佐賀県教育情報システムでの情報漏洩問題について
こんばんは。今日は新聞各紙のweb上でこの話題が取り上げられています。以前、B-CASカードを使わずに有料放送を受信していたとされる17歳の少年が逮捕されました。今回の一件で再逮捕されたとの報道がありました。
佐賀県内の小中高校等が利用する教育情報システム「SEI-Net」に不正アクセスし、教員や生徒に関する情報を大量にダウンロードしてPCに保存していたそうです。
文科省担当者が「最も進んでいる佐賀県のシステムが破られるとは…」とのコメントをしていたそうです。何かこれには違和感がありました。一部の記事では「最先端」と書かれていたので、さらに違和感が大きくなりました。この場合の「最も進んでいる=電子黒板普及率」であって、「最も進んでいる≠セキュリティレベルの高さ」ということを物語っています。毎日新聞の記事からの推測ですが、「校内ネットワークに接続した上でIDとパスワードを入力する必要がある」とのことですので、SSL-VPNでゲートウェイサーバに接続して、校内ネットワークに接続してから教育情報システムサーバに接続する仕組みなのだろうと思われます。(各高校毎にサーバを設置しているのではなく、どうやら集約してクラウド化しているようです。) 「校外からでもネット接続すれば、自分のテスト結果や電子教材等が閲覧出来る」とあります。誰か生徒のアカウントを何らかの形で入手してログインし、スーパーユーザ(管理者)のアカウントとパスワードを盗み出したのではないかと推測しています。
このスーパーユーザ(管理者)アカウントの管理がザルだったりする可能性も十分考えられます。記事からすると、全ての教員にスーパーユーザ(管理者)権限を割り当てていたようにも読めます。だとすると、管理の甘い教員のID・パスワードが盗まれた恰好になったということかもしれません。この点は「校内ネットワークだから大丈夫だろう」という甘い気持ちで油断しまくっていたことも十分考えられそうです。校外からのインターネット経由接続があるということを意識してなかった可能性もあります。「どのようなシステムを作りたいのか・必要としているのか」を学校側も教育委員会側も正確に伝えることが出来ず、そんな状況下でベンダ側もある程度想像を交えて構築したのでしょう。そして、運用もザルだったと…。
そんなところではないかと推測しています。詳細は佐賀県側の発表を待つしかないのですが、「構築も運用もザルでした。セキュリティ面的に問題があるという指摘は誰からもありませんでした。なので、大丈夫だと思っていました。」みたいなコメントで、「今後セキュリティ強化します」という抽象的な台詞で締めそうな絵が今から浮かんできています。セキュリティ強化は正確に原因を把握してないと、単にドブに金を捨てるだけになり兼ねませんので、その点は是非しっかり解明&対処お願いします。
この記事を書いた後で検索すると、いろいろと情報が出てきましたので、明日以降もう少し考察してみたいと思います。