佐賀県教育システムへの不正アクセス、人間の心理的弱さなどが要因 - 第三者委提言

教育委員会や教職員、委託事業者にセキュリティの基礎知識がなく、管理者パスワードの管理に問題があるなど、運用上の問題があったことにくわえ、情報流出が発覚する1年前に兆候を検知していたにもかかわらず、過小評価し、縦割り組織のため情報共有がなされていなかった。

さらに責任の所在が不明確であり、システムの脆弱性を早期に発見できなかったことなど、複数の課題を指摘した。

今後事故を防ぐには、今回の事件を考慮しただけの対応ではなく、包括的なセキュリティ対策が求められるとし、短期的な対策として「アカウント管理」「監査の実施」「関係者による情報共有体制の確立」「セキュリティ文化の確立」の4項目を速やかに実施することを要請。

また中長期的対応として、CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）などが統括するセキュリティ専門組織の設置や、情報公開の実施などを提言に盛り込んでいる。

（Security NEXT - 2016/10/31 ）ツイート