秀明英光高等学校様
Yubi Plusで校務システムを脅威から守り抜く
秀明英光高等学校
秀明英光高等学校は、埼玉県上尾市にある私立高校である。校名の通り、英語に力を入れ、イギリス人教員によるネイティブスピーカーの英会話など特色ある授業を行うとともに、日本の伝統的道徳観を「心の学習」で学び、国際人の育成・人間性豊かな人格形成を目指す。これらの学校活動を支える校務システムを統括するIT担当・入試室付の鹿山教諭にYubi Plus導入の経緯について訊いた。
情報漏洩を防ぐための2つの鍵、Yubi Plus導入へ
2015年に、秀明英光高等学校は校務システムを完全にインターネットから切り離すという英断を下す。連日報道される情報漏洩やサイバー攻撃といった様々な脅威から個人情報を守るためだ。大学入試情報を知るには各教員のPCからアクセスできる方が遥かに便利だが、そこからサーバーに侵入されるリスクも伴う。不便よりも生徒一人ひとりの情報を優先した結果であった。
当時を振り返り、鹿山教諭はインターネットと校内ネットワークを遮断するだけでは、胸中の不安を払拭するにたるものではなかったと語る。システム開発・運用、さらに情報科の教員としても活躍する鹿山教諭には、もう一つ危惧すべき点が見えていた。例えば、放課後の職員室に生徒が質問に来たとする。続いて別な生徒が慌てて入室し、友人の体調不良を知らせたとしたら、その教員は急いで現場に向かうこととなる。前者の生徒が残り、教員のPCをのぞいた時、ディスプレイに成績やテストが映し出されていたとしたらどうであろうか。インターネットが校外の脅威だとすれば、こうした状況は校内の脅威といえる。これを防ぎ、多忙な教員をサポートするシステムが必要と考えたわけである。
2019年、日本情報システムのYubi Plusの採用が決まり、教員だけでなく事務職員も含めた80名にUSBセキュリティ鍵が配付された。
二要素認証ログインを手軽に実現するYubi Plus
Windowsへのログインやロック画面解除には、IDとパスワードの組み合わせ、すなわち「知識情報」を用いるのが一般的である。これは手軽に認証ができる反面、パスワードが他者に漏洩した場合、パスワードの使い回しによるなりすましの危険性を回避することはできない。より安全性を高めるには多要素認証が必須であり、多要素とは、「知識情報」「所持情報」「生体情報」の3つを指す。この内の2つの要素を用いる二要素認証が、今注目を集めている。
Yubi Plusは、パスワード「知識情報」にUSBセキュリティ鍵という「所持情報」を加えることで、二要素認証を実現した。指紋や静脈といった「生体情報」を利用しないので個人情報の追加管理の必要性や誤検知の可能性もなく、セットアップは短時間で済む。USBセキュリティ鍵にはデータ格納領域がないため、万が一、紛失した場合にも情報漏洩の心配はない。
USBセキュリティ鍵を抜くことで即ロック
Yubi Plusの採用により、パスワードの入力に続いてPCのUSBポートに各自専用のUSBセキュリティ鍵を挿入し、鍵のセンサー部分にタッチするログイン方法が始まった。二要素認証となったことで手順はひとつ増えたものの教職員からの不満はなく、導入後すぐに習慣化された。前述のような緊急の場面でもUSBセキュリティ鍵をさっと抜けば即ロック画面に移行する、この安全性の向上が最大のメリットと鹿山教諭は強調する。教員の仕事にルーティンはない。生徒指導や保護者からの緊急連絡などイレギュラーな対応を求められることが多く、今は新型コロナウィルス感染症予防対策が教育現場に拍車をかけている。離席時にシャットダウンしなくても、USBセキュリティ鍵を抜くだけという簡単な操作で情報漏洩を防ぐことができる利点が教員にもたらす恩恵は大きい。
丁寧なマニュアル、厳格なトレーニングで盤石な運用を目指す
セキュアなシステム運用の成功例と言える秀明英光高等学校だが、Yubi Plus導入で鹿山教諭の負担が増えたのではないかという質問に対して、それほどの苦労はなかったと答えた。日本情報システムがアカウント発行といった管理サポートするので、導入時とPC交換の時だけ、初期設定の手伝いを鹿山教諭が行っている。あらかじめ丁寧なマニュアルを用意し、職員会議などを利用して全教職員に説明した上で、必要ならば各人の席に出向いて設定をする。担当者ひとりの献身的な努力のおかげで、Yubi Plus運用を成し遂げたのだ。
導入後、USBセキュリティ鍵の紛失による情報漏洩も懸念されたが、実際には杞憂に終わった。Yubi PlusはソフトウェアをインストールしたPCでのみ有効なので、紛失した鍵を用いて他のPCにログインすることはできない。仮に該当するPCに挿入したとしても、前述の通り、デバイス自体にパスワード情報の記録がないため情報漏洩にはつながらないのである。
安全性向上のために内外の脅威から校務システムを隔離する一方で、文部科学省が進めるGIGAスクール構想への対応も現場は迫られている。授業で使うタブレットやノート型PCは教材利用の目的でインターネット接続を許可した。大事なのは使用する側の意識づけである。成績などの個人情報は校内システムのみでの活用に制限し、持ち出しは厳禁というルールを全教職員に徹底したのだ。安全性の確保は、セキュリティと使用者の高い意識がなければ成しえない。
生徒にも実例を用いたセキュリティの授業
情報の授業を通して鹿山教諭は、セキュリティの重要性を生徒たちに説いている。インターネットやテクノロジーの進化がどれだけ人間に利便性をもたらしたかを教えながら、サイバー犯罪の巧妙化による負の面についてもしっかりと伝えるように心掛けている。例えば、ピースサインの写真をSNSに公開したとする。解像度の高い最近のカメラ画像ならAI(人工知能)を利用することで指紋の情報を盗むことができるし、位置情報も探られ、思わぬ事件に巻き込まれる危険性が生まれる。日常に潜むサイバー犯罪の話は緊迫感を生み、個々の意識も高まることから、鹿山教諭の授業は生徒たちからも好評だ。これからのサイバー世界を生き抜くためには情報の活用は不可欠であり、情報を活用する上で最も重要視しなければならないのがセキュリティなのだという認識を深めてほしいと自らの教育目標を語った。
個人情報を守るための確固たる覚悟
2019年の導入以来、日本情報システムへのサポートの依頼やトラブル相談は1件もない。2年が経過した現在でも問題が起きない、困らないという状況はセキュリティ上の観点からみても最大の成果を収めているといっても過言ではない。Yubi Plusを活用しながら、さらに堅牢性を追求していきたいと鹿山教諭は今後の抱負も述べていた。
インターネットの今後の革新的な発展に期待を寄せつつ、表裏一体となって存在する危険性から目を背けるわけにはいかない。校務システムの使用者に付与する権限は最低限とし、必要以上の権限や情報は与えないのが鹿山教諭のポリシーだ。独善的なのではない。アドミニストレーターは自分であり、権限を持つ以上、最大の責任を負うのも自身であるという覚悟がそこにはある。教職員側の多少の不便よりも、セキュアであることを優先し、その重要性を理解してもらうことで組織全体の意識改革も進んでいく。情報化時代の矢面に立ち、責任者として個人情報を守り抜くシステムを構築した鹿山教諭の思いと、Yubi Plusの出会いは偶然ではなく、必然であったと確信する。
秀明英光高等学校
https://www.shumei-eiko.ac.jp/