情報通信技術を活用する「ICT教育」で、一部の小中学校では「タブレット端末のパスワードを担任に提出させる」という運用が行われていた。ライターの赤木智弘さんは「パスワードを他人に教えるのは論外。子供のITリテラシーを低下させる不適切な運用だ」という-。
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/MEUVS35VX5HVRHL3DM3N34FXHQ.jpg)
そもそも紙に書き出すこと自体が問題
今年2月初め、茅ヶ崎市で小学生の子を持つ親がTwitterで「学校からタブレット端末のパスワードを書いて担任に提出しろと求められた」という内容のツイートをしているのを見かけた。ツイートによると、学校からのプリントに、「アカウントの付与から1年たったので、情報セキュリティの観点からパスワードの変更を行います」という内容が書かれていたとのこと。さらに、「パスワードを変更して『パスワード変更届け書』に記入の上、提出せよ」という旨が書かれていたそうだ。
投稿者は「意味わからん」と不満を漏らしていた。
この段階で学校側は3つの間違いを犯している。
まずはパスワードを紙に書くこと。次に一度決めたパスワードを1年たったからと変更すること。そしてなによりパスワードを担任という他人に教えることだ。
パスワードを紙に書くという事はソーシャルエンジニアリング、すなわち「パスワードの盗み見」の危険を招くことになる。
総務省は、パスワードの管理方法として、「他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう」と掲げている。その上で「自分で忘れてしまわぬようにメモを作成した場合は、それが他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう」としており、自分自身の近くに置いての管理を推奨している。
職員室のような自分自身で管理できず、厳重であることも保証されない場所にパスワードが書かれた紙を置いてしまえば、盗み見の危険は増大してしまう。
パスワードを他人に教えるのは論外
一度決めたパスワードを1年程度で変更するのも悪手である。
以前は「パスワードは定期的に変更しましょう」などと言われ、総務省も推奨していたが、2018年に「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」と方向転換した。パスワード変更を繰り返すことで徐々に覚えやすい簡単なパスワードに設定してしまったり、パスワードの使い回しが発生しやすいことが問題視されたからだ。
学校生活の6年や3年程度の期間であれば、不正ログインが発見されたり、明らかに侵入されたような形跡がなければ、一度しっかりとしたパスワードを作ってそれを使い続けるほうが安全である。
そしてなにより「パスワードを他人に教える」というのは論外である。
パスワードというものは他人には教えずに自分でしっかりと管理するのが基本だ。
まだそうした管理のできない年齢の子供が親にパスワードを教える形で管理するということはあり得るにしても、学校にまで教えるのが適切な管理であるとは僕は思わない。
