NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

佐賀県教育情報システムでの情報漏洩問題について(4)

佐賀県教育情報システム 情報セキュリティ

 こんばんは。今日も佐賀県教育情報システム「SEI-Net」に関する記事等を追ってみました。それにしても酷いですねぇ。まだまだいろいろと出てくるというのがなんとも…。orz

  今日の佐賀新聞LIVEの記事で「県教委、昨年6月に不正アクセス把握も通報せず」という記事が出ていました。昨年6月に不正アクセスがあったにも関わらず、警察に通報してないわ、県教委内部でも情報共有してなかったというお粗末さ。で、その言い訳が「認識が甘く不適切な対応だった」と。この文面からは生徒や教員・県民に詫びる気持ちが全く伝わってきませんでした。

 記事によると、昨年6月時点で特定教員のファイルのアクセス権限が変更されていたことがベンダの点検で判明しているわけなので、確実に不正アクセスされていたことは明らかです。

 しかし、その後の対応には首を傾げざるを得ませんでした。「データの移動量の痕跡から情報流出はなかったと判断した」とあります。ちょっと待って下さい。「情報流出がなかったからそれで問題ないんですか?」教員のアクセス権限が変更されていたわけですから、ファイルの改竄があったかもしれないし、バックドアを仕掛けられていた可能性もあるかもしれません。そこで「パスワードの変更を行うなどの対策を講じた」とあります。ベンダ側が他の可能性に気付かずにパスワードだけ変更して良しとしたのか、教育委員会側が適切な指示を出せずに「適当にやっといて♪」というような丸投げをしたのか、はたまた両方なのか…。これだけでは分かりませんが、両者共にあまりにも杜撰ではないでしょうか。どうも危機感が伝わってきません。

 ベンダと校長が教育情報課長に別々に報告したにも関わらず、その事実を誰にも報告・共有しなかったことに対して反省の弁もないのは一体どういうことでしょう?別の部署に異動したから問われない?まさかそんなことはないとは思いますが、ここで適切な対応を行っておけば、今回の事件は防げたのかもしれません。昨日も書きましたが、監査を全く行ってなかったことに対して反省しているようには思えませんでした。監査を行うのはルールとして当然なので、「これからきちんと監査を実施します。足りない部分は県庁や外部機関の協力を仰ぎつつ進めてまいります。」とでも言えばいいものを、「実施方法や体制も含めて検討していきたい」というのが他人事モードを決め込んで、やる気のなさが全面的に漂っています。直近だとJTBの場合どうだったのか、他にお漏らしした企業では会見時どうだったのかということを思い出していれば、こういう台詞は間違っても出て来ないと思われます。

 もう一つ佐賀新聞LIVEの記事ですが、システム保守管理管理者の業務日誌を盗み見していた件について、少年が「侵入に気づかず日誌を付けており、仲間と面白がっていた」とありました。1回目の不正アクセスを指すのかどうかこれだけでは分かりませんが、ベンダが気づくことなく、警視庁に指摘されて初めて気づいたということが裏付けられました。ここから推察するに、ベンダも教育委員会もちゃんと管理出来てなかった(なすべきことが全く出来てなかった)ということになります。運用・管理する資格はないと言わざるを得ません。

 

 次は新聞社ではなく、何らかの形で関わっていた方のブログです。「とても眠い人のブログ」

こちらは無線LANの話です。無線APの物理的配置を含めた設計のgdgdさ加減について記されています。教室に無線APが2台あり、無線APは一度に1つのチャンネルしか使わず、子機(PC)とは1つのチャンネルで通信するそうです。待ちが長かった場合、リトライが増えて悪循環が発生するとか、無線APに接続する子機がバランスよく20:20になるとは限らないとか、隣の教室の無線APに接続してしまうとか、全体的なコントロールが出来ない荒れ放題な無線LAN環境だという記事でした。

 普通はもっと綿密に調査して無線APを設置したり、集中管理するために無線APコントローラを導入するはずですが、不透明な理由で見送られたようです。(明日以降追記します)

 別の記事には「一昨年4月16日の時点で生徒用学習用PCの管理者アカウントのパスワードが分かっていたり、必要なアプリのアップデートが出来ないようになっていたり…」というような内容が記されていました。作業用vbsファイルで簡単に管理者パスワードが取り出せてしまうとか、NASに重要ファイルが置いてあるとか、デフォルトパスワードが数字8桁で固定とか、案の定教員は紙にパスワードを書くという最もベタでやってはいけないことをやらかしてくれています。

 ここまでgdgdだとブログ主も書かれているように、起きるべくして起きた事故なんですよね。なぜ導入前にじっくりと詰めておかなかったのかと思えてなりません。

 ここには官公庁独特の「単年度予算」という非効率な仕組みが邪魔しているのだろうと思われます。「年度末である3月末日までに検収出来てないといけない」というルールのおかげで、スケジュールが詰まってしまって、結局やっつけ仕事で出来たgdgdなシステムを押しつけられるという結果になってしまったのかもしれません。

 その上、システムについて誰もまともに理解出来てない状態だとすると、運用フェーズに入った時点で推して知るべし…ですよね。 

 今度は朝日新聞デジタルですが、「天声人語」です。17歳少年が不正アクセスしたという事実だけに矮小化して、ものの見事に県教育委員会の不手際には一切言及していない内容に違和感を覚えます。「分からないことを説明しないといけない先生がかわいそう」という保護者の声が書かれていますが、「それなら何故この場に教育委員会やベンダが出て来て説明しないんだ?」という疑問を持たなかったのでしょうか?先生に同情するのはいいんですが、その裏にある問題には斬り込まないとダメなんじゃないでしょうか。「守るべき術を知らない大人への警告」とか言う以前の問題であることはもっと突っ込まないといけないんじゃないでしょうか。(それとも突っ込めない何か理由があるとか?)

 ツッコミどころが一杯あるにも関わらず、どこのメディアも及び腰な気がするのは何故でしょうか?ITに詳しくない記者さんが多いから?そういうことはないと信じたいのですが…。