小学校の「端末パスワード問題」どう考える? 児童が被害/加害者になる可能性も 指紋認証は代替え案になるか

1

2023年12月08日 08:21  ITmedia NEWS

  • 限定公開( 1 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

システムの実行画面

 広島市立大学大学院情報科学研究科に所属する研究者らが発表した論文「学校を対象とした FIDOによるパスワードレス認証の運用可能性の検討」は、小学校で普及している端末のパスワード問題を取り上げ、代替案として学校向けのパスワードを用いない指紋ベースのFIDO認証適用の可能生と課題について調査した研究報告である。


【その他の画像】


 近年、日本の学校ではインターネットとコンピュータ技術の導入が進み、その重要性が高まっている。この背景には、2020年から小学校でのプログラミング教育が必須化したことと、GIGAスクール構想によるタブレットやPCの普及がある。これに基づき、文部科学省は全国の学校にネットワーク設備とこれらのデバイスの整備を推進した。この結果、デジタル教育の活用が加速した。


 具体例として、広島市では生徒向けにAppleのiPadが配布され、Googleの教育支援ツールを活用している。これにより、オンラインでの課題提出や情報共有が可能になった。しかし、これらのシステムを安全に利用するためには、ユーザー認証が必要である。一般的に用いられるパスワード認証は、特に子どもにとって使いにくい問題がある。パスワードは英数字と記号の組み合わせであり、覚えることが難しいため、子どもたちが使用する際には課題が生じる。


 学校におけるパスワード認証に関する問題点として、不正アクセスの事例が挙げられる。21年7月に行われたトレンドマイクロの調査によると、約10%の生徒が不正アクセスを経験している。


 さらに、生徒自身が不正アクセスの加害者になるケースも存在する。例えば、東京都町田市の小学校で小6女児がいじめを苦に自殺した事件では、不正アクセスによるアカウント乗っ取りが原因の一つとされている。このようなアカウントの乗っ取りでは、データの改ざんやチャット機能を使った人格攻撃などの違法行為が行われた。


 これらの不正アクセスの原因として、学校のセキュリティ対策不足の指摘がある。生徒のユーザーIDは推測しやすく、パスワードも単純なものが多く使われている。このようなパスワード管理の問題は、学校の認証方式が生徒の発達段階や能力、教師の管理能力を考慮していないことに起因している。パスワードに依存する従来の認証方法が、生徒にとって使いやすいか、また学校で運用可能かという点に問題がある。


 パスワードの安全性は、使用する文字の種類や文字列の長さによって高まるが、これは小学生にとって困難である。多くの小学生はアルファベットの学習を完了しておらず、特に低学年では複雑なパスワードを覚えるのが難しい。そのため、以下のような状況が生じることがある。


1.簡単なパスワードを使う。


2.パスワードを紙に書いて保管する。


3.保護者とパスワードを共有する。


 これらの方法はセキュリティ上の問題を引き起こすため、学校ではパスワード以外の認証方法を採用する必要があるとされている。例として、指紋による生体認証やICカードを使った認証が考えられる。


 実際、埼玉県上尾市の私立秀明英光高等学校では、指紋情報とトークン所有情報を組み合わせた二要素認証システム「Yubi Plus」を導入している。しかし、このようなパスワード以外の認証方法を採用している学校はまだ少ない。


 この研究では、学校でパスワードを使用しない認証方法として、FIDO認証の導入を検討している。この目的のために、教員や教員養成課程の学生を対象にFIDO認証のデモンストレーションを実施し、その導入可能性を評価した。


 FIDOは、パスワードを使用しないオンラインサービスの認証標準である。この方式では、指紋や顔の生体認証などを利用して、使いやすく安全な認証を実現する。FIDOは公開鍵暗号方式を用いており、認証情報がユーザーとサーバ間で交換されることがないため、セキュリティが高い。


 具体的には、サービス利用開始時にユーザーのクライアントデバイス上の認証器で公開鍵と秘密鍵のペアを生成する。公開鍵はサーバに送られ、秘密鍵はクライアントデバイスで保管される。ユーザーの本人確認は認証器で行われ、これによりオンライン認証ができる。


 IDに関連する認証情報がネットワーク上に流れないため、セキュリティが高く、ユーザーはパスワードを覚える必要がない。また、パスワードの使い回しによるリスクやフィッシング攻撃への耐性も向上している。FIDOは高いセキュリティと使いやすさを兼ね備えた認証方式である。


●FIDO認証システムの設計と実装


 研究では、学校に適したユーザー認証システムの要件を探るため、一般的なパスワード認証の代わりにFIDO認証システムを導入し、その適用性を検証する。現在、多くのWebサイトでFIDO認証が使われているが、これらは一般向けであり学校固有の事情には対応していない。そこで、学校の状況を考慮したFIDO認証システムを設計し、検証を行う。


 この検証システムでは、学校に必要とされる最低限の機能を備える。これには、パスワードではなく指紋情報による認証、児童の学習状況に合わせた数字のみのユーザーIDと初期パスワード、漢字に読み仮名を付ける機能が含まれる。


 FIDO認証システムには、初回に秘密鍵を生成する登録フェーズと、認証器に格納された秘密鍵で認証を行う認証フェーズがある。学校での利用には、教師が児童にユーザーIDと初期パスワードを配布する初期認証フェーズを設計に取り入れる。


 これにより、従来の学校の手順とFIDO認証の組み合わせを実現。検証システムでは、ユーザーはトップ画面から初期認証フェーズに進み、ユーザーIDと初期パスワードで認証を行った後、FIDOの登録フェーズと認証フェーズをへる。これにより、学校独特のユーザーIDとパスワードの配布フェーズを保ちつつ、新たにFIDO認証を導入できる。


 検証システムを実現するため、Webアプリケーションと認証サーバのプログラムを開発した。認証サーバはPythonのWebアプリケーションフレームワーク「Flask」で実装し、データベースはJSON形式のファイルで構築。このシステムでは、保管するデータが限られているため、JSONファイルでの管理が適切である。


 FIDO機能の実装では、サーバ側では特定のライブラリを利用し、Webアプリケーション側ではJavaScriptのAPIを使用した。ユーザーIDと初期パスワードは、データベース用のJSONファイルに事前に記録される。これらは数字のみで構成され、ユーザーIDは任意の7桁、初期パスワードは任意の6桁の数字で設定される。


 ローカル認証としては指紋認証を採用し、MacBookを実行環境、Safariをブラウザとして想定し、Touch IDを使ったFIDO認証を行う。Webアプリケーションでは、児童ユーザーを想定し、漢字に読み仮名を付けた。また、教師が指示しやすいように、登録ボタンやログインボタンに色をつけた。


●検証実験の結果と考察


 実験の参加者は、大学生16人と広島市立牛田中学校の教員5人、合計21人である。被験者は、教師として児童に検証システムの使用を指導するデモンストレーションを行い、その後アンケートによってシステムを評価する。実験での指導デモンストレーションのシナリオでは、小学校2年生40人からなるクラスを対象とする。


 結果は、ほとんどの参加者がFIDOによる指紋認証の導入や漢字に読み仮名をつける機能に意義を感じていたが、数字のみのユーザーIDとパスワード設定については意見が分かれた。


 また、学年が上がるほど、検証システムを問題なく扱える割合が高くなることが分かった。特に、小学校低学年では問題なく扱える子が少なかった。児童と教師の利便性についての評価では、教師の方が問題なく扱えると感じる割合が高かった。


 被験者からは、システム改善のためのさまざまな提案があり、それには用語が切り替わる機能の追加、レイアウトの改善、顔認証の利用、教師による画面遷移の管理、ユーザーID入力の省略、指紋認証の指の統一、読みにくい児童への配慮、セキュリティ教育の提案、キーボード入力への対応、PCトラブル時の対応方法などが含まれていた。


 この研究の考察では、学校でのユーザー認証システムに関するいくつかの重要な点が挙げられている。まず、FIDOによるユーザー認証は、指紋認証を用いることで従来のパスワード認証に代わる有効な手段であることが分かった。


 しかし、数字のみのユーザーIDと初期パスワード設定については、児童のユーザビリティを低下させる恐れがあるとの指摘があった。特に小学校低学年の児童への配慮が必要であることが明らかになった。


 次に、クラス内での同時多発的なユーザー認証に対応するため、進度の遅い児童と先行する児童の双方に対応する必要がある。これには、簡略化された操作手順の実装や、児童が負担なく待機できる機能、教師が児童の進度を把握できる監視機能が有効である。


 学校でのICT活用は今後も拡大する見込みで、このためには児童や教師が使うユーザー認証システムのセキュリティ向上が重要になる。この研究で、学校の特有の事情を考慮したシステムとして、FIDOを使用した認証の意義が明らかになり、検証システムの具体的な改善点も特定。


 学校向けのユーザー認証システムには、FIDOに基づく生体認証を採用し、操作が容易なインタフェースと、同時に多くのユーザーを管理できる仕組みが必要であることが分かった。


 Source and Image Credits: 野田 楓稀, 稲村 勝樹, 高野 知佐. 学校を対象としたFIDOによるパスワードレス認証の運用可能性の検討. 情報処理学会 コンピュータセキュリティシンポジウム2023論文集, 1033 - 1040, 2023-10-23


 ※2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2


    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定