パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否」記事へのコメント

  • by Anonymous Coward

    リンク先の過去記事

    > 教委側は損害額を約1億6500万円と算定している。
    > これは「この問題の対応費用」約1億円に加えて、
    > ネットワークの再構築費など約5000万円、
    > それに諸経費を加えたものだという。

    それ以前にまず、

    > 児童生徒など約4万7000人の個人情報が流出

    に対する補償をするのが筋なんじゃないか。
    #一人500円で2350万円? 対応費用の内?

    同じ過去記事に

    > お、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、
    > 流出したという証拠となるものは現在のところないようだ。

    とあるな。

    • by Anonymous Coward

      そういうこともひっくるめて、NTT東が「うちに責任はない」と言ってるってことでは。

      • これだけの記事だとわからないため単なる推定ですが,内部ネットワークやその機器はNTT東の管理でなくて,
        NTT東管理の公開サーバーやファイアウォールがだめでも,内部ネットワークのマシンがきちんとしていれば,
        流出することはなかったということでしょうか。
        だから公開サーバの直接的な損失以外の補償は必要ないと。

        • by Anonymous Coward on 2020年02月21日 23時02分 (#3766794)

          前橋市は問題のサーバーの保守管理はNTT東が請け負っていたという。
          NTT東は責任範囲外という。
          矛盾してるよな。
          こういう場合は大抵契約無視でごねてるものだけど、さあどっちでせう。

          親コメント
          • by vax730 (32985) on 2020年02月22日 0時10分 (#3766813)

            報告書が
            https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
            にありますが,これでもわからないです。
            踏み台になったことは確かみたいですが,流失したデータを保存したサーバはどこが管理していたかです。
            あと
            市の情報政策課は,情報セキュリティの監査の中で,人的セキュリテ
            ィ(USB,パスワードなど)に関する監査については市教委を含めて実
            施していた。しかし,技術的セキュリティに関する監査は,行政ネット
            ワークについては順次実施していたが,MENET については実施してい
            なかった。また,市教委は,自身が行う MENET についての自己点検を
            実施していなかった。
            とも書いてあります。

            親コメント
            • 報告書 p.5 には仕様として「センター運用/システム管理業務,依頼作業の実施 障害復旧・バージョンアップ/パッチ作業以外のシステム管理業務及び管理部門からの依頼作業を行う。」と書いてあって、NTT東がそれを受けた業務契約をしている以上、この報告書ベースだと
              1. セキュリティパッチがあたっていなかったのは市教育委員会(ただし、提案書に総合的なセキュリティソリューションをNTT東が提供するとあるので、契約でもNTT東が応分の運用または支援を約束していた可能性は高いと思われる)
              2. FWは NTT東

              かな。ただ東京地裁H23(ワ)32060号などを考え合わせると NTT東側の脇の甘さが目につくように思われますけど。

              親コメント
            • by Anonymous Coward

              報告書ではバックドアが仕込まれた『教育資料公開サーバの管理は,市教委の中の前橋市総合教育プラザ』と書かれています。

              データを保存したサーバは内部のファイルサーバで、ドメインコントローラに管理者アカウントで接続した、とあるので、公開サーバに仕込んだツールでIDとPWを抜いたんですかね?

              DMZから内部に接続できる設定のFWを納品したNTTも致命的ではあるけど、意思伝達漏れで公開サーバを管理者不在にして放置した前橋市総合教育プラザもなんらかの過失は問われるべきかと。

              • by Anonymous Coward

                ドメインのメンバーのPC、サーバーは自閉が出来ない
                (ドメインサーバーの予期しないタイミングのアクセスに
                 全て答えないと、ドメインネットワークでなくなる。)
                のでは?

              • by Anonymous Coward

                RODCがいればそのメンバ自体がネットワーク境界を超える必要はないね。

              • by Anonymous Coward

                RODCは、DC自身のセキュリティーを高める
                (ROなので、施錠されていない所に置いてもOK)為のみで、

                やはり自閉出来る訳では無く、ROで無いDCとの通信は
                必要で、そのポートを利用してDomain Adminsがリモートで
                各PC、サーバーにサインイン出来るのでは?

              • by Anonymous Coward

                DC-RODC-メンバの構成はできますよ。というかしてますよ。
                あと意外と勘違いしてるかもですが、もともとActive Directory自体メンバ側はオフライン運用もできます。

              • by Anonymous Coward

                でも、そのメンバPCが、ドメインの信頼関係に頼った
                共有フォルダのアクセスをしたいなら、
                SMBのボートは、双方向でアクセス可能(FW的にはざる)に
                しないといけなく、それはオフライン運用とは言えないのでは?

                http、httpsのように一方向+そのセッションに限り双方向で
                その共有フォルダの良さを享受しようと、
                VPNルータを買って、やって見たのですが、いくらやっても
                駄目でした。

            • by Anonymous Coward

              「流失したデータ」ってかなり深刻な被害ですね。

          • by Anonymous Coward

            命題①前橋市の主張は、問題のサーバーの「保守管理」はNTT東が請け負っていた
            命題②NTT東の主張は、「外部からのアクセス制限やセキュリティアップデートを適切に行っていなかった」のは責任の範囲外

            NTT東の主張は、請け負った保守管理契約において
            「外部からのアクセス制限やセキュリティアップデートを適切に行う」は瑕疵責任に含まれない
            であり、言うほど矛盾しているかね?

            • by Anonymous Coward

              例えばハードウェアの故障に関する保守契約だけを結んでるなんてよくある話だよね。
              それなのに特定のソフトが動かないと電話かけてくる客も良くある話。

犯人はmoriwaka -- Anonymous Coward

処理中...