17才少年の不正アクセス問題で表面化した、
県教委8年間定期監査未実施の末路

17才少年の 不正アクセス問題で表面化した、 県教委8年間定期監査 未実施の末路


県教委、定期監査怠る、08年度から未実施
不正アクセス問題

県の教育情報システムとネットワークが不正アクセスを受け、個人情報が大量に流出した事件で、県が定める情報セキュリティーの基本方針を、県教委が守っていなかったことが29日わかった。基本方針が定める定期的な監査をしていなかった。

(2016年6月30日 朝日新聞 朝刊)より抜粋


教育先進県とされる佐賀の
システム管理の甘さが浮き彫りに

朝日新聞によると、今年1月に起こった17才少年による佐賀県の教育情報システムとネットワークへの不正アクセス事件で、県が定める情報セキュリティの基本方針を、県教委が守っていなかったことが発覚した。
そもそも事件は今年1月に起こった。警視庁サイバー犯罪対策課は、佐賀市の無職少年(17)を、生徒の成績などを管理する佐賀県立高校の教育情報システムに侵入したなどとして、不正アクセス禁止法違反容疑で逮捕した。
少年がシステムから盗み取った成績表や生徒の住所などの情報は数万人分にのぼるとみられる。
NHKニュースによると、少年は1月、佐賀県教育委員会が独自に導入している教育情報システム「SEI-Net」や県立の学校が導入している校内のネットワークシステムに 3回にわたって不正アクセスをした疑いが持たれている。警視庁は少年が不正アクセスを繰り返し、生徒の氏名や成績に関する個人情報を大量に盗み出していたとみて捜査している。調べに対し少年は、容疑をおおむね認めているという。

佐賀の17才容疑者
自作ソフトで1.5万人の情報を入手

<佐賀県立高校の教育情報システムへの不正アクセスへの構図>

佐賀県立高校の教育情報システムへの不正アクセスへの構図

佐賀県立高校の教育情報システムへの不正アクセスへの構図

情報を適切に管理運営していくために
教育機関での情報セキュリティモラルの向上が必至

2015年文部科学省は、2020年までに小中高の生徒全員が1人1台タブレット端末をもつ環境を整えると発表した。
佐賀県では、電子黒板やタブレット端末などを使う教育を全国に先駆けて進めているが、県が定める情報セキュリティの基本方針を守っていなかったことがわかった。
基本方針は2006年に施行され、ネットワークを運用する職員や教職員を対象に「セキュリティが確保されていることを確認するため、定期的に監査を実施する」と定める。しかし、実際は06、07年のみの稼働で、以降の実施は確認されていない。

教師らのIDとパスワードを生徒でもアクセスできる場所に置くなど、セキュリティが甘かった。さらにこれだけの大量のデータが抜かれていたにもかかわらず、警察の捜査が入るまで気づかなかったのも問題。パソコンやタブレットを導入して終わりではなく、情報を適切に管理運営していくための教職員への情報セキュリティ教育、最新版のウイルス対策ソフトの導入、セキュリティ専門部署の設置、もしくは外部委託は必須だといえる。

不正アクセス対策のポイント

POINT1
ID、パスワードは厳重に管理
POINT2
教職員への情報セキュリティ教育の徹底
POINT3
OSやウイルス対策ソフトの導入
POINT4
セキュリティ専門部署の設置、もしくは外部委託