佐賀県教育委員会は10月28日、2016年6月に発表した県立学校における不正アクセス事件について、検証結果とセキュリティ対策をまとめた提言書を公開した。
事件は2015年から2016年にかけ、佐賀県内の校内LANや教育情報システム「SEI-Net」で発生した(図1)。犯人は一般の生徒や教師から聞き出したID/パスワードを使い、無線LAN経由で校内LANに侵入。一般の生徒がアクセス可能な学習用サーバーを経由して校務用サーバーに入り、成績を含む個人情報を窃取した。SEI-Netには生徒のID/パスワードを使ってインターネット経由で接続し、ソフトウエアの脆弱性を悪用して個人情報を窃取した。盗まれた個人情報は1万4355人分に上る。
技術面より運用面に問題あり
提言書は、関係者のセキュリティ知識の欠如や、運用面の問題が不正アクセスを可能にしたと指摘する。代表例がID/パスワードのずさんな管理だ。生徒や教師がID/パスワードを犯人に漏らしたことが、この事件の発端だった。
このため提言書では、推測されにくいパスワードを設定するといったパスワードポリシーの強制と、ポリシーを守らせるユーザー教育を重要な対策として挙げている。さらに、ID/パスワードを記載したファイルをサーバーに保管していたことが、他のシステムへの不正アクセスを可能にして被害が拡大したとする。
校内の無線LANの運用についても改めるよう指摘している。従来、無線LANは常時稼働させていたが、休日や夜間に不正アクセスが行われる可能性を考慮し、それらの時間帯は運用を停止している。
校内の学習用と校務用のサーバーについては、管理の利便性を優先させて学習用から校務用サーバーへ接続できるようにしていたため、制限の緩い学習用サーバーが踏み台にされた。そこで、両サーバーをファイアウオールで論理的に分離し、アクセスできないようにした。
今回の提言書は、高度な技術を使った攻撃ではなくても甚大な被害をもたらすことや、セキュリティ知識や運用の重要性を再認識させるものとなっている。事件から得た教訓は、一般の企業にも参考になるだろう。
