教育情報セキュリティポリシーに関するガイドラインに
個人認証強化策として「二要素認証」の重要性が明記

文部科学省は「教育情報セキュリティポリシーに関するガイドライン」の第2回改訂を令和3年5月に実施しました。GIGAスクール構想が掲げる1人1台端末整備や高速大容量の校内通信ネットワーク整備など、学校ICT環境整備の推進を踏まえたセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成などの課題に対応するためです。その中で、教職員の個人認証強化策として「二要素認証」の重要性が明記されました。

コロナ禍で前倒しのGIGA構想に対応した改訂

平成29年10月に策定された「教育情報セキュリティポリシーに関するガイドライン」は、地方公共団体が設置する小学校や中学校、義務教育学校、高等学校、中等教育学校、特別支援学校を対象とした情報セキュリティポリシーの策定や見直しを行う際の参考となるため、学校における情報セキュリティポリシーの考え方や内容を示したものです。

第2回改訂では、コロナ禍においても、子供たちの学びを保障する観点から、GIGAスクール構想について、当初4年間で整備する予定だった計画を1年間に前倒ししたことに対応しました。1人1台の学習者用端末における学校内外での日常的な端末の活用や、クラウドサービス活用に向けたID管理などのセキュリティ対策の記述を充実させました。

近年、ネットワークが混在する環境下においては、「全てのネットワークやユーザー、接続される端末を信頼しない」という考え方に基づくセキュリティ対策を行うことが一般的です。教育現場においても、「学校内外を問わず、全ての通信を信用しない」という前提に立った監視や管理を行うことが必要です。その際に、認証など適切な条件を満たす場合のみアクセスを許可する方式を前提として環境構築を行うことを推奨しています。こうした技術的対策は不正アクセスを防ぐために有効な手段です。

教職員の個人認証強化を明記

学校内では、教職員は日常的に重要性が高い校務系情報を扱います。しかも、教職員が校務型情報を扱う職員室などに児童や生徒も出入りできるなど、学校では厳格な入室制限をするのが難しい状況を踏まえると、これらの情報への不正アクセスを防止することが重要なポイントになることは言うまでもありません。

学校のセキュリティ対策としては、アクセス認証型対策や境界防御型対策のどちらの場合であっても、重要性が高い校務系情報を許可された教職員のみが利用できるよう、取り扱う情報の重要性に応じて、確実な本人確認を行うことが必須です。

個人認証の方式としては、従来はID・パスワードの利用が一般的でしたが、それだけに依存してしまうと、万が一ID・パスワードが流出した場合に「なりすまし」で操作される危険性があります。このため、記憶、生体、所持の2つ以上の要素で認証する「多要素認証(MFA : Multi-Factor Authentication)」を用いることで、個人認証を強化することが重要になります。

このほか、児童や生徒の端末のセキュリティ対策としても、CBT(Computer Based Testing:試験における工程を全てコンピュータ上で行うこと)などの本人確認を厳格に行う必要がある場合は、ID・パスワードによる基本的な認証だけでなく、指紋・顔・ICカードなどの複数の要素を組み合わせて「なりすまし」対策を行う有効性についても指摘しています。

記憶、生体、所持のうち2つの要素を組み合わせる

二要素認証とは、これまで1つの要素だけで認証していたものを2つの要素にすることでセキュリティの強化を図る手法のことです。多要素認証とは、認証の組み合わせを2つ以上にすることを指します。

IDとパスワードによる認証が一般的でしたが、これは「ID+パスワード」という1つの要素による認証です。二要素認証は、本人だけが知っている情報(記憶)、本人だけに備わった特性(生体)、本人だけが持っている物(所持)の3つの要素から2つが揃っていないと認証が通らない仕組みのことを言います。

例えば、「ID+パスワード」は、本人だけが知っている情報を使った認証で、「静脈」「顔」「指紋」「網膜」「虹彩」などは、本人だけに備わった特性を利用した認証であり、「ICカード」「USBキー」「トークン」などは、本人だけが持っている物を使った認証です。

二要素認証の代表的な例が銀行のATMです。キャッシュカードは本人だけが所有しているもので、暗証番号は本人だけが知っていることです。この二要素が揃わないとお金を引き出すことはできません。最近は、これに生体認証を組み合わせる機種もあります。

また、ネットバンキングなどでは、トークンによるワンタイムパスワードが用いられています。トークンとは認証の際に用いる物理的デバイスという意味合いで用いられている名称で、正式には「セキュリティ・トークン」といいます。

IDとパスワードによる「本人だけが知っていること」に加えて、トークンという物理的デバイスである「本人だけが所有している物」を認証に使うことで、セキュリティの向上が図られています。最近はスマートフォンアプリによってワンタイムパスワードを発行する場合もあります。

・「教育情報セキュリティポリシーに関するガイドライン」公表について
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm


ワンタイムパスワード(OTP)トークン



BioPass FIDO2



関連記事

テレワークセキュリティガイドラインを解説

Googleアカウントの二段階認証がデフォルトに

テレワーク等のニューノーマルにおける効果的なセキュリティ対策

リモートデスクトップ(RDP)の認証強化

セキュリティ強化に効果的な指紋認証の活用法

SalesforceのMFA(多要素認証)必須化に備える

Microsoft Azure PortalへのOTPトークン設定方法

ChromeBookのログインにFIDOで多要素認証を実現

GIGAスクール構想における認証強化

Windowsログオンのセキュリティ強化