2016年07月26日

無関心が招いた情報漏えい

先月、某自治体の教育委員会で、”システム運用に無関心”だったことが最大要因と言われる大規模な情報漏えい事故がありました。
約21万件のファイルが不正アクセスで漏えいし、その中には1万人を超える生徒の住所、氏名、成績、生徒指導の内容などの個人情報も含まれていたようです。
同自治体市内に住む17歳の少年が不正アクセス禁止法違反容疑で逮捕されました。

これは、システムのセキュリティ対策を万全にしていなかったのではなく、システム運用に対する関心が欠如していたと考えられています。
システム運用に無関心とは以下のようなことのようです。

①情報漏えい発覚後の対応
少年は学習支援クラウドサービスに他人に成りすまして侵入し、教職員や生徒のIDなどを盗み取りました。
詳細な手口は明らかになっていませんが、システムの脆弱性を突いてデータベースにアクセスしたようです。
しかし、不正侵入が発生したことが明らかになったことに対する対処はパスワードを変更しただけであった。
不正侵入されたIDやどのような操作が行われたのかの調査は行われていなかったようです。
これが、システム運用に無関心であったとされる一つ目の理由です。

②校内LANなら安全と誤解
管理者用IDを含むファイルを、生徒が閲覧できる場所に保管されていたようです。
攻撃者はどこに心存在しているか分からないので、これはシステム運用上大きな問題だと思われます。

③発覚後すぐに関係機関に通報されなかった
これは無関心とは少し違うのですが、不正侵入が発覚したのが1年前で、学校から教育委員会には報告した。
しかし、教育委員会から警察等の関係機関への通報が行われなかったのです。
影響が極めて大きな情報漏えいが発生したにも関わらず、これは深刻な問題です。
実は、逮捕された少年は別の容疑で警察が調査し、その後、今回の事件が偶然発覚したのです。
被害拡大の防止のためにも、不正アクセスの可能性を発見した時点で適切な対応が必要でした。

このようなことは、どの中小企業でも発生する可能性があると考える必要がありますね。
不正アクセスを検知するには、サーバへのアクセスログをまずは取得し、定期的に検査することが必要です。
それで、もしも怪しいアクセスがあった場合は社長に報告のうえ、専門家等のアドバイスを含めた適切な対応を迅速に行うことが肝要です。
また、もしこのような報告が来ないのは”社長の責任”として日頃の社内規定の整備や教育を行っておく必要があります。
社内規定や教育については非常に大切ですので、この講座でも後々詳細に取り上げていきたいと思います。