17歳の高校生が佐賀県の教育情報システムに侵入して成績表などを窃取した事件がありました。
システムに問題があったのか、使い方に問題があったのかといわれていますが、いまのニュースを見る限り、使い方に問題があったと思います。
逮捕容疑が午前0時20分ごろに高校の無線LANに接続して、そこからシステムにログインしたとなっています。
まず午前0時20分に無線LANを動かしていることが問題です。夜間は止めてしまえばいいものをずっと稼働させることがおかしいです。
次に接続ログを取っていないのか、だれもチェックしていないのかが問題です。
別件で逮捕してPCを調べたら成績表が出てきた。どこから漏れたのか!という話になって大慌てでログを確認する。こういう流れだと思いますが、結局システムの導入にはお金をかけても運用にまでお金をかけないからこういった結果を招きます。
当然見積もりには保守管理の費用も含まれているとは思いますが、一般の人が思うよりも保守管理の費用が高いことが多いんですね。
なぜなら人件費だからです。
その作業を毎月・毎週・毎日するために技術者をアサインしなければいけません。
それがずっと続くわけですから高くなるのも当然です。
発注側は当然見積もりよりも安くなることを願います。
しかし、システムを値切ると機能が失われます。それは避けたいので値切るところが導入後の保守管理になるのは本当によくある話です。
「運用はこちらでするから」とか「保守って何をするの?」とか聞かれます。
何もしてないようで、こちょこちょ目立たないことをやってます。
社内の営業や上司などにも理解されないことが多いですが、保守管理っていうのは目立たないけど大切な仕事です。
事件の話に戻りますが、おそらくこの生徒はそんなに難しいことをしていたわけではないと思います。
他人のパスワードをソーシャルハッキングで入手し、それを利用していろいろとダウンロードしたのではないかと思います。
閲覧、ダウンロードなどのアクセス権限の設定がどうなっていたのか?、ダウンロードなどにはログへの書き込みだけでなくアラートが上がらなかったのか?など運用上の不備が想像できて仕方ありません。
この少年がログをすべて消したり、データベースに直接侵入して操作したりしていればすごい能力だと思います。
FBIのドラマには以前の犯罪者をアナリストとして採用しているものもあります。
ぜひサイバーポリスに入ってもらうべきですね。(笑)
コメントをお書きください