NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

佐賀県教育情報システムでの情報漏洩問題について(6)

 こんばんは。佐賀県教育情報システムの情報漏洩問題ですが、まだまだ出てきてますのでもう少しだけ書いてみようかと思います。

 今日の佐賀新聞の記事では、警視庁に情報提供を求める文書を送ったり、複数生徒に聴き取りを行っているとのこと。「セキュリティに問題はない」と言いつつ、「土日は不測の事態に備えて止める」とか、言ってることが見事に矛盾してますが。

 「セキュリティに問題がない」のであれば、土日も動かしておいても問題ないと思いますよ。しっかり監視していれば、不正アクセスがあっても犯人捕まえられますよね。

 さらに今日の西日本新聞の記事では、警視庁に供述や手口に関する情報提供を要求する文書を送付したとのことです。今日の毎日新聞の記事では、各校の教員が高校生15人から聞き取り調査を始めたという記事がありました。生徒に圧力をかけて(生徒に)責任転嫁しようとしているようにも見えます。

 「やるべきことは犯人捜しで警察の真似事をするのではなくて、自分とこの教育情報システムのセキュリティホールを塞ぐことと、生徒及び保護者への説明と謝罪と、やる気のない内部態勢の一掃なんじゃないか?」と思えてきてます。(見落としていることが他にもあるかもしれませんが)

 被害者面しているようですが、情報漏洩の原因を作った自覚がないようです。一体何様のつもりなんでしょうか。「警視庁に押収PCから情報流出しないような措置を取ることを求める要望書を送付した。11日までの回答を求める。」とありました。自分のところの情報漏洩対策やセキュリティ対策はちゃんと出来ていなかったのに、他者には厳格な対応を要求するのはどういうつもりなのでしょう?他人のことはとやかく言う割に、自分のことになったらのらりくらりと逃げ回る態度ってどうなんですかね?これは。

 昨日の読売新聞西部本社版に、「佐賀県教委ID管理ずさん、流出把握後も侵入許す」とあります。「安全対策が不十分」とありますが、「不十分」というのは「対策をしたけども100%には足りてなかった」ことを指すのであって、今回の場合は「全く何もしていない」ので、「不十分」ではなく「未対策」なんですよね。結局やったことはパスワードの変更だけなんじゃないかと。

 なか2656さんのブログに詳しくまとめられています。

ameblo.jp

 「セキュリティを強化します」と言ってるのに、「生徒にはもう少しセキュリティを緩めて使いやすくしたい」とか、先程の「セキュリティに問題ない」のに「土日は停止する」などと、言ってることが矛盾しまくってます。実は内部的にどうしていいか分からなくなってしまっているのが、このような矛盾した発言を生んでいるのではないかと思えてなりません。そもそも情報セキュリティに関して何も分かってないから、自分たちの理解を超えた状況に陥ってしまって、早く幕引きをしたいという気持ちの表れなのではないかと推測します。「セキュリティに問題がない」のであれば、「セキュリティを強化します」なんて言う必要もないはずです。技術的セキュリティもさることながら、最近では組織的・人的セキュリティ面の問題の方が浮き彫りになってきています。

 やるべきことが決まっていて、それが実行出来ない・守れないのは担当者に問題がありますし、それを見逃してきた組織にも問題があります。「知識がないからベンダの言いなりになっている現状はやむを得ない面がある」ということで逃げてしまうのではなくて、ベンダと丁々発止で渡り合えるぐらいの力量は身につけてほしいものです。「分からない」は免罪符にはなりません。

 何かやたら逃げよう・隠そうとしているように見えます。技術的・組織的・人的・物理的セキュリティを問わず、挙がっている疑問点について教育委員会は明確に答えてほしいものです。