採用情報

お問い合わせ

BLOG

電子認証局サービス BLOG

学習 e ポータル、校務支援システムのセキュリティリスクと対応急務の対策とは?

本記事では実際の教育現場においてどのような箇所に情報セキュリティ上のリスクがあるのか、昨今の GIGA スクールと学習 e ポータル、校務 DX についても解説します。

2024 年 1 月に改訂された文部科学省のガイドランならび今後の教育現場における ICT 環境整備の動きについては、BLOG:最新版「教育セキュリティポリシーに関するガイドライン」に見る教育現場における情報セキュリティとは? をご参照ください。

MEXCBT(メクビット)、デジタル教科書の本格運用スタート

GIGA スクール構想の義務教育段階における生徒 1 人へ 1 台の端末配備が 2023 年度内に配備完了となる見込みとなっており、2024 年度からは文部科学省のオンライン学習システム(通称:MEXCBT(メクビット))を利用した「全国の学力・学習状況のデジタル化」ならびに、学習 e ポータルを経由した「デジタル教科書」の利用が本格的に始まります。

 共通ツールの整備:文部科学省 CBT システム(MEXCBT:メクビット)についてのプレゼン資料

(出典)文部科学省「文部科学省 CBT システム (MEXCBT:メクビット ) について」

ハブの機能を持つ「学習 e ポータル」

「学習 e ポータル」とは、文部科学省によると「日本の初等中等教育(学校教育)に適した共通で必要な学習管理機能を備えたソフトウェアシステム」のことで、 GIGA スクール構想で整備された1人1台の端末を使って、デジタル教材の学習データをより効率的に活用するためのデジタル学習のプラットフォームです。日本の学校教育に適した共通で必要な学習管理機能として、(1) 学習の窓口機能と (2) 連携のハブ機能、(3) 文科省システム(MEXCBT)のアクセス機能、の三つが挙げられています ※1

「文部科学省 CBT システム(MEXCBT:メクビット)にあるように民間会社が提供している「学習 e ポータル」はハブの機能を持っており、学習 e ポータルを経由し、児童生徒は MEXCBT ならびデジタル教科書を含む学習コンテンツへ場所を問わず自由にアクセスし、自身の学習状況を可視化ならびテストを受けるといったことも可能となります。

学校(教師)側においても、学習 e ポータルを経由して MEXCBT にてテストの作成や自動採点を行うことができ、学習 e ポータルの提供する機能にもよりますが、各児童生徒の学習状況、出欠や健康観察等のデータが一元的に可視化することができます。また、指導要録や通知表などの機能を持っている校務支援システムとの自動連携によって校務の大幅な効率化にも繋がります。

※1
出典:「文部科学省 CBT システム(MEXCBT:メクビット)の活用に関する説明会」(文部科学省 総合教育政策局 教育 DX 推進室)

学習 e ポータル、校務支援システム利用時におけるリスク

現状、学習 e ポータルや校務支援システムへのログインについては以下のいずれかのケースが多く採用されています。

  • 学習 e ポータル / 校務支援システム独自の ID・パスワードによる単一要素認証
  • Microsoft や Google のアカウントでログインしている状態での、学習 e ポータルへのシングルサインオン

もし、ID・パスワードが外部に漏れる / 盗み取られてしまった 場合 、第三者に MEXCBT や各学習コンテンツ、校務支援システムへ自由にアクセス されるリスクがあります。

 想定される影響の図

児童生徒に関しては、いじめによる命に関わる最悪の事態を招くことも想定されています。教師・学校に関しては、児童生徒側と同様のリスクに加え、重大インシデントとして扱われる可能性が高く、関係者ならび社会への説明が求められる事態となる可能性があります。

リスクに対し、どのように対策すべきか?

文部科学省が公開している「教育情報セキュリティポリシーに関するガイドライン」において「なりすまし」による不正アクセス対策として、強固なアクセス制御(「利用者認証(多要素認証)」、「端末認証」、「アクセス経路の監視・制御」等を組み合わせたセキュリティ対策)※2 が教育現場で必要であると示しています。

強固なアクセス制御における三要素の一つである「端末認証」については、「電子証明書」を用いたアクセス制御を行う旨がガイドライン上に記載されており、学習コンテンツや教育情報資産アクセス時の「多要素認証」としても利用可能です。詳しくは BLOG:最新版「教育セキュリティポリシーに関するガイドライン」に見る教育現場における情報セキュリティとは? をご確認ください。

※2
アクセス制御ならびに多要素認証の利用には、利用されているサービスまたはサーバー側での設定が必要です。

 文部科学省が掲げる「強固なアクセス制御」の三要素

また、ガイドラインには明確に記載はされていませんが、シングルサインオンならび ID 管理の機能を持つ IDaaS※3 利用について記載されており、アクセス制御ならび多要素認証の環境構築として IDaaS 導入も有効な手段の一つとして挙げられます。

※3
IDaaS については BLOG:IDaaS とは? をご覧ください。

 学習用ツールへのシングルサインオンについての記載

(出典)文部科学省「教育情報セキュリティポリシーに関するガイドライン」

 現在の構成

 今後の構成

A) 電子証明書を認証に追加

Google もしくは Microsoft のサービスにログインする際、従来の ID・パスワードに加えて電子証明書を用いた多要素認証を実施してログイン。

B) IDaaS による認証・認可の実施

学習 e ポータルから IDaaS へリダイレクトさせ、IDaaS にて ID・パスワード+電子証明書を用いた多要素認証を実施し、IDaaS より取得したアクセストークンを用いて学習 e ポータルへログイン。

マルチ OS 対応、柔軟な電子証明書の配付

「サイバートラスト デバイス ID」は、学校現場で多く導入されている ChromeOS(Chromebook)をはじめ、Windows、iPadOS / iOS、Android、macOS に対応しています。
また、電子証明書の配付においても、これから新しい端末を生徒へ配る前であれば、管理者にてキッティング時に電子証明書のインストール、既に端末を生徒へ配布済みであれば MDM(Mobile Device Management:モバイルデバイス管理)を利用した配付または MAC アドレスなどの端末固有の識別子による電子証明書の配付が可能なため、管理者が許可していない端末に電子証明書がインストールされてしまうといったリスクにも対処できます。

「サイバートラスト デバイス ID」は初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラスト デバイス ID」の導入をぜひご検討ください。

なお、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。

本記事に関連するリンク
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime