2017年9月に、某市の教育委員会の主導で、傘下にある公立小中学校に「PassLogic」をご導入いただきました。その導入を株式会社内田洋行様が支援し、管理運用も同社様が行っています。
このたび、内田洋行様にご協力いただき、PassLogic導入の内容と過程、その後の状況について事例としてご紹介させていただきます。

>株式会社内田洋行

当事例は、2017年5月のPassLogic Ver.3.0.0アップデートにて実装された機能「PassLogic for Windows Desktop」の適用事例第一号です。
PassLogic for Windows Desktopは、トークンレス・ワンタイムパスワード認証をWindows端末のログイン(サインイン)認証に適用する機能で、当事例においては生徒の成績や個人情報などの情報を扱う校務系業務用 PCに適用し、セキュリティを強化しています。

Windows OSへのサインインをActive Directoryのパスワードと
トークンレス・ワンタイムパスワードの二段階認証に

某市教育委員会では、2016年7月に文部科学省より発表された「教育情報セキュリティのための緊急提言」を受け、教員や事務員が使用する校務系業務用PCのセキュリティ強化を計画。以前のPCへのサインインはActive DirectoryのID&パスワード認証のみで行っていましたが、これに別の認証方式を追加することで認証強化を図りました。
認証方式の検討過程において、「指紋」「顔」といった生体認証や、ハードウェアトークン、ICカードなどによる認証方式が候補になる中、「端末のリプレイスが不要」「運用コストが低い」「短期間での導入が可能」といった条件に合致する製品として、PassLogicが選ばれました。

PassLogic for Windows Desktop をWindows 7対応にアップデート

しかし、各学校の端末のOSは、まだWindows 7が主流で、当初のPassLogic for Windows DesktopはWindows 7には対応していませんでした。(Windows 8.1とWindows 10にのみ対応)
そこでパスロジは急遽、Windows 7への対応を決定し、開発に着手。約1ヶ月半の開発&テスト期間を経て、PassLogic for Windows DesktopをWindows 7に対応させたバージョン開発し、当案件にて先行導入いたしました。
その後、当バージョンは2017年12月に「PassLogic Ver.3.1.0」として正式リリースしております。

PassLogic採用の理由

Windows PCへの認証にPassLogicを適用した当事例において、採用の理由は以下になります。

1:端末のリプレイスや追加の機器の調達が不要

生体認証の場合、生体情報を読み取るリーダーを内蔵したPCを新規調達するか、外付けのリーダーを人数分用意する必要があります。
ハードウェアトークンなどの所有物認証では、認証用機器を別途調達しなければなりません。
ICカード認証の場合は、教員にICカードを持つ慣習がなかったため、新規に用意したうえで、リーダーも用意する必要がありました。
その点、PassLogic for Windows Desktopでは、リーダーや専用認証用機器は必要なく、PCにアプリをインストールするだけなので、新規で機材を用意する必要はありません。

2:運用管理のコストパフォーマンスが良い

学校では1年ごとに赴任先が変わることがあります。転属が発生する3~4月の時期に、本人同席のうえ、生体情報の登録作業を行うのは大きな負担です。
ハードウェアトークンなどの機器を用いる場合、紛失や故障、電池切れといった状況に対して予備を用意し、新規設定した実物を届けなければならないという運用コストが伴います。
PassLogic for Windows Desktopであれば、同じActive Directoryに参加していれば、別のPassLogic for Windows Desktopインストール済みPCにサインインする際であっても、ユーザー情報変更なしで、これまで使用していたのと同じActive Directoryパスワードとパターンを使用してサインインすることができます。
新規ユーザー登録をする場合も、ユーザー名、Active Directoryパスワード、初期設定パターンをメールやプリントアウトなどで知らせるだけで済みます。

3:「瞬快」との併用が可能

瞬快」とは、再起動時に端末の環境を復元する、富士通株式会社製のソフトウェアです。端末が、端末利用者の操作によって、不適切なソフトやファイル、マルウェアなどで汚染されてしまうのを防ぎます。
ただし、端末上に残されたファイルを再起動のたびに消去してしまいます。(作成したファイルは再起動やシャットダウンの前にファイルサーバーに保存する必要があります)
PassLogic for Windows Desktopは、オンラインで利用している限りは端末上のファイルを利用せずに動作します。当案件での運用方法は、オンラインでの運用に限られているので、問題なく併用が可能でした。

ほかにも決め手となったポイントとして、導入時と運用開始後におけるパスロジのサポートには定評があると伺いました。(ありがとうございます)

運用開始時と、その後の状況

PassLogicのトークンレス・ワンタイムパスワード認証は「パターンの記憶」を利用した認証方式で、一般的によく知られている認証方式とは異なるため、利用者の方に説明が必要です。
運用支援を担当とする内田洋行は、PassLogic運用開始時に各学校において教員の方たちを集めて説明会を実施。PassLogicでのサインイン方法をレクチャーしました。
結果、教員の方にサインイン方法をご理解いただき、現在に至るまで大きな問題もなく運用は続けられています。

なお、端末への認証後、内田洋行が提供するグループウェアや、市内で共有利用しているファイルサーバーに接続し、校務に利用しています。
これらのサーバーは市が管理するデータセンターにあり、各学校のネットワークとは閉域網で接続されています。
PassLogic for Windows Desktopは認証後の作業にはまったく影響を及ぼさないため、その点においても問題は発生しておりません。

個人情報をはじめとした機微情報を取り扱う端末には、従来のパスワード認証だけではなく、認証を強化する施策が求められています。
PassLogicは、当案件のような端末起動時の認証だけでなく、ネットワーク機器やアプリケーションへの認証にもご利用いただける、高パフォーマンスの認証システムです。
製品に関する詳細情報とお問合せにつきましては、下記をご参照ください。

>PassLogic製品紹介ページ
>パスロジ製品に関する資料請求・お問合せ

※記事中に記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。