2016年6月27日、佐賀県は17歳の少年らが佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内の高校に通う生徒の、個人成績や評価情報などを盗み出していたという事件があったことを発表した。「情報通信技術教育先進県」を標榜する佐賀県だが、教育ネットワークの設定や運用に問題があり、そのセキュリティ対策の甘さが浮き彫りになった形だ。

ここでは、この事件がどうして起きてしまったのか、その原因を追求するとともに、今後それを防ぐための対策として、ソフォスが考えるセキュリティ対策とは何かを明らかにしていきたい。

事件の問題点(1):校内LANへの不正アクセスが可能だった

まずは事件の問題点がどこにあったのかを検証していこう。佐賀県内の学校LANは、認められたデバイスのみがアクセスできる環境だったと想定される。システムとしては、ユーザID/パスワード認証のほかにデバイス識別が必要とされていた。そのため犯人の少年たちは、デバイス識別も含めて詐称できるテクニックを持っていたことは間違いないだろう。

事件の問題点(2):生徒が閲覧可能なフォルダに、システム管理者情報を含むファイルが存在した

アクセス権限について、教職員は教職員専用データフォルダと生徒がアクセスできるデータフォルダにアクセスできた。しかし、生徒のアカウントでは教職員専用データフォルダにはアクセスできない。さらに、教職員専用データフォルダは暗号化が可能となっていた。

つまり、生徒が閲覧可能なフォルダにシステム管理者情報を含むファイルが存在したのは、そこに教職員もしくはシステム管理者が置いたということになる。このことは、セキュリティに関する規律や管理の徹底がなされていなかったのではないかと推測され、リテラシーにも問題があると思われる。

事件の問題点(3):パスワード変更のみで対処しようとした

被害覚知後の対応において、パスワード変更のみで対処しようとしたことにも問題があった。パスワードが破られたということは、再度パスワードが破られる可能性があるということ。それを避けるためには、どのように破られたのか、どのように漏れたのかを解明しなければならなかったのだ。佐賀県の事件報告書には、パスワード変更は不定期に行うとあるが、これでは長期間変更しなくても問題ないということになってしまう。やはり、根本原因を追及し、それに対応することが必要であったといえる。またこの背景として、パスワード変更が容易にできないシステムだったことが、その要因と推測できる。

事件の問題点(4):被害覚知直後、適切な組織・団体へ報告・公表を行わなかった

本件でも、そのほかのセキュリティインシデントと同様に、不正アクセスの事実がありながら、すぐに公表せず、応急処置だけして根本対策を施していないままだったようだ。その結果、事態を大きくし、のちに公表せざるを得ない状況となってから行動に移したのがわかる。

事件の問題点(5):校内LANに対する内部監査が3年も行われていなかった

一般的には、PDCAのサイクルを回すことでシステムの改善を行う。内部監査はその一つの要素であり、改善を進めるにあたって重要なステップだ。それが3年も停止したままというのは、やはり情報リテラシーに問題があったのではないかと推測される。