佐賀県学校教育ネットワークセキュリティ対策検討委員会から提言がなされました
県教委では、平成28年8月、学校教育ネットワークに対する不正アクセス事案について、情報技術・情報セキュリティの観点から検証を行うとともに、今後の強化対策に係る提言を得ることを目的として、標記委員会を設置いたしました。
同委員会では、これまで3回の会合を開催されるとともに、メールでの意見交換などを通じ、審議等が行われてきたところであり、平成28年10月27日に本委員会より県教委に対して、提言がなされました。
提言の中には、教育情報システムの運用について、基礎的・実践的なセキュリティ知識が欠けていたこと、監査の未実施等、多くの問題点のご指摘をいただきました。
そうしたことが今回の事案の大きな原因となっており、改めて、生徒、保護者そして県民の皆さまに深くお詫びを申し上げます。
今回の提言を真摯に受け止めるとともに深い反省に立って、こうした事案を二度と繰り返さないよう、提言を踏まえた情報セキュリティ対策にしっかりと取り組み、生徒や保護者の不安解消と県民の皆さまの信頼回復に努めてまいります。
佐賀県学校教育ネットワークセキュリティ対策検討委員会 提言書要旨
本事案では大量の個人情報が窃取され、生徒や保護者をはじめ県民の不安と不信感を抱かせた。原因を究明し、真摯な反省の上に立って、同一の問題を再び起こすことのないよう、県教育委員会には、下記の検証結果と提言を最大限尊重し、速やかに対応するよう要請する。
1 本事案の概要
無職少年が他人のユーザIDとパスワードを利用して、学校ネットワークにアクセスし、侵入。さらに侵入されたネットワーク内から別の重要情報が窃取され、被害の範囲が拡大し、14,355名の個人情報が窃取された。
これは、高度な情報通信技術を使用した攻撃とは異なり、ソーシャルエンジニアリング攻撃のように人間の心理的弱さや行動におけるミスに要因があると考えることができる。
2 運用上の課題
情報窃取の原因は、県教育委員会や教職員、委託事業者にセキュリティの基礎知識や実践的な対応が不十分だったことによる。代表的な事例は「管理者パスワードの蔵置」である。
また、本事案発覚の一年前にその兆候を覚知したにもかかわらず「トラブル案件の一つ」と過小評価し、縦割り組織の中で情報共有がなされず、責任の所在も不明確だったため、問題が矮小化された。
さらに一部のシステムにセキュリティ上の脆弱性が含まれており、その脆弱性を早期に発見する機会を逃していた。
3 今後のセキュリティ対策
本事案のみを考慮したセキュリティ対策では、「モグラ叩き」に終わる。そのため「包括的なセキュリティ対策」を考える必要がある。
3.1 短期的対応
可及的速やかに実施し、継続的な対応を行うもの。下記の件を踏まえて、実施計画書を作成すること。
(1)アカウント管理 (パスワードポリシーの設定)
(2)セキュリティ/システム監査の実施 (内部監査、外部監査)
(3)関係者による情報共有体制の確立 (事例の共有による「気づき」の促進)
(4)セキュリティ文化の確立 (グループ、組織としての教育、訓練)
3.2 中長期的対応
来期以降、中長期的に対応しなければならないと思われるもの。ただし、今期に行う事が可能であれば、実施すること。
(1)セキュリティ組織の検討・実施 (CIO、CISO、プロジェクトマネジメントチーム)
(2)情報公開の検討・実施 (小さな事案でも公開すべき)
4 まとめ
数年で人事異動を伴う組織の場合、組織体制を構築しても、その後の実効性が失われがちである。そのためにも「セキュリティ文化」とも言うべき体制の構築が必要。
県教育委員会、県議会や既設の検討委員会等で、普段からセキュリティについて論議を続け、深めることが必要。それが本提言の実効性の担保にもつながる。
また、本事案を機に学校現場や生徒、県民からも広く意見を聴く場を設け、セキュリティのみならず教育の質的向上や利用者の利便性向上、校務の効率化という本来のミッションについても情報を共有・交換し、県教育委員会自らが考え、改革していく姿勢を示すことで、保護者や生徒、県民の不安を払拭し、信頼回復につながるものと考える。
添付資料
提言書(本編) 
(PDF:739.9キロバイト)