NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

佐賀県教育情報システムでの情報漏洩問題について(2)

 こんばんは。表題の件について、新聞・テレビ各社が報道してますね。自分なりに情報を追ってみて気づいたことを書いてみようかと思います。

 「PCの情報を偽装して、学校近くまで行って無線LANに接続し不正アクセスした。」とありましたが、学校の外まで電波が漏れていたことになります。無線APが無駄に高出力だったのか、職員室等が敷地に隣接した道路近くにあったということなんでしょうか。(まさか勝手に高校敷地内に侵入したとは思いたくないですが)

 無線LANに接続したのは、まさかのパスワードなしorWEPだったりするのか?とも思いましたが、「PCの情報を偽装して」という内容から、他の方々も指摘しておられましたようにMACアドレスフィルタリング回避だろうと思われます。 

 生徒が利用する学習用ネットワークと校務用ネットワークの分離が不十分だったとも報じられています。生徒用に割り当てるIPアドレスと教員用割り当てIPアドレスを別VLANにして、FWでアクセス制御をすることでL3ベースで分離すると思いますが、それが満足に出来てなかったのでしょうか。

 いずれにせよ、生徒がアクセス可能な領域上に教員のIDとパスワードが見えるようになっていたというのはどう考えてもアウトだと思います。パスワード以外にもユーザのアクセス権限を適切に設定していなかったことも考えられます。アクセス制御をどのレイヤでどのように行うかという視点が欠けていたのかなという印象を持ちました。

  そして、NHK NEWS WEBサイトでは男子生徒が「学校のシステム管理の甘さをからかっていた」と供述しているとありました。ここで「学校のシステム管理上の問題点を(学校や教育委員会に)伝えて改善させよう」とならなかったのは、「伝えたところで、学校や教育委員会が握り潰してしまうのではないか」という懸念があったのではないかと邪推しています。2月に不正アクセスがあったにもかかわらず、すぐに公表しなかったこともあります。今までパスワード固定だったのが、何の説明もなしに急に変更要請するような行動を見ていても、隠蔽体質があるんじゃないかと勘繰ってしまいます。IT機器・システム導入ありきで動く県、要件定義の出来ない教育委員会、ただ押し付けられるだけの学校、セキュリティホールを指摘しても聞き入れてもらえないと考えてしまう生徒…。どうしようもない閉塞感が漂っているように思えてなりません。文科大臣は「セキュリティ対策に不備がないか改めて見直したい」との発言がありましたが、これも都道府県→教育委員会→学校→ベンダへの伝言ゲームでしかないでしょう。現場なり教育委員会なり都道府県なりに情報セキュリティの専門家が不在である以上、通知を出したところで、それは単に役所的セレモニーとしての意味しかありません。点検を求めると言ったところで、ベンダ以外のプレーヤー(登場人物)は右から左に伝言するしか出来ないと思います。国民に対するポーズにしか見えないのがなんともです。

 17歳少年や男子生徒が罪を犯したという事実がある以上擁護は出来ません。NHKの記事にある「子供たちへの倫理や法制度の教育が不可欠」というようなコメントがありました。それもありますが、もっと大事なことは、強引かつ不透明なIT機器やシステム導入を強行した佐賀県の姿勢は問われるべきだと思います。「流出発覚後セキュリティ強化策を取っておくべきだった」というのは、1回目の発覚後のセキュリティ対策はやっつけ仕事だったと佐賀県教育委員会自らカミングアウトしているのと等価ですから。(そう解釈されても仕方ないことをしているわけですし。) そのへんを自覚した上での発言なのかとツッコミたくなります。何か他人事感が拭えないんですよね。実際にやってることはベンダへの丸投げでしかないから、そういう発言が自然と出てくるのでしょうがね。

  JTBの場合もそうですが、情報漏洩が起きたら変に隠そうとせず、すぐに公表すべきです。もたもたした行動は責任逃れ感が強くなってしまいます。そういう姿勢を生徒側に見透かされているように思えてなりません。今回の事件に対して不安感を拭えずにいる生徒がいることも事実です。彼らにどう説明するつもりなのか、そのあたりも学校や教育委員会ももっと真剣に考えてもらいたいものです。

 そして、「犯罪を助長するので具体的原因には言及出来ない」と凸版印刷がコメントしていましたが、「原因がごく初歩的なミスなので、公表すると世間の嘲笑を浴びることになるから犯罪助長を言い訳にしているんだろうな」という邪推も働いてしまいます。これまでの報道で少年たちにはそこまでの高度な知識はなかったのではないかという見方もあります。この弁解は悪手のような気がします。

 1回目の不正アクセスから警察に指摘されるまで1ヶ月近く気付かなかったのは、ネットワーク監視を全く行ってなかったor監視はしていたのに握り潰されたと言われても仕方のない対応ではあります。その上、5月の不正アクセスがあってから公表までにこんなに時間がかかったのが何故かという点。警視庁から不正アクセスの連絡があってから3ヶ月後に同じ手口で不正アクセスされている事実は、結局何もしていなかったと解釈されても仕方ない対応だと思います。

 いずれにせよ、今回の事件は様々な問題を含んでいると思います。この件についてはもう少しウォッチしつつ分析してみようと思います。