教育機関
校務DXへの取り組みに向け「認証」と「認可」を理解しよう!実例で考える校務DXでの「ID管理」入門

文部科学省が2023年3月に公開した「GIGAスクール構想の下での校務DXについて」のもと、次世代の校務DX環境に向けた整備が各教育委員会で進められています。同省による「教育情報セキュリティポリシーに関するガイドライン」では、新たに「強固なアクセス制御」が追加されるなど、セキュリティ対策への注力が求められています。そこで今回のコラムでは、このセキュリティ対策の主要ポイントの1つであるものの、少しわかりにくい「認証」と「認可」、そして「ID管理」について、実例を交えながら解説します。
次世代の校務DXではなぜ「認証」が求められるのか?
2025年3月、文部科学省の「 教育情報セキュリティポリシーに関するガイドライン 」が改訂されました。その中の目的の1つが「次世代校務DX環境への移行を進める上で必要となるセキュリティ対策に関する記載の見直し※1」が掲げられています。
その1つが「『強固なアクセス制御』の定義・解説に関する記載の見直し」です。2024年の改訂では「アクセス制御」の冒頭に「強固な」と追記されましたが、2025年改訂では、最新の知見や教育現場の実態に基づき項目の一部見直しが行われました。
このように、校務DXにとって「アクセス制御」を含めセキュリティ対策は重要な位置づけであり、ここでは改めて「 GIGAスクール構想の下での校務DXについて 」で述べられているセキュリティ対策の概要について整理していきましょう。
まず「次世代の校務DXにおける情報セキュリティの概念」としては、「リスクベースのアクセス制御」と「ゼロトラストセキュリティ」の2点が示されています。この2つについて、それぞれ詳細内容を解説します。
※1 教育情報セキュリティポリシーに関するガイドライン(令和7年3月)改訂説明資料
「リスクベースのアクセス制御」について
まず、1つ目の「リスクベースのアクセス制御」では、そのアプローチ方法として「何を守るのか」、「どのように守るのか」がポイントになります(下表参照)。
「どのように守るのか」のうち、「重要性分類Ⅰ」を例に見てみると「必要な者に限定してアクセス権限を付与」するとしています。これは、各種情報リソース(ファイルサーバや各種アプリケーション等)に対して、所属や役職などの情報により、適正にアクセス制御を行うということになります。この時、適切な権限でアクセス可能な状態にすることを「認可」と呼び、所属や役職などの情報を「認可情報」と呼びます。
「ゼロトラストセキュリティ」について
次に、2つ目の「ゼロトラストセキュリティ」について、「 GIGAスクール構想の下での校務DXについて 」では次のように述べています。
一切の情報アクセスを信頼せず(=ゼロトラスト)、権限を持つ利用者からの適正なアクセスかを常に確認すること(=アクセス制御)で、不正アクセスを防止する必要がある。そのためには、利用者毎に情報へのアクセス権限を適切に設定するとともに、①アクセスの真正性、②通信の安全性、③端末・サーバの安全性の観点から、端末とクラウドサービスを提供するサーバ間の通信を暗号化し、認証により利用者のアクセスの適正さを常に確認しなければならない。
※ 「GIGAスクール構想の下での校務DXについて」 より引用。アクセスする際には、その都度本人かどうかという点、さらにアクセス権限があるかどうかという点を確認することが述べられています(権限の確認には所属や役職が用いられることが多い)。「認証」について、同じく「 GIGAスクール構想の下での校務DXについて 」の「①アクセスの真正性に関する要素技術」について、下記の3点を挙げています。
- 多要素認証
情報・データへのアクセスに対する認証に当たり、記憶(ID・PW等)、所持(端末の電子証明書、ICカード等)、生体(指紋、顔等)の3要素のうち、2つ以上の要素を求めることで、なりすましや不正アクセスを防止する技術 - リスクベース認証
情報・データへのアクセスに対する認証に当たり、端末のIPアドレスや位置情報、使用されているWebブラウザ、アクセス時間が通常と異なる等の際にリスクを判定し、追加の認証を求める技術 - シングルサインオン(SSO)
セキュリティが確保された複数のクラウドサービスを一回の認証でアクセス可能とすることで、 利便性の向上と認証の煩雑化によるリスクの低減を図る技術
※パスワード管理の煩雑化は、複数のサービスで共通かつ推測容易なパスワードを設定する温床となる
上記の「リスクベースのアクセス制御」と「ゼロトラストセキュリティ」両者の観点を整理すると、所属や役職といった認可情報でアクセスを制御できること、アクセスする際には常に本人かどうかの確認=認証が必要ということになります。
なお、役職や所属などの情報はID情報に含まれることが一般的です。IDは人事情報と連携し、常に最新の状態に保つことが重要です。もし、人事情報とIDの連携が不十分な場合、すでに人事上はアクセス権限を失効しているのに、各種情報リソースにアクセスできてしまい、不正アクセスなどセキュリティインシデントを招きかねない危険性があります。また、すでに新しい業務が始まっているのにもかかわらず、必要な情報リソースへのアクセス権限が間に合わないという、実務上の問題が発生する可能性も考えられます。
このように、本人を確認する「認証」とIDを用いた「認可」情報を正しく管理することが、校務DXを推進する上で欠かせないセキュリティ対策となります。
「認証」「認可」関連コラム
校務DX化に向けて実践するには?「認証」と「認可」の正しい管理
これまで、校務DXの実現に向けて、「認証」と「認可」を正しく管理することの重要性を述べてきましたが、ここでは実際にどのように取り組むべきか、モデルケースをもとに考えます。
下図の教育委員会では、各学校より教職員の人事情報や学校業務、入学・卒業・転校・クラス編成などの情報を一元的に集約し、その後、システムごとにベンダーへ情報の入力・更新を依頼しています。一度、教育委員会を経由するため、リアルタイムでの情報反映が難しかったり、教育委員会側での手間が大きかったりするという課題がある状況です。
このような状況の教育委員会が校務DX化に取り組む際にはどのように変革すべきでしょうか。ここでは、ID管理基盤により、アカウント運用業務が改善されたイメージを紹介します。
まず、校務支援システムがクラウド化され、人事情報とID情報が自動的に日次更新できる環境が構築されていることが重要なポイントとなります。
「認証」の面では、シングルサインオン(SSO)、多要素認証により、場所を問わずにセキュアにアクセスできる環境を実現しています。
「認可」の面では、校務支援システムとID基盤システムが連携し、認可情報が常に最新情報に保たれるため、各リソースに対して正しくアクセス制御ができます。
このように「認証」と「認可」双方に対応できるID基盤システムを活用することで、校務DXのセキュリティ対策が進められるのではないでしょうか。次項では、このような考え方をもとに、実際に校務DXに向けて認証と認可によるゼロトラストセキュリティ環境構築に向け、ID基盤システムを構築した事例を紹介します。
事例:校務DXに向け、ゼロトラスト環境を支える統合ID基盤を構築

ここでは、埼玉県新座市教育委員会の事例を抜粋して紹介します。新座市には小学校が17校、中学校が6校あり、約13,000名の児童生徒が学び、教職員の数は約1,200名に上ります。
このような環境で新座市では、文部科学省の「教育情報セキュリティポリシーに関するガイドライン」に適合させるべく、校務系、学習系、校務外部接続系ネットワークの完全統合およびフルクラウド化、ゼロトラストネットワーク化など、全面的な刷新への取り組みを行いました。
新座市が考える校務系と学習系の各システムへのアクセスは「認証」と「認可」によるゼロトラストセキュリティ構築を前提としたID(アカウント)統合を実現する必要がありました。
こうして校務DXの実現に向け、新座市が実現したのは次のような環境でした。
ID統合により認可情報を即時反映
校務支援システム「C4th」への入力内容を源泉にIDを各システムに引き継ぐ仕組みを確立し、ID統合を実現したことでID管理の運用負荷を大きく低減しました。常に最新化されたIDを認可情報として各システムにアクセスできるようになっています。
認証の強化と利便性向上
1つのID・パスワードで系統を問わず各システムへSSOでログインできるようになり、ユーザー利便性も向上しました。生体認証などを活用し、多要素認証を実現しています。
多くの自治体が校務DX化を進める今、「認証」と「認可」、そしてID管理は避けては通れない話題です。本事例を校務DXの参考にしてみてはいかがでしょうか。
事例詳細はこちら 埼玉県新座市教育委員会「ゼロトラスト・フルクラウド次世代教育ネットワークを支える統合ID基盤をExticで構築」
まとめ
今回は、校務DX化に向けて重要なセキュリティ対策に関連する、「認証」と「認可」、「ID管理」について事例とともに紹介しました。すでに校務DXに向けて、統合ID基盤を活用して「認証」「認可」の強化や管理の効率化を進めている自治体も増えています。ぜひ、本コラムや下記の関連情報などを校務DX推進の一助としていただければ幸いです。