委 員:内田 勝也 委員(情報セキュリティ大学院大学 名誉教授)
堀 良彰 委員(佐賀大学全学教育機構 自然科学部門/ICT活用教育支援室 教授)
山辺 直義 委員(ひらつか西口法律事務所 弁護士(システム監査技術者))
森本 貴彦 委員(佐賀新聞社編集局メディアコンテンツ部長 兼 論説委員)
事務局:古谷教育長、宮﨑教育庁危機管理・広報総括監、川口情報監、源五郎丸教育総務課長、碇教育情報課長
会議内容
委員長の選任
・委員長として、内田委員が選出される。
委員からの主な意見
【システムの脆弱性について】
○ 教育情報システムSEI-Netの学習管理機能でのメッセージ送信画面において、サーバから処理に必要ではない情報が送信されたり、不正な権限昇格のチェックがなされていなかった等の脆弱性があった。構築時の脆弱性診断等が十分ではなかったと思われる。
【パスワード設定・管理について】
○ 高校生等の年齢ならば一部の先生よりICTに関する知識があると思ったほうがいい。そういったところの認識を考える必要がある。
○ Admin(管理者)のパスワードがなぜ必要であるのか、また、どうしても必要だというのであれば、Admin(管理者)のユーザーID(人を識別するための番号)を含めてどういう使い方をするのが最もふさわしいかを考える必要がある。
○ Admin(管理者)のパスワードの管理の仕方に問題がある。
【危機管理体制等について】
○ 平成27年6月(○学校の教員が校内LANへアクセスできなくなっている事案)に、議論しているが、他の学校には伝えていない。もしどこかの学校でそういうことがおきれば、他の学校でも起きる可能性があると考えれば、そういう意味で情報共有ができていない。
○ 平成27年6月がキーポイントだと思う。どういう経緯でそこで止まったのかという検証と、どうして情報共有できなかったのか、非常に重要なポイントである。
○ 組織としてきちんとした体制を作り、それが機能する仕組みが必要である。そうしなければ、また次のときに同じ問題がでてくる。
○ 通常とは異なるアクセス記録が発見された場合に「何かおかしい、異常なことだ」と思う感性を磨かないといけない。これはセキュリティ教育につながっていくことである。発見できるきっかけがあったが、うまくいかなかったということは、議論が必要と考える。
○ 民間企業等における情報漏えい等、外部で起こっていることに関心をもつことが必要である。
そうすれば、ヒヤリ、ハットの段階で防げる部分もあり、そのようなことが、組織作りである。小さな段階でいろんな情報を一元的な形で集約するような仕組みづくりを行えば、同じようなものは減るはずである。事件が起こらないと忘れるし、10年経つと忘れるので、繰り返されるのが現実である。組織をどうやって作るか継続させるかが重要である。
【情報資産の管理・運用について】
○ セキュリティポリシーを有効にするためには、情報資産分類を確実に行うことが必要である。
○ ユーザー権限については、一人ひとりのユーザーに必要以上の権限を与えてはいけない。教員だったらここまで、生徒だったらここまでと、境界をしっかり決めて権限付与とアクセス制限の仕組みをしっかり構築することが必要である。
【教育・訓練について】
○ 生徒等のITスキルは、高くなっている。それをどう防ぐかでいえば、生徒等に対してはモラルを教えるとともに、学校側のレベルを上げることが必要である。
○ フィッシング画面(偽画面)を作成してのIDの不正取得事案については、全員がおかしいと気づくことが必要である。セキュリティ訓練が必要である。