佐賀県教育委員会の「不正アクセス事件」の問題点とは

　佐賀県教育員会の不正アクセス事件を取り上げた前回記事に、多くの反響をいただいた。この記事では企業の無線LAN設定などいま一度見直してほしいと思い、この事件における問題のひとつとして「無線LANセキュリティで見落としがちな点」に焦点を当て取り上げたが、読者の反響とともに「掘り下げが足りない」といったご指摘もいただいた。

　そこで今回は、この事件の詳細を掘り下げるとともに、佐賀県教育委員会が明かした対策や、一連の問題から得られた教訓を紹介したい。

　事件が起こった当初、ブログやSNSの投稿で目立ったのは、佐賀県が全国の自治体に先駆けて導入した教育ネットワークシステムが少年によってハッキングされた事実と、少年のハッキング能力を称賛する声だった。しかしその後の報道により、程なく佐賀県や教育委員会の対応のまずさを非難する声も上がった。

　このあたりは前回の記事でも簡単に触れているが、現状の分析、評価については、ラックの西本 逸郎氏が日本経済新聞に寄せた記事が参考になる。普段はサイバー攻撃の被害者をむやみに批判することのない西本氏だが、あえて教育委員会の問題点を次のように整理・指摘している。

　例えば、不正アクセスは1年以上前から行われており、発覚してもサーバーのパスワードを変更したただけで佐賀県は有効な対策をとらなかったこと。現場や事業者からのワーニングの意味を解さず、対応や警察への届け出が遅れるなどエスカレーションの問題があったこと。そもそもログの保存やインシデントに対する体制ができていなかったことなどだ。

　西本氏は記事中で「豪邸を建てたが100円ショップのカギしかつけていない。泥棒に入られても同じ鍵を交換しただけ」という比喩を用いているが、まさに問題点を集約した表現といえる。

佐賀県教育委員会が発表した5つの対策

　とはいえ、問題が表面化したあと、さすがに教育委員会もなにも対策をしていないわけではない。7月19日、佐賀県教育委員会は、一連の不正アクセス事件を受けて、今後の対策を発表しており、地元紙など報道陣向けに記者発表を行った。

　今後の対策を発表したというのでWebサイトなどを調べたがリリースなどは確認できず、記者向けの発表だけだったようなので、教育委員会に電話取材を行い、19日に発表内容について確認した。電話取材の内容によると、主な対応は次の5つとのことだ。


　1番目の対策である第三者委員会の設置は、外部の有識者や専門家で構成され、8月をめどに第1回の会合を開催する予定だ。その後、今回の不正アクセスについて調査・分析・検証を行い10月までに提言をまとめるとしている。現在、委員の人選などを行っているようだ。

　2番目のインターネットから分離する教育ネットワークは、独自に導入したSEI-Netではなく、いわゆる学校ネットワークのことだ。自治体や教育委員会によっては、学校ネットワークも専用ブラウザやゲートウェイ（またはプロキシ）を介してインターネットに出ていけるようにしたところもあるが、今回は遮断ということなので、当面は純粋に県下の公立学校をつなぐ広域イントラネットとして運用するようだ。

　ログ収集については、これまでより粒度を細かくし、収集するデータ容量を拡大することで、証拠保全やフォレンジックに対応できるようにするという。不正検知は内部ネットワークを対象に外部からの不正アクセスおよび不審なアクセスのアラートを確実に上げるとしている。ログおよびトラフィックモニタリングを実施するようだ。

　4番目は今後の検討事項であり、現段階では実施または実施の決定はされていない。3番目のトラフィックの監視以外に、ファイルサーバーについては個別に監視システムを導入するかどうかを検討するそうだ。同様に、外部セキュリティ監査を導入するかどうかも検討対象だという。

　最後は、教育委員会内部にセキュリティ専門のチームを設置し、日ごろの運用やインシデント対応の体制を確立するというものだ。組織内CSIRTやSOCのようなものかとの質問には「現段階では専門チームとしかコメントできない」とし、規模や人数、専任なのかについてはまだ確定していないようだった。

【次ページ】佐賀県教育委員会の不正アクセス事件で得られた教訓