教育機関とID管理コラム
「教育情報セキュリティポリシーに関するガイドライン」第2回改訂とIDaaSの関係
2021年5月、文部科学省「教育情報セキュリティポリシーガイドライン」の第2回改訂版が公表されました。GIGAスクール構想に基づき1人1台端末整備、高速大容量校内通信ネットワーク整備など、学校ICT整備が急速に進む中、その狙いとID管理やIDaaSとの関係について整理します。
「教育情報セキュリティポリシーに関するガイドライン」改訂のポイントとは?
文部科学省により「教育情報セキュリティポリシーに関するガイドライン」が公表されたのは2017年(平成29年)。地方公共団体の各教育委員会が、教育の現場にICTが普及する中で、情報セキュリティポリシーの作成や見直しを行う際の参考とすることを目的としたものでした。
その後、GIGAスクール構想における「1人1台端末」や「高速大容量の通信環境」に向けた取り組みを受けて、2019年(令和元年)に第1回改訂が行われています。
さらに近年、クラウド・バイ・デフォルト原則やDXレポートの公布はもとより、社会のデジタル化への要請はますます高まります。児童生徒の1人1台端末、1人1アカウント、教育用クラウドアプリ環境などの整備が教育の現場に急速に進められました。急速な普及の背景としてコロナ禍の影響も指摘されています。「1人1台端末環境」の整備は当初4年間で整備される予定だったのが、1年間に前倒しして実施されました。
このような変化の中で、新たなセキュリティの枠組みが必要となったことから、今回の第2回改訂が公表されました。「教育情報セキュリティポリシーに関するガイドライン」の第2回改訂に関する説明資料では、下記の2点を改訂ポイントとして挙げています。
- 端末整備推進に伴う新たなセキュリティ対策の充実
1人1台の学習者用端末における学校内外での日常的な端末の活用や、クラウドサービス活用に向けたID管理などのセキュリティ対策の記述を充実 - 教育の情報ネットワークの在り方を明確化
クラウドサービス活用に伴うセキュリティ対策を実現するため、過渡期としてのローカルブレイクアウト構成や、今後目指すべき校務系/学習系のネットワーク分離を必要としない構成の在り方を明確化
また注目したい点として、「1人1台端末を利活用するにあたり、クラウドサービスの日常的な活用や、利用するネットワーク・場所にとらわれないセキュリティ対策が必要となる。」と述べています。新たな環境を受け入れることにより、新たなセキュリティ対策の在り方を模索していることが伺えます。
その姿勢を示す一端として、『「教育情報セキュリティポリシーに関するガイドライン」ハンドブック』内のコラムでは次のように述べています。
「使わせない、制限を厳しくすることが最大のセキュリティ対策だ!」という主張をかつてよく見かけたものです。(略)まず禁止、制限ではなく、児童生徒のうちから、適切なセキュリティの確保された環境下で活用の実践を積み重ねることこそが、これからの時代で生きていくためには不可欠なのではないでしょうか。
※ 『「教育情報セキュリティポリシーに関するガイドライン」(令和3年5月版)ハンドブック』 (文部科学省)内のコラム『「厳しく制限」はもう古い?』より引用
時代の変化とICTはもはや切り離せません。使い方を制限するのではなく、活用の実践を積み重ねるべきというのは重要なメッセージの1つなのではないでしょうか。
1人1台端末、クラウドサービス活用と「1人1ID化」
次に、改訂ポイントの1つである、「①端末整備推進に伴う新たなセキュリティ対策の充実」に記載されている「ID管理」について考えます。
第2回改訂では、「1人1台端末及びクラウドサービス活用を前提とした1人1ID化に対する新たなセキュリティ対策の追加」を必要としています。なぜ、1人に1IDを付与することが必要か、その考え方と留意点を下記のように示しています。
児童生徒一人一人に個別のIDを付与することで、児童生徒の学びを蓄積し、教員やAIによるフィードバックが行われ、個別最適化された学びを提供することが期待できる。一方で、利用する学習用ツールやクラウド上のアプリケーションのID/パスワードに対して安全管理措置を講じなければならない。
つまり、「学びの蓄積」と「個別最適化された学び」のためには1人1ID化が必要ですが、「安全措置」は欠かせないとのことです。今回の改訂では、この「安全措置」の部分について下表のようにまとめています。
| 主な対策 | 概要 |
|---|---|
| ID登録・変更・削除 |
1人1ID化することにより、入学/転入、進級/進学、転出/卒業/退学時などのタイミングにおいて個々のID管理を行うことが必要となるため、これらの管理について整理 こうしたID管理を日常的に運用する上で、必要に応じて事業者へ運用を依頼することも想定して環境整備の段階から運用面を踏まえた準備の必要性について整理 |
| 多要素認証 |
CBT(Computer Based Testing:試験における工程を全てコンピュータ上で行う事)などの本人確認を厳格に行う必要がある場合には、ID/パスワードによる基本的な認証だけでなく、指紋/顔/ICカードなどの複数の要素を組み合わせてなりすまし対策を行う多要素認証の有効性について整理 |
| シングルサインオン※1 |
利用するサービスが増加することにより、サービス利用時に都度ID/パスワード等の認証情報を入力したり、サービス毎のアカウント情報管理が非常に煩雑になる場合の対処方法の一つとして、一度の認証により一定時間は各種サービスにアクセスが行えるシングルサインオンを用いた認証の効率化について整理 |
※1 シングルサインオン:「SSO(Single Sign-On)」とも表記される。一度のユーザー認証で複数の異なるサービス認証と利用を可能にする仕組み。
※表は
『「教育情報セキュリティポリシーガイドライン」の第2回改訂に関する説明資料』
より引用(強調表現は原文ママ)
ここで注目したいのは、ID管理は重要であるものの、「入学/転入、進級/進学、転出/卒業/退学時」における対応が欠かせないことから、その管理方法については検討が必要という内容です。入学シーズンは教育現場では他の業務も多く、忙殺される中でID管理を実施するのは困難になることが予測されます。
ID管理を効率化するためにも、上表でも述べられている外部委託も含めいくつか方策を挙げます。
- ID管理をアウトソースする
- 統合ID認証基盤の活用
- 統合ID認証基盤をクラウド化する(IDaaS)
このうち統合ID認証基盤とは、IDやシングルサインオンなどの認証をまとめて管理するための仕組みです。教育に用いる複数のクラウドサービスの利用で複雑化する認証を効率化することが期待できます。この仕組みを、オンプレミスのシステムを持つことなく利用できるのが「IDaaS(Identity as a Service)」です。こうした新たな仕組みを活用することでセキュリティを確保し、安全な環境下で新たな時代の学びにつなげてはいかがでしょうか。
「教育情報セキュリティポリシーに関するガイドライン」において、「ID」とは次のように説明されています。
「ID(Identification)とは本人確認の情報のことで、情報システムや端末にログインする際に本人であることを示すものであり、他者にこの情報が渡れば、本人になり代わってログインが可能(なりすましの脅威)となるため、IDは本人だけが分っている必要がある。共用IDの場合は、共用することが許される集団のみが知り得る情報であることから、集団の外に漏らしてはいけない。また、外部からのアクセスの場合には、共用IDの利用は避けることが望ましい。
なお、共有IDを利用することは避けることが望ましい一方で、利用せざるを得ない場合には多要素認証と組み合わせることにより、ログから利用者を特定できることもある。」
まとめ
今回は、文部科学省「教育情報セキュリティポリシーガイドライン」の第2回改訂のポイントとID管理、IDaaSの関係について解説しました。変化する教育現場において現在、ID管理の重要性はますます高まっています。この機会に、GIGAスクール構想や教育ICTとID管理の関係について、さらに詳しく学ばれてみてはいかがでしょうか。