NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

IDとパスワードで守り切れると思い込んでる節があるのでは?

 こんばんは。お約束通り日経NETWORK今月号の佐賀県教育委員会不正アクセス事件についての記事を読んでみました。これは以前ITproに掲載された記事でもありますが、一昨日のドクターXの記事にも通じるものがありましたので、敢えてもう一度取り上げました。

itpro.nikkeibp.co.jp

 IDとパスワードを他の生徒から聞き出したという点も、生徒側のITリテラシーの問題もあります。教師にはトラップを使って聞き出したという話もあります。情報セキュリティ教育がどの程度出来ていたのかもおおよそ察しがつきますね。

 IDとパスワードの組を記載したファイルを簡単に閲覧出来るエリアに置いていたこと自体は当然NGです。それは当然のことながら、県立学校の校内LANに学習用サーバと校務用サーバがセグメント分けせずに配置されていたように受け取れます。学習用サーバにアクセス出来て、IDとパスワードの組を置いたファイルを入手すると、簡単に校務用サーバにアクセス出来てしまいます。

 この記事からすると、「アクセス制御はIDとパスワードしかない」という風に考えていたのだろうなということが推察されます。今まで学習用サーバと校務用サーバの間にFWを設置していなかったというのはどういうことなんでしょうねぇ?ベンダは提案したけども教育委員会側が「要らない」と言い放ったのか、そもそも仕様書にL3・L4あたりでアクセス制御するという記述がなかったので、ベンダも敢えて提案しなかったとか…???

 いずれにせよ怖い話です。ドクターXの脚本もそうですが、電子カルテNWもインターネット接続系NWも一緒くたにされているのだろうなという印象を持ちました。一般的には論理的にNWを分割するという発想はないのだろうなという印象を受けました。

 「物理的に分割したから安全」と考えがちですが、USBメモリを媒介にしたウイルス感染が起こり得ます。むしろ論理的に分割してコントロールした方が安全だという風な考え方が浸透するといいなと思います。

 物理的に分割してしまうと、「どうやってウイルス定義ファイルをリアルタイムでアップデートするのか?」という問題があります。きちんとコントロールした必要最小限の穴を開けて運用する方が安全だという風潮が広がることを期待してます。

 「セキュリティ=IDとパスワードではない」ということを改めて考えさせられる昨今でした。