こんばんは。昨日は尼崎市中小企業センターで緊急LT大会（昼の部）と、クエ鍋忘年会（夜の部）に参加してきました。

　というより、昼夜共に運営側だったので、2次会を終えて全員帰路に向かうことを見届けたら、放心状態になってしまいました。(^^;

　昼の部に参加された方々が既にブログで発表内容を公開されているようですので、そちらも追ってみなくてはいけないなというところです。少々お待ち下さい。<(_ _)>

　今日は新潟の中学3年生が不正アクセスを実行して、成績表を改ざんした話の続きになります。FNNニュースの記事からです。

www.fnn.jp

　上記記事によると、彼はハードディスクを学校から盗み出していたそうです。ハードディスクの中身が読めなかったので、不正アクセスを実行したとあります。

　もちろん、彼のやったことは犯罪ですから、当然のことながらアウトです。

　ここで気になるのは、学校側の物理セキュリティでしょうか。「ハードディスクがなくなったことに気づいた学校側は」とあります。もしかして、簡単に持ち出せるようになっていて、管理が全く出来ていなかったのではないか？という疑問が残ります。

　さて、ここでpiyokangoさんの記事です。（いつも拝見しております。詳細に調べた上で、時系列に沿って分かりやすくまとめられている点には、本当に頭が下がります。）

piyolog.hatenadiary.jp

　いろいろ気になる内容がありました。

1. 生徒用タブレットから教員用サーバにNW的に接続可能
2. 生徒用タブレットの物理的セキュリティがザル（放置されているものも）
3. タブレットの数を定期的にチェックしていない

　これだけでもなんかダメダメな感じがヒシヒシと伝わってきます。物理的セキュリティを確保するというのは基本中の基本だと思うのですが、これが全く出来ていなかったことになります。

　その上、生徒用タブレットから教員サーバへのアクセスが可能というのはVLANによる生徒用NWと教員用サーバNWとの分離・アクセス制御が全く出来てないことを物語っています。この記事を読む限りでの推測ですが、校内ネットワークがまさかの1セグメントで構成されているのではないでしょうか…。((((；ﾟДﾟ))))

　学校側も、ネットワーク構成やセキュリティ関係について、きちんとベンダに要件を説明出来るだけの能力がないと判断せざるを得ません。「何から何を守るべきなのか？」ということは全く考慮されてないように読めます。

　結局、いつもの結論「各学校に情報処理安全確保支援士を常勤職員として雇用しましょうよ」に落ち着いてしまいます。「PCを各校1人1台」というだけでは、いろんな意味でダメダメだと思う次第であります…。

　こういう記事を見るたびに