曇り、気温0度。明日は雪が降るという予想である。
引用 産経新聞(http://www.sankei.com/region/news/180405/rgn1804050043-n1.html)
前橋市教育委員会のサーバーが狙われた不正アクセス問題は、市立学校の児童、生徒らの個人情報が最大で約4万5千件流出した可能性が高く、情報が悪用される事態が懸念される。サーバーのセキュリティーシステムは4年も更新されておらず、市教委のずさんな情報管理の実態が浮き彫りになった。
何時も不思議に思うのは、何故サーバー管理ができない組織が外部公開サーバーを設置するのかという疑問である。インターネットの世界では、こういった外部に接続されたサーバーは、アップデートしていないと鍵を掛けずに家を空けているようのまので少しの知識さえあれば侵入し放題というのは常識である。
4年間更新していないということから類推すると、システムの入れ替えは予算で確保したがその後の保守管理は予算化していなかったか、或いはその当時の担当者が移動か何かでいなくなったことが考えられる。
自分でサーバー管理ができないならホスティングで良いと思うのだが、出入り業者がいっぱい予算を分捕りたくて豪華なシステムを入れさせ、更に担当者もその口車に乗ってあり得ない金額の見積もりを提出させたのかもしれない。
などと邪推してしまう案件である。正直今のインターネットは守備に回ると弱いことは間違いない。その一つは、新しい技術が追加されるたびに未知のセキュリティホールが出てくる。はじめから外部の侵入の危険性を考えて作り上げたシステムではなく、どうやって新しい機能を動かすかに主眼が置かれているためである。
ゴール前を11人全員で固めても攻めてくる人間の数は無限なら守り切れるはずはない。攻撃する相手は、インターネットにつながっていれば無限に存在することになるからである。
今回盗まれたデータは、市立学校の児童らしいので、何らかのデータを複数の学校から登録するような仕組みを構築していたと考えられる。その場合、データベースを動かすためその場所に個人情報が残されている訳だから、本来は、そのデータはまた別のサーバーを用意しそこには公開サーバーから外部インターネットからはアクセスできない状態にあるべきであるが、その辺りの設定はどうだったのだろうか、またデータは平文でデータベースに書き込むのではなく暗号化された状態で保存されていたならある程度被害は防げたのかもしれないが、その辺りの情報公開は、公の場で知ることはできない。
とにもかくにもインターネットの世界が善意のある者のみが使用している訳ではないというのが一番の肝かもしれない。
