首都大学東京の情報流出の件で公開質問状送ったら *ちゃんとしたのが* 返ってきた
首都大学東京の情報流出の件で公開質問状送った - 職質アンチパターン
これの件です.ちゃんとしたのが返ってきたので共有します. ご返答ありがとうございます.
以下回答ですが,雑にhtml組んだために読みにくいので生のpdf置いておきます.適宜見てください.pdfで読むほうが書いた人のあたたかみを直に感じられるので体験が高いでしょう. https://dl.dropboxusercontent.com/u/14832699/%E3%81%94%E8%B3%AA%E5%95%8F%E3%81%B8%E3%81%AE%E5%9B%9E%E7%AD%94.pdf
以下引用.
| No. | ご質問 | 回答 |
|---|---|---|
| 1 | 外部から FTP でアクセス可能という事だったが,これは anonymous FTP だったのか | 当該NASは、教務課内のみで情報共有を行う目的で設置しておりましたが、アクセス権限を設定していなかったため、結果的に外部からアクセス可能な状態(anonymous FTP)になってしまっておりました。 |
| 2 | なぜ外部からのアクセスにも関わらずファイルへのアクセス権限があったのか | 同上 |
| 3 | 作業者,つまり NAS に格納されているファイルを使って業務を行う人間は,システムがこのような状態,つまり外部から自由にアクセス可能になっていることを知っていて使っていたのか.あるいは知らずに使っていたのか. | 当該NASが、外部からアクセス可能な状態になっていたことを把握しておりませんでした。 |
| 4 | NAS の設置者及び管理者は誰か. | 設置者及び管理者は、いずれも教務課長です。 |
| 5 | 作業者,つまり NAS に格納されているファイルを使って業務を行う人間は学外から作業する為にこの NAS にアクセスして作業していたのか | 当該NASへのアクセスについては、教務課職員が教務課の執務室内からアクセスする場合にのみ認めておりましたので、職員が学外からアクセスし作業していたことはございません。 |
| 6 | 公立大学法人首都大学東京における個人情報の適正な管理に関する規程(http://www.houjin-tmu.ac.jp/extra/download.html?d=assets/files/download/compliance/kojinjyohou_kanri.pdf)の第3条3項には「情報システムを所管するシステム管理者は、情報システムにおける個人情報の適切な管理を図るために、情報システムにおけるセキュリティシステムの整備やアクセス制限等の管理運用上の取扱い並びに電子機器やデータ保存媒体の管理・取扱い等について、必要な措置を講ずるものとする。」とある.本件からはこれが満たされているようには見えないがなぜか. | 当該NASが、外部からアクセスできない状態にあるものと考えておりましたので、必要な措置をとることができておりませんでした。 |
| 7 | 謝罪文(http://www.tmu.ac.jp/news/topics/8447.html?d=assets/files/download/news/press_150119_2.pdf) に「所管する大学及び高等専門学校における個人情報の適切な管理について、研修等を通じて教職員の意識の啓発を図ってまいりました」とあるが,具体的にどのような研修を行っていたのか. | 個人情報保護に関しては、根拠規定や過去の事故事例の紹介、個人情報を取り扱う場合の注意点など、個人情報の管理方法等に関する研修を行っています。また、情報セキュリティに関しては、「情報資産の定義からその管理方法等、各職員が情報資産を用いて業務を行う際守るべき10のルール」についての理解と周知を図ることを目的とした内容の研修を実施しています。さらに、標的型メール攻撃対策訓練も行っています。このような研修等の実施のほかに、チェックリストを用いた自己点検の実施や学内会議などの場における注意喚起を通じて、必要な知識の習得及び意識の向上を図っております。 |
| 8 | 謝罪文(http://www.tmu.ac.jp/news/topics/8447.html?d=assets/files/download/news/press_150119_2.pdf) に「教職員に対し情報セキュリティの教育・指導を徹底してまいります」とあるが具体的にはどのような対応をとるつもりなのか. | まずは、今回多大なるご迷惑をおかけいたしました関係者の皆様への対応を最優先にさせて頂いております。今後速やかに事故の原因や現状の問題点を分析し、それを踏まえた上で、具体的な再発防止に向けた取組を実施してまいります。 |
| 9 | 今後,**具体的に** どのような再発防止策をとるつもりなのか. | 同上 |
| 10 | NAS の FTP 共有を無効にして当座の対策としたとのことだが (参照:http://www.itmedia.co.jp/news/articles/1501/19/news149.html),問題の NAS はまだ外部につながっているのか. | 当該NASについては、現在は外部からアクセスできない状態にしております。 |
| 11 | 本件で損害を被った人間に対する補償・補填等はあるのか.無いとすればそれはなぜか. | お問合せ窓口等にお寄せていただいている関係者の皆様からの声を通じまして、まずはしっかりと状況の把握に努めさせていただきたいと考えております。 |
引用ここまで.
なるほど……(オオ,もう……
