群馬県前橋市の教育系ネットワークに不正アクセスがあり、大量の個人情報が流出した事案。検証報告書が出ていたので読んでみた。
なお、教育委員会は運営委託先のNTT東日本に約1億6500万円の損害賠償を請求するとのことで、大変なことになっている。
以下、検証報告書の内容を抜粋する。
委員長は弁護士、委員は群馬大学の情報系学部の教授と、株式会社ディアイティ(サイバーセキュリティとネットワークの企業。本社は東京のようだ)のセキュリティ担当部長。
なお、議事録が無いので、誰が報告書の内容を主導したのかわからない。
不正アクセスの内容
DMZの公開サーバにバックドアが作られた
その後、スパイウェア、ポートスキャンツール、ポートフォワーディングツールを使い、ファイアウォールを通過して内部ネットワークに侵入
遠隔操作でドメインコントローラサーバに接続し、ファイルを公開用サーバに保存し、それをダウンロードした
この教育ネットワークは、「教委で技術力のあった職員と民間ボランティア」が20年前に作った。具体的にどこまで構築したのかがよくわからないな。また、企業の保守はなかったようだ。この手のは怖い。
その後、校務支援システムが加わり、NOCで運用となる。更に市の行政ネットワークともつながり、様々なシステムともつながる。
その後、NOCからデータセンターへサーバ等を移管することとなった。
調達仕様書
○プロポーザルの実施
データセンター移管提案依頼書を通知し,企画提案書の提出を求めた。
セキュリティに関連する記載
前橋市教育情報ネットワークの目的ー市内の教育機関が安全にインターネットを活用することを目的として構築すること
校務データ等のセンター管理ーセキュリティを高めるとともに冗長性のあるシステムとすること
既存サーバ移築/設置機器/内部ファイアウオールーファイアウオールに設定するフィルタは,市教委と新校務システムのベンダーと連携のうえ設計・設定すること
インターネット/機器/ISP向けファイアウオール(外部ファイアウオール)ー外部・内部・DMZの3つのセグメントを設定し,レイヤー4レベルまでのアクセス制御を行うこと
既存サーバ移築/センター運用/監査対応ー前橋市の基準に従ったセキュリティ監査に対応すること。(年1回程度)ドキュメント作成,ログデータの提出,セルフチェック記録の提出,監査立会を実施すること
既存サーバ移築/センター運用/システム管理業務,依頼作業の実施ー障害復旧・パージョンアップ/パッチ作業以外のシステム管理業務及び管理部門からの依頼作業を行う。作業実施後に報告書を提出すること
ログの保管ーファイアウオール5年
○委託事業者の提案書
強固なセキュリティ対策ー全社的なセキュリティ向上や仕組みを積極的に導入
総合的なセキュリティ対策ー経験豊富な専門家を多数擁する技術セキュリティ対策チームによる総合的なセキュリティソリューションを提供することが可能
システム構成のコンセプトー外部からの攻撃を防御
システム構成の構成ーファイアウオールによる安心・安全な通信
VPNによる安心・安全な通信
ログの保管ーI S P接続用ファイアウオール(外部ファイアウオーノレ) 5年
管理業務・監査対応・運用レポートー運用イベントの内容及び周期について監査対応年1回を想定した前橋市の基準に従った監査対応実施と依頼された場合のアクセスログなどの提供依頼作業随時,実施・報告。月次レポートの作成
○「データセンター移管業務要件定義書」について
ISP接続用ファイアウオール(外部ファイアウオール)ー外部からのアクセス制御を行うためプロトコルなどによるアクセス制御を行う
内部ファイアウオールーデータセンター内に個人情報を含むサーバの情報を保護するための内部ファイアウオールにより,各学校の生徒用セグメントからのアクセス制御を行う
セキュリティ要件ー対策内容:ファイアウオールにより,外部からは指定するサーバに対する指定のプロトコルのみにアクセスする
ログ管理要件ーISP接続用ファイアウオール(外部ファイアウオール) 5年
試験ー単体試験,結合試験,総合試験:委託事業者が実施、受入れ試験:市が実施し,委託事業者が立会い、試験項目は基本設計にて協議し決定
○ 設計方針について
平成27年6月19日に,委託事業者が作成した設計方針(案)およびその修正版に記載された「データセンター内論理接続図Jと「アクセス制御イメージ(案)」には,ともにDMZネットワークと個人情報保護ネットワークをつなぐ経路は記載されていなかった。
○基本設計書について
セキュリティ設計方針ーファイアウオールにより外部からは指定のサーバに対する指定のプロトコルのみにアクセスを限定すること。
通信制限ー通信制限イメージ図には, DMZと個人情報保護ネットワークをつなぐ経路は記載されていない。
○詳細設計段階について
詳細設計書は作成されていない。
附属書のネットワーク配置図は,基本設計書に沿ったものとなっていた。
しかし,ファイアウオールのコンフィグは,市教委からのサーバの通信条件の情報が不明確で、あったことに起因して,次のとおりとなっていた。
① 外部ファイアウオール
内部ネットワークからDMZネットワークへのICMP通信が許可されている。それに対向するDMZネットワークから内部ネットワークへのコンフィグは ICMP通信だけでなく,全ての通信を許可する設定となっていた。
② 内部ファイアウオール
信用度の低いネットワークから信用度の高いネットワークへの通信許可ポリシーが設定されている。結果的にDMZネットワークから内部ネットワーク内の個人情報保護ネットワークへの通信を許可していた。
○運用前の試験について
委託事業者が実施した運用前のファイアウオールの総合試験記録では,「公開ネットワーク(DMZネットワーク)から個人情報保設ネットワークにリクエストが到達しないことを確認」したことになっていたが,実際は確認されないまま,確認、結果に「合格」と記載された。なお,委託事業者側(再委託先を含む)の一部関係者には,試験の際に外部および内部ファイアワオールの設定が上記(8)の設定となっていたことは認識されていたが,委託事業者全体ではその認識は共有されていなかった。
○シスラム構築における市教委の関わり方
学校教育課の指導主事がMENETを担当していたが,指導主事の本来の仕事は学校の指導の推進であり,システム構築に十分に関わるのは難しく,また,人事異動により数年で、担当者が替わった。このため,委託事業者からの問合わせ等にも十分には対応できなかった。
移設後のシステム運用状況等
市は委託事業者とシステムにつき,保守契約を締結した。なお,システムには委託事業者以外の業者が導入したサーバもあり,それらは委託事業者の保守範囲には含まれなかった。
同契約書にある定例会は開催されず,月次報告はなされていなかった。
教育資料公開サーバは市教委の管理対象であったが,セキュリティアップデートはなされていなかった。
学校給食費管理システムはMENETから市の行政ネットワークに移行された。給食費に関する個人情報のファイルは,移行の際にcsv形式で抽出されたもので,移行が完了となる平成30年5月まで,移行先システムのトラブルに備えて暗号化せずに置く予定となっていた。
前橋市情報セキュリティポリシー
市の情報政策課は,情報セキュリティの監査の中で,人的セキュリティに関する監査については市教委を含めて実施していた。しかし,技術的セキュリティに関する監査は順次実施していたが, MENETについては実施していなかった。また,市教委は,自身が行うMENETについての自己点検を実施していなかった。
不正アクセス発生前に生じていた不具合等
(1) 平成28年1月,本来学校の教諭は見られないはずであるデータセンターのサーバ経由で各学校のサーバ内にアクセスできることや,センタサーバにおけるプロキシを経由しないインターネットへの通信があったことから,市教委はこの事象を委託事業者に報告した。委託事業者も内容の確認を行い,市教委へ情報の提供を問い合わせたが,応答はなかった。委託事業者もその応答をフォローすることなく,その後本不具合への具体的アクションに至らなかった。
(2) 同年6月,他県で生じた不正アクセス案件に関連し,市教委は委託事業者に不正アクセス対策に関する安全性確認を依頼したが,委託事業者は基本設計書を確認して,問題なしと回答した。
(3) 同年12月,学校生徒系ネットワークから管理サーバ経由で個人情報保護ネットワークに入れるとの指摘があり,市教委は委託事業者に報告したが,その後具体的なアクションに至らなかった。
(4) 本事案において,平成29年8月に不正アクセスを受けてからウイルス対策ソフトのアラートの管理はされていなかった。
※不正アクセス発覚後の市の対応は適切なので記載しない。
■本事案における問題点とその原因
委員会の分析は以下のとおり。
・教育資料公開サーバの脆弱性放置
・ファイアウオールの設定不備
・関係者全体のMENETおよびセキュリティに対する理解不足
○市教委側の問題点
・発足時は個人情報を扱っていなかったが,その後校務支援システム等の個人情報を扱うようになったが、従来の職員協力者や民間協力者という善意ある人の貢献により成り立つ運営責任体制のままで進められてきた。
・それぞれのシステムはいろいろな組織が独自に管理をしており,全体を理解できる人がいない中で運営されてきた。このような運営体制は責任の所在の暖昧さにつながり,また情報やシステムの管理ができない状況を生んだ。
・全体が把握されないままであったことに組織として気付いていなかった。このため,データセンター移管業務委託時には市教委側はMENET担当者と職員協力者で、委託事業者に対する対応を行っていたが,その対応は委託事業者側から見ると, MENETの通信条件などの情報提供が不十分で,かつ依頼した質問への回答も滞るなど,不満を抱かざるを得ないものとなった。
・担当者は専門外で、しかも人事異動により数年で人が替わった。
・システムの管理体制が確立されていないこと
○受託企業側(NTT)の問題点
・詳細設計以降の再委託先への委託において,管理確認が不十分
・市教委側とコミュニケーションを自らが担っているという認識が不足
・運用開始後も,運用業務の中のプロジェクト管理の一つであるコミュニケーションを自ら担っているという認識が不足していたことから,市教委側からの不正アクセス前に生じていた不具合等の調査依頼を受けたことを契機に,ネットワーク上の不備を修正する機会が複数回あったにもかかわらず,活用できなかった。
・個人情報を取り扱うシステムにふさわしい高セキュリティなシステム構築を自らが担っているという認識が不足していた。提案書等に高セキュリティと記載し,実施するとしていたがセキュリティ設計における当然の注意(duecare)を果たすことができなかった。
■再発防止策の提言
・市教委にシステム全体を統括でき、発注者の責任(委託事業者の管理・監督を含む)を果たせる本制を作ること。このためには,萎託事業者側と専門的な会話ができる人材の確保・育成が必要。
・文部科学省が公表した「教育情報セキュリティポリシーに関するガイドライン」に準拠しつつ, MENETに適した形に改訂して進めていくこと
【雑感】
ざっくり読んだだけだと、NTTの方の責任がかなり大きいと感じる。結局、NTTが下請けに丸投げしていたということではないのか?報告書でもボロクソに書かれている。
○市の問題点
・元々ボランティアベースでシステムが構築されたという、恐ろしい経歴をもつシステム。当然仕様書等もないだろうから、途中から管理しろといわれても、これは大変だろう。
・「担当者は専門外で、しかも人事異動により数年で人が替わった」というのは、これはどこでも同じだろうな~。県レベルでもそうなのだから、まして市では。30万人とそこそこの人口の市だけど、知事or市長部局の情報政策課はともかく、教育委員会側ではそんな専門部署なり担当などいないはず。
・受託企業への情報提供が不十分で,かつ依頼した質問への回答も滞るというのは、ここは専門知識がなくても努力でカバーできる部分だから、ここは言い訳できまい。
○受託企業の問題点
こっちは全く言い訳できなすぎだろう。なんでここまでいい加減なことをしたのか???
・ファイアウォールの初期設定がおかしい。報告書では市からの情報提供が不十分だったからとあるが、ふつうわかることだろう。
・通信テストを、やっていないのに「やった」とウソをついた
・セキュリティアップデートは、提案すらしなかったの?
・以前に発生した不具合を放置した
・ウイルス対策ソフトのアラートを管理しない
自分が担当だったらと考えると恐ろしい。
基本的なセキュリティの認識(セキュリティパッチの更新、定期的なログ看視報告のチェック、異常発生時の迅速な業者とのやり取りなど)はともかく、ファイアウォールの通信初期設定がおかしくないかどうかなんて、1担当ではわかるまい。そこは第3者的な専門企業にチェックを別途委託するしかないと思う。