佐賀県教育委員会事案を受けた検討会

佐賀県教育委員会の事案を受けて、文部科学省佐賀県でそれぞれ対策検討の会議が開かれています。

文部科学省

資料を見る限り、教育分野におけるセキュリティポリシーガイドラインを作ろうとしているようです。

佐賀県

今回の事案について情報技術・情報セキュリティの観点から検証を行うとともに、今後の強化対策に係る提言を得ることを目的とする委員会。10月を目途に提言を受けることになっているようです。

セキュリティ関連リンク集

ふだん見ているセキュリティ関連(公開情報)のサイトを整理してみた。

公的団体

セキュリティソフトベンダー

セキュリティサービスベンダー

個人ブログ

中央省庁

東京動物園・水族園のウェブサイト改ざん、情報流出についてまとめてみた

事象

東京動物園・水族園のホームページが外部からのウェブサイトにより改ざんを受けるとともに、メールマガジン登録者等のメールアドレス、問合せをした人の個人情報が流出した。

影響範囲

  • 東京動物園・水族園のホームページ「東京ズーネット」の改ざん
  • 情報流出
    • メールマガジン「ズー・エクスプレス」登録者等のアドレス(21,688件)
    • 「東京動物園友の会」への加入について問合せした人(868件)の個人情報(氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項)

原因

調査中

対応経緯

考察

本事象で特筆すべきは、指定管理者が運営するウェブサイトであったということです。

都立動物園・水族園は指定管理者により管理されており、今回改ざん・情報流出したウェブサイトも指定管理者か運営しているものでした。 このような場合に、自治体としてどのように対応すべきかは検討しておく必要があります。

東京都サイバーセキュリティ基本方針においては、以下の規定があります。

7 外部委託事業者等への対策

東京都の業務を受託する事業者及び派遣職員並びに公の施設の管理を行う指定管理者に当該業務等を行わせる場合においては、セキュリティ対策上遵守させるべき事項を契約又は協定等において明記するとともに、本基本方針及び対策基準と同様の水準での情報セキュリティを確保できるよう、東京都が必要な措置をとるものとする。

今回の場合は、協定において東京都と同等の水準での情報セキュリティを確保するように定められていたか、都がどのように確認していたかが問題です。 もし、これらが不十分であった場合は改善する必要がありますね。

佐賀県教委事案:情報セキュリティ監査が実施されていなかった

佐賀県学校教育ネットワークからの情報漏洩事案において、ネットワークの内部監査を行っておらず、内規違反である旨の報道がありました。

報道では各システムやネットワークにおいて監査を受けていなかったことが問題視されているような感触を受けますが、そうではなく、佐賀県庁全体として監査の実施体制が構築されていたかが問われているように思います。

つまり、各システムでの責任なのか、組織としての責任なのかという問題です。

佐賀県教委 ネットワークの内部監査行わず | NHKニュース

事件を受けて、佐賀県教育委員会が調べたところ、県立の学校45校で導入されているネットワークで、少なくとも過去3年間は1度も内部監査が行われておらず、今後も行われる予定がなかったことが分かりました。

佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。

一方で「佐賀県情報セキュリティ基本方針」では、以下のように記載されています。

佐賀県:佐賀県情報セキュリティ基本方針

10 監査

情報セキュリティが確保されていることを確認するため、定期的に監査を実施する。

定期的に監査を実施することは規定されていますが、基本方針からでは「定期的に内部監査を受けるよう」定めていて「この規定に違反した状態」であった、とは直ちに言えません。 そもそも方針はあくまで方向を指し示すものであって、具体的な内容はセキュリティ対策規準や実施手順を定めることになります。 佐賀県においてもセキュリティ対策規準や実施手順はあったようですので、そこでどのように規定されているかによります。

佐賀県の情報セキュリティ対策規準は公開されていません。 おそらく総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考にしていると思われるので、これを確認してみます。 ただし、総務省ガイドラインは平成27年3月に改定されており、佐賀県の対策規準がこの改定内容を反映しているかは不明です。

総務省ガイドラインでは、「3.9.1. 監査」に監査実施の記載があります。

【例文】

(1) 実施方法

CISO は、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(2) (引用省略)

(3) 監査実施計画の立案及び実施への協力

1 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

2 被監査部門は、監査の実施に協力しなければならない。

ここでは、CISOが情報セキュリティ監査統括責任者に監査を行わせなければならない旨の、対策規準の例文が示されています。 また、情報セキュリティ責任者は監査実施計画を立案しなければなりません。

佐賀県においてセキュリティ監査の実施体制が構築されていたか、監査実施計画があったかは、教育委員会にとどまらず、佐賀県庁全体に対して問われることになります。

佐賀県学校教育ネットワークからの情報漏洩をまとめてみた

事象

佐賀県の学校教育ネットワークが不正アクセスを受け、約1万人分の個人情報が漏洩した。

影響範囲

佐賀県:学校教育ネットワークに係る不正アクセス被害がありました

  • 4校の校務用サーバ
    • 1,574件のファイルに9,589人分(精査中)の個人情報
    • 情報の内容
      • 教職員、生徒、保護者の住所・氏名・電話番号
      • ID、パスワード
      • 成績関連書類
      • 生徒指導関連書類
  • SEI-Net
    • 7校の教職員のID・氏名・メールアドレス計579人分と、生徒のID・氏名計5502人分*1
    • 被疑者によって一覧として作成された7ファイル

原因

  • 校務用サーバ
    • 無線LANで学校内やその近隣からアクセスできる校内LANに直接接続してデータを不正にコピーした可能性がある。*2
  • SEI-Net
    • インターネット経由でアクセスし、攻撃用ツールによって情報を窃取した疑いがある。*3

対応経緯

  • 2016年2月15日 警視庁から佐賀県への連絡
  • 時期不明 拡大防止、対策実施*4
    • 被害の拡大防止のため直ちに取りうる有効な手立てとして、校内LAN及びSEI-Net に係る各種パスワード等の変更を実施した。(現在も不定期に実施。)
    • 警察の捜査に協力しながら、システムの運用面及びシステム自体の問題の有無などについて調査を行い、必要な手立てを講じた。
  • 6月27日 被疑者再逮捕。佐賀県から報道発表。

考察

校務支援システムは全国的に導入が進められており、無線LAN経由でアクセスする環境も多いと思われます。許可されていない端末が無線LANに接続できないようにする必要があります。

児童や生徒の学籍や成績管理をコンピューターで行うシステムは「校務支援システム」と呼ばれ、各地の教委で導入が進んでいる。教職員同士が情報を共有することできめ細やかな指導をしたり、教員の校務負担の軽減を図ったりするのが目的という。*5

SEI-Netは先進的なシステムで、本事案が今後の教育ICT推進に与える影響は大きいと考えられます。本事案はアプリケーションに脆弱性があったことが原因と考えられ、ペネトレーションテストや開発時のセキュリティ確保を、仕様に含めて行く必要があると思います。

本ページの更新履歴

  • 6/28 新規作成

JTBから個人情報流出の可能性

JTBから最大793万人分の情報流出の可能性、との発表がありました。

 

プレスリリース

http://www.jtbcorp.jp/jp/160614.html

報道

原因

標的型攻撃と考えられる。
取引先のメールを装って、ウイルスを送付してきた経緯から。

 

感想

  1. 標的型攻撃メールの開封を防ぐことは不可能
  2. 個人情報の管理体制に問題はなかったか。なぜ攻撃者が個人情報にアクセスできたのか
  3. 外部への通信を監視することはできていたようだが、送信を阻止できなかった可能性がある。また、祝日に外部への通信が発生したことで、対応が遅くなることはなかったか

変更履歴

  • 2016.06.14 新規作成
  • 2016.06.16 報道について更新

東京都のサイバーセキュリティ担当課長募集

東京都が、サイバーセキュリティ担当課長を募集している。

http://www.soumu.metro.tokyo.jp/280502saibaboshuu.html



任期付職員で任用期間は2年間。延長もあるみたい。

職務内容は、以下の4つ。

1.東京都サイバーセキュリティ委員会の運営
2.東京都CSIRTの運営
3.都における情報セキュリティ対策の向上
4.セキュリティ組織運営

受験資格にはCISSP保持(又は相応の能力)が含まれている。
2017年度には情報処理安全確保支援士の資格が運用開始されるが、CISSPと同等になりうるだろうか。