Skip to content

Instantly share code, notes, and snippets.

Show Gist options
  • Save nojimage/74609f7951943dd5923cb38b90b91567 to your computer and use it in GitHub Desktop.
Save nojimage/74609f7951943dd5923cb38b90b91567 to your computer and use it in GitHub Desktop.
佐賀県教育ネットワークの不正アクセスに関わる私的まとめ

2016/07/20

7月19日に記者発表を行った模様。

相変わらず、公式発表はありません

佐賀県教育情報システムでの情報漏洩問題について(14) - NW屋的日常徒然日記 http://karasuma-kitaoji.hatenablog.com/entry/2016/07/19/231152

ほぼほぼ同意。

佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた - piyolog http://d.hatena.ne.jp/Kango/20160627/1467041904

概略図が更新。わかりやすい。

佐賀の情報漏洩 原因はセキュリティー以前の無関心  :日本経済新聞 http://www.nikkei.com/article/DGXMZO04975990Z10C16A7000000/

2016/07/15

News & Trend - 佐賀県中高不正アクセスの手口は、無線LAN突破とID・パスワードの不正入手:ITpro

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/071400579/

SEI-NET側の漏えい原因

漏洩の原因になったのは、学習管理の中の「メッセージ」機能の仕様にあった。生徒は教職員や他の生徒を指定して、メッセージを送れる。この送り先を指定する際に、自分が在籍する学校の全教職員・生徒の名簿を参照できる仕様になっていた。無職少年は生徒の正規のIDとパスワードでログインし、メッセージ機能で名簿を参照して個人情報を入手し、手元に保管していたようだ。

2016/07/13

県立高情報流出 生徒への配慮要望 : 地域 : 読売新聞(YOMIURI ONLINE)

http://www.yomiuri.co.jp/local/saga/news/20160712-OYTNT50107.html?from=tw

この日、県庁を訪れた藤岡会長は「事件の発端は、昨年6月に不正接続を把握しながら、県教委が対策を講じなかったこと。原因は県教委の管理の甘さにある」と指摘。対応した源五郎丸靖・県教委教育総務課長は「被害の全容を確認中で、しかるべき形で明らかにしていきたい」とした。

不正アクセス聴取で、市民団体「生徒の人権守って」|佐賀新聞LiVE
http://www.saga-s.co.jp/news/saga/10101/333178

2016/07/09

警視庁、不正アクセス事件で県教委に回答|佐賀新聞LiVE

http://www.saga-s.co.jp/news/saga/10101/331774

事件では、県立学校9校で延べ1万5千人を超す生徒や教員らの個人情報が流出している。詳しい内容は現在、各学校で確認作業が続いている。

詳しい内容は現在、各学校で確認作業が続いている。

\詳しい内容は現在、各学校で確認作業が続いている。/

何が漏れたのかすらまだわかってないんですか。今回の件は2/15に連絡を受けて把握してるんですよね?

2016/07/08

朝日新聞 佐賀版 2016年7月8日 35面

授業で必要なデジタル教材は、USBメモリなどで入れるほか、教材会社のサイトから取り込む場合もある。県教委によると、その際に、管理者用のログイン情報(IDとパスワード)を一時的に生徒のパソコンに与える仕組みになっていた。

あのvbsのことかな?

教育総務課は業者に、サーバーにアクセスできるパスワードを変更するよう指示。3月20日までに、各学校の教室内にあるサーバーのパスワードなど数千件が変更された。 だが、その後も不正アクセスは続いていた。警視庁からの連絡を受け、システムを調べ直すと、5月11〜13日にも不正アクセスされていた。
逮捕された少年が、管理者用のログイン情報を手に入れていたため、サーバーのパスワードを変更しても自由にアクセスできた、と県教委はみている。
管理者用のログイン情報を変更しなかったことについて源五郎丸靖・教育総務課長は「変えておくべきだった。何種類のパスワードがあるのか、正直全ては知らなかった。業者にお任せだった」と話す。
少年には、現役の高校生が自分のパスワードなどを教えたとされる。 県教委幹部は「ネットワークのセキュリティーは『性善説』で作られている。後ろから刺された形になってしまった」。

\ネットワークのセキュリティーは『性善説』で作られている/

\ネットワークのセキュリティーは『性善説』で作られている/

P.S. 7/2に送信した県政へのご意見への回答をいただきました。

2016/07/07

「情報先進県」管理は“素人” 佐賀・少年不正アクセス事件 [佐賀県] - 西日本新聞

http://www.nishinippon.co.jp/nnp/saga/article/257034

県教委や学校には5日までに「うちの子の情報は大丈夫か」と心配する保護者らから133件の相談や問い合わせがあった。

問い合わせはあったが、回答したとは言っていない。

県教委は、被害を食い止める機会も逃していた。

昨年6月。何者かの不正アクセスで、校内ネットワークのアクセス権限が変更されたことが判明。県教委は、情報流出の痕跡がなかったことから管理委託業者にパスワードを変更させただけで警察への通報も、内部協議もしなかった。

今年1月、別事件で押収された少年のパソコンから大量の個人情報を含むファイルが見つかる。県教委は2月、警視庁から情報流出の可能性とシステムの脆弱(ぜいじゃく)性を指摘されたが、生徒や教員のIDやパスワードを変更しただけで、5月には「少年にやり方を教えてもらった」と話す男子生徒(16)の不正侵入を許す。

県教委の担当者は「今考えると情報管理の認識が甘かった」と認める。

佐賀県:佐賀県プライバシーポリシー及び行動プログラム で、行動指針が定義されているんですが、運用できていなかったと。

(佐賀県法務私学課よりご回答頂き、「県教育委員会及び各県立学校でも個人情報を取り扱う場合は、プライバシーポリシーに基づき適切に取り扱う必要があります。」とのこと。

2016/07/06

情報流出、県教育長「我々だけで検証は不可能」 (読売新聞) - Yahoo!ニュース http://headlines.yahoo.co.jp/hl?a=20160706-00050014-yom-soci

あれ、入札したんじゃなかったんですっけ?
インタビュー答える暇あるなら、公式の対応状況の発表をしてもらいたいものです。

2016/07/05

教育の情報化に伴う情報セキュリティの確保について(通知):文部科学省

http://www.mext.go.jp/b_menu/hakusho/nc/1374115.htm

個人情報の取扱いについては,従来から「『文部科学省所管事業分野における個人情報保護に関するガイドライン』の全部改正について(通知)」(平成27年8月31日27文科総第59号)及び事務連絡等により適正な取扱いをお願いしているところです。
こうした中,佐賀県の学校教育ネットワークに対する不正アクセスにより,生徒や保護者等の個人情報が窃取される事案が発生しました。今回の事案については,生徒や保護者等の信頼を失う重大な事態であり,誠に遺憾であります。

文部科学省所管事業分野における個人情報保護に関するガイドライン(平成27年8月31日文部科学省告示第132号):文部科学省 http://www.mext.go.jp/b_menu/koukai/kojin/info/1321223.htm

佐賀県の県立高校等で成績・生徒指導書類を含む1万5千人分の個人情報漏洩事故が発覚|なか2656の法務ブログ

http://ameblo.jp/naka2656/entry-12175972689.html

※ 6/30公開の記事

個人情報保護・情報セキュリティの対策をまったく行わず、また、それを行うつもりもないにもかかわらず県の教育現場のICT化を全国の最先端クラスにもっていった佐賀県教育委員会および同県立高校の各校のあり方は、個人情報保護法や佐賀県個人情報保護条例などに照らして明らかに違法です。

佐賀県:佐賀県プライバシーポリシー及び行動プログラム

https://www.pref.saga.lg.jp/web/privacypolicy.html

この行動プログラムが県教育委員会・各県立高校にも適用されるかは問い合わせ中。

【行動プログラム】202(責任体制)
 個別の個人情報取扱事務が、プライバシーポリシー及び行動プログラムに沿って行われていることを、各課・所の長が責任者となってチェックし、個人情報の収集、利活用、処分が適切に行われるよう個別事務ごとに管理を行います。

【行動プログラム】301(職員への徹底)
 プライバシーポリシー及び行動プログラムについては、全職員に通知することによって周知徹底を図ります。また、各課・所において随時研修を行うとともに、臨時職員を含めた職員の新規採用のつど研修を行います。

【行動プログラム】302(自己チェックの徹底)
 各課・所の長は、少なくとも年に2回、当該課・所でお預かりしている個人情報について、

  1. 個人情報の利用目的の表記の状況
  2. 個人情報の取扱いについてのルールについて、職員その他への周知徹底の状況
  3. 個人情報の安全管理措置の状況
    その他について、所属職員をもって自己チェックを実施します。

【行動プログラム】602(人的安全管理措置)
 責任者及び安全保護対策責任者は、各所属の個人情報が適正に取り扱われるよう、事務取扱担当者に対して必要かつ適正な監督を行います。

【行動プログラム】604 (組織的安全管理措置)
 お預かりした個人情報の適正な取扱いのために、安全管理措置を講ずるための組織体制を整備し、漏えい等の事案が生じた場合の対応を明確にします。

教育分野におけるクラウド導入に対応する情報セキュリティに関する手続きガイドブック(別冊2)https://t.co/0h5SbuPsop
「佐賀県では、県の情報セキュリティポリシーに基づき、各学校で実施手順および実施マニュアルを作成することになっています。」

— awakoyot (@awakoyot) 2016年7月4日
<script async src="//platform.twitter.com/widgets.js" charset="utf-8"></script>

2016/07/04

不正アクセス事件1週間、動機や仲間の解明焦点|佐賀新聞LiVE

http://www.saga-s.co.jp/news/saga/10101/329911

6月27日以降、被害に遭った学校と県教委には、保護者らからの問い合わせが100件近く寄せられた。

(中略)

県教委は「学校現場が運用する中で不便が生じ、業者に管理IDを教えてもらい、安易に保管していた可能性は否定できない」と話す。

(中略)

何者かによる不正アクセスは既に昨年6月に起きていた。しかし、県教委内部での協議はなく、抜本的な対策もとられなかった。当時の担当者は「警察に届けるのは勇気がいること。生徒のいたずらだと思った。いま考えると、認識が甘かった」と振り返る。

県教委は「学校現場が運用する中で不便が生じ、業者に管理IDを教えてもらい、安易に保管していた可能性は否定できない」

県教委は「学校現場が運用する中で不便が生じ、業者に管理IDを教えてもらい、安易に保管していた可能性は否定できない」

まだ、「可能性は否定できない」 とか言ってる段階なの?運用業者と学校に聞き取りしてないの?

この見出し、「少年たちが悪い」で終わらせる気なんですかね。各位。

不正アクセスで文科省 セキュリティー対策徹底を通知へ | NHKニュース

http://www3.nhk.or.jp/news/html/20160704/k10010582151000.html (http://archive.is/hopeY)

これについて文部科学省は公的な教育機関の情報漏えいとしては過去最悪の規模だとして、4日にも全国の教育委員会などに対して学校における情報管理を徹底するよう、通知する方針です。

(中略)

さらに、文部科学省はこうした情報システムからの情報漏えいを防ぐための具体的な対策を有識者会議で検討することにしています。

2016/07/02

佐賀県のICT利活用教育推進事業に関する、改善検討の今後:教育ICTをデザインする人へ:オルタナティブ・ブログ http://blogs.itmedia.co.jp/tanaka_kohei/2016/07/i.html

昨年度の改善検討委員会では、過去に実施された調査や、各事業及びその予算や仕様などの情報提供を再三に渡り求めてきたが、関連資料が実際に提出されたのは最終回となった第9回であった。 第5回の改善検討委員会では、そもそも様々な調査や定量的な評価すら実施していないという事実が明らかになったものもある。(この時、教育情報システムSEI-Netの導入効果について、調査すらしていないことが判明している)
議論が進めば当然、情報セキュリティーに関連した部分の検討も行うべきであった。
第6回の改善検討委員会では、法令遵守に関する教育について指摘をしたが、それが現場で活かされていなかった結果の今回の事件であれば、もっと強く訴え実行案を出すべきだったと後悔している。
今年に入り、学校現場からの情報提供により、全教職員及び生徒、無線LANAP等NW機器のパスワード変更作業が実施されていることも聞いていた。
その理由や目的について確認すべきだったが、タイムアップとなってしまった。
昨年度開催された全9回の改善検討委員会を通して感じたのは、議論ができるような材料すら整理されていないであろう教育情報課の混迷と、当事者意識の低さ、そして時間稼ぎやアリバイ作りと思しき姿勢であった。

2016/06/30

佐賀県:平成28年6月定例教育委員会 https://www.pref.saga.lg.jp/web/kurashi/_1018/ik-osirase/_97115.html

学校教育ネットワークにおける不正アクセスについて https://www.pref.saga.lg.jp/web/var/rev0/0208/2231/20167118378.pdf#page=29

被害に遭ったとされる7校の保護者集会で配布された資料と同一。

県教委、昨年6月に不正アクセス把握も通報せず|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/328490

佐賀県教育委員会は、佐賀市の無職少年(17)らにより不正アクセスを受けた県立校の教育情報システムが、2015年6月にも何者かに不正アクセスされたことを直後に把握しながら警察へ通報せず、県教委内部でも対策を協議していなかったことが29日、分かった。

(中略)

県教委によると、昨年6月14日、佐賀市の県立高校の教師が仕事中にネットワーク内のファイルが開けなくなるトラブルが発生した。翌15日に保守業者が点検した結果、何者かの不正アクセスによりアクセス権限が変えられたことが判明した。データの移動量の痕跡から情報流出はなかったと判断し、保守業者は各種パスワードを変更するなどの対策を講じた。

保守業者が15日に、校長は18日にそれぞれ、県教委の教育情報課に事件の概要を報告したが、当時の課長は警察に通報しなかった。不正にアクセスされた校内LANネットワークを所管する教育総務課にも連絡せず、県教委内部で対応を協議することもなかった。各校への注意喚起や情報提供もしなかったという。

当時の課長

県教育情報課長に碇センター所長|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/263525

佐賀県教育委員会は25日、福田孝義副教育長(59)が兼務してきた教育情報課長の事務取扱を解き、後任の課長に県教育センター所長の碇浩一氏(55)を起用する

当時の課長 = 当時の副教育長 = 現在の武雄市ICT教育監

ここ数年の「先進的ICT利活用教育推進事業」の主要人物

2015トッパン教育情報化セミナー | TOPPAN SOLUTION http://www.toppan.co.jp/solution/seminar/kyoiku2015/01.html

平成23年度から、佐賀県の最重要施策として「先進的ICT利活用教育推進事業」に着手。電子黒板やタブレット端末等のICT機器、校内LAN環境の整備並びに教職員研修をはじめとし、校務管理、学習管理、学習教材管理が一体となった教育情報システム「SEI-Net」の構築を手がけ、教育の情報化推進の先進事例として全国から注目されている。

武雄市ICT教育監に福田・前県副教育長|佐賀新聞LiVE http://www.saga-s.co.jp/column/ictedu/23901/296003

余談

2016年の6月補正予算で、導入から2年で武雄市の小中学校に配備されているタブレットが一部更新される議案が提出された。予定金額からWindowsタブレットの導入が想定される。

武雄市「こども図書館」で3億8750万円追加提案|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/323227

一方、市は小学生に配布しているタブレット端末1千台を約7200万円で購入、更新する財産取得議案も追加提案した。端末は現在の機種より大きい10・1インチで、9月以降、5、6年生が使う分を更新する。

監査の不備

佐賀県教委 ネットワークの内部監査行わず | NHKニュース http://www3.nhk.or.jp/news/html/20160629/k10010575811000.html (http://archive.is/aFVe9)

事件を受けて、佐賀県教育委員会が調べたところ、県立の学校45校で導入されているネットワークで、少なくとも過去3年間は1度も内部監査が行われておらず、今後も行われる予定がなかったことが分かりました。

佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。

「電子県庁」へ態勢甘く 安全対策、監査せず|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/320853 (これは本庁側の話)

SEI-Net セキュリティ強化業務委託

佐賀県:佐賀県教育ネットワーク、県立学校LAN及び佐賀県教育情報システム等の情報セキュリティ強化(インターネットリスク分離・分割・無害化)に伴う調査・設計等業務委託に係る条件付き一般競争入札(事前審査型)を実施します http://archive.is/amlZ7 ※サイトより削除済み

入札及び開札の日時並びに場所

(1) 日時 平成28年6月28日(火曜日)午前10時00分

佐賀県教育ネットワーク、県立学校 LAN 及び佐賀県教育 情報システム等の情報セキュリティ強化(インターネッ トリスク分離・分割・無害化)に伴う調査・設計等業務 業務に係る仕様書 http://archive.is/IVoLS

1.1 本業務の背景

(中略)

平成 27 年 6 月に公表された日本年金機構における個人情報流出事案を受け、総務省で は、地方公共団体における情報セキュリティに係る抜本的な対策を検討され、報告書「新たな自治体情 報セキュリティ対策の抜本的強化に向けて ~自治体情報セキュリティ対策検討チーム報告~」を自治 体に示し、情報セキュリティ対策の強化を求めているところである。 この状況を受け、佐賀県教育ネットワークにおいても、情報セキュリティ対策の強化を図ることとし ている。 学校現場における情報セキュリティ強化(インターネットリスク分離・分割・無害化)については、 具体的な手順等が定められておらず、佐賀県教育ネットワークの現状を調査・分析することにより、情 報セキュリティ強化を図ることとしている。

学校現場における情報セキュリティ強化(インターネットリスク分離・分割・無害化)については、 具体的な手順等が定められておらず

もう一度、

学校現場における情報セキュリティ強化(インターネットリスク分離・分割・無害化)については、 具体的な手順等が定められておらず

事業改善検討委員会

過去9回の会議でネットワークセキュリティに関わる検討なし。

佐賀県:平成27年度第7回ICT利活用教育の推進に関する事業改善検討委員会を開催しました https://www.pref.saga.lg.jp/web/kurashi/_1018/ik-ict/_77482/_90881/_93129.html

株式会社NEL&M 代表取締役 田中康平 佐賀県ICT 利活用教育の推進に関する事業改善検討委員会 改善検討に関する考察 7つの提言 平成27年11月10日 https://www.pref.saga.lg.jp/web/var/rev0/0194/3721/2015112413517.pdf

(2016年7月2日 送信)

平素お世話になっております。

県教育ネットワークへの不正アクセスにつきまして、質問とご要望をいたします。

質問事項

  • 被害が判明しているだけでなく他の学校も本当に安全といえる状態か
  • セキュリティ強化業務委託の入札について
  • 昨年度の不正アクセス判明時の対応について

要望事項

  • 早急な第三者監査を実施してください
  • 安全性が確認・確保されるまで無線LAN、ネットワーク接続を禁止してください
  • 経緯・対応状況などをサイト上に逐次掲載してください
  • 生徒から不具合を報告できる仕組みを設けてください

被害が判明しているだけでなく他の学校も本当に安全といえる状態か

今回判明した流出被害対象は高校ということですが、SEI-Netなど校務ネットワークシステムは県内各小中学校でも利用されているのではないでしょうか。 であれば、小中学校においても不正アクセス、情報改ざん、情報流出がなかったか調査されたのでしょうか。

私は現在佐賀市内の小学校に子どもを通わせていますが、事件報道以降この件について小学校より報告、通知を受けておりません。小中学校も影響を受ける可能性があるのか、対応は行っているのかについて、お教えください。

セキュリティ強化業務委託の入札について

事件公表前の6月14日に、「佐賀県教育ネットワーク、県立学校LAN及び佐賀県教育情報システム等の情報セキュリティ強化(インターネットリスク分離・分割・無害化)に伴う調査・設計等業務委託に係る条件付き一般競争入札(事前審査型)」の告知が行われています。

http://archive.is/amlZ7

こちらの入札につきまして、入札資料の背景に書かれている通り、本不正アクセスとは関係なく実施されたものという認識でよろしいでしょうか。

また、28日に開札となっておりますが、受託業者は決定しましたでしょうか。

昨年度の不正アクセス判明時の対応について

佐賀新聞の報道にて、

県教委、昨年6月に不正アクセス把握も通報せず|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/328490

とあります。報告を怠った当時の課長は昨年度にて退職された福田孝義 前副教育長とのことですが、既に前副教育長には経緯、事情の聴取を行っていますでしょうか。

また、本件については導入経緯や上記記事の件など前副教育長の関与が大きく、責任を問うべきものと考えますが、一連の不備の責任は誰がとるのでしょうか。


早急な第三者監査を実施してください

今回の件につきまして、2014年の導入時期から注視しておりますが、外部から見る限り、教育庁および受託業者、保守業者に充分な技術的知識がなく、数々の問題、不具合を引き起こし、今回の不正アクセス事件が発生することになったと考えています。

問題の早期解決のため、教育庁ではなく本庁側の主導で第三者による監査、対応を行って頂くことを望みます。

安全性が確認・確保されるまで無線LAN、ネットワーク接続を禁止してください

現在、教育ネットワーク・システムについて安全性が確保されていると証明できますでしょうか。

できないのであれば、脆弱な部分が残っている可能性があり不正アクセスが再度行われる可能性があります。 今回も警視庁からの通知で不正アクセスが判明したのであり、現状不正アクセスがあった場合、侵入を検知できる状態ではないことは明白です。

被害を防ぐため、第三者による監査が完了するまでネットワーク接続を停止すべきと考えます。

経緯・対応状況などをサイト上に逐次掲載してください

本件について、県内の児童・生徒・保護者すべてに影響する問題にも関わらず、ネット上での情報発信は6/27の記者発表資料のみとICTへの取り組み最先端を標榜する県にしては対応がお粗末に感じます。

直接被害を受けてない(被害が判明していないだけかもしれませんが)保護者に対しては、現在何の連絡も学校側からありません。

職員各位の問い合わせ対応の軽減のためにも、経緯、影響範囲、対応の状況を随時発信して頂くことを望みます。

混乱や不安を抑えるためには、当事者が正確な情報を随時公開していくことが重要です。

生徒から不具合を報告できる仕組みを設けてください

タブレットやSEI-Net導入から色々な不具合が報告されているようですが、生徒からの意見を受け付けて改善できる仕組みを作るべきです。

技術に詳しい生徒であれば、教員や運用・保守業者より詳しく問題を把握し、解決案を提示できると思います。フォーラム(電子掲示板)のような形式をとれば、ナレッジベースとなり同様の問題が発生した際に早期解決できることが期待できます。

システムの致命的なセキュリティ不備について、導入後早い段階で生徒が把握していたという話しも聞いております。まともなシステム運用ができないのであれば生徒の力も借りてみてはいかがでしょうか。

また、報告できる場を設けることで不満のはけ口を作り、今回のような犯罪を犯すことを思い留まらせる効果も期待できるので、是非ご一考ください。

(2016年7月8日 受信)

質問事項1(被害が判明しているだけでなく他の学校も本当に安全といえる状態か)

###(回答)  今回、佐賀県教育情報システム「SEI-Net」に対する不正アクセスでは、学習者と教員が情報のやりとりを行う学習管理機能で被害を受けましたが、重要な個人情報を扱う校務管理機能についての被害はありませんでした。
 佐賀県教育情報システム「SEI-Net」で校務処理を行っている市町は、現在7市町ですが、被害はあっておりません。なお、該当市町に対しては、説明等の対応を済ませております。それ以外の市町で独自に導入されている校務処理システムについては、申し訳ありませんが、県では把握しておりません。

質問事項2(セキュリティ強化業務委託の入札について)

###(回答)  本入札は、佐賀県教育ネットワーク、県立学校LAN及び佐賀県教育情報システム等の情報セキュリティ強化(インターネットリスク分離・分割・無害化)に伴う調査・設計等業務委託に係る条件付き一般競争入札(事前審査型)として、当初から予定していたものであり、今回の事案とは関係なく実施したものです。
 なお、6月28日に入札及び開札を実施し、受託業者が決定しております。

質問事項3(昨年度の不正アクセス判明時の対応について)

###(回答)  このことについては、当時、危機事象として情報共有ができていなかったことは大きな問題と考えています。
 なお、昨年6月の不正アクセスと今回の事案との関係は今のところ不明です。


  • 要望事項1(早急な第三者監査を実施してください)
  • 要望事項2(安全性が確認・確保されるまで無線LAN、ネットワーク接続を禁止してください)
  • 要望事項3(経緯・対応状況などをサイト上に逐次掲載してください)
  • 要望事項4(生徒から不具合を報告できる仕組みを設けてください)

##(回答)  要望事項を4項目いただいておりますが、以下のとおりお答えします。

 県教育委員会としましては、捜査協力の中においても、システムの運用面及びシステム自体の問題点について調査を行い、手立てを講じたところですが、今後さらに必要な検証を行った上で、ハード・ソフト面からセキュリティ対策の一層の強化を図っていくこととしています。
 1については、検証にあたっては、専門的な知見も踏まえながら行ってまいります。
 2については、現時点でシステムネットワークを停止することは予定しておりません。
 3については、御要望も踏まえ、県HPなどでの情報提供について工夫します。
 4については、これまでも生徒の意見については様々な機会に聞いており、運用にあたって参考にしています。

(2016年7月11日 送信)

先日はお忙しい中、ご返信ありがとうございました。

さて、先日お問い合わせいたしました私の質問、

被害が判明しているだけでなく他の学校も本当に安全といえる状態か

今回判明した流出被害対象は高校ということですが、SEI-Netなど校務ネットワークシステムは県内各小>> 中学校でも利用されているのではないでしょうか。 であれば、小中学校においても不正アクセス、情報改ざん、情報流出がなかったか調査されたのでしょうか。

私は現在佐賀市内の小学校に子どもを通わせていますが、事件報道以降この件について小学校より報告、通知を受けておりません。小中学校も影響を受ける可能性があるのか、対応は行っているのかについて、お教えください。

に対して、以下のようにご回答頂きましたが、その中で不明点がありましたので再度質問させていただきます。

 今回、佐賀県教育情報システム「SEI-Net」に対する不正アクセスでは、学習者と教員が情報のやりとりを行う学習管理機能で被害を受けましたが、重要な個人情報を扱う校務管理機能についての被害はありませんでした。
 佐賀県教育情報システム「SEI-Net」で校務処理を行っている市町は、現在7市町ですが、被害はあっておりません。なお、該当市町に対しては、説明等の対応を済ませております。それ以外の市町で独自に導入されている校務処理システムについては、申し訳ありませんが、県では把握しておりません。

再質問ここから

  • SEI-Netの利用市町はどこでしょうか

  • SEI-Netは小学校、中学校でも利用されているのでしょうか

  • SEI-Netは佐賀市内の小学校、中学校でも利用されているのでしょうか

  • 「被害はあっておりません。」というのは、今回発覚した事案(2016年2月〜5月)における不正アクセスおよび情報漏えいの件のみという認識でよいでしょうか

  • 「重要な個人情報を扱う校務管理機能についての被害はありませんでした。」とありますが、その確認はどのように行ったのでしょうか

再質問ここまで

以上、お忙しい中お手数ですがご回答よろしくお願いいたします。

2016年7月15日 受信

質問事項1(SEI-Netの利用市町について)

  • SEI-Netの利用市町はどこでしょうか

(回答)佐賀市、鳥栖市、伊万里市、みやき町、玄海町、有田町、大町町の7市町で、SEI-Netの校務処理機能が利用されています。

質問事項2(SEI-Netの小学校・中学校の利用について)

  • SEI-Netは小学校、中学校でも利用されているのでしょうか

(回答)SEI-Netは、各学校で活用するための標準的な機能(学校ホームページ機能、教職員が使用するメール機能等)を備えており、全県下の公立学校で使用しています。そのうち、校務管理機能を利用できるのは上記の7市町の小学校及び中学校です。

質問事項3(SEI-Netの佐賀市内小学校・中学校の利用について)

  • SEI-Netは佐賀市内の小学校、中学校でも利用されているのでしょうか

(回答)佐賀市内の小学校・中学校の全校で利用されています。

質問事項4(被害の認識について)

  • 「被害はあっておりません。」というのは、今回発覚した事案(2016年2月〜5月)における不正アクセスおよび情報漏えいの件のみという認識でよいでしょうか

(回答)そのとおりです。

質問事項5(校務管理機能に係る被害の確認について)

  • 「重要な個人情報を扱う校務管理機能についての被害はありませんでした。」とありますが、その確認はどのように行ったのでしょうか

(回答)委託業者に調査を依頼したところ、不正アクセスのログ記録が残っていませんでしたので、校務管理機能からの情報の窃取はなかったと判断しました。 なお、校務管理機能は重要な個人情報を扱うため、学習管理機能に比べて、二重三重のセキュリティを施していますので、不正アクセスの被害を受けなかったと考えています。

@nojimage
Copy link
Author

(県政へのご意見 7/20送信)


2016年6月27日に発表された、学校教育ネットワークに係る不正アクセスに関連する報告につきまして、その後の状況、経過報告が県ホームページおよび県教育委員会ホームページ上に一切ありません。

2016年7月19日にも、記者発表が行われたようですがその内容について、報道機関の記事からしか内容を確認することができず、報道が正しいのか検証することができません。

発覚からまもなく1ヶ月となりますが、公式の追加発表が一切ないのは異常であると考えます。

今回、県内小中高校で広く利用されているSEI-Netが一部とはいえ被害を受けていますが、利用している学校へ通う生徒、保護者への通知が充分であるとは言えない状況です。
(被害校以外の学校からの保護者への説明は行っていませんよね。

このような対応を行っている教育委員会がICT教育を推進するというのは、はっきり言ってばからしく、著しく不安でしかありません。

すみやかな状況、経過の報告をお願いします。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment