Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

校務システムは何故狙われるのか?

Security Nextの4月5日記事に兵庫県播磨町の校務支援システムの不正アクセスの件が取り上げられていました。

www.security-next.com

事件発表を見る限りは、不正アクセスを受けたのですが個人情報流出が無かった、という事で普通にクローズしそうな事件なのではありますが、気になった点がいくつかあります。

 

■公式発表

 播磨町教育委員会サーバーへの不正アクセスについて

 

f:id:foxcafelate:20180422092241j:plain

播磨町の公式発表から引用)

 

◆キタきつねの所感

ICT機器の整備に対する成功事例として、校務の情報化をもたらす校務支援システムの導入が小中学校を中心に進んでいるようです。電子黒板やネットを使った学習効果や、教職員の校務作業の軽減といった面を、文部科学省が高く評価し、環境整備が進んでいる事が大きな要因と言えますが、「セキュリティ」対応という側面も普及の背景にはあるようです。

それが伺いしれるデータが、文部科学省の「校務支援の導入の手引き」にありました。

 

■教育の情報化の推進 環境整備に関する資料等(文部科学省HP)

 校務支援システムの導入の手引き

f:id:foxcafelate:20180422093243j:plain

ICT環境が整備される前であれば、生徒・児童の個人情報管理は、紙をベースにした管理であったでしょうし、研修や部活顧問等で多忙を極める教職員の方であれば、自宅に持ち帰って作業を行う事も普通だった(少なくても私の学生の頃は・・)と思いますので、暗号化してないUSBメモリを落した、あるいは個人情報が記載された書類を紛失した・・・といった情報セキュリティ事故は、以前からかなりあったものと推測されます。そうした危ない個人情報が各教職員の管理下から、システムで一元管理できれば”事故は減った”という統計データは出やすいものと思います。

しかし、以前とは違った視点で情報セキュリティ事故のリスクは高まっている、そう考える事もできます。piyoさんが継続的に更新されている、前橋市教育委員会への不正アクセス事件では、5万件弱の生徒・児童・教職員の個人情報が漏えいした可能性がある事件が発生しました。

こちらも播磨町のケースと同じく校務システムが狙われています

d.hatena.ne.jp

 

また、2016年には管理パスワードや設定が甘い無線ネットワーク経由の不正アクセス事件が発生し、生徒が逮捕されるという事件も発生しています。

tech.nikkeibp.co.jp

確かに、生徒の個人情報を集中管理する事で校務・業務の効率化は図れると思いますが、機微な情報の塊があるという事は、全体の事件件数が減ったとしても、1件当たりの被害件数(影響)が大きくなる可能性が出てくるのです。この点への認識が文部科学省も、各教育委員会も薄い(軽視している)のが、こうした事件が出てくるようになった背景ではないかなと推測します。

つまり、先生が書類やUSB落とす事件が100件が10件減少したとしても、校務システムへの不正アクセスが1件発生してしまえば、もしかすると総流出件数は多くなってしまうリスクがあるのですが、単にヒヤリ・ハットが減ったという部分だけを統計的に追っかけても、なかなかこのリスクに気づけないのです。

 

その他、気になった点ですが、Security Nextの記事では、播磨町の公式発表には書かれて無い内容があります。

同町によれば、不正アクセスを受けた期間や回数、原因などは調査中としているが、感染したマルウェアランサムウェアだと見られている。

(Security Next記事より引用)

ランサム侵害の部分です。校務支援システムは・・・システム提供者のシステム構築によって違いはあるでしょうが、Webサーバが存在するとしても、校務システム(個人情報を保管しているサーバ群)は閉域網で構築するのが一般的だと思います。具体的には、別の不正侵害を受けた前橋市の様なイメージでしょうか。

f:id:foxcafelate:20180422101849j:plain

(スクールWebJapanの前橋市教育委員会記事より引用)

 

播磨町のシステム図は見つけられませんでしたので、推測にはなりますが、上図(前橋市のケース)の左下の様な構成だとした場合、校務サーバの前には・・・FWを置いていますが、同じような構成だとした場合、うやってマルウェアが校務系サーバまで入り込んだの?という部分がすごく気になります。そこが分からないと同じようなシステムは、同じ脆弱性を突かれて情報漏えい事件につながる可能性があります。

因みに前橋市の場合は、既にFWの設定に間違いがあったという報道が出ていますが、それ以外にもパッチ当ての部分が不十分であった点など、事故調査委員会が調査中ではありますが、セキュリティ対策への不備がいくつもあり、不正アクセス事件を引き起こしたと考えられます。

播磨町からも追加の報告が出るかも知れませんので(フォレンジック調査を入れているらしき公式発表なので、出して欲しいなとは思いますが)もう少し待ちたいと思います。

私は文部科学省の推進する学校のICT化は、セキュリティ対策を業者任せにしている(と最近の事件を考えるとそう思えます)状況が変わらないのであれば、今後も校務システムを狙う不正アクセス試行は続くのではないかと懸念します。

運用業者がセキュリティ対策の全てを請け負う契約になっているのだとしても、セキュリティ対策が正しく実装されているか、監督者責任がある訳ですが、

f:id:foxcafelate:20180422103938j:plain

文部科学省HP 学校ICT化におけるCIOについて から引用)

 

の組織ツリー図見ると、教育CIOで教育長(副市長)、学校CIOで校長や副校長・・・組織図として、各々の社会的責任を考えるとその通りなのですが、正直・・・偉い方がセキュリティについてそれなりのご見識があるのであれば、書類やUSBメモリの紛失といった従来型の漏えい事件はもっと少なかったはずです。前橋市のケースだと、システム更新(パッチ当て)が定期的に実施されていたでしょうし、外部監査が実施されていて、事件を未然に防げたかも知れません。(そうした予算が付かないのであれば・・・監督責任まで業者に押し付けるのは厳しいのではないでしょうか?)

この組織ツリー図で言うところの、外部のアドバイザーや、情報セキュリティに詳しいであろう一般教職員の力が発揮できる組織にきちんと移行していくべきであり、『名ばかりCISO/CIO』が置かれているだけの状況が変わらないのであれば、その弊害が次の事件という形で出てきてしまうかも知れません。

 

教えるのが下手な先生のイラスト(男性)

 

更新履歴

  • 2018年4月22日AM(予約投稿)