佐賀県教育情報システムでの情報漏洩問題について(3)
こんばんは。昨日一昨日と佐賀県教育情報システム委員会が導入した教育情報システム「SEI-Net」で起きた情報漏洩事件について書きましたが、情報を追っていると出るわ出るわ、あまりにも酷い状況が。ここまで酷いとは思ってもみませんでした。記事を追いながらツッコミマシーンと化してしまってました。(^^;;
ここ最近、地方自治体でのサイバー攻撃や不用意な情報漏洩事件が複数発生しています。福井県池田町の町議会事務局長の件は論外として、役所内に情報セキュリティの専門家が不在だという大きな問題があります。多くの自治体の職員採用試験の募集要項を見ていても、事務以外の技術職では土木・電気・機械が多くを占めて、情報区分で採用している例をほとんど見かけません。「ベテラン層にいないから指導出来ない」という一見最もそうな理由を挙げてきそうですが、ならば中途採用すればいい話だろうと思います。なので、電気区分で採用された方が情報系部署に配置されるというケースが多いようです。しかし、3年周期で異動させるものですから、プロが育ちません。覚えた頃には他所の部署へ。代わりにやって来る素人職員…。
専門家を雇ったとしても、他の事務職員にやらせた方がよっぽど効率的な事務作業を押し付けて、持っている能力を発揮させることなく本人を潰してしまうということが起き得ます。
そういう環境であれば、今回の事件が起きるのも当然だなと思えてきます。
各サイトを見ていると、佐賀新聞では「二次被害は確認されていないと言ってるけど、あるそうで怖い」と中3女子のコメントが記載されていました。あくまで「確認されていない」だけであって、「ない」とは言ってないところがポイントです。今までこんな杜撰な管理をしてきた組織の説明を額面通り受け取れないのも当然でしょうね。「管理者権限のパスワードを一般教職員ユーザが閲覧できてしまうシステムってそもそもどうなのよ?と言いたくなります。」それに対して教育委員会は全く何の疑問も持たなかったのでしょうか???
もし、「セキュリティ対策=パスワードの変更」だと信じて疑ってないとしたら、◯ホの一つ覚えと言うしかないお粗末さです。今までパスワードは変更しないという方針だったのが、警視庁からの連絡があった時点で急に変更してますし、しばらくしてまた同じ手口で不正アクセスされているということは、その時点で取った対策は全くのピント外れだったことなります。ピント外れだったことに全く言及されていません。自分たちの無知と非を認めて詫びた様子が会見ではうかがえませんでした。会見で教育長が「極めて遺憾で」と言ってるあたり、当事者意識がないんだろうと思いました。監視体制が全く構築されていなかったのでしょう。「システム納入したら終わり」と考えている業者と、「あとは各校で適当にやってね♪」と知らん顔の教育委員会。と取られても仕方ないことをやってきているように第三者には映ってしまっているのですが、そのあたりをどのように考えているのでしょうか。
そして、朝日新聞によると、県教育庁に再三安全確認を要請したにも関わらず、しばらしくしてから同じ手口で不正アクセスされてしまったということが警視庁からの指摘で発覚という、結局何もせずに放置していたと非難されても文句は言えないことをしてきたことになります。教育庁内で誰も判断出来なかったという以前に、警視庁担当者の指摘内容が誰も理解出来ていなかったというたいへんお粗末な結果になってしまったわけです。
他にスラドでは一昨年5月の段階でMACアドレス偽装の懸念が指摘されていて、結果的にその通りになってしまったということです。IEEE802.1Xも導入されず、MACアドレスフィルタリングで突っ走った結果がこれという…。
NHKでは教育委員会はネットワークの内部監査を全く行ってなくて、行う予定もなかったと報じています。規定違反だったそうです。一体どういうつもりだったのでしょうか?「面倒だしいいか…」という安易な気持ちがあったのか、内部監査を出来るだけの知識や能力がなかったのか、ベンダに全て丸投げしていたので、「システムに関してはベンダがやってくれる」と思って何もしなかったのか…。これを受けた教育委員会のコメントが「今後は監査を行うよう効果的な方法から検討していきたい」と。一体何が言いたいのか理解不能でした。「今後は監査を行うよう」じゃなくて、「違反してました。申し訳ございません。今後は監査をきちんと行います。」がスジだと思います。と、「効果的な方法から検討していきたい」というのもこれまた意味不明です。「今までのミスを深く反省して再度やり直します」という方がまだマシかと思いました。なんか他人事モードなんですよね。記事を読む限りでは。反省の意が全く伝わってきません。
佐賀新聞では「本来保守管理業者しか利用を許されないIDとパスワードが生徒や一般教職員もアクセス出来るネットワークの中に置かれているなど、管理の甘さも事件の一因だった。」とありますが、これは管理の甘さ以前に基本的設計ミスであることは間違いありません。教育委員会側もこの点に関して納入時の検収時点で指摘すべき事項だったはずです。ここをスルーした時点で一方的にベンダに責任転嫁出来ないはずです。教育委員会側にも問題点を見抜けなかった責任は確実にあります。ここらについても言及せずに会見でお茶を濁すのはダメだと思います。
そして、「現時点で考えられる限りの対策を講じた」と報じられていますが、報道されている内容からは「お前らパスワードの変更しか思いついてないやろ!?」とツッコミ入れられても仕方ない状況だと思います。それならまだ「申し訳ございませんでした。無知なもので、パスワードの変更しか思いつきませんでした。これしか出来てませんでした。」と素直に詫びる方がどれだけ好感が持てただろうかと…。
識者の意見として「タブレットをはじめ、導入されたらその後ほったらかしで、その後の検証や評価がなされていない」ということでしたが…。
「2月に不正アクセスを把握したあとは、校内無線LANのサーバやNW機器のパスワードを変更する対策を4月中旬までに実施した」とあります。 金庫の底板が抜けているのに、その部分の手当てをせずにダイヤルの暗証番号を変更してたら、そら現金盗まれますわって話ですよね。
どうしようもなくピントがズレてます。全く同じ手口で再度不正アクセスされているわけですからどうしようもないですね。「犯人が誰か分からず、教職員や保守業者さえ疑いながら、できる範囲で対策を講じたが、結果として不十分だった」と。できる範囲での対策がパスワード変更だけだったら、それは当然不十分でしょうね。ここで問題なのは「ちゃんとログを取っていたんだろうか?」という問題です。「ログを突き合わせてMACアドレスやIPアドレスやユーザ名を絞り込んで…」というような話も漏れ聞こえてきそうなものですが、全くないということはログがなかったのか、ログを解析出来る能力のある人が誰もいなかったのか…。
最後の方にある「隠す意図はなかったが、経過説明として十分ではなかった」という台詞がたいへん言い訳がましく聞こえてしまいます。
今度は西日本新聞ですが、「昨年6月にも不正アクセスがあったことを把握していたが、パスワードを変更しただけだった」とあります。文科大臣が「どういう見直しが必要か検討する」とのことですが、検討するまでもなく明白ですよね。そうそう。通達出すだけでは何の意味もありませんよ。役人が仕事したポーズをとってるだけと解釈されてしまいます。解決策は一つ。
「自治体で専門家を雇いましょう(専門能力を発揮出来る環境を整えた上で)」
教育委員会が「何が盗まれたか分からない」と言ってるしまってる時点で当事者能力がないことを露呈してますよね。「インターネットを使っている以上、万全な態勢というものはない」と。開き直りましたね。ついにインターネットに責任転嫁ですか。如何にも「自分たちは悪くない」と一貫して主張しているようでたいへん後味が悪いです。そもそも5月の不正アクセスはインターネット経由ではなく、校内無線LAN経由ですよ???
そして、「何者かにアクセス権限を変更され、校内システムを使用できなくなった教職員もいた」という時点でダメでしょう。「この際も管理者用IDとパスワードで侵入されていたという」と。管理者権限を盗まれている時点で完全アウトですよね。
実は初歩的なミスをベンダが隠すために、「どうせ何も分かってない」と思われている教育委員会に嘘の上塗りをしたんじゃないかという疑惑が湧いてきます。(そうは思いたくないのですが、どうも出てくる情報があまりにも酷いですし。orz)
