今、全国の学校教育の現場では、文部科学省が提唱するGIGAスクール構想の実現に向けて急速な学校ICT環境の整備が進んでいる。それに伴いクラウドサービスの利用が広がっており、増加するサイバー攻撃被害から個人情報を守るための強固なセキュリティ対策が求められている。こうした背景を踏まえて文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を策定するなど、ICT化が遅れている教育現場におけるセキュリティ対策に本腰を入れ始めた。このガイドラインの策定や改訂に関わり、文部科学省や総務省の各種アドバイザーなども務める合同会社KUコンサルティング 代表社員の髙橋邦夫氏を招き、ガイドライン策定・改訂の背景や、教育現場のセキュリティ対策の実態と課題、そうした課題解決のための多要素認証とシングルサインオンの必要性などについて、2名のSCSKの多要素認証ソリューション担当者とともに話を聞いた。

“付箋にパスワード”の現状も? 教育現場が抱えるセキュリティ課題

──国内の教育現場における情報セキュリティの状況について教えてください。

合同会社KUコンサルティング 代表社員 総務省 地域情報化アドバイザー/テレワークマネージャー 文部科学省 ICT活用教育アドバイザー 髙橋邦夫 氏

合同会社KUコンサルティング 代表社員
総務省 地域情報化アドバイザー/テレワークマネージャー
文部科学省 ICT活用教育アドバイザー
髙橋邦夫 氏

髙橋氏:地方公共団体(首長部局)と比較すると、教育の世界はまだまだセキュリティに関して「甘い」と感じることが多いです。地方公共団体では2000年頃から既にセキュリティに関するガイドラインが示されていましたし、マイナンバー運用のため「三層分離」を踏まえて、総務省は2016年に「自治体情報システム強靭性向上モデル」を策定、各自治体への要請のもと、情報セキュリティ対策が実行されています。このように厳密なセキュリティ対策が義務付けられていることもあり、地方公共団体の世界では深刻なセキュリティインシデントは今のところ聞こえておりません。

一方で学校教育の世界では、2017年10月に文部科学省(以下、文科省)「教育情報セキュリティポリシーに関するガイドライン」が策定されるまでは、セキュリティについての基準のようなものはほぼ存在しておらず、ITやネットワークの利活用は学校任せの状況でした。そもそも児童生徒の保護者でITに詳しい人が学校にネットワークを敷設するといったことがスタートだったこともあり、IDとパスワードが書かれた付箋をPCの画面に貼り付けるという光景が今も見られたりします。

教育現場では、一部の得意な先生がITの活用を推進していたため、安全性よりも利便性を優先してしまう状況にありました。私がCISOを務めていた豊島区では、首長部局のIT部門が教育委員会側のITも管轄していたため、そうしたことは起きなかったのですが、このような体制をとっている自治体は全国的にもきわめて少数です。2019年に1人1台端末及び高速大容量の通信環境を一体としたICT環境整備の推進を掲げたGIGAスクール構想がスタートし、教育現場に大量のPCが一気に入ってきて、さらにセキュリティ対策も求められる状況では、教職員の皆さんが何から着手すればよいのかと混乱するのも無理はないかもしれません。

教員の業務効率化に立ちはだかるセキュリティ問題

──現在、学校の教職員にかかる仕事の負荷が増大していると言われています。ICT導入の最大の目的の1つとして業務効率化がありますが、その効果についてどう見ていますか。

SCSK株式会社 プラットフォーム事業グループ ITプロダクト&サービス事業本部 セキュリティプロダクト部 営業第三課 相良洋碩 氏

SCSK株式会社
プラットフォーム事業グループ
ITプロダクト&サービス事業本部
セキュリティプロダクト部
営業第三課
相良洋碩 氏

相良氏:教育現場でも、企業と同様に場所を問わず働けるようリモートワークを推進することが重要テーマとなっていますが、その実現にはまだまだ壁もあるというのが正直なところです。その理由の1つは、髙橋さんも語られたITリテラシーに極めて差がある環境であるということです。“付箋にパスワード”といった、企業ではもはや昔話のようなことがリアルタイムで行われている環境で、皆がIDとパスワードをきちんと管理するのは難しいでしょう。もちろん、セキュリティ教育をしっかり行うことは大事ですが、何よりも児童生徒の個人情報をはじめとした情報漏洩を防ぐのが最優先事項です。まずは特に教育しなくても一定のセキュリティが確保できるようなソリューションを導入し、セキュリティ上のリスクを下げることこそが、その後の業務効率化にもつながっていくものと考えています。

髙橋氏:私も同感です。実証事業やセキュリティ監査でいろいろな学校を訪れますが、今でも付箋にパスワードという光景が見られる大きな理由として、共通IDが残っていることが挙げられるでしょう。パソコンに関しては個人IDでのログインになっても、その先にある校務システムやグループウェアなどは共通IDが使われていることが珍しくありません。様々な学校をまわるソーシャルワーカーや教育支援員もいますから、利便性上、共通アカウントを使わざるを得ないケースもあります。 教職員の業務効率向上と情報セキュリティ向上は文科省の校務システム検討会でも話題になっていますし、取り組みは待ったなしだと思っています。そのためにも、多要素認証とSSO(シングルサインオン)の仕組みを、一日も早く導入すべきではないでしょうか。

教員の働き方改革も視野に文科省ガイドライン改訂で多要素認証を必須に

──髙橋氏は「教育情報セキュリティポリシーに関するガイドライン」に企画段階から深く関わっており、策定とその後の改訂では副座長を、そして2021年5月改訂からは座長を務めています。ガイドラインが策定された背景について改めて説明していただけますか。

髙橋氏:ガイドラインが策定される以前は、それぞれの学校のある地方自治体の首長部局のガイドラインか、意識の高い校長先生などがつくったガイドライン、この2つぐらいしかセキュリティにまつわる基準のようなものは存在しませんでした。ただ、自治体のセキュリティポリシーをそのまま学校に適用するのは無理がありますし、特定の教職員がつくったガイドラインではレベル差も大きいでしょう。そうした背景から、急速な学校ICT環境整備の推進を踏まえ、文科省専用のガイドラインがつくられたのです。

──今回(2022年3月)の改訂版ではどのような事柄がポイントとなっていますか。

髙橋氏:教育情報セキュリティポリシーに関するガイドラインの初版はかなり厳しいもので、学習系と校務系のネットワークを完全に分離することを義務付けていました。しかし、それでは関連した仕事でも別のPCで行わなければならないため、先生方からの評判も良くなかったのです。

そうした現場の声を受け、早々に改訂に着手していきました。2019年12月の1回目の改訂では、国の方針を受け、クラウド活用に向けた内容を盛り込みました。また、2021年5月には、GIGAスクール構想を実現するために必要な新たなセキュリティ対策や、クラウドサービスへのアクセスを前提としたネットワークの課題に対応するために2度目の改訂を行いました。

そして今回の改定では、教職員の働き方改革にもかなり踏み込みました。コロナ禍を受けて、先生方も自宅待機しながら子どもたちに授業を行うといったケースも生じると想定すると、従来のファイアウォールで防御するネットワーク分離型のセキュリティでは不十分なので、ゼロトラストセキュリティへと舵を切っています。そのためにも、当初は「使用が望ましい」としていた多要素認証について、校務系については必須とすることとなりました。

大事なのは、多要素認証&シングルサインオンはこんなに簡単・便利! と感じてもらうこと

──「多要素認証」がキーワードとして挙げられましたが、SCSKが提供する多要素認証ソリューションとはどのようなものでしょうか。

SCSK株式会社 プラットフォーム事業グループ ITプロダクト&サービス事業本部 セキュリティプロダクト部 営業第三課 増渕江里子 氏

SCSK株式会社
プラットフォーム事業グループ
ITプロダクト&サービス事業本部
セキュリティプロダクト部
営業第三課
増渕江里子 氏

増渕氏:製品名は「YubiKey(ユビキ―)」と言って、スウェーデンのYubico社が開発する多要素認証を実現できるハードウェア認証デバイス(セキュリティキー)です。現在、160を超える国々において、累計4500社以上、数百万ユーザーが利用しており、スマートフォンを所持していない、または使用できない環境下においても、多要素認証を行うことができます。電池切れによる買い替えが不要で、防水で衝撃耐性にも優れているなど、数々の特徴を有しています。

YubiKeyは、複数の認証プロトコルに対応しているため、複数のクラウドサービスを利用している場合でもシームレスに対応可能です。Microsoft 365、Microsoft Azure、Azure Active Directory(Azure AD)、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Cisco Duo Securityなど、数多くのクラウドサービスに対応しています。学校現場で利用されている校務支援システムや学習支援システムが、FIDO2/U2F/ICカード(PIV)/OpenPGP/HOTP/TOTPのいずれかの認証プロトコルに対応していれば、YubiKeyをお使いいただく事ができます。また、シングルサインオン製品との親和性が高く、IceWall、WisePoint8をはじめ、さまざまなSSO(シングルサインオン)ベンダーとの連携が可能なため、認証強化と利便性向上を両立することができます。

また、ハードウェア認証という物理的なセキュリティキーを用いるため、家の鍵と同じような扱いで認証が行える安心感があり、高いITリテラシーを必要とせず、特別な教育を受けずともすぐに使える点も高く評価されています。

──「YubiKey」の説明を聞いてどのような感想を抱きましたか。

髙橋氏:オフラインの環境でもパスコードが発行できるというのは教育現場の運用を考えると好ましいですね。携帯電話やスマートフォンにパスコードを送ることで多要素認証を実現する製品も多いですが、これだと通信が途絶えてしまうと使えません。また、学校がすべての教職員に携帯電話やスマートフォンを貸与するというのは現実的ではなく、そうなると個人所有のデバイスにパスコードを送っていいのか、という問題も生じてくるでしょう。

YubiKeyであればこうした課題を解決でき、利用者も管理者も負担が少ないので、多要素認証を取り入れる最初のきっかけとしてもうってつけではないでしょうか。多要素認証が必要と言われても最初の一歩が踏み出せない理由として、大掛かりなシステムが必要となることがあります。多要素認証には生体認証もありますが、登録サーバーをたてたり、事前に生体情報の登録をしたりしなければならず、コストも労力もかなりのハードルとなっています。YubiKeyのように手軽なソリューションを利用することで、多要素認証とはこういうもので、シングルサインオンはこんなに便利だということを、利用者も管理者も実感できれば、その先の道も拓けるはずです。

増渕氏:ありがとうございます。当社ではYubiKey以外にもさまざまなサイバーセキュリティ対策製品を長年にわたって取り扱ってきていますので、今後も教育現場のセキュリティ対策の底上げに貢献していければという思いを改めて強くしました。

相良氏:セキュリティリスクが増大していることを日々の業務でも感じるので、YubiKeyのようなソリューションを導入していただくことで、教育現場のリスク軽減に寄与していけるよう一層の熱意を持って取り組んでいきます。

  • 合同会社KUコンサルティング 髙橋邦夫 氏、SCSK株式会社 相良洋碩 氏 / 増渕江里子 氏
YubiKey
アカウントを保護し、安全なクラウドサービス利用をサポートする多要素認証デバイス
>>詳細はこちら

[PR]提供:SCSK