特に選ばれているハードウェア認証キーです。家の鍵と同じように扱っていただき、設定も簡単なため、高いＩＴリテラシーを必要とせず利用できる点は、学校等でもメリットを発揮すると考えます。文部科学省が利便性向上のために推奨しているシングルサインオンとも親和性が高く、さまざまなシングルサインオン製品との連携も可能なため、教育機関の情報資産におけるセキュリティ性と利便性の向上のために、ぜひご検討ください。