【続報】佐賀県 不正アクセス事件
「セキュリティ対策実施計画」に見習うべきこと

【続報】佐賀県不正アクセス事件、「セキュリティ対策実施計画」に見習うべきこと


不正アクセス事件 生徒の実態把握、現場自問

県の教育情報システムから県立学校の生徒ら約1万4千人分の個人情報が盗み出された事件。逮捕されたのは当時17歳の少年だった。県教委は「ICT(情報通信技術)教育先進県」を掲げ、学校現場のネット活用を積極的に進めてきたが、危機管理の意識が抜け落ちていたことが露呈した。
各校は県教委の指示で再発防止策を取った。システムに個人情報を極力残さないようにして、生徒の氏名は出席番号で表記するように変更するなどした。被害に遭った県西部の学校の校長は「使い勝手が悪くなったが、セキュリティー最優先だから仕方ない」と話す。

(2016年12月24日 佐賀新聞LiVE版)より抜粋


佐賀県のセキュリティ対策実施計画から学ぶ
ネットワーク管理の重要性

昨年6月、県の教育情報システムへの不正アクセスによって21万件のファイルが流出した佐賀県学内ネットワーク不正アクセス事件。

詳しくはこちら>>
「佐賀県不正アクセス事件から学ぶ、教育機関のセキュリティ文化の醸成が必要不可欠な理由」
「教育先進県で起こった個人情報流出事件の真実 甚大な被害を誘発したのは単純な管理ミスだった」

佐賀新聞によると、県教委は不正アクセス事件を受け、夜間と休日は全校の無線LANが停止するため、使用する場合は許可が必要になった。他にも新規システムやソフトウェア導入時のセキュリティチェックの強化、アカウント管理の強化など、既存のセキュリティシステムの見直しを重点的に行い、内外関係者との情報共有体制の確立に力を入れている。
また「情報モラルの大切さをどう教えるか」に関して、教員間で話し合いがもたれた。「生徒は、私たちの想像以上に高度な情報技術を持っている。そのことを把握していれば、防げた事件かもしれない。子どもの実態把握が足りなかった」とある教頭は話す。問われているのは、情報セキュリティの在り方にとどまらず、生徒との向き合い方だと感じている。

佐賀県教育委員会では、情報技術・情報セキュリティの観点から検証を行うとともに、今後の強化対策として、有識者などからなる佐賀県学校教育ネットワークセキュリティ対策検討委員会を設置し助言を求めた。同委員会からの提言書に基づき、昨年12月27日に今後のセキュリティ対策を発表。
実施計画への取組状況については、毎年度、ICT利活用教育の推進に関する事業改善委員会へ報告、意見を伺うとともに、ホームページ等で公表することとしている。

教育関係者は当然のことながら、社内のセキュリティシステム導入に有効な方法が盛り込まれているので、是非参考にしていただきたい。

佐賀県学校教育ネットワークセキュリティ対策実施計画

1 無線LAN不使用時は使用停止
〇校内無線LANについて、夜間や閉校日など、不使用時は使用停止にすることにより、セキュリティ事故・事件の可能性を低くする。
〇休日等に必要な場合は、学校から教育総務課に使用の旨を申請し委託事業者に依頼。
2 新規システムやソフト導入時のセキュリティチェック強化
業務ソフトウェアでは、開発企業と販売業者が異なることがあり、販売業者が十分にセキュリティ項目等を理解していないことがあるので、新規システムやソフト導入時は脆弱性の有無の確認や不要なアプリケーションに組み込まれていないか必ず確認すること。
3 アカウント(ID、パスワードの管理)の強化
〇既に運用していた教職員パスワードポリシーに加え、生徒パスワードポリシーを策定し利用者に遵守させるとともに、システム側でパスワード条件(文字長、期間等)を設定しアカウント強化を図る。
〇生徒端末エラーの際には、対象端末のみしか利用できないワンタイムパスワードを発行し修復を行う。また毎月、業者からの報告を受け確認する。
4 重要アカウントを含む文書類のオフライン管理の徹底
重要アカウント(各学校では使用しない管理者用アカウント)を含む文書を各学校に配付しないこととする。オンラインで利用することが必要な場合は、教育総務課の許可を必要とする。
5 セキュリティ/システム監査の実施
〇各教職員の端末の使用状況に係る監査については、毎年度、外部監査法人の指導・助言のもと、全県立学校への内部監査を実施する。
〇SEI-Netシステム監査については、外部監査を実施する。
〇校内LAN監査については、毎年度、外部監査法人の指導・助言のもと、全県立学校への内部監査を実施する。
6 関係者(教育委、学校、業者等)による情報共有体制の確立
〇関係業者を集めた会議を四半期ごとに開催し、外部で発生したセキュリティインシデント等の情報共有及び対策について周知・確認するとともに、その情報等については、蓄積し、関係者が利用できるようにする。
〇インシデント発生時に、TV会議が可能な環境を整備する。
〇SEI-Netシステムを利用し、外部で発生した事も含めてセキュリティインシデント等の情報共有を行う。
〇関係業者すべてが参加する机上訓練を毎年度、実施する
7 セキュリティ文化の確立
〇教職員に基礎的・実践的セキュリティの知識を身につけさせるため、各種研修会にて情報セキュリティのカリキュラムを加える。また、県教育委員会事務局職員に対して毎年度、研修を実施する。
〇教職員向けに専門研修(情報セキュリティ部門)及びeラーニング研修を開設する。
〇インシデント発生時の対応フローや運用ルール等を盛り込んだ、県立学校教職員向けのセキュリティハンドブックを作成し、毎年度更新する。
〇生徒向けには、各県立学校において、情報モラル教育に関する年間指導計画を作成するなど、情報モラル教育を組織的、体系的に推進し、情報セキュリティを含めた情報モラル教育をより一層充実させる。
8 県教育委員会による情報の把握・統制
端末の更新に伴う設定変更等、システム運用に関することについては、教育総務課経由で実施する。
9 デジタルコンテンツのインストール方法の改善
新規作成したデジタル教材の動作検証手順を確立する。例えば、動作検証は新規にデジタル教材を作成した教員と運用担当業者で行い、教員が単独で行うことがない仕組みを構築する。
10 生徒端末規約の策定
学習用パソコン運用について利用規約を作成し、生徒/保護者はネットワーク接続申請を行うこととする。

(引用元:佐賀県教育委員会「佐賀県学校教育ネットワークセキュリティ対策実施計画」