先日のSEI-NET(佐賀教育システム)セキュリティ対策検討委員会の内容が酷いので解説するよ！

　委員長の選任

　・委員長として、内田委員が選出される。

　委員からの主な意見

【システムの脆弱性について】

○　教育情報システムSEI-Netの学習管理機能でのメッセージ送信画面において、サーバから処理に必要ではない情報が送信されたり、不正な権限昇格のチェックがなされていなかった等の脆弱性があった。構築時の脆弱性診断等が十分ではなかったと思われる。

【パスワード設定・管理について】

○　高校生等の年齢ならば一部の先生よりICTに関する知識があると思ったほうがいい。そういったところの認識を考える必要がある。
高校生に限定するのは危険、小中学生から、一部の生徒は先生以上のすきるを持っているケースがある

○　Admin（管理者）のパスワードがなぜ必要であるのか、また、どうしても必要だというのであれば、Admin（管理者）のユーザーID（人を識別するための番号）を含めてどういう使い方をするのが最もふさわしいかを考える必要がある。

○　Admin（管理者）のパスワードの管理の仕方に問題がある。
そもそも、どの端末でも、管理者でログインできる事に問題がないのか考えないのか…
 

【危機管理体制等について】

○　平成27年6月（○学校の教員が校内LANへアクセスできなくなっている事案）に、議論しているが、他の学校には伝えていない。もしどこかの学校でそういうことがおきれば、他の学校でも起きる可能性があると考えれば、そういう意味で情報共有ができていない。

○　平成27年6月がキーポイントだと思う。どういう経緯でそこで止まったのかという検証と、どうして情報共有できなかったのか、非常に重要なポイントである。

○　組織としてきちんとした体制を作り、それが機能する仕組みが必要である。そうしなければ、また次のときに同じ問題がでてくる。

そもそも、システムに対する不具合の問い合わせ窓口やシステムからのお知らせを案内する仕組みがなかったのではないか？オンラインゲームの運営や、プロバイダーのモデルを参考にするのもいいと思う

○　通常とは異なるアクセス記録が発見された場合に「何かおかしい、異常なことだ」と思う感性を磨かないといけない。これはセキュリティ教育につながっていくことである。発見できるきっかけがあったが、うまくいかなかったということは、議論が必要と考える。

感性を磨けば判断できるという考え方が間違ってると思う。
そういった、感性を生まれつき持っている人はいるが、訓練をやれば気づくかというとそういう訳にはいかない。
例えば、訓練を指導する側が広い範囲で専門知識を持ち合わせていないと無駄だと思う。訓練をしたという安心感が、逆にセキュリティホールになる。
ある程度自動的に異常を検出できる仕組みを作らないとすりぬけられると思う

○　民間企業等における情報漏えい等、外部で起こっていることに関心をもつことが必要である。

そ
うすれば、ヒヤリ、ハットの段階で防げる部分もあり、そのようなことが、組織作りである。小さな段階でいろんな情報を一元的な形で集約するような仕組みづ
くりを行えば、同じようなものは減るはずである。事件が起こらないと忘れるし、10年経つと忘れるので、繰り返されるのが現実である。組織をどうやって作
るか継続させるかが重要である。

組織を作るのも大事だが、外部の判断を仰いだり監査したりしてもらう仕組みは作る気がないのか
 

【情報資産の管理・運用について】

　○　セキュリティポリシーを有効にするためには、情報資産分類を確実に行うことが必要である。

○　ユーザー権限については、一人ひとりのユーザーに必要以上の権限を与えてはいけない。教員だったらここまで、生徒だったらここまでと、境界をしっかり決めて権限付与とアクセス制限の仕組みをしっかり構築することが必要である。

ユーザー権限より、二要素認証などで本当に教員がログインしているのかチェックするなどの仕組みがないと意味がないという

【教育・訓練について】

　○　生徒等のITスキルは、高くなっている。それをどう防ぐかでいえば、生徒等に対してはモラルを教えるとともに、学校側のレベルを上げることが必要である。

　○　フィッシング画面（偽画面）を作成してのIDの不正取得事案については、全員がおかしいと気づくことが必要である。セキュリティ訓練が必要である。

だから、画面がおかしいから気づくって考えはやめろ！！ｗｗｗｗｗ
Amazonの偽サイトのニュース/見分け方の解説が色々酷い話