教育情報セキュリティーポリシーに関するガイドライン改訂と生体認証のこと
2022.12.27
こんにちは、ICカード.comです。
文部科学省が令和4年3月に教育情報セキュリティポリシーを改訂しました。
本記事ではICカード.com的に気になるところとして、今後の情報保護の手立てとして生体認証を進める記述がありましたのでこの点を中心とした内容となっております。
これからの学校施設などのセキュリティについて考える際のお役に立てば嬉しいです。(ガイドラインの全文は文科省のサイトで読むことができます。)
教育情報セキュリティポリシーガイドラインとは
まずはじめに教育情報セキュリティポリシーガイドラインとは
『地方公共団体の各教育委員会が教育情報セキュリティポリシーの策定や見直しを行う際の参考として、教育情報セキュリティポリシーの基本理念と検討する際の考え方について解説したもの』
とあります。
年々の技術の進歩とともにセキュリティに対する備えも複雑化している中で、各地方自治体の教育委員会はどう対策するべきかを示す指針となっています。
つまりこのガイドラインを参考に策定されたポリシーに沿って各学校では情報資産を適切に守っていくための対応をしていく、という事になりますね。
多要素認証は今後欠かせないものに
教職員が利用するパソコンなどの端末や記録媒体の管理が不十分だと当然のことながら情報漏洩や紛失、盗難、不正利用などの被害にあう恐れがあります。
平成30年度のデータですが、学校・教育機関における個人情報漏えい事故の発生状況(参照:ISEN資料)という資料には年間198件の個人情報漏洩事故があり、個人情報漏洩人数としては57,628人(約300人/1件あたり)と調査結果がでています。
漏洩事故の場所は学校内が最も多く、半数以上を占めています。このため個人の意識を高めるだけではなく組織全体で事故が起こり得ない環境をと問えていく必要が重要であることがうかがい知れます。
こうした事故件数の増大への対策のひとつとして、教育情報セキュリティ―ポリシーに関するガイドラインには教職員が使う端末ついての指針の例として以下のようなものがありました。
—————————————————————-
◆教員等の利用する端末に関する例文 ※一部抜粋
教育情報システム管理者は、取り扱う情報の重要度に応じてパスワード以外に生体認証や物理認証等の多要素認証を設定しなければならない。特にアクセス制御による対策を講じたシステム構成の場合、校務情報等の重要な情報資産へのアクセスについては、多要素認証を必須とすること。
—————————————————————-
とあります。ICカード.com的にはこの中で「多要素認証」というワードが気になります。
多要素認証について簡単にご説明しますと・・・
例えばPCのログイン管理に職員証(ICカード)をかざす必要があるケースだとそれは「カードの所有者」という単一の要素で認証としているとみなし多要素認証とは言いません。
この個人を認証する要素は他にもたくさんあり、多要素認証とは以下の3つのタイプの認証方法から2つの認証を掛け合わせたものを指します。二つの場合は二要素認証や二段階認証と言われたりもしているので、耳にしたことがある方も多いと思います。
①知識認証
本人が知っている要素での認証
例:パスワード、暗証番号、秘密の質問など
②所持認証
本人が所有しているものでの認証
例:携帯電話、社員証などのICカード、ワンタイムパスワードなど
③生体認証
本人の身体的特徴を利用した認証
例:指紋認証、顔認証、網膜認証、静脈認証など
つまり、多要素認証と言っても特定の組み合わせが決まっているわけではありません。
実際の施設利用状況にフィットするもの選ぶ必要があります。
多要素認証を導入する時に留意するポイント
と、いうことでこれからセキュリティの強度を高めていくとした場合、どんなところに気を付けながら対策を講じていけばよいのでしょうか?
そのヒントも教育情報セキュリティポリシーに関するガイドラインのなかに散りばめられていました。
「多要素認証の設定においては、導入後の運用面(認証装置の配布方法や紛失対策など)について留意すること」
「運用実態や教職員等の負担も考慮し検討する必要がある。」
とあるように前提として無理なく運用できる対策であることが指摘されています。
意外と見落としがちなところで、要件は満たしているけど毎日使ってるとだんだん手間がかかるのが負担になる、と言ったことはよくあります。
例えば知識認証は忘れない為と言ってもメモは残せないので管理が地味に大変だったり、所持認証は方法によりますが貸し借りやなりすましの事例も多く発生しています。
その点、生体認証は身体的な特徴で認証を行うため貸し借りが不可能です。これによりなりすましのリスクが極端に低いという強みから個人認証に適しています。
そのため多要素認証のうち一つは生体認証を採用するのが学校施設においても適切と言えると思いますが、どの生体認証を取り入れるかは施設規模や利用者数によって費用と合わせて検討しなくてはいけません。
参考:学校に先生(教員)って何人くらいいるの?
学校などの教育施設には先生(教員)って何人くらいいるのか調べてみました。
これも文部科学省ホームページに「令和4年度学校基本調査」というがありましたので、小中高校に関する数字を拾ってみました。小学校の教員数は平均すると一校当たり約22人という結果に。人数は比較的少ないが施設数が多いので、初期費用は抑えたいところ。
利用者約50名以下の施設に適した多要素認証US Card-アスカード-
データから多くの教育施設では20名前後はたまた50名以下の職員数の利用者が見込まれることがわかりました。
教育情報セキュリティ―ポリシーに関するガイドラインに沿った情報漏洩への対策を講じるうえで、ICカード.comでご提案できるアイテムの一つに「US Card-アスカード-」(製品ページ)をというものがあります。
US Cardは本製品(カード)単体で所持認証(ICカード)と生体認証(指紋)の多要素認証を実現することができ、既にカードリーダーなどの認証設備を導入している場合はカードの置き換えだけで利用開始できるメリットがあります。
詳しくは製品ページ情報がありますのでそちらをご確認くださいね。
また一般に生体認証には認証を行うために専用機器の購入、取り付け工事、ソフトウェアのカスタマイズ、データ管理用のサーバー契約+維持費などがかかります。
比較資料はただいま準備中です。
まとめ
令和4年3月に改訂された教育情報セキュリティ―ポリシーに関するガイドラインですが、今後ますますセキュリティ確保への対応は高いレベルが求められていくことになるのは確定的です。
必要な設備導入と適切な安全意識を持って、正しい情報管理を推進するお手伝いができればと思います。
本記事の要点を抑えてみると
・学校施設でも生体認証が推奨されている。
・個人認証は多要素認証で。そのうち一つは生体認証で。
・小中高等学校の職員数は20~30名のところが多い(小、中、高で計算)
となります。
大がかりな設備導入が難しい規模の施設においては先述のUS Cardは導入のしやすさと安全性の高さにおいてご検討いただきやすいアイテムです。既設システムとの連携のご相談なども、気になる場合は資料請求やお問い合わせくださいね。
ではこのあたりで。