こんばんは。最近は佐賀県教育委員会関連の新たな情報が出て来なくなっている印象があります。(私が探しきれていなかったらすみません。)
昨日のマイナビニュースに今回の情報漏洩問題を分析したソフォスのPR記事がありました。(@nojimage さんのツイートを拝見しました。どうもありがとうございました。)
記事に目を通した問題点の分析内容は全て既出でした。内容は以下の通りでした。
- 校内LANへの不正アクセス可能な状態だった
- 生徒の権限でアクセス出来る領域に管理者情報が含まれたファイルがあった
- パスワード変更のみで対処しようとした
- 被害発覚後の報告や情報共有がなされなかった
- 内部監査が全く行われていなかった
今まで散々言われてきたことですが、こうして挙げてみると「よくこんな杜撰な環境で運用していたな」と改めて感じます。
1に関して、デバイス認証はなかったんじゃないだろうかと個人的には思っています。証明書を使ったEAP-TLSではなさそうで、(EAP-TTLSかPEAPだと思われます)偽装してMACアドレスフィルタリングを掻い潜ったのではないかという認識です。
2に関してはその通りだと思います。置いてはいけない領域に置いてはいけないデータを置いたというのは間違いないと思います。管理も杜撰だわ、ITリテラシーも低いことは容易に想像つきます。
3はITリテラシーの低さという問題以前に、「セキュリティ対策はパスワード変更でOK」途轍もない思考回路によるものだと思います。この記事の指摘のように、パスワードの変更が管理上面倒だという稚拙な設計だったのだろうと推測されます。
4は言うまでもなく、前副教育長で現在武雄市におられる方でしたね。この方がセキュリティ事故であることを正しく認識して、適切に報告・情報共有していればまだ救いはあったのかもしれません。
ここで握りつぶしたのは、拙いことだという認識があって、「公になったら困る」という気持ちがあったからこそ、パスワード変更というセキュリティ対策wで逃げ切ろうとしたのだろうと推測します。
(ここは今まで通りですね)
5についてはITリテラシーの問題以前に、「そもそもやらなければならないこと」に全く手をつけようとしなかったことです。最初から何もしなかったのですから、何も言い訳は出来ないでしょう。
2ページ目以降はPR記事になりますので、ここでは触れませんので直接記事を御参照下さい。
それにしても、こういう形でセキュリティ企業の販促ネタになってしまいましたか…。この事実をきちんと認識してほしいものです。