岐阜県教育委員会では2022年度より全県立学校84校の教員が、私物のスマートフォン等を使って多要素認証で学習系データ及び校務系データの一部にアクセスしている。本仕組みを導入した経緯を岐阜県教育委員会の岩口一平課長補佐兼情報基盤係長と導入期の担当である日比学教諭(県立本巣松陽高等学校)に聞いた。聞き手は信州大学名誉教授・東原義訓氏。岐阜県では2020年度に約4万2000台の生徒用端末(Surface Go 2とMicrosoft 365 Education A3(以下、Microsoft 365 A3)を配備。2021年4月に新設したICT教育推進室では15名が学校支援や情報発信に取り組んでいる。
プロジェクター専用ホワイトボードを全教室に導入。生徒は情報端末を日々活用している
東原義訓名誉教授
「教育情報セキュリティポリシーに関するガイドライン」2022年3月改訂版の「例示」では、教員用端末の多要素認証を必須としています。岐阜県で特筆すべき点は、本改訂版以前に教員の多要素認証の導入方針を決定している点、かつ認証に教員の私物スマートフォンを使っているという点です。この英断に至った経緯を教えて下さい。
岩口一平課長補佐兼情報基盤係長
岐阜県ではこれまで、境界型セキュリティの考え方で情報資産を守っており、私物端末の持ち込みも一切禁止という運用でした。
一方で2021年度からの2年間で校務のデジタル化事業に取り組んでおり、モデル校では、Microsoft Forms(以下、Forms)を使って欠席連絡等を行っており、朝の保護者からの電話による連絡がほぼなくなるなど教員の業務改善に明らかな成果が出ていました。
そこでモデル校の事例を全県立高校に普及することとして検討を始めたのですが、当時の県のポリシーに適合していなかったり判断に迷ったりする状況が生じたのです。
例えば、生徒の情報が含まれる資料をMicrosoft Teams for Education (以下、Teams)に掲載して自宅で閲覧することやFormsで生徒の欠席連絡を保護者とやりとりする等のクラウドでは当然のことが、県が定める個人情報取扱マニュアルの重要度分類に反しているのではないか、等です。これらの課題を全校展開の前に解決すべきであると考えました。
しかし、首長部局のポリシーを教育委員会が変更するわけにはいきません。
そこで、重要性の分類の再整理により解釈を明確にしてクラウド活用に関するポリシーの整合性を図ると共に多要素認証の仕組みで本人認証を強化することでパスワード漏えいの危険に対策しようということになりました。
利便性を図るためにクラウド活用が必要になり、多要素認証やポリシーの整理・検討が始まったのですね。課を超えた連携が必要になりますね。
情報資産の重要性分類の見直し・運用の整理が最も大変で、かつ本取組の大きな「鍵」となりました。
岐阜県には「個人情報取扱マニュアルの重要度分類」と「情報セキュリティポリシーの重要性分類」があり、それまでは主に前者を参照していました。これを「教育情報セキュリティポリシーに関するガイドライン」の考え方で整理したり解釈を明確にしたりする必要があり、首長部局とも連携して取り組みました。
首長部局も境界型セキュリティで、クラウド活用の実績は多くありません。そのため情報資産のクラウド上の取り扱いをどう考えるのかについて迷うことも多く、予想以上に大変でした。
しかしのちに教育CISO(Chief Information Security Officer)となる当時の副教育長の「首長部局にとって参考になるようなものを作成しよう」という声もあり、ICT教育推進室を中心に教育委員会の関係各課一丸となってやり遂げることができました。
日比学教諭
具体的には、重要性分類Ⅰ~Ⅳそれぞれについて様々な校務系・学習系データがどこに分類されるのかを1つひとつ検討しました。
例えば生徒の解答が未記入であるプリントや小テストなど教材の重要性分類は「Ⅳ」とするが記入後は「Ⅲ」とする、欠席情報のみのデータは「Ⅲ」とするが保護者の緊急連絡先が記載されているものは「Ⅱ」とする等です。多要素認証を前提としてクラウド上にどこまで上げて良いのかも整理しています。
整理に当たっては首長部局にクラウドの取り扱いについて内容を確認してもらいつつ、教育委員会内の関係部局には過去のマニュアルの修正を依頼しました。
特に情報資産の取り扱いで問題となる、データの「持ち出し」については、情報セキュリティポリシーの変更は行わず、多要素認証等により適切なアクセス制限が行われているクラウド上のデータは、オンプレのデータと同等に取り扱うことし、データアクセスについては「自宅等での閲覧のみ」は持ち出しとはせず、「ダウンロード」する際は持ち出しと解釈することとしました。
さらに、重要性分類「Ⅰ」「Ⅱ」のファイルについては従来からパスワード等で保護してきましたが、保存場所がクラウド上になる可能性も考慮し、万が一教員以外の部外者がファイルを入手できたとしても、教員以外のアカウントではファイルを開くことができなくするため、Microsoft Office の「秘密度」の機能を使ってデータにアクセスできる人を「教員のみ」と設定する等のルールも設けました。
多要素認証と組み合わせることでパスワードに頼らなくても利便性を図ることができます。これはMicrosoft 365 A3の契約の範囲で追加費用なく利用できたことも、導入に大きく寄与しています。
最初の一歩であり最大の鍵が情報資産分類とポリシー等の見直し・整理であるという点は他の教育委員会にも参考になるところです。
他県では私物端末等を活用することについて抵抗感を持つ教員もいるという事例を聞きます。公立高等学校として教員の私物スマートフォンで認証する仕組みとした事例はまだほとんどないのではないでしょうか。教員の理解を得るためのポイントはありますか。
クラウドにアクセスする際は端末に届いた数字をスマートフォンに入力して認証
県で導入しているMicrosoft 365 A3では、追加予算不要で「Azure Active Directory(AAD)」による多要素認証を設定できる、という点が出発点です。
本認証では、Microsoft 365等のクラウド環境にアクセスすると本人認証を求められ、本人の認証方法として電話やSMS(電話番号を宛先として、送信・受信する文字列)、アプリ(Microsoft Authenticator)を選択できます。
認証の際にはランダムに数字がその都度送付されるため、「パスワードをメモしておいて漏えいする」という事件を防ぐことができます。
教員に案内した際には、多要素認証の利便性の説明と共に、「自分のスマートフォンで本人を認証できるが学校の事務の固定電話でも可能であり選択は任せる」とし、個人のスマートフォン活用が必須ではないことも伝えました。その結果、現実的な運用から、ほぼすべての教員が個人のスマートフォンを使って認証しています。当初はSMS認証が多く、少しずつアプリ認証が増えている印象です。
既存の校務用端末からのアクセスに多要素認証は不要ですが、それ以外の端末はすべて多要素認証を必須としています。すべてを一度に変えるのではなく、一部の変更から始めた点も良かったのかもしれません。多くの教員は多要素認証を「クラウドにアクセスするときに必要な仕組み」と理解しているようです。
校内外からの連絡や授業のための仕組みということですね。
本来の目的はその通りです。しかし様々なOSで認証することについて検証してから学校に案内したいと考え、導入当初は、校内限定の運用としました。本仕組みでは状況により設定を変更できるので段階的な運用が可能です。
その後、コロナ禍対応等で検証に時間がかかり、今春2月にようやく校外からのアクセスも可能となり、本来の目的に近づいたところです。
設定変更のみで段階的に導入できる点は挑戦しやすいですね。
スムーズに活用が始まったと聞いていますが、そのためにどのような準備をされましたか。
はい。スマートフォンによる認証は銀行やオンラインでの買い物等で一般化していることもあり、比較的スムーズにスタートを切ることができました。
特に研修は行っていませんが、全校の教員に「情報の分類と管理」「クラウド上の情報資産の取り扱い」の詳細文書と概要版を配布し、さらに多要素認証の説明動画を作成して案内しました(※)
「SMSは別途料金がかかるのではないか」など不安の声もいくつか届きましたが、各通信事業者に「SMS受信は無料」であることを確認し、周知を図りました。(※日本マイクロソフトからも、先生向け、管理者向けの使い方動画をそれぞれ公開している【学校の先生向け】 使ってみましょう ! 多要素認証/【管理者向け】 Azure Active Directory の多要素認証で先生の情報を守る – YouTube)
オンラインで教員同士がコミュニケーションを取る場も設定しています。任意参加ですが疑問や不安を教員同士で解決する場として積極的に活用されており、教育委員会への質問が比較的少なかった理由の1つとなっている可能性もありそうです。
また、県教委で学校長のコミュニティをTeams上に立ち上げ、チャットで気象警報発表時の情報交換等が始まりました。近隣の状況や判断を知りたいというニーズに対応できる活用など、ようやく便利さに気付き始めているという手応えを感じているところです。
現在では多くの学校でFormsによる欠席連絡の仕組みを構築しており、働き方改革に大変効果が上がっています。
情報共有の仕組みは教員同士の学び合いのきっかけになりますね。
多要素認証の仕組み導入後はどのような成果がありましたか。成果を踏まえた目標も教えて下さい。
重要性分類や留意点を整理したことで、学校外からどのようなデータをどこまで閲覧・活用できるのかが明確になりました。
具体的には、重要性分類ⅡからⅣのデータをクラウド上で扱うことを可能とし、生徒の欠席連絡や職員会議等の資料の共有が可能になるなど、教員の利便性向上につながっています。
一方で「認証の仕組みが変わった」ことの理由を全員が正しく理解していない可能性はあり、利便性向上に役立つ活用を示しつつ理解と浸透を図っていこうと考えています。
データを見ていると、明らかにパスワード解析を目的とした攻撃がされているアカウントがあることがわかりますが、教員アカウントは多要素認証により止まっている(防げている)ことも確認でき安心感があります。
生徒アカウントについては現時点では多要素認証を求めていないことから、攻撃されている該当の生徒に連絡してパスワードの変更を依頼するなどしています。
Microsoft 365 A3ではアクセス権やセキュリティ対策は手動による設定が必要です。Microsoft 365 Education A5あれば自動で対策されることも承知しておりますが、現時点ではA3でできる範囲の活用としております。将来的には校務用端末と指導者用端末の更新や一体化の検討を予定しており、その際にも、現在の運用や仕組み、重要性分類の考え方が役立つと考えています。
聞きたいときにすぐに聞ける場があることで信頼関係を構築できている点、首長部局も含めてチームで進めている点がチャットや多要素認証などの新たな挑戦をスムーズに進める推進力になっているようです。
先生方にとって導入時の頭の切り替えはやや大変でも、より安全な世界に連れて行ってくれる、そんな多要素認証が全国の学校にも広がるといいですね。そのためには、教育委員会の周到な準備が大切であることがとてもよく理解できました。ありがとうございました。
AAD(Azure Active Directory)による多要素認証=ユーザー名とパスワードに加えてサインイン時の認証形式(電話、SMS、モバイルアプリ等)を選択でき、ランダムに送付される数字を入力することで認証を強化する。
左から岩口一平課長補佐兼情報基盤係長、日比学教諭(導入時担当者)、東原義訓名誉教授
