佐賀県不正アクセス事件から学ぶ、教育機関の
セキュリティ文化の醸成が必要不可欠な理由

佐賀県不正アクセス事件から学ぶ、教育機関のセキュリティ文化の醸成が必要不可欠な理由


不正アクセス提言書 管理意識の欠落批判

佐賀県の県立中学、高校生約1万4千人分の個人情報が流出した不正アクセス事件の発覚から4カ月。第三者委員会は27日に発表した提言書で、県教育委員会をはじめ、関係組織のセキュリティー意識の欠落を厳しく批判した。古谷宏教育長は「職員全員で改革に取り組み、信頼を回復したい」と強調したが、責任の所在はあいまいなまま。現場の教員には「現場任せに終わってしまうのではないか」と不信感もくすぶる。(中略) 県教委は教育情報システムの運用に関し、現場の教員への研修やサポートを行ってきたが、利活用だけを目的にしていた。セキュリティーに特化した研修や外部からの指導は事件発覚まで全く実施しておらず、各学校が使い勝手のいいように運用していたという。 古谷教育長は「職員の意識改革が最重要」とし、これから研修を重ねていくことで「セキュリティー文化」を根付かせていくと強調した。

(2016年10月28日 佐賀新聞LiVE版)より抜粋


ICTの利活用には熱心だった県教委も、
情報セキュリティに関しては甘い認識

佐賀県学内ネットワーク不正アクセス問題は、同県教育情報システムや県内中高校の学内ネットワークが不正アクセスを受けたもの。生徒や保護者、教職員の個人情報や成績関連情報など、9589人分の個人情報が外部に流出し、当時17歳の少年が、不正アクセス禁止法違反容疑で6月27日に逮捕されている。

詳しくはこちら>>「17才少年の不正アクセス問題で表面化した、県教委8年間定期監査未実施の末路」

佐賀県は2008年に佐賀県知事の発案で「佐賀ICTビジョン2008」が策定されるなど、教育の情報化に早くから取り組んでおり、IT教育先進県として全国の教育委員会から注目を集めていた。

今回の第三者委員会「県学校教育ネットワークセキュリティ対策検討委員会」は27日、県教育委員会に対し「セキュリティの基礎知識や実践的な対応が不十分だった」として、意識改革や情報共有を求める提言書を古谷宏教育長に提出した。
提言書によると、県教委は教職員に対し、ICTの利活用関する研修には熱心だったものの、セキュリティに特化した研修は一切実施してこなかったことが検証の過程で判明した。情報が流出した高校の校長も「業務の効率化などメリットばかりを考えて、セキュリティに対する職員同士の共通認識が十分ではなかった」と反省を口にしている。

全国の教育関係者は、ICT教育の将来性を考慮する上で、
今回のケースから学ぶことは多い

提言書では、同事件は高度な技術を使用した攻撃ではなく、人間の心理的弱さや行動におけるミスに起因したものと分析。

運用面では、昨年6月に不正アクセスを受けたにもかかわらず、限られた関係者だけで対応したことを特に問題視した。「セキュリティ侵害に対する知見不足が事案を矮小化させ、情報共有がなされなかった」と縦割り行政を批判。管理者権限のIDやパスワードが生徒もアクセスできる領域に保存されていた状況も「重要情報に関するリスクへの知見不足」とした。

対応策として、短期的にはIDやパスワード管理の徹底、システム監査の実施を提言。中長期的には、セキュリティを統括する組織体制づくりや、小さな事案も含めた情報公開の実施などを挙げた。

佐賀県では、個人情報の扱い方を定めた構内のガイドラインは8年前に作成されたが、チェックは年々なおざりになっていき、教育情報システム導入後も見直されることはなかった。
今後は、システム導入を主導してきた県教委が率先して提言を履行できるかどうかが焦点になるが、最大の課題は意識改革だろう。学校現場だけに任せるのではなく、県教委などの組織体制に対し、セキュリティ情報を共有したり人為的ミスを報告するルールを確立する「セキュリティ文化」の醸成が必要不可欠だと考えられる。

詳しくはこちら>>「教育先進県で起こった個人情報流出事件の真実、甚大な被害を誘発したのは単純な管理ミスだった」

提言書による今後の対策

短期的
・IDやパスワード管理の徹底
・システム監査の実施
中期的
・セキュリティを統括する組織体制づくり
・小さな事案も含めた情報公開の実施
・関係者による情報共有体制の確立
長期的
・脆弱性診断や改ざんチェックを行うことのできるサービスを利用する