orangeitems’s diary

40代ITエンジニアが毎日何か書くブログ

「小中学生ら個人情報流出か=2万5000人分-前橋市教委」を考察

f:id:orangeitems:20180404201313j:plain

 

また流出

息をするように流出していく個人情報。

www.jiji.com

前橋市教育委員会は4日、市内の教育機関を結ぶネットワークのサーバーに不正アクセスがあり、市立の小中学校生ら計2万5725人分の個人情報が外部に流出した可能性が高いと発表した。これまでに悪用された報告はないという。

(中略)ファイアウオールが機能していない状態だったという

 

こちらには「すべての子ども」の文字。

www3.nhk.or.jp

前橋市教育委員会は、学校のデータなどを管理するシステムで不正なアクセスが見つかり、去年11月の時点で前橋市立の小中学校や特別支援学校に在籍していたすべての子どもの電話番号などの個人情報が流出した可能性があると、4日、発表しました。

 

 

www.itmedia.co.jp

 群馬県の前橋市教育委員会は4月4日、教育情報ネットワークが不正アクセスを受け、2017年11月時点で市立小・中・特別支援学校に在籍していた全児童生徒の氏名や住所などの個人情報や、給食費徴収のための口座情報が不正に持ち出されていた可能性が高いと発表した。

 

考察 

この前橋市教育委員会のネットワークですが、インターネット上にネットワークの説明があります。実際、こういう情報はイントラネットに留めて出さないほうがいいような気もします。

MENETの紹介 - 前橋市教育情報ネットワーク -MENET-

1.ネットワークセンター
 前橋市教育委員会は、ボランティア団体である「インターネットつなぎ隊(※)」の全面的な協力を得て、前橋市総合教育プラザの教育研究所内のネットワークセンターを核としたMENETの構築・運用・管理を進めています。ネットワークセンターは前橋市が平成21年の中核市移行後、教育研究所の場所が移動したことから、総合教育プラザ内の情報処理室において運用・管理を進めています。
 ネットワークセンターは市内の各学校(園)・関係教育機関等と光ファイバー専用線で結ばれ、各学校(園)どうし及び外部ネットワークとの情報通信を可能にしています。

つまり、総合教育プラザ内の情報処理室にインターネットが引き込まれ、そこからスター型に各機関と光の専用線で結ばれているということですね。インターネットに接続しているかどうか気になったのですが、しっかりつながっています。

3.構築・運用について
 今後予想される関連機器や関連技術の急激な進歩やネットワーク網の拡大、各学校(園)等での利用形態の変化などに、即時的・柔軟に対応できる自主運用としています。実際の構築・管理・運用は、MENET運用委員会(教育委員会、学校代表者、情報ネットワーク専門家で構成)により行われています。MENETの構築・運用は、今後も教育委員会・各学校の協力によって推進される予定です。

自主運用・・・協力・・・インターネットつなぎ隊・・・そしてファイアウォールの不備。 設計や運用体制の中で、どこに不備があったのでしょうか。

 

なお、学校ネットワークの場合は、無線LANが一番危ないと言われていましたが、今回はもっと簡単な理由な気がします。報告書が出ると勉強になりありがたいですが。

www.sbbit.jp

この事例を見ても分かる通り、教育ネットワークへのデータの興味というのは普通の商用システムとは別の意味で存在すると思います。

 

MENETのホームページを見る限り、民間には頼まず教育関係者やボランティアのみで設計・運用することに何かこだわりがあるように感じました。ただ、そこは民間のSIerが経験も知恵も含めて百戦錬磨です。インターネットは本当に、守備をきちんとしないと危険に満ち溢れています。学校のイントラネットを結びたいのであれば、そこにはお金をかけるべきではなかったかと推察します。

詳しい情報について、今後の公式の発表が待たれます。

 

追記

インターネットつなぎ隊について、詳しい情報がありました。

前橋市教育情報ネットワークMENETの歩み(PDFファイル)

この記事を読めば読むほど、民間の脆弱性検査を使っていればよかったのにと思う次第です。取り組みとしては評価できるところもあるのですが、過信がどこかにあったのではないでしょうか。

もっと専門的なことを言えば、センター型のトポロジーをとってしまったために全部流出する設計となってしまっていると思います。各拠点のデータは各拠点に置き、各拠点で守る設計のほうが安全なのかなと思います。仮想通貨NEMがごっそり盗まれたときも指摘しましたが、一箇所に集めるのは大変危険を伴います。

一元管理、効率が良いみたいな気分になるのですが、リスクが伴うことを知るべきかと思います

 

あと、下記の記事も見つけました。

school.uchida.co.jp

構成図まで載っていますので、参考まで。あのファイアウォールが問題だったのかな・・?。あと位置も微妙な気が。この構成図が正しい保証はないですが。