パスワードを忘れた? アカウント作成
13699430 story
NTT

前橋市教委、不正アクセス被害を受けたサーバーの管理運用委託先であるNTT東に損害賠償を請求へ 28

ストーリー by hylom
金額の妥当性は 部門より

今年3月、群馬県・前橋市教育委員会の情報ネットワークに対する不正アクセス事件が発生した。この事件の経緯についてはpiyologが詳しいが、公開されていたWebサイト用のサーバーが最初に攻撃を受けて不正アクセスされ、このサーバー経由でネットワークに侵入されたようだ。

この問題に対し、前橋市教委はサーバーの保守管理委託先であるNTT東日本に損害賠償を請求するという(上毛新聞)。

教委側は損害額を約1億6500万円と算定している。これは「この問題の対応費用」約1億円に加えて、ネットワークの再構築費など約5000万円、それに諸経費を加えたものだという。なお、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、流出したという証拠となるものは現在のところないようだ。

問題となった公開サーバーは2014年から更新されておらず、またファイアウォールも有効に機能していなかったという。また、教育委員会が事件発生前にNTT東に対して安全性を確認したところ、同社は問題ないと回答していたそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年09月01日 8時17分 (#3472334)

    前橋市教育情報ネットワーク(MENET)セキュリティ対策実施方針
    http://www.city.maebashi.gunma.jp/sisei/532/001/p019915_d/fil/housin.pdf [gunma.jp]

    > 市教委側に、システム全体を統括でき、発注者の責任(委託事業者の管理・監督を含
    む)を果たせる体制を作ることが必要である。

    発注者は何を委託しているか判断することもできませんでした。ってことですか?

    • by Anonymous Coward

      ハードウェアの保守とソフトウェアの保守とシステムの保守とは違うのにね。

  • by Anonymous Coward on 2018年09月01日 8時17分 (#3472335)

    ・2014年から更新されておらず
    ・ファイアウォールも有効に機能していなかった
    ・上記の状態で安全性に問題はないと言い張る

    • by Anonymous Coward

      問題はそれが委託内容・契約内容に含まれていたかだな。
      全体的にはその通りだが、誰がその管理責任を負うべきなのかが変わる。

      • by Anonymous Coward on 2018年09月01日 9時10分 (#3472347)

        ・公開サーバーが2014年から更新されていなかった。
        ・NTT東日本が行った初期設定の不備により2つのファイアウォールが有効に機能していない状態であった。
        ・ファイアウォールの運用はNTT東日本群馬支店が委託されていた。
        ・NTT東日本は設計に基づく総合試験において、実際に確認されていないにもかかわらず問題となった設定は合格とされていた。
        ・2016年に発生した佐賀県教育情報システムの不正アクセス事案を受け、前橋市教育委員会がNTT東日本へ安全性を確認し、同社は基本設計に基づき問題ないと回答していた。

        まぁ負けるわなw

        親コメント
        • by Anonymous Coward on 2018年09月01日 10時28分 (#3472366)

          これって最近話題の品質偽装まんまなんじゃ…。しかも実害が出てる。
          NTTの規模からするともっと大問題になって然るべきなのにIT業界は許されちゃうのか。

          親コメント
          • by Anonymous Coward

            日本だしNTTだからね。

            • by Anonymous Coward

              いや、一般人は、NTTですらこれなら他社はもっとひどい酷いと思うのでは?

              #日本のIT業界がダメポなのは同意するけど

              • by Anonymous Coward on 2018年09月03日 9時31分 (#3472936)

                一般人は「NTTですら」って思うんですね。
                業界人だと「どうせ一次請がNTTなだけで中抜きごっそりしたうえでどこかに下請けでやらせたんでしょ」って思うもんです。

                中抜きされてまともな利益を出せる金額じゃない仕事なので、手を抜いたか、そういう手抜き会社しか引き受けなかったとかいうオチじゃないかな。

                でも、こういうときに賠償金を払える体力があるというのが大手を指名する最大の理由です。

                親コメント
              • by Anonymous Coward

                ブランド信者はそう思うでしょうね。
                各システムトラブル追えばたどり着くトコだと思っちゃいないでしょうし。

              • by Anonymous Coward

                この費用感なら、専任に近い状態で高品質な手厚いサポートで請け負ってくれる個人はいくらでもいそう。

              • by Anonymous Coward

                テストから漏れたのと、テストを改ざんしたは全く違うと思うが。

          • by Anonymous Coward

            ×:許されちゃう
            〇:炎上していない

            何か大きなものに煽られたら火の海になるかも。

            • マスコミも同業他社も、NTT様に睨まれたら生きていけないので炎上はしないと思う。
              自治体の指名停止だって「やれるものならやってみな」と言えるし。
              親コメント
              • by Anonymous Coward

                指名停止は機械的に行われますから、日本郵便だろうがNTTだろうが対象になりますよ。

              • by Anonymous Coward

                え?独占してるわけでもトップでもないNTTなんかになんでビビる必要があるの?
                https://enterprisezine.jp/article/detail/11040 [enterprisezine.jp]

              • by Anonymous Coward

                独占してても指名停止食らうときは食らう。日本航空電子とか。

                #指名停止前に停止期間中の分も仕入れて在庫で遣り繰りしたそうで。

              • by Anonymous Coward
                え、NTTデータ絡んでるの?と思ったけどどう見ても違うよな。
              • by Anonymous Coward

                NTT本体にSI能力なんてないんだからデータが絡んでないわけがない。データ使わずに地元の下請けにやらせたのかな?

        • by Anonymous Coward

          6 不正アクセス発生前に生じていた不具合等
            (1) 平成28年1月,本来学校の教諭は見られないはずであるデータセンターのサーバ経由で各学校のサーバ内にアクセスできることや,センタサーバにおけるプロキシを経由しないインターネットへの通信があったことから,市教委はこの事象を委託事業者に報告した。委託事業者も内容の確認を行い,市教委へ情報の提供を問い合わせたが,応答はなかった。委託事業者もその応答をフォローすることなく,その後本不具合への具体的アクションに至らなかった。
            (2) 同年6月,他県で生じた不正アクセス案件に関連し,市教委は委託事業

      • by Anonymous Coward

        契約金額はいくらだったんだろう?

    • by Anonymous Coward

      払いが悪かったんじゃねーの。

      • by Anonymous Coward

        だとしたら、「問題ない」って言ったらダメだろ。

      • by Anonymous Coward

        火炎瓶が投擲されなくてよかったね。

        • by Anonymous Coward

          安倍首相への個人攻撃はやめてください!

    • by Anonymous Coward

      ちょっと構成が分からないんだけど、
      FWの設定不備の影響で、本来DMZにある公開サーバーからアクセスできないはずのMENETに入れてしまう状態だった・・・ってこと?

  • by Anonymous Coward on 2018年09月01日 10時02分 (#3472361)

    自治体のWEBサーバ保守予算とか5年間ぐらいじゃないのかな?
    5年後以降の予算が出たとしても満額出るのかな〜。

    • by Anonymous Coward

      5年後のことなんかわかんないのに、よくまとめて予算決められるなぁー
      日本のデフレの時代はもうとっくに終わったぜ

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...