前橋市教委、不正アクセス被害を受けたサーバーの管理運用委託先であるNTT東に損害賠償を請求へ 28
ストーリー by hylom
金額の妥当性は 部門より
金額の妥当性は 部門より
今年3月、群馬県・前橋市教育委員会の情報ネットワークに対する不正アクセス事件が発生した。この事件の経緯についてはpiyologが詳しいが、公開されていたWebサイト用のサーバーが最初に攻撃を受けて不正アクセスされ、このサーバー経由でネットワークに侵入されたようだ。
この問題に対し、前橋市教委はサーバーの保守管理委託先であるNTT東日本に損害賠償を請求するという(上毛新聞)。
教委側は損害額を約1億6500万円と算定している。これは「この問題の対応費用」約1億円に加えて、ネットワークの再構築費など約5000万円、それに諸経費を加えたものだという。なお、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、流出したという証拠となるものは現在のところないようだ。
問題となった公開サーバーは2014年から更新されておらず、またファイアウォールも有効に機能していなかったという。また、教育委員会が事件発生前にNTT東に対して安全性を確認したところ、同社は問題ないと回答していたそうだ。
セキュリティ対策実施方針 (スコア:1)
前橋市教育情報ネットワーク(MENET)セキュリティ対策実施方針
http://www.city.maebashi.gunma.jp/sisei/532/001/p019915_d/fil/housin.pdf [gunma.jp]
> 市教委側に、システム全体を統括でき、発注者の責任(委託事業者の管理・監督を含
む)を果たせる体制を作ることが必要である。
発注者は何を委託しているか判断することもできませんでした。ってことですか?
Re: (スコア:0)
ハードウェアの保守とソフトウェアの保守とシステムの保守とは違うのにね。
うん。だめだろ。 (スコア:0)
・2014年から更新されておらず
・ファイアウォールも有効に機能していなかった
・上記の状態で安全性に問題はないと言い張る
Re: (スコア:0)
問題はそれが委託内容・契約内容に含まれていたかだな。
全体的にはその通りだが、誰がその管理責任を負うべきなのかが変わる。
Re:うん。だめだろ。 (スコア:5, 参考になる)
・公開サーバーが2014年から更新されていなかった。
・NTT東日本が行った初期設定の不備により2つのファイアウォールが有効に機能していない状態であった。
・ファイアウォールの運用はNTT東日本群馬支店が委託されていた。
・NTT東日本は設計に基づく総合試験において、実際に確認されていないにもかかわらず問題となった設定は合格とされていた。
・2016年に発生した佐賀県教育情報システムの不正アクセス事案を受け、前橋市教育委員会がNTT東日本へ安全性を確認し、同社は基本設計に基づき問題ないと回答していた。
まぁ負けるわなw
Re:うん。だめだろ。 (スコア:1)
これって最近話題の品質偽装まんまなんじゃ…。しかも実害が出てる。
NTTの規模からするともっと大問題になって然るべきなのにIT業界は許されちゃうのか。
Re: (スコア:0)
日本だしNTTだからね。
Re: (スコア:0)
いや、一般人は、NTTですらこれなら他社はもっとひどい酷いと思うのでは?
#日本のIT業界がダメポなのは同意するけど
Re:うん。だめだろ。 (スコア:1)
一般人は「NTTですら」って思うんですね。
業界人だと「どうせ一次請がNTTなだけで中抜きごっそりしたうえでどこかに下請けでやらせたんでしょ」って思うもんです。
中抜きされてまともな利益を出せる金額じゃない仕事なので、手を抜いたか、そういう手抜き会社しか引き受けなかったとかいうオチじゃないかな。
でも、こういうときに賠償金を払える体力があるというのが大手を指名する最大の理由です。
Re: (スコア:0)
ブランド信者はそう思うでしょうね。
各システムトラブル追えばたどり着くトコだと思っちゃいないでしょうし。
Re: (スコア:0)
この費用感なら、専任に近い状態で高品質な手厚いサポートで請け負ってくれる個人はいくらでもいそう。
Re: (スコア:0)
テストから漏れたのと、テストを改ざんしたは全く違うと思うが。
Re: (スコア:0)
×:許されちゃう
〇:炎上していない
何か大きなものに煽られたら火の海になるかも。
Re:うん。だめだろ。 (スコア:1)
自治体の指名停止だって「やれるものならやってみな」と言えるし。
Re: (スコア:0)
指名停止は機械的に行われますから、日本郵便だろうがNTTだろうが対象になりますよ。
Re: (スコア:0)
え?独占してるわけでもトップでもないNTTなんかになんでビビる必要があるの?
https://enterprisezine.jp/article/detail/11040 [enterprisezine.jp]
Re: (スコア:0)
独占してても指名停止食らうときは食らう。日本航空電子とか。
#指名停止前に停止期間中の分も仕入れて在庫で遣り繰りしたそうで。
Re: (スコア:0)
Re: (スコア:0)
NTT本体にSI能力なんてないんだからデータが絡んでないわけがない。データ使わずに地元の下請けにやらせたのかな?
Re: (スコア:0)
Re: (スコア:0)
契約金額はいくらだったんだろう?
Re: (スコア:0)
払いが悪かったんじゃねーの。
Re: (スコア:0)
だとしたら、「問題ない」って言ったらダメだろ。
Re: (スコア:0)
火炎瓶が投擲されなくてよかったね。
Re: (スコア:0)
安倍首相への個人攻撃はやめてください!
Re: (スコア:0)
ちょっと構成が分からないんだけど、
FWの設定不備の影響で、本来DMZにある公開サーバーからアクセスできないはずのMENETに入れてしまう状態だった・・・ってこと?
保守予算 (スコア:0)
自治体のWEBサーバ保守予算とか5年間ぐらいじゃないのかな?
5年後以降の予算が出たとしても満額出るのかな〜。
Re: (スコア:0)
5年後のことなんかわかんないのに、よくまとめて予算決められるなぁー
日本のデフレの時代はもうとっくに終わったぜ