見出し画像
Photo by peishum

英数小文字↔ひらがな表記変換ツールを使うべきでない理由

teruichi

ICT 支援員の方がキーボードのひらがな日本語↔英数小文字を変換するシート(日本語表記パスワード生成ツール)のExcel専用版を公開されていた。

Excel専用とあったため、試しに同機能を満たすのものをスプレッドシートで作ってみた。読替前の英数小文字部分の出力箇所を SPLIT 関数の他に、REGEXREPLACE 関数ARRAYFORMULA 関数を組み合わせて VLOOKUP 関数での検索結果の不具合への対応としたので、スプレッドシート専用だが作成できた。ついでに日英どちらからの変換にも対応。

が、作ってみて思うところがあり、現状での公開はしないこととした。
以下はその理由。

1.そもそもパスワード生成ツールか?

基本的に日本語キーボード上のひらがな日本語表記と英数小文字間の変換をするツールであり、暗号強度を備えたパスワードが生成される訳ではない。キー表記の置き換え=パスワード生成、ではあまりに乱暴だろう。

2.これ公開したら誰がどう使うの?

もともとのツールは先生方が使うことを想定して作っているようだが、まず先生方が使う場合「生徒のパスワードを先生が取り扱う」ことになる。

学校がアカウントを発行しIDとセットでパスワードを渡すのは仮パスワードであって、最初のログイン時に本人が作成したパスワードを登録させるのが正しい手順だろう。だから前述のシートを使うとしても、それは生徒に渡す前の仮パスワード作成時のみだ。

当然、最初の仮パスワードによるログイン後に本人が登録したパスワードを教師が一括して管理することがあってはならない。紙による管理など論外。

その場合「他人にパスワードを教えてはいけない」という根底のリテラシーが欠如した教育を行うことになるからだ。

パスワードを忘れた場合も、教職員に連絡して再発行が正しい手順となる。

令和3年に文科省が公開した「教育情報セキュリティポリシーに関するガイドライン」のハンドブックにも下記の記述がある。

ID及びパスワードの管理
自分のIDは、自分のみが利用する(他の人には利用させない)こと。
パスワードは他の人には知られないようにすること。
忘れた場合及び漏えいした場合はすぐに教職員に報告し、再設定を行うこと。

文部科学省 令和3年発行「教育情報セキュリティポリシーに関するガイドラインハンドブック(図表11 教職員が児童生徒と共有すべき事項)」より)

この記述を順守するとすれば、寺子屋朝日 for Teachers の記事にあるような「普段は担任の先生が保管している」や「忘れても困らないよう、各自の連絡帳に貼っている」も本来NGだろう。いや絶対NG。

なお、ガイドライン本体にはハンドブックよりも詳細な基準が書かれているが、基本的には上記の基準が守られることが大前提だろう。仮パスワードの扱いも書かれているが、教職員のパスワード運用基準を確認したい場合にも目を通しておいたほうが良いかもしれない。

3.仮パスワードの発行用であれば使っても良いの?

前述の理由から、仮パスワードの発行用であればシート利用は可能だろう。管理者による仮パスワードの指定と初回ログイン時にパスワード変更を強制することが可能な SaaSであれば、仮のパスワードを指定するツールとしての利用だけなら利用は一応可能だろう。(仮パスワードなので1で言及した問題に目をつぶるとするならば、だが。)

逆に言えば、それ以外の利用(生徒が作成した通常パスワードの保管用)はすべて不適切ということになる。

ただ、仮パスワードであっても本来暗号強度は保たれているべきである観点から考えると、一定の暗号強度が確保できないようなツールは使うべきではない、というのが現時点での結論になる。

4.それそもITリテラシー教育として正しいの?

ひらがな日本語↔英数小文字変換してひらがなを見て入力させればよいか、という視点で考えると、まだアルファベットを習っていない小学生低学年はひらがなしか読めないから、という発想は一見正しそうに思える。

が、習ってないアルファベットだからといって、目にしないわけではない。実際のキーボードにはすべて英数小文字が表示されている。そしてそれらの文字は英語圏の同学年であれば、おそらく普通に習って使っている文字だ。

それを横目にして使うことなく過ごすことが果たして正しいIT教育と言えるだろうか?

5.先生がパスワード再発行、再発行依頼の手間は?

以下はシートを公開しない理由というよりは今後の展望(希望を含む)。

これは学校により体制が異なると思うので一概に言えないのだが、理屈では生徒のパスワード再発行権限を各先生が持っているなら短時間の対応も可能だろうが、実際には先生方のITリテラシーがバラバラな以上、パスワードの再発行権限のみの Admin 権限を付与しても、各先生方が管理画面で操作するのは難しいだろう。管理画面の使い方を覚える必要があるからだ。

それよりは、先生だけがアクセスできる Form か何かで依頼ツールを作り、生徒のIDを選択して申請すると自動発行の仮パスワード(十分程度で使用ができなくなるもの)が先生のアカウント宛に自動で送られてくる、ぐらいの仕組みのほうがまだよいのかもしれない。そのような仕組みがないならば、当然プログラミングによる仕組みの構築が必須になる。

ただ、現状Twitter等で見聞きする先生のITリテラシーレベルを考慮すると、Formでの申請すらできない人がいそうなのが懸念点にはなるのだけれども、正直この程度のことができないなら今後IT教育をするなど土台無理なので、それならいっそのこと職業を変えたほうがよい、というのが率直な感想。



いいなと思ったら応援しよう!