• 日本語
  • English
  • 简体中文
  • 繁體中文
  • 한국어
  • Français
  • Español

「教育情報セキュリティポリシーに関するガイドライン」のポイントとICT活用の認証セキュリティ

目次

『教育情報セキュリティポリシーに関するガイドライン』の第3回改訂ポイントとは?

文部科学省は2022年3月3日、学校教育現場にてICTを活用する「教育情報セキュリティポリシーに関するガイドライン」の改訂版をこの度、公表しました。

政府が推進する「GIGAスクール構想」の実現に向け、学校・教育現場では児童・生徒などへ1人1台端末が配備やクラウド活用前提の技術的要件が追記される一方で、教職員等の利用する端末や電磁的記録媒体等の管理には二要素認証の利用が要件として今回の改訂で盛り込まれています。

また、文部科学省は「教育情報セキュリティポリシーに関するガイドラインハンドブック」も同時に公開しており、主に教育委員会の担当者向けに中核となる考え方が示されております。

本記事では当社の認証セキュリティソフトPassLogicの設計、開発は本ガイドラインハンドブックに沿い、ご利用いただけることを解説します。
また製品の詳細については資料提供を行っておりますので、お気軽にご請求ください。

GIGAスクール構想における児童生徒1人1台端末・クラウド活用時の情報セキュリティ対策

パスワードと多要素認証

パスワードは複雑性が高いほどセキュリティ強度が上がります。学校での運用については、児童生徒の発達段階に応じ、適宜見直しを行い、多要素認証や二段階認証を活用することにより、なりすましの防止だけでなく、パスワードの強度とセキュリティのバランスを取ることが可能です。

PassLogicでは学習環境にもなじみやすい画面操作デザインで、システム起動時に表示されるソフトウェア型の乱数表から、あらかじめ決められたパターンに沿った数字を入力だけで認証を完了させるので、画面盗み見やパスワード漏えいに対する耐性も強く、“なりすます”ログイン等効果的に防止し、本人確認を厳格に行い児童生徒のID/パスワードに加えて多要素認証を実現します。

校務系システムやオンプレミス環境等を対象とした情報セキュリティ対策

教職員の個人認証強化の考え方

個人認証の従来はID/パスワードの利用が一般的でしたが、それだけに依存してしまいますと、万が一ID/パスワードが流出した場合に「なりすまし」で操作される危険性があります。

故に、記憶要素、生体要素、物理要素の2つ以上の要素で認証する「多要素認証(MFA : Multi-Factor Authentication)」を用いることで、個人認証を強化することが重要になります。

認証要素 認証手段 概要
要素A 知識 対象者だけが知り得る情報 ID/パスワード
要素B 所持 対象者だけが持っている「持ち物」 携帯電話/ICカード/トークン
要素C 生体 対象者だけにある身体的特徴 声紋/指紋/顔/静脈

二要素認証の種類と組み合わせ。知識(記憶)認証or所持(物理)認証or生体認証

教職員等の利用する端末や電磁的記録媒体等の管理

重要な情報資産へのアクセスは多要素認証が必須

教職員が利用するPCやモバイルデバイス、電磁的記録媒体などが適切に管理されていない場合は、端末の紛失や盗難、情報漏えいなどに遭うリスクがあります。被害を防止するために教育情報システム管理者は、取り扱う情報の重要度に応じてパスワード以外に生体認証や物理認証等の多要素認証を設定しておきます。特にアクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産へのアクセスについては、多要素認証は必須です。

セキュリティ対策強化にワンタイムパスワード利用を検討

セキュリティ機能を強化する必要がある場合には、パスワードの流用等による悪用を防止するため、認証の都度、異なるパスワードを発行するPassLogicはソフトウェアトークンを利用したワンタイムパスワードを採用しており、連携するモバイルデバイス管理(MDM)やクラウドサービスの認証強化につながり、不正アクセス対策に極めて有効的です。

ID及びパスワードの管理

情報システムを利用する際のID及びパスワード、生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)の管理

ID及びパスワードの管理が適切に行われない場合は、情報システム等を不正に利用されるおそれがあります。よってID及びパスワード管理の遵守事項は校内で規定しております。

認証情報等は、人的な原因により漏えいしやすい情報であるため、教育情報システム管理者からの認証情報等の発行から教職員等での管理に至るまで、人的な原因で情報の漏えいするリスクを最小限にとどめる措置を検討する必要があります。

パスワードの取り扱い

PassLogicでは教育現場で取り扱う複数システムを一度のログインで利用可能なシングルサインオン(SSO)をサポートしており、導入は効率化と負荷の最小化、煩雑な運用によるセキュリティリスクを低減します。

シングルサインオン(SSO)と従来の認証の違い

コンピュータ及びネットワークの管理

外部の方が利用できるシステムの分離等

保護者や外部の教育関係者が訪問した際に利用するプリンタなど、外部の人々が利用できるシステムは、不正アクセス等を防御するため、必要に応じ、他のシステムとの論理的又は物理的な分離、もしくは各システムにおけるアクセス権管理の徹底を行うことが示されています。

PassLogicは保護者、或いは部外者向けに指定したIDを一時的に利用可能なアクセス権限を付与したグループポリシーを割り当てる機能があり、ログインを有効/無効にする設定により、外部の方が利用できるシステム分離を論理的に実現します。

重要性が高い情報に対するインターネットを介した外部からのリスク、児童生徒による重要性が高い情報へのアクセスリスクへの対応

児童生徒の成績情報や生徒指導関連情報等の個人情報などを含む重要性が高い情報を扱う「校務系システム」は標的型攻撃や児童生徒による「学習系システム」からの不正アクセスを防止するため、アクセス権管理の徹底が重要です。

PassLogicでは用途や属性が一致しているグループ単位でポリシーを作成し、該当IDに付与することでガイドラインが示す通りのアクセスリスクを低減します。

アクセス制御

情報システム等をアクセス権限の設定について

情報漏えいや情報資産の不正利用等の被害が発生を防止するため、アクセス制御を業務内容、権限ごとに明確に規定しておく必要があります。不用意なアクセス権限付与による不正アクセスを防ぐために、アクセス権限の管理は統括教育情報セキュリティ責任者及び教育情報システム管理者に集約することが重要です。

PassLogicはで規定内容に応じてそのアクセス権限を付与したユーザの利用有効期限などをグループや個別に設定することが可能で、教育現場において柔軟な運用が可能となっております。

ログイン時の表示

PassLogicの管理画面にはログイン試行回数の制限や、直近に使用された日時が表示される機能等の設定項目があります。これらの機能は不正にパソコン等の端末が利用されないように対策を行っています。

ソーシャルメディアサービスの利用

ブログ、ソーシャルネットワーキングサービス(SNS)動画共有サイト等のソーシャルメディアサービスは、積極的に利用されていますが、外部サービスとなるため第三者によるなりすましやアカウントの乗っ取り、予告なしでサービスが停止するといった事態が発生する可能性があります。運用ポリシーを遵守し、次にあげる事項を対策して置くことが望ましいと考えます。

①なりすまし対策

「認証アカウント(公式アカウント)」と呼ばれるアカウントを利用し、自由記述欄に庁内ウェブサイト上のURLを記載します。

②アカウント乗っ取り対策

パスワードの適切な管理と二段階認証やワンタイムパスワードなどの認証強化製品を利用します。またログインに利用する端末が不正アクセスや盗難されないよう、PassLogicの導入を検討してください。

③サービスが終了・停止した場合の対応

他のサービスへの移行が行えるよう準備しておきます。

PassLogicではアカウント保護、アカウント乗っ取り対策において認証強化につながるワンタイムパスワード認証にて不正アクセスを未然に防ぎ、安全なログインを約束します。

児童生徒における ID 及びパスワード等の管理

「GIGAスクール構想」における1人1台端末、児童生徒一人一人に個別のIDを付与し、個別最適化された学びが期待されます。しかし、クラウド上の学習用ツールごとに異なるID/パスワードでのログインが必要になるなど、学習面で利便性低下の課題あります。PassLogicは最初の1回だけ認証を行うことにより、以下に挙げる作業を全てシステムにより自動化します。

ID登録・変更・削除

  1. 入学/転入時のID登録処理
  2. 進級/進学時のID関連情報の更新
  3. 転出/卒業/退学時のID削除処理

多要素認証によるなりすまし対策

データの秘匿性や完全性の確保が相応に求められる場合においては、児童生徒のID/パスワードに加え、多要素認証を設定し、本人確認を厳格に行います。PassLogicの多要素認証はなりすましを抑止し、運用面も容易になります。

学習用ツールへのシングルサインオン(SSO)

各種サービスの利用する児童生徒は認証操作にID/パスワードの入力など認証操作の煩雑化、運用負荷やリスクが高くなることから、シングルサインオンと認証情報の一元管理、更に多要素認証と組み合わせることで、セキュリティリスクを低減し、運用効率化も期待できます。

まとめ

今回は、「教育情報セキュリティポリシーガイドライン」が改訂され全体のポイントと認証セキュリティの要点を中心にわかりやすく解説してきました。「GIGAスクール構想」は学校・教育現場では急速なICT環境の整備が行われていますが、個人情報を識別する認証がおろそかになりがちです。今後も安心してICTを活用できるような情報セキュリティ対策は必須です。

クラウドサービスや児童生徒に付与された個別IDの管理運用には、安全性はもちろん、導入・運用コストの削減はPassLogicが最適です。PassLogicは、安全性を担保しながら、導入・運用コストの削減も妥協しませんので、教育現場のICT認証強化に採用をご検討ください。

教育関係へシステムやツールをご提案される方は、本ガイドラインも活用し安全かつ快適なICT教育を推進しましょう。

関連項目・外部リンク

「教育情報セキュリティポリシーに関するガイドライン」公表について

お問い合わせ

ただいま無料相談会実施中!

多要素認証やセキュリティ対策のお悩み、PassLogic導入で解決しませんか?
無料相談会、30日間無料体験版のお申込み、その他ご質問等はお問い合わせフォームからご連絡ください。

float_banner_btn_dl
目次