無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

2016年６月27日、生徒の成績などを管理する佐賀県立高校の教育情報システム「SEI-NET」への不正アクセスによる個人情報漏洩事件の犯人として、市内に住む17才の少年が逮捕されました。

この少年は同月６日、有料デジタル放送の視聴に必要な「B-CASカード」を使用せずに、パソコンで有料放送を無料視聴できるプログラムを開発しインターネット上で公開したとして、不正競争防止法違反容疑で逮捕されており、今回の不正アクセス事件では再逮捕となります。

SEI-NETへの不正アクセスがどのように行われたのか。現時点で分かっている情報をまとめたいと思います。

事件概要

全国に先駆け2013年に導入が行われた教育情報管理システム「SEI-NET（セイネット）」は、学校行事の日程確認を始め、授業支援を目的としたデジタル教材の提供、ネット経由で生徒からの相談へ対応を行うなど、生徒と学校を繋ぐサービスとして県内約210校で活用されてきました。

５月１日現在での利用登録者は下記です。

約13億円という莫大な費用を掛け構築されたこのシステムですが、これまでの調査で、不正アクセスを許してしまう脆弱性が存在していたことが分かっています。

しかし、運用管理を行っている凸版印刷では犯罪を助長する恐れがあるとして詳細な原因の公表は行っていません。

不正アクセスはどのように行われたのか？

犯人の少年は、まず近隣の高校周辺で無線LANの電波を受信。PC情報を偽装するなどして、システム内部へ侵入を行ったとされています。

また、あらかじめ何らかの方法で取得していた生徒のアカウント情報を使用し再度システムへ侵入。管理者用IDを含むファイルが、生徒の閲覧可能な場所に保管されいることを発見し、解析を行ったとされています。

さらに、教職員用のID・パスワードを使用し校内LANへのアクセスを行っていたことも分かっています。

複数回情報を盗み出していた

捜査の結果、17才少年のサーバ内には約21万件のファイルが格納されており、校務用サーバから盗まれた個人情報を含むファイルは1574件確認されています。

一部のデータでは2015年４月頃に取得された痕跡が見つかっており、日本の公教育分野では過去最大規模の情報漏洩事件となりました。

＜2016年12月追記＞
実際に侵入されたネットワーク内から、別の重要情報も搾取されたことで被害が拡大し、最終的な被害としては14,355名の個人情報漏洩が確認されました。

佐賀県学校教育ネットワークセキュリティ対策検討委員会から提言／佐賀県教育委員会より引用

また、この事件では、逮捕に至っている17才少年の他に、同市在住の16才少年も不正アクセス禁止法で書類送検されており、少年らの間で不正アクセス（ログイン）方法に必要な情報のやりとりがあったことが分かっています。

漏洩した情報

1. 氏名（教員、生徒、保護者）
2. 住所
3. 電話番号
4. 成績
5. 生活指導情報
6. 家庭環境調査結果

事件への対応

佐賀県教育委員会の対応

≪記者会見≫古谷宏県教委長（写真右）

不正アクセスによる情報漏洩を受けて、佐賀県では下記対応を行うとしています。

1. 問い合わせ窓口の設置
2. SEI-NETのシステム改修
3. SEI-NETに係わるパスワードの変更
4. 生徒、保護者宛てに経緯説明の文書送付

※3のパスワード変更に関しては、現在も不定期で行っている。

国の対応は

2016年７月４日、文部科学省は今回の佐賀県の情報漏洩事件を受け、教育の情報化に伴う情報セキュリティの確保について、各教育委員会教育長に指示を行いました。

事件に関しては「信頼を失う重大な事態」と指摘した上で、個人情報の適切な取り扱いについて徹底し、情報システムからの漏洩を防止する対策自体に漏れがないか点検を実施するなど、具体的な取り組みを要請したのです。

事件の背景にある問題点とは

近年、情報通信技術（ICT）を活用した学校情報の一元化が全国の教育現場で進んでいます。文部科学省では「教育のIT化に向けた環境整備」を2014年度から開始しており、総額約6712億円もの予算確保をしています。

この流れは近年のIT環境の進化に伴う必然的なものであり、旧態依然とした日本の教育分野において「時代に沿ったより良い教育」の実現に向けた画期的施策と言えます。

事件が起きた佐賀県では、文科省の取組みが開始した2014年度から全県立高校の入学者に学習用タブレット購入を義務付けるなど、積極的にICT導入を進めていました。

しかし、積極的な導入を進める中で、管理・運用を担う部分において「セキュリティ概念」の構築には至っていなかったのです。

積極的なICT導入を評価する声もある反面、学校毎にサーバを設置してしまうなど「安全意識の欠如」に対して多くの指摘が集まりました。

教育現場で求められるセキュリティ意識

この事件では、少年により盗まれた情報は拡散しておらず、二次被害等の危険性は今のところ確認されていません。

公教育の分野では、現在でも個人情報を軽く考える風潮が根強く残っている印象があります。生徒や保護者に関する個人情報を記載するケースが多く、それらの管理運用に関しても不透明な部分が大半ではないでしょうか。

IT技術による利便性向上はもちろん素晴らしいことではありますが、利用者に対するセキュリティ研修や、管理者への情報閲覧権限の制限など、導入に先立つ取組みがあったのではないかと考えさせられます。この事件を機に全国の公教育現場において、情報セキュリティへの意識が再考されることを願います。

佐賀県教委、不正アクセス対策をまとめた提言書公開
（2016年12月追記）

情報漏洩発覚から４か月後の2016年10月、佐賀県教育委員会（以下：県教委）が2016年８月に設置した「佐賀県学校教育ネットワークセキュリティ対策検討委員会」から県教委への提言がなされました。

同委員会は、発足後計３回の会合を開催したとのことです。提言の内容は今回の事件の原因と問題点、具体的対策などが含まれています。

事件を引き起こした原因と問題点

提言書では、今回の情報漏洩事件発生の原因を、“ずさんなパスワード管理”にあるとしています。また、事件の兆候を発覚以前に認知していたにもかかわらず、正当な対策を講じなかった組織体制も含め問題点として指摘しました。

関係者が総じてネットワークセキュリティに関する知識を保有しておらず、責任者についても明確に定める事は無かったため、大規模な情報漏洩を許してしまったのです。

委員会が提言する具体的な対策

【短期的対応】
可及的速やかに実施し、継続的な対応を行うもの。下記の件を踏まえて、実施計画書を作成すること。
(1)アカウント管理（パスワードポリシーの設定）
(2)セキュリティ／システム監査の実施（内部監査、外部監査）
(3)関係者による情報共有体制の確立（事例の共有による「気づき」の促進）
(4)セキュリティ文化の確立（グループ、組織としての教育、訓練）

【中長期的対応】
来期以降、中長期的に対応しなければならないと思われるもの。ただし、今期に行う事が可能であれば、実施すること。
(1)セキュリティ組織の検討・実施（CIO、CISO、プロジェクトマネジメントチーム）(2)情報公開の検討・実施（小さな事案でも公開すべき）

佐賀県学校教育ネットワークセキュリティ対策検討委員会から提言／佐賀県教育委員会より引用

提言書では具体的な対策として、まず“推測されにくいパスワード設定”は必須としています。また、中長期的な対策としては、セキュリティを担う組織作りを掲げています。

さらに、犯行に利用された校内の無線LANの運用についても指摘が行われ、以前の「常時可動」から「休日及び夜間は稼働停止」に変更されています。

提言書から考えられること

今回の事件では、高度な情報通信技術を持ち合わせていない人物であっても、莫大な情報を盗めるということが明白となりました。

情報漏洩は、被害に遭ったこと（サイバー攻撃を受けたこと）を悔やむのではなく、“情報を取り扱う資格のない組織を信頼してしまったこと”を悔やむ時代なのです。