セキュリティの
学び場

今回の解説ニュース

文部科学省がデジタル教科書の実現に向けて、ワーキンググループで様々な議論がなされる中、シングルサインオンについて取り上げられたということです。

「デジタル教科書の普及促進に向けた技術的な課題に関するワーキンググループ」では、その名の通り、デジタル教科書の今後の在り方について、実証研究と並行して技術的な課題についても専門的な検討を進めるために設置されています。また、このワーキンググループにおいては、セキュリティも含めた技術的な課題の解決に向けても議論がなされているようです。

ワーキンググループの議事録から、セキュリティに関連する内容について抜粋すると、アカウントとシングルサインオンについて議論がなされています。具体的には、システムのアカウントに関して、ログイン時のID・パスワードにおいて、桁数の下限や上限、学校内では重複しないようにとするもの、半角英数字・記号を含めるとするもの、IDを学年や組・番号とするもの、があるということです。

また、シングルサインオン対応については、Googleのみに対応しているもの、マイクロソフト・Appleに対応済みのもの、検討中の状況も含めて対応していないもの、があるとしています。

「シングルサインオン」導入に気を付ける点とは？

シングルサインオンの内容と、導入する上で気を付けるべきポイントについて説明します。

シングルサインオンとは、SSOとも略される、一度の認証で複数のシステムが利用可能になる仕組みです。ユーザはシステムごとにIDとパスワードを設定する必要がなくなるため、システムごとに都度ログインすることが不要となり、パスワードの管理が煩雑になることを防ぎます。具体的には、10のシステムに対してシングルサインオンを使わずに認証しようとすると、ユーザは10のIDとパスワードの組み合わせを設定する必要があるため、結果として、安易なパスワードを設定してしまう可能性が高まります。シングルサインオンでは、1つのIDとパスワードの組み合わせを設定すればよく、厳格なパスワード管理も複数の組み合わせを設定するよりは現実的となります。

しかし、シングルサインオンにもリスクは存在します。それは、1つの認証を突破されてしまえば、シングルサインオンに対応したすべてのシステムに侵入されてしまうことです。要求されるセキュリティ要件が異なるシステムで、同じIDとパスワードの組み合わせでは適切でない場合があります。

マルウェアやサイバー攻撃でも、まずActive Directoryが狙われる理由は、このシングルサインオンが抱えるセキュリティリスクが存在するからです。そこで、シングルサインオンを行う認証システムでは、二段階認証など十分なセキュリティ対策を実施することが求められます。

セキュリティ目線から見るデジタル教科書普及促進への課題

今回の記事にあるワーキンググループの議事録を見て、気になる点について、いくつか挙げてみます。

パスワードの管理は厳格に

議事録からの抜粋で「ログインに関わるところで言うと、パスワードは複雑であるほうが安全であるとは思いながらも、シングルサインは大前提にして、子供が困らないような形でしていただく」とあります。確かに、使う子供が困らない形にすることは重要ですし、対応する先生の負担にならないことも必要です。ただし、あくまでもセキュリティの観点から考えると、シングルサインオンであるからこそ、パスワードの管理は厳格にする必要があると考えます。理由は先ほど説明した通り、認証を突破されてしまった場合の影響範囲が大きいからです。

パターンの簡略化は認証を突破されるリスクが

また、アカウントに関して、どのようなパターンがあるか触れられていました。その中で、どうしても気になったのが「IDを学年や組・番号とするもの」という点です。学年や組・番号など、推測できるIDは認証の強度を下げることになります。理由は、もう1つの要素であるパスワードがわかれば、認証を突破されてしまうからです。

IDとパスワードを使わない認証

これらの要件と課題を同時に解決させるためには、IDとパスワードを使わない認証が考えられます。具体的には、最近のスマートフォンでは標準で使える指紋認証や顔認証などが挙げられます。学生証をICカードにして認証することも考えられますが、落とした時の再発行手続きにかかる手間は十分に検討する必要がありそうです。

子供たちの輝ける未来のために、デジタル教科書も安心・安全に使ってもらえる世界を創りたいですね。我々にも何かできることがないか、今後も全力で考えたいと思っています。