少し前にプレジデントオンラインで掲載されていたコラムに、
学校が生徒のパスワードを把握することについて完全否定する記事がありました。
今回はその記事を参考に学校における「生徒児童のパスワード管理の現実」についてお話ができればと思います。
児童生徒のパスワードを学校が知っているという現状について
そもそも児童生徒のパスワードを学校が知っていることは悪い事なのでしょうか?
たしかに情報セキュリティでは他人にパスワードを教えてはいけない、紙に書いてはいけない、と指導しています。
が、学校で児童生徒が利用しているタブレットは教育委員会や学校が用意したものです。
つまり学校には児童生徒に安全に・円滑にタブレットが利用できるようにする責任があるのです。
アカウントやパスワードも学校が用意したシステムによって作成されます。アカウントのセキュリティ対策も学校がする必要があります。
といってもできない理由を並べるのことは簡単ですので、どうしたら児童生徒のパスワードを自身で管理できるようになるかを考えていきましょう。
児童生徒でパスワード管理をするには
学校側・児童生徒側で管理できるような体制を整えなければなりません。
まずは学校側からは以下の2点を可能にする体制を整えなければなりません。
- 児童生徒からパスワードのリセット依頼があった際に速やかにパスワードを初期化できること、
- アカウントの乗っ取りなどの不正利用が発生した際に速やかにアカウントを停止できること。
次に児童生徒側です。
児童生徒はこの一つですね。
児童生徒でパスワードをリマインドできる。
児童生徒自身にパスワードを管理させるためには、学校側だけではなく児童生徒側にも体制を整える必要があります。
といっても、児童生徒側については実施する責任は子供ではなく保護者です。
保護者の協力をなしにしては、到底かなえられないお話になってしまいます。
一般的なパスワードを忘れ場合の対処方法
皆さんもパスワードをたくさんお持ちかと思いますが管理はどうしていますか?
全部覚えている方もいらっしゃると思いますし、パスワード管理ツールを利用している方もいらしゃるかと思います。
ではパスワードを忘れてしまった際はどのような手続きをしますか?
大体の場合は「パスワードを忘れた方はこちら」から
スマホなどの登録したメールアドレス宛にリマインドメールを送信させて、パスワードの再設定をしていると思います。
社会人や高校生以上であれば自分のスマホや自分のメールアドレスにリマインドメールを飛ばして再設定が可能ですよね。
では小中学校の場合どうなるでしょうか?モデルケースを作成しましたのでご覧ください。
パスワード忘れから再発行までのモデルケース
このようなケースが起きた場合の処理を考えてみましょう。
通常小中学生は、スマホを持っていないのでリマインドメールを飛ばす事ができませんので
現状だと管理者に報告してパスワードをリセットしてもらうという手段になりますね。
一般的なケースに当てはめると
「パスワードも登録したメールアドレスも、秘密の質問(あれば)も」
全部忘れてしまったという最悪の状態ですね。
ではA君がパスワードを忘れてしまい、再発行後授業が開始できるまでを、実際の授業シーンに照らし合わせて考えてみましょう。
小学校の1枠は一般的な45分とします。
パスワードは元の記事にもあるように総務省が提言した以下の条件を満たしているものとします。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
(6)パスワードを複数のサービスで使い回さない(定期的な変更は不要)
総務省の安全なパスワード管理についてのページ
実際の授業でパスワードを忘れた児童が出た時の対処。(小学1年生の場合)
これから始める授業の説明です。タブレットを使用せずまずは口頭で黒板に書き込みながら説明。
ここがおおよそ5分とします。
パスワードは6年間再設定しなくても良いように。英語大文字小文字数字の3種類(もしくは記号含む)とし、桁数は10桁以上にしているとします。
小学3年生以下はこの時点で授業ストップです。
だれにも聞かずにアルファベット大文字小文字(記号)が入力できる児童は1割もいません。
ほとんどの児童が最初に設定したパスワードを思い出すこともできず、授業終了の45分を迎えることになるでしょう。
そもそもアルファベットを学習するのが小学3年生からなので
誰にもサポートを受けずに小学3年生以下の児童が総務省提言の安全なパスワードを設定すること自体が不可能です。
この時点で学校が児童生徒のパスワードを学校が把握せずに授業を行うのは100%無理だ、ということがわかっていただけるかと思います。
それではお話が進まないので、A君は小学6年生としましょう。同じくSTEP1からスタートです。
実際の授業でパスワードを忘れた児童が出た時の対処(小学6年生)
これから始める授業の説明です。タブレットを使用せずまずは口頭で黒板に書き込みながら説明。
ここがおおよそ5分とします。
6年生ともなれば、まだ慣れていない2年目でも2~3分でログオンができるでしょう。
A君がタブレットにログインするためのパスワードを忘れてしまいました。
A君が先生にパスワードを忘れてしまったところからカウントをスタートし、
授業再開までにどの程度時間がかかるか予想してみましょう。
2分
3分
10分
(名簿でIDなどのアカウント情報を確認してから再設定するので時間がある程度かかります。
10分はかなり早いほうです。)
1分
15分
(Googleアカウントはパスワード変更後反映されるまでに最大24時間かかることがあります。
といっても2~3分で反映されることもあるので現実的な時間として15分とします。)
5分(多分5分では終わりませんが、あまり長くてもしょうがないのでこのくらいにします。
このSTEPだけでも小学生の場合15分はかかるでしょう。)
さあ、授業を始めましょう。
授業再開までにかかった時間は36分です。
最初の先生のお話が5分ありますので45分授業のうち41分経過しています、授業できる時間は4分ですね。
今回はSTEP2、STEP3で情報担当教諭が職員室にいたため、たった4分だけですが、授業を行うことができました。
情報担当が職員室にいなかったらどうなっていたでしょうか?
教育委員会の担当者や、地域を管理している管理センターやICT支援員などに連絡して、パスワードを初期化してもらいます。
教室からでは電話できませんので、担任の先生が職員室に行って電話することになります。
現実的に授業時間内にパスワードをリセットし授業に参加することは不可能です。
残念ですがパスワードを忘れてしまったA君には
ほかの児童がChromeBookで授業している姿を眺めてもらうしかありません。
中学生以上であれば、パスワードを忘れてしまうことはあまりないと思われますので、このようなケースは少ないかもしれませんが、絶対に無いわけではありません。
- 端末配布直後
- 長期休み明け(GW、夏、冬、春休みの計4回)
少なくともこのタイミングでパスワードリセット祭りが開催されることは間違いないでしょう。
授業のたびに一人がパスワードを忘れてしまうだけで授業がストップしてしまう、そしてそれが何回も繰り返される。
パスワードを忘れてしまった児童生徒は授業に参加することができない。
これ状況は、義務教育では問題ではないでしょうか?
児童生徒のパスワードを学校が把握しなければならない理由
- パスワードのリセットをするのに時間がかかる。
- パスワードをリセットする作業が頻繁に発生することがある。
- パスワードがリセットされるまで児童生徒が授業に参加できない。
授業開始後にパスワードをリセットするのは、大変時間がかかるということがお分かりいただけたかと思います。
パスワードを学校で把握していれば、職員室に保管されたパスワードを参照すれば終了です。
情報担当の先生が不在になっている場合は少し手間取るかもしれませんが、10分もあれば確認できるでしょう。
パスワードを忘れてしまった児童生徒も無事授業に参加できます。
児童生徒が設定したパスワードを紙に書いて先生が回収し学校で管理をする。
通常の会社では考えられないことですが、学校がすべての児童生徒に公平に授業を行うために必要なことと考えます。
もちろん、管理する学校側はパスワードが記載されいてる紙を机の上に乱雑に置いたり、
無駄にコピーして配布したり、そのようなことは無いようにしてほしいと思います。
現状では最適なパスワード管理方法である
児童生徒のパスワードを紙に書き込み学校に提出する。
現状ではこの管理方法がもっとも現場に適していると考えます。
自分の力のみで解決できる環境があって、初めて自分自身でパスワードの管理をすることができます。
- 教職員全員がICT機器を管理する知識を持っているわけではない。
- 全ての児童生徒にパスワードを管理させるICTツールが備わっていない。
- 緊急の対応が必要案トラブルが発生した際、迅速に対応できる環境(人員、ツール)が無い。
パスワードを忘れてしまった→先生か管理者に再発行orリセットしてもらう必要がある、
自分自身でパスワードの管理ができない現状では
先生にパスワードを把握してもらうことになってしまうのは必然でしょう。
- 児童生徒がスマホを持っていれば解決する?
-
そのスマホの管理は誰がするのでしょうか。
タブレットを管理するスマホの管理が必要になり、事故の原因が増えるだけです。 - スマホは家庭で管理すればよいのでは?
-
スマホを持たせたくない家庭、持たせたくても買えない家庭、様々な理由があり家庭に強制はできないでしょう。
- うちの子はスマホを持たせているし自分で管理ができるからうちの子はパスワードをお伝えしません。
-
これについては問題ないでしょう、ただしパスワードを忘れてしまった場合は、自分でどうにかする必要があります。
大体の小中学校は授業中「スマホ禁止」なので、このあたりのルールについても整備を進める必要があります。 - 授業中のスマホを許可すればよいのでは?
-
あなたのお子さんは問題ないのかもしれませんが、授業中のスマホを許可すると隠れて遊んだり隠れて誹謗中傷したりするお子さんが出てくる可能性があります。
小学校ではあなたの想像を超える出来事がに日々発生しています。
食い止めるには「一律禁止」にせざるを得ないことも多いでしょう。
コラムを引用しての意見
引用元のコラムはこちらです。
全体的にコラムを書いたライター様の意図から外れないようにしていますが、記事を一部抜粋しますので
私のサイトの記事を読んだだけでは皆さんが受けとられる意味合いが変わってしまう可能性があります。
この先の記事を読む前に、必ず引用元のコラムからご覧ください。
元記事のコラムを書いたライター様を攻撃するつもりも喧嘩するつもりもありません。
元記事のコラムと当記事を両方読んでいただき現在の学校が抱える問題について理解を深めていただければと思います。
では早速、記事を引用して私の意見を述べたいと思います。
>そもそも紙に書き出すこと自体が問題
最初の見出しです。
これを見てまず思ったのが、マイナンバーカードの申請をした際の手順です。
私の自治体だけなのかもしれませんが、申請時にまず紙にパスワードを書いてくれ。と言われました。
私は紙が嫌いなので手続き終了後に書いたパスワードをスマホで撮影して紙はすぐにシュレッダーにかけましたが。
小中学生はスマホを持っていませんので、パスワードを記憶するのは己の記憶のみとなります。
紙に書きださずにパスワードをリマインドできる方法があればとても便利ですが今のところ思いつきません。
国(自治体)も幅広い年齢層に耐えられるパスワードのリマインド方法を検討した結果「紙に書く」ことが
簡便かつ問題が少ない、と考えたのでしょう。
>パスワードを紙に書くという事はソーシャルエンジニアリング、
>すなわち「パスワードの盗み見」の危険を招くことになる。
確かにその通りです。紙に書いてしまうのでその用紙を盗み見されてそこから漏洩。起こらないとは言えません。
ただし、学校でのパスワードの記録については、担当教員が厳重に管理しているところが多いでしょう。
必要以上の展開(知らなくても良い教員全員に配る等)をせず、学校によっては紙媒体での保管とし、
データ化していないところもあります。
マイナンバーを扱つ事業者や自治体に適応される
「行政手続における特定の個人を識別するための番号の利用等に関する法律」に
マイナンバーをデータで保管する場合は専用の端末や専用の規則を策定しなければならないため。
電子化せず、紙の状態で保管する規則になっている企業も多いと思います。
>職員室のような自分自身で管理できず、厳重であることも保証されない場所に
>パスワードが書かれた紙を置いてしまえば、盗み見の危険は増大してしまう。
児童生徒が職員室以上に厳重であることを保証された場所を持っていればその通りですね。
机の中、カバンの中は自分がいない状態で施錠もされない教室に置きっぱなしになります。
家がその厳重な場所だとしても。家に持ち帰るときに紛失盗難汚損に遭う可能性もあります。
職員室はほとんどの学校で夜間セキュリティがかかりますし、
児童生徒が先生の管理下ではない状態で入ることもありません。
児童生徒と保護者ができるのはパスワードが記載されたアカウント管理台帳がどのように管理されているか確認し
鍵のかからない書棚や机に保管している際は、職員室の金庫にしまってほしいと依頼することくらいでしょうか?
学校の金庫が信用できないのなら、自分で管理するしかありません。
職員室以上に厳重であることが保証される場所があれば、のお話ですが。
>一度決めたパスワードを1年程度で変更するのも悪手である。
これはその通りですね。
パスワードの変更は大変工数がかかりますので、1年ごとに変更する必要はないでしょう。
それよりも、児童生徒に総務省提言の強固なパスワードを設定してもらい。
それを他人や外部に伝えないためのセキュリティ教育を行う方が将来のためにもなるでしょう。
難しいパスワードにしてしまっても学校でパスワードを把握していればいつか覚えこととができる日が来ます。
それまで担任の先生は大変でしょうけれど、パスワードを忘れてしまった児童生徒にパスワードを教えてあげてください。
ただしどうにもならない小学3年生以下については他の方法でセキュリティ強化を検討する必要があります。
>まだそうした管理のできない年齢の子供が親にパスワードを教える形で管理するということはあり得るにしても、
>学校にまで教えるのが適切な管理であるとは僕は思わない。
学校の授業時間に児童生徒がパスワードを忘れてしまった。
パスワードがわかるのは保護者だけです。
先生はパスワードを聞くのに保護者に電話しなければなりません。
保護者が電話に出られなかったらその子は授業を受けることができません。
母親が電話に出られなかったら父親に電話、それでもつながらなかったら祖父母に電話します。
いつ問合せにするかわかりませんが必ず対応できるように覚えておいてください。もちろん紙に書くのはだめです。
私が保護者だったら、学校で使うパスワードは学校で管理してくれって言ってしまいます。
高齢者に10桁英字大文字小文字数字含む推測しにくいパスワードを覚えてもらうのは不可能でしょう。
>僕は思わない。
と書いてありますので個人的意見として、学校に管理してもらうのが適切な管理だと私は思います。
>昨年12月には練馬区の中学校で「SNSの利用ルールを保護者と話し合いの上で決めて、学校に提出する」
>旨のリーフレットにSNSのパスワードを書く欄があったことが問題になった。
ここについてはライター様の言うとおり意味不明ですね。
ルールは各家庭で決めるのが当然ですが、学校がパスワードを管理する必要はありません。
そもそもSNSの利用ルールなんて学校が絡む必要はないんです、保護者が責任をもって我が子に教育するのが当然です。
>この学校で使われていたタブレット端末では、パスワードはすべての児童が「123456789」に統一されており、
>IDも児童の所属学級と出席番号を組み合わせたものになっていた。
IDについては小中学校だけではなく高校や大学でも連番で採番していることが多いでしょう。
毎年変わる所属学級と出席番号を組み合わせたのは悪手でしたね。次年度以降の管理が大変になってしまいます。
所属学級と出席番号が卒業まで変わることが無いのなら問題はないでしょう。
>つまり誰もが簡単に特定の他人になりすましてログインできる状況にあり、実際にさまざまな被害の報告も出ていた。
管理が大変になった上に、このような被害が出てしまったことは大変残念です。
大変かとは思いますが、先生がいない環境での多人数でのコミュニケ―ションを取れないように利用ルールを設定し。
かつアプリに制限ができるところは制限をかけましょう。
授業が若干やりにくいところも出てしまうかと思いますが、児童生徒の安全には代えられません。
>パスワード管理上の「他人」とは「自分以外のすべての人」のことを指す
>先ほども述べたように、パスワードは自分ひとりが責任を持って管理しなければならない。
>このことを指して「パスワードを他人に教えない」と言っているのである。
できればやってほしいんですが、小学生に紙にも書かせずにパスワードのを覚えさせることはとても大変です。
現状では不可能でしょう。
パスワードは自分ひとりが責任をもって管理しなければならない。
とありますがリセットも自分でできるようでなければそうは言えません。
自分のパスワードのリセットを他人ができてしまう時点で、
その他人から児童生徒のアカウントは乗っ取ることができますからね。
>ところが、先にも述べたように学校が生徒にパスワードを書かせて提出させたり、
>同じパスワードで管理したりと、学校側にリテラシーがない。
同じパスワードで管理については私もやめた方がよいと思いますが、紙に書く以外に管理する方法がないのが現状です。
しつこいかもしれませんが、学校でパスワードを把握してそのパスワードの取り扱いには充分に注意する。
ということで十分だと思います。
この記事を読むと最後のほうにライター様がパスワードを管理するのに管理ソフトを用いたとあるのですが。
児童生徒は1つのパスワードの管理すらできないと思うので管理ソフトのパスワードも管理できないのでは
と考えます。
>しかし、子供がパスワードを忘れたことで不利益を被るのもまた教育の一環である。
残念ながらこの教育の一環(パスワードを忘れたことで不利益を被る。)を担う学校ではありません。
学校は教室にいる全ての児童生徒に同じレベルで授業を行わなければなりません。
もちろん、特別に事情がある児童生徒は個人のレベルに合わせた授業を行いますが、
パスワードを忘れてタブレットを使えない児童生徒にはその時にタブレットを使っている児童生徒と
同じ授業をしなければなりません。
タブレットを使えない児童生徒がタブレットを使っている児童生徒と同じ授業を受けるのはとても困難です。
>現実社会ではパスワードを忘れれば手間をかけてパスワードの再登録をする必要があるし、
>ましてや流出させるなんて論外である。
>だが教育の場であれば、あらかじめ生徒がパスワードの管理を失敗しても、
>それを知識として学ばせることができるのだ。
そうなんですよ、教育の場であれば失敗も知識として学ばせることができるんです。
ただし今回の「パスワードの管理を自分自身で行う」は教育ではなくて実戦なんですね。
学校は現実社会なのでパスワードを忘れれば手間をかけてパスワードの再登録をする必要があるし、
ましてや流出させるなんて論外なんです。
パスワードを忘れると自分が受けられるはずの学びの機会を失ってしまうのです。
学校は児童生徒が実戦に入った際に失敗しないよう学びを与えるところです。
児童生徒自身でパスワードを管理しつつ、もしパスワードを忘れてしまったり流出してしまったりした際の
セーフティーネットを用意するのが学校であり、保護者なんです。
その教育が終わる前にいきなり失敗の許されない実戦に飛び込ませるのはどう考えても無謀でしょう。
車の運転をしたことが無い人に運転の仕方とルールを教えていきなり高速道路を走らせるようなものです。
>現在のパスワード管理の基本は人力に頼らず、ソフトウエアに任せる。
>それが誰もが安全にかつ気軽にパスワードを管理できる方法だ。
確かにその通りですね、そもそもパスワードを利用せず指紋認証や虹彩認証などの生体認証を使えば
わざわざ難しいパスワードを覚える必要が無く、かつ自分自身が必ず持っているもので認証するので間違いがありません。
今後の教育権場ではこのような生体認証をどのように使っていくかがカギになっていくのではないでしょうか。
まとめ
SSOやID連携でパスワードを一元管理し、生体認証を使い利用を始める。
小さい子どもに難しいパスワードを管理させることもなく悪用されることも少ない、
そんな未来のICT教育ができると良いですね。
本来であれば、今回のテーマになったパスワードの管理を含む問題を
少しずつ解決しながらGIGAスクールでのタブレット導入を進めていく予定だったのですが。
コロナの流行に伴いオンライン学習や自宅学習の必要性が高くなり、導入期間が大幅に短くなりました。
当初は4年かけて整備する予定がたった1年に変更です。
設備も人員も追いついていない部分が多いでしょう。
とはいえ情報セキュリティについては児童生徒にとって重要な知識となります。
急だったから間に合わなかった、急だったからしようがない。と言わなくても済むように
関連省庁や自治体には潤沢な予算と計画を出していただきたいと思います。
元記事のコラムで書かれていることは一般社会では常識かもしれませんが、学校ではまだ常識になっていません。
学校だけに責任を押し付けず、子供が小さいころからICT含む情報セキュリティについて適正な教育を各家庭で実施し。
文字を入力しない認証方式が浸透しなければ解決しない事項もたくさんあります。
現在パスワードの管理は変革の時に来ているようで
iDaaSを利用したアカウントの統合管理やSSO連携が進んできています。
生体認証+iDaaSを利用することにより自分自身はパスワードを何も記憶していなくても。
各種サービスを利用することができます。
現状はまだ、利用者が便利になるほど管理者の負担が増すような状態ですが、
よりセキュリティの高く利便性の高いサービスが次々に市場に出てきました。
将来的には誰しもが難しいパスワードを管理することなく
様々なサービスを安全利用できる環境になっていくかもしれませんね。
コメント