パソコン(PC)の森

2020/0112345678910111213141516171819202122232425262728292020/03

PREV | PAGE-SELECT | NEXT

≫ EDIT

佐賀県の教育情報システムの情報流出について

【佐賀県の教育情報システムの情報流出について】

B-CASカードの規制を無効化するツールを拾って改良して配布し
て逮捕された無職17歳の少年のPCから、佐賀県の教育情報システ
ムに保管していたデータが見つかり再逮捕された様です。

今回は記事について交えつつクラウドの危険性についての小話を
1つ。



【関連記事】
17歳少年が不正接続容疑、1万人の成績表流出


【佐賀県の教育情報システム】
佐賀県は2014年から生徒情報や教材、校務等の資料を一括管理す
SEI-Netというクラウドシステムを立ち上げて運用していた様
です。

県内で教材の共有化生徒情報の管理学校管理を統一規格でや
る事で低コスト、高効率で管理、教育することを目的として導入
したのだと思われます。



【事件についての考察】
別の記事では侵入方法は特定の生徒のIDとPASSを拾ってサーバ
にアクセスし、サーバシステムの脆弱性を突いて教師IDの権限を
取得して情報を取得した
と書かれていますが、状況から考えるに、
もっと根が深い問題だと思われます。


どういうことかと言うと、教材等は全体で共有していたとしても
生徒の個人情報、校務情報と言うのは共有できる物ではないので、

同じシステム上に情報を蓄積していても、学校毎に閲覧できる情
報はその学校まで
と権限が指定されているのは当然です。

学校でも生徒と教師の閲覧できる情報の権限が違う事でも理解出
来ると思います。


そこで問題になるのが今回の流出量です、別記事の説明では生徒
→教師の権限を得たと書いてありますが、

1学校の閲覧権限では他校の個人情報を閲覧できる権限は無いので、
複数校に渡って1万人規模の個人情報を取得するなど出来ないと言
う事です。

こんな事が出来るのは、大元のサーバの管理者か、それに近いID
だけです。

教育委員会のアクセス権限がどの程度なのか分かりませんが、
理者か、それに近い権限を持ったIDとPASSが漏れている可能性
が高い
と思われます。



【クラウドシステムの問題点】
上記の記事からも分かる様に、1つのサーバで一括管理して情報を
提供する方法はサーバ管理者に近いIDが漏れるとサーバ内の全て
の情報が閲覧可能となってしまいます。

だから、個人情報等の重要な情報を扱うのには向きません。

しかも、大抵一般回線を使用していたりするので、外部ネットワ
ークを経由して誰でもアクセスできる
可能性が高い危険な状況に
もなります。
(サーバアクセス用の正規ツールは誰でも手に入るので)

一括管理でコストは抑えられても情報管理が非常に難しいので、
安易に導入する様なものではないですね。



【安全にシステムを使用する為には】
現状の教育情報システムでは今後も同様な漏洩が起きると思われ
るので改善点を書きます、


【専用ネットワークにする】
今の様に一般回線から接続出来る様になっている状態ではIDが漏
れた時点でアウトになる為、学校とサーバ間だけ有効な専用回線
でのみ繋げる様にする。

また、学内で自由に接続できると学生による侵入が予想されるの
で、情報システム専用の端末を置いて学内ネットワークとは切り
離しておく。

教材については学内に専用のサーバを置き、物理的な輸送手段(U
SBメモリや外付けHDD等)でそちらに移動して学内LANで配布
する。

重要なのは外部ネットワークと切り離す事です。



今回の事件はクラウドシステムの危険性を如実に表したものでし
たが、コスト削減や業務効率化という甘言に惑わされず、リスク
を考え準備をしっかりしてから導入するべきでしょうね。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| 小話 | 14:38 | comments:0 | trackbacks:0 | TOP↑

COMMENT















非公開コメント


TRACKBACK URL

https://pcnomori.blog.fc2.com/tb.php/264-1cd16776

TRACKBACK

PREV | PAGE-SELECT | NEXT