2−1 セキュリティの問題点と想定される危険
皆さんはご自身の学校及び自治体のセキュリティポリシーがどうなっているか、ご存知でしょうか。文部科学省は「教育情報セキュリティポリシーに関するガイドライン(令和 4 年 3 月)」 (文部科学省のページに移動します) を公開しています。ここに記載されていることが国としてのセキュリティに関する基本的な考え方であります。一方、皆さんの自治体ではどうなっているでしょうか。
今回のガイドラインの改定に当たっては以下の点が大きく変わっています。
- 校務用端末の詳細なセキュリティ対策
- 「リスクベース認証」、「ふるまい検知」、「マルウェア対策」、「暗号化」、「SSOの有効性」
-
校務用端末の使い分けについて
-
ネットワーク分離による対策を講じたシステム構成の場合
- ネットワーク毎に複数の端末を使い分ける
-
アクセス制御による対策を講じたシステム構成の場合
- アクセス制御を徹底することにより1台の端末で運用
-
ネットワーク分離による対策を講じたシステム構成の場合
-
校務用端末の持ち出しに関して
-
ネットワーク分離による対策を講じたシステム構成の場合
- 安全管理に関して追加的な措置を定めた上で許可制とする
-
アクセス制御による対策を講じたシステム構成の場合
- 情報セキュリティ管理者の包括的承認等による持ち出しを検討する
-
ネットワーク分離による対策を講じたシステム構成の場合
2−2 学校におけるセキュリティ対策
一方で、皆さんの学校においてセキュリティ対策はどのようになっているでしょうか。多くの自治体でセキュリティチェックリストが公開されています。
個人情報管理意識チェックシート(長野県教育委員会)(長野県総合教育センターのページに移動します。PDFファイルが開きます。)
セルフチェックシート (7) 情報セキュリティ(徳島県県立総合教育センターのページに移動します。)
よく見かける光景として、こんな事がありませんか。
- デスクマットやPCにログインIDとパスワードが貼られている
- 離席時にPCの画面がそのまま
- コピー機やプリンターなどに印刷物が置き去り
これらに関しては、先に上げたチェックリストでも抵触する内容です。端的に言うと「銀行のキャッシュカード」と「印鑑」を多くの人の目につく場所に置いているということと同じなのです。どんなに強固なセキュリティ対策を行っても、これでは意味がありません。いわゆる「獅子身中の虫」に、期せずして何もセキュリティを考えていない教員がなってしまうことがあるのです。
『セキュリティは何を守るのか』⇒個人情報などを含めた情報資産を守る
ID(Identity)はあらゆるサービスにおいて、利用の可否を決定するものであり、セキュリティの基本になることを知りましょう。最近のクラウドなども併用する学校のネットワーク環境では、SSO(Single Sign On)やゼロトラストなども含めたセキュリティ対策を行っています。しかし、その中心となっているのはIDとパスワードです。
我々は、IDを使って「認証」を行い、サービスを利用しています。認証とは簡単に言えば「門番が相手の身分(資格情報)を確認して、ゲートを通す」ということです。その際に、IDとパスワードの組み合わせを使って「本人確認」を行い、アクセス権限を付与してもらっているのです。
パスワードは、サイバー攻撃の高度化に伴い、それだけで安全性を確保するのが難しくなってきました。そこで登場してきたのが生体認証です。
2−3 認証に関する基礎知識
「認証」には大きく分けると「記憶(知識)」「所有物」「生体」の3つの「要素」があります。具体的な特徴は下記のとおりになっており、それぞれにメリット、デメリットがあります。
| 認証要素 | 特徴 | メリット | デメリット |
|---|---|---|---|
| 記憶(知識) | 本人しか知り得ない記憶(=知識情報)を基にした認証 例)パスワード、暗証番号、PINコード 母親の旧姓」や「飼っていたペットの名前」など |
低コスト 導入が容易 |
忘れることがある 簡単なものは類推が容易 |
| 所有物(所持) | 所有しているものを使った認証 例)スマートフォンを使ったSMS認証 セキュリティ・トークンでの認証 |
所持することでセキュリティを担保 | 認証用機器が必須 紛失時のコスト高 個人の管理が必要 |
| 生体 | 本人の身体的特徴を使った認証 例)指紋認証、顔認証、虹彩認証、静脈認証など |
成りすましが困難(=セキュリティが高い) | 認証用機器が必須 情報の変更ができない |
従来は、このうちの「記憶(知識)」が多く使われてきました。いわゆるIDとパスワードを使った認証がこの典型だと言えます。
一方で先程に例を挙げた銀行のキャッシュカードの例では、キャッシュカードを持っていることが所有物認証、その後の暗証番号が記憶認証になります。このように複数の認証要素を使って認証を行うことを「多要素認証」と言います。「多要素認証」を行うことで、セキュリティの強度が格段に上がります。そのため、アナログではありますがキャッシュカードやクレジットカード、銀行通帳を使った認証は「多要素認証」を有効に使ったものであると言えます。
現在のGIGAスクール構想の下では、一般的にはIDとパスワードのみの場合と、そこにSMS認証などを組み合わせた多要素認証が多いと思われますが、今後はより安全性の高い他の要素を使った認証も増えていくかもしれません。
2−4 セキュリティ対策の大切さ
なぜ、こんなにセキュリティ対策、認証が大切なのでしょう?それは、これからの学習活動、そして社会生活全般においてIDの重要性が高まっているからです。自らが持つ、アクセスできる情報資産の価値が飛躍的に高まっています。また、多くのサービスを使って、学習者及び教育者は自らの情報資産の価値を高めているのが、現状であるといえます。
しかし、複数のサービスを横断的に使うということは、同時に複数のIDを所有することになります。そのためID及びパスワードの管理の煩雑さが問題になってきています。多くのサービスが群雄割拠している昨今の社会情勢において、別々にIDとパスワードなどを用意することが可能でしょうか。できると思いますが、その手間と労力を考えると一つのIDとパスワードを使いまわしたくなるのが現実です。
その仕組として考えられているのがSSO(Single Sign On)というものです。SSOは1度の認証を行うことで、紐づいている複数のサービスの認証を行ってしまうものです。ネットワークを経由して「認証できたという結果のみ」をやり取りするものであり、パスワードなどの認証情報は含まれないので、安全性が高く、かつ利便性が高いため多くの学習用eポータルなどで利用されています。
代表的なSSOを利用した学習用eポータル
- L-Gate
- まなびポケット
- OPE (Open Platform for Education)
- Studyplus for School
- Qubena
- みらeポータル
- tomoLinks
一つの認証で全てのサービスにアクセスできてしまうので、だからこそ堅牢性を格段に高めるために生体認証を中心とした「多要素認証」が重要となってくるのです。自らを守る、子どもたちを守る、社会を守るための『基礎基本』『当たり前のこと』としてセキュリティ対策、つまり意識的に「多要素認証」を取り入れていくことが大切になるのです。
2−5 多要素認証
多要素認証は色々な種類がありますが、もっとも身近になるであろうスマホでの多要素認証のシミュレーターを用意しました。以下のリンクから体験してみてください。
2−6 2章のまとめ
この章では、次のことを行いました。
- 文部科学省の「教育情報セキュリティポリシーに関するガイドライン(令和 4 年 3 月)」 の概要を学んだ。
- 学校のセキュリティ対策の方法で、セキュリティチェックリストが用いられていることを学んだ。
- 認証に関する基本的な知識を学んだ。
- セキュリティ対策の大切さについて考えた。
- 多要素認証が広く利用されていることを学んだ。
- 多要素認証を疑似体験した。