アクセスの簡素化とアプリの保護：初等・中等教育機関でSSOを導入すべき理由

学校で学習支援のためにテクノロジーを導入するのであれば、多くの場合、多数のアプリを管理することになります。共同作業をするためのものや、教育用ゲームを遊ぶためのもの、メモを取るためのもの、実験のためのものなど、様々なアプリで学習を支援することになるからです。

少なくとも生徒ごとにアプリ環境をカスタマイズするのであれば、こうした多くのアプリでログインが必要になります。このようなログインは、管理方法によっては大問題へと発展しかねません。生徒ごと、アプリごとにログインを分けようとすると、すぐに次のような課題が生じてしまいます。

• ユーザアカウントの数が膨大になる

• 生徒が多数のパスワードを覚える必要がある（または、パスワードを使い回すことになる）

• 生徒がパスワードを忘れると、学習が中断されたり環境にムラができる

このような課題は、教職員、生徒、IT管理者の全員にふりかかります。

もはや、ランチナンバー（米国の学校における個人識別番号）だけを覚えていればよい時代ではありません。今日では、生徒や教員が覚えるべきパスワードは膨大な数に上っており、アプリへのログイン回数も著しく増加しています。

アプリへのログインで生じるリスク。

理想を言えば、すべてのアカウントで、セキュリティのベストプラクティスに従った複雑かつ一意のパスワードを設定すべきです。しかし、特に生徒の年齢が低い場合、そのような理想は破綻してしまうのが実状です。そのため、生徒と教員は以下のような手段で対応することになります。

• パスワードを書き留める

• すべてのアカウントで同じパスワードを使い回す

• シンプルで脆弱なパスワードを使う

ユーザに悪意がなかったとしても、これでは攻撃者がパスワードを推測し、システムに侵入して損害を与えやすくなってしまいます。

また、卒業した生徒のアカウントも問題です。こうしたアカウントをIT担当者が管理しなければ、何年も放置されることになり、不審な挙動があったとしても誰も気づけません。

IT部門にふりかかる運用コスト。

当然ながら、こうしたパスワード疲れの問題は、遡ってIT部門に影響します。パスワードのリセットを何度も行う必要があると、戦略的な業務に当てるべき貴重な時間が失われてしまいます。またIT部門の人員が少なければ、業務自体に支障をきたしかねません。管理者が管理すべきデバイスは1,000台を超えることもあります。パスワードを忘れるユーザが全体の3分の1にも上れば、相応の時間が失われるでしょう。

アクセスとセキュリティは不可分の関係。

アクセスポリシーなくして、セキュリティ戦略は成り立ちません。監視をなくしてアクセスを簡素化すれば、パスワードのセキュリティが低下し、リスクが増加するでしょう。複雑きわまりない要件でアカウントを制限するとしたら、ユーザの不満がたまり、学習が滞ってしまいます。

こうしたバランスを取るにはどうすればよいのでしょうか。

多くの場合、シングルサインオン（SSO）を導入すれば、シンプルさとセキュリティを両立できます。

SSOを導入するメリット

SSO（およびその付随物）を導入すると、アカウント管理を生徒の頭ではなく、IT部門のテクノロジーで行えるようになります。これは、生徒と同じくらい大事でありながら、はるかに信頼できる存在です。

アプリへのアクセスを一元的に可視化

SSOをサポートするには、IDを一元的に管理する必要があります。既存の環境の状況にもよりますが、基本的には以下の手順で進めます。

• 授業に使われているアプリを特定する

• データソースを統合する

• モバイルデバイス管理（MDM）ソフトウェアでアプリの展開/アップデートを管理する

これらの作業を完了すると、透明性というメリットが手に入ります。つまり、どのアプリが使用されていて、どの生徒がログインしているのかを把握できるようになります。これらの情報が揃うと、セキュリティ戦略を策定する準備が整います。

アクセスを付与するユーザと付与のタイミングに関するポリシー

ユーザのアプリアカウントの現状を把握できるようになったら、アクセスポリシーの策定を始めましょう（IDプロバイダおよびMDMツールを利用）。

ポリシーでは、以下のような基準に応じてアクセスを自動的に付与できます。

• 生徒の特性（学年、クラス、担当教員など）

• デバイスのステータス（セキュリティ要件への適合状況など）

• 時期（夏休み中は特定のアプリへのアクセスを禁止する、など）

これにより、IT部門の負担が大幅に削減されます。例えば、ある生徒が美術の授業の受講を止めたら、その生徒のデザインソフトウェアへのアクセスを取り消します。こうすることで、アカウントが悪用される危険性を減らし、新しい生徒用にライセンスを解放できます。また、デバイスが盗まれた場合は、学校用アプリやリソース、データへのアクセスをブロックしてセキュリティを維持できます。

多数のアプリのIDを一元化

シングルサインオンの長所は、名前の「シングル」にあります。1つのパスワードで、多数のアプリを利用できるのです。

これは、ユーザが1つのパスワードをすべてのログインに使い回すのとは状況が異なります。ユーザがSSOでログインする場合、以下の流れになります。

1. SSOプラットフォームにIDを証明する（パスワードなどを使用）

2. 別の認証要素を提供する（生体情報など）

以降はSSOがユーザのIDを検証し、検証に合格するとユーザのアクセスをアプリに許可させます。

ユーザが別のアプリにログインする場合も、SSOなら簡単です。ユーザが所定期間内にIDを証明しているのであれば、SSOはパスワードの再入力を求めることなく、アプリに対してユーザにアクセスを再び付与するように指示します。

SSOで作業を削減しセキュリティを強化。

上述した機能を利用することで、パスワード疲れを減らし、パスワードの侵害を抑え、オンボーディング/オフボーディングを迅速化して、リスクの高いアプリを確実に制御できるようになります。IT部門は業務の量を増やすことなく、膨大な数のログインを制御して、セキュリティを強化できます。

SSOの導入を始める

SSOを導入するには計画が必要です。ただし、ゼロかイチかで考える必要はありません。以下に、SSOの導入を進めるうえで役立つIT部門向けの3手順を示します。

リスクの高いアプリから優先的に対応する：すべてのアプリを一度に守ろうとする必要はありません。まず、生徒の記録、成績評価プラットフォーム、通信ツールなど、機密データを扱うアプリから保護しましょう。これらをSSOで保護したら、対象を広げます。

ポリシーベースのアクセス制御を導入する：役割や学年、デバイスのステータスに応じて誰が何にアクセスできるかを決める明確なルールを定めます。アクセス付与の判断を自動化することで、手作業でのチケット申請を減らし、学区内でのセキュリティの一貫性を高められます。

IT部門向けにSSOの監視に関するトレーニングを実施する：いつでも手動でパスワードをリセットする体制から、アクセスパターンを監視してポリシーを適用する体制へ移行します。事後対応から、予防型の業務に切り替えましょう。

これらの手順には実施するだけの価値があります。ログイン回数が減っても、セキュリティが弱体化するわけではありません。アクセスを一元的に管理できるので、現在対応を求められているパスワード体制と比べ、IT部門は自信と管理力を高められます。さらに、生徒や教員がパスワードではなく学習に集中できようになり、テクノロジーが教育の障害ではなく、本当の意味で役立つ存在になります。