小中高校内での情報セキュリティの甘さは昔から改善されていない模様
こんばんは。佐賀県教育情報システム情報漏洩に関する続報に関しては引き続き追いかけて行きます。
西日本新聞にも記事が載っていましたが、別段目新しい内容ではありませんでした。
佐賀県教育委員会から何か続報が出てくるのかと待っていますが、現時点では何も出てきていません。情報漏洩が発覚してから1週間以上も経過しているにもかかわらず新しい情報が出て来ないのは、単なる時間稼ぎで世間が忘れてくれることを期待しているのか、何を調べていいのか分からず立ち往生しているだけなのか…。
ここで少し視点を変えて、「学校の情報セキュリティは過去どうだったのだろう?」という視点で少し調べてみました。11年前のスラドの記事です。
「中学生に指摘される校内ネットのセキュリティ」というタイトルで、校務LAN上のコンピュータ(これだけではサーバなのか単にPCなのかは不明)の校長のアカウントに「校長の名前」をパスワードとして入力したらログイン出来てしまって、アクセスしたデータを印刷して教頭に「管理甘過ぎ」と指摘したとのことです。
ここで校長のコメントですが、「情報管理が不十分だった。責任を痛感している」と反省の弁の後に「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」とのことです。
さて、ここで問題です。仮にこの生徒が管理の杜撰さを指摘せず、学校側も穴を放置していました。ある日外部から不正アクセスされて情報漏洩が発生したら、学校側はどういう対応を取ったのでしょう?
素直に情報管理の甘さを詫びたしょうか?それとも自分たちの管理の甘さを棚上げして責任転嫁したでしょうか?警察に相談せず犯人探しをしたのでしょうか?あるいは逆ギレしてこの生徒に責任をなすりつけたのでしょうか?いずれにせよ、校長や教育委員会はここぞとばかりに叩かれることは間違いありません。
悪意はないことを証明することが難しいので、この少年のやり方は拙かったかもしれません。この生徒が管理の甘さを指摘してくれていたことで大事に至らなかったかもしれません。問題点の指摘自体は褒めていいかと思います。ただ、やり方は拙かったかもねぐらいのことは言ってもいいかもしれません。
情報管理上の問題点を偶然発見してしまった生徒が直接指摘してくれたこと自体はいいことなので、問題点は指摘出来る風通しの良い空気を醸成することは必要です。まかり間違っても生徒を強権的に抑え込むようなことがあってはいけません。(佐賀県はそのようなことはなかったのでしょうか?)この場合、生徒をどういう立場で捉えるかという問題があります。
11年前の事件が教訓として活かされていなかったのですから、佐賀県教育委員会の情報漏洩事件は起きるべくして起きたのかもしれませんね。上の顔色しか見ていない組織の風通しの悪さも原因の1つでもあるんでしょうね。