東京工業高専で不適切に個人情報が公開されていたことが判明 19
ストーリー by hylom
自前でやってれば大丈夫、というわけではない 部門より
自前でやってれば大丈夫、というわけではない 部門より
あるAnonymous Coward 曰く、
国立東京工業高等専門学校において、インターネット上で管理していた学生の個人情報入りファイルが、最長2007年5月ごろより関係者以外からもアクセス可能な状態にあったことがわかった(国立東京工業高等専門学校の「お知らせ」、Security NEXT)。
ファイル管理システムに保存している個人情報含むファイル180件が、外部からのアクセスな可能な状態になっていたもので、本来は非公開とすべきファイルについて、2007年5月ごろより誤って公開設定にしていたのが原因だった。
主に、学生氏名(445人)や出身中学校(283人)、学籍番号(320人)、出席番号(141人)、一部科目の成績情報(86人分)などが閲覧可能だったという。
学生集会で説明を聞きました (スコア:5, 興味深い)
ここの学生です。
別にXythosのシステムに問題があったわけではなく、教員がデータのパーミッションを公開に設定しまったのが原因だと説明を受けました。今後は公開権限について大幅に制限を掛け、データを公開する場合は内容を精査した上で管理者が行うというふうにやり方を変更するそうです。今までは誰でもデータを公開することができてしまっていたようで、要は今までがやたらと杜撰だったというだけですけどね。
データを公開することができるのは、学生に資料を配布するようなことを想定してのことですが、そのような場合でも何の認証もなく一般に公開するようなことはほとんどありませんので(ふつうはチケットを発行する)、今までどうしてこうなっていたのか疑問に思います。
ちなみにこのシステム関係での漏洩トラブルはこれが初めてではありません。
Re: 学生集会で説明を聞きました (スコア:1)
>>初めてではありません
これですね。 [tokyo-ct.ac.jp]
この時はチケットのURLが掲示されていたってことだったんですか?
そうだとしたらチケットの意味もないのではと思いました。
Re: 学生集会で説明を聞きました (スコア:2, 参考になる)
元コメとは別のACですが、アップロードされているファイルへはURLと共に配布されるパスワードによる認証があるためチケットのURLのみでのアクセスはできません。
ただ、パスワードは任意につけることができるようなので、強度は発行者次第となっています。
Re:学生集会で説明を聞きました (スコア:1)
先生が授業用の資料(教科書)をUSBメモリに入れて教室で回覧した時に、間違って成績評価のファイルもUSBメモリに入れて回して、成績情報が漏洩したのです。
幸い、学内の人間に漏洩しただけだったので、配信メールで先生が謝罪して、削除するよう依頼して終わりでしたが。
一応、学務情報システムというファイルのやり取りも出来る学生支援システムもあるのですが、おじいちゃん先生だったので使えなかったみたいです。
被害が学内という最小限の範囲にすんだのは、まさにローテクの勝利、スニーカーネットの勝利でしょう。
Re: (スコア:0)
見れちゃいけない人がキチンと見れないことを確認するのって内部からだと面倒で大変ですよね。
見れることを確認するのはとっても簡単なんだけど。
その辺、誤って公開設定にしちゃった一般人にも解りやすくする仕組み作りが必要なのかも。
基本がおかしいと思う (スコア:1)
個人情報をインターネット上で管理するのがおかしい。それも、氏名、出身中、学籍番号とかなぜインターネット上に置いておくんだよ。
Re: (スコア:0)
データを漏洩させないためには、金庫に入れて鍵を掛けておけばよい。
でも、それでは不便だからな。
もちろん必要最小限の公開に留めればいい。しかし、必要最小限の選定とシステムの構築が難しい。
Xythos (スコア:1)
利用していたサービスは「Xythos [xythos.jp]」のようです。
紹介PDF [xythos.jp]
個人情報漏えい防止で導入したそうです。皮肉ですね。
Re:Xythos (スコア:2, おもしろおかしい)
そのサービスを運営している業者のWebサイト [assistmicro.co.jp]には
世界の革新的なソフトウェアを
日本レベルの品質でお客様にお届けします。
とありますね。
本当に日本レベルの品質でお届けしちゃったんだと思います。
Re:Xythos (スコア:1)
>東京高専では、Xythosを利用し、学校のオフィシャルページとは別に、学科ごとのホーム
>ページの公開をめざしています。
なぜ、漏洩防止目的で導入したツールを使って一般公開しようとしたんだろうか?
管理する能力がないんだから、公開用と秘匿用でツールを分けないと。
情報工学科があるのに (スコア:0)
東京工業高専には情報工学科 [tokyo-ct.ac.jp]があるそうで。
情報工学科の教員たちは数年間杜撰な個人情報管理の体制について何も言わなかったのだろうか。
Re:情報工学科があるのに (スコア:1)
教員はシステムの利用者で、日々の業務もあるわけで、セキュリティ監査まではムリでしょう。
そもそも安全管理等のマネジメント側の業務ですから、組織の管理層の意識しだいです。
工学はあくまで技術側で、人や組織の問題は経営学なので、工学と経営学は分野違いです。
ですから、工学の教員に組織体制、構築、再編等を期待することは完全に専門外ですよ。
問題があることは分かっても組織体制の構築、ワークフロー設計や対策費用などをどうするかのかは経営側でないと判断できませんよね。
それに、教員もサラリーマンなんだから業務命令に従い、組織体制については意見をいたずらに言えない立場ですよ。
端的に言えば主従関係の弊害です。
日々の業務遂行には主従関係はいいが、部門間の調整が必要になるようになると上を通さないといけないわけで、上が出身部門以外は専門外なんてことになると判断を誤ったり、出身部門に優先して経営資源を投入したりで困ったことに。主従関係の弊害を回避するために各部門をすごろく(出世街道)した人が上に立つ様になったわけだったり。
組織の規模が大きくなると組織全体や社会のためにはたらく経営者(良くも悪くもサラリーマン経営者)を養成することが経営課題になりますが、200名以下(多くは50人以下)の組織の大半では稼ぎ頭の部門の出身者が経営を行うので、専門外の分野は判断ミスをしがち。
Re: (スコア:0)
黒板に間違いを書いてて生徒に指摘されると、気付くかどうか試したんだって言う先生いるじゃん。あれだよ。
この件、システムの脆弱性をハックしようとする生徒がいたかどうかが鍵じゃないかと
Re: (スコア:0)
情報工学科があっても教員も実際の運用までは把握してないケースがほとんどじゃないですか。
教員自体もそういう運用の知識なさそうだし。
自分の大学でも学務システムでURL削るとINDEX表示されちゃって、しかもそこから学生のIDとパスが残されたログにアクセスできるっていう
ひどい状態が放置されてました。
いくら7,8年前とはいえ、あれはひどかったなあ。
Re: (スコア:0)
セキュリティホールや今回のような設定ミスを発見したら試験の成績を問わず単位をやるって授業があってもいいのにな。
Re: (スコア:0)
生徒には申し訳ないが、一般的に、こういう教えてる内容と経営がちぐはぐな学校というのは、
単なる塾と一緒で、学問とは言えない
くにたち東京工業高専 (スコア:0)
あ、国立市じゃなくて八王子にあるんだ。
Re: (スコア:0)
それは電通大学のネタです。
彼らからそのネタを奪わないで上げてください。
Windowsじゃないから安全 (スコア:0)
わらた