piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

不正アクセス事案を受けたシステム保守委託先への損害賠償請求についてまとめてみた

2020年2月19日、前橋市は2018年3月の不正アクセス事案を受け、委託先のNTT東日本に対し損害賠償請求の提訴をすることを明らかにしました。ここでは関連する情報をまとめます。

約1億7700万円を請求

  • 前橋市教育委員会が被害を受けた不正アクセス事案に対し、適切な管理を行っていなかったとして委託先のNTT東日本に対し民事訴訟を提訴するというもの。債務不履行、不法行為責任に基づく損害賠償を請求する。請求額は復旧対応費や弁護士費用、損害遅延金支払いなど約1億7735万円。*1
  • 前橋市が2月19日に開催された教育福祉常任委員会にて明らかにされた。(同会議題「訴えの提起について(損賠賠償請求)」)
  • 不正アクセス被害を受けたのはMENETと呼称された市教育委員会のネットワーク。児童・生徒の個人情報など約4万7千人が影響を受けた。当時の状況は以下にてまとめている。

piyolog.hatenadiary.jp

  • 請求額の内訳は常任委員会を取り上げた報道では訴訟を控えているという理由で明らかにされていない。市の資料から少なくとも以下の内容が含まれるとみられる。
請求に含まれるとみられる項目 金額
前橋市教育情報ネットワーク(MENET)不正アクセスに係る調査、パソコンクリーンインストール等の対応経費(2018年6月補正予算 106,734千円
前橋市教育情報ネットワーク(MENET)不正アクセスに係るネットワーク再構築等の対応経費(2018年9月補正予算 50,236千円
  • NTT東日本は取材に対し対応は代理人に委託しており、その中身や立場についての回答を控えた。*2
第三者委員会の検証

前橋市の第三者委員会が検証した内容によれば、セキュリティ上の重大な問題が事案発生まで放置された原因として、委託事業者側に対しては以下を挙げていた。

本事案では,市教委からのサーバについての通信条件が不明確であることに起因して,本システムが試験時及び運用開始時に基本設計に従わないセキュリティ上の重大な問題を持つネットワークであるまま本事案発生まで放置された。

これにつき,システムを構築した委託事業者側の原因としては次のようなことが考えられる。
・詳細設計以降の再委託先への委託において,管理確認が不十分であった。
・プロジェクト管理の一つである,市教委側とのコミュニケーションを自らが担っているという認識が不足していた。
・運用開始後も,運用業務の中のプロジェクト管理の一つであるコミュニケーションを自ら担っているという認識が不足していたことから,市教委側からの不正アクセス前に生じていた不具合等の調査依頼を受けたことを契機に,ネットワーク上の不備を修正する機会が複数回あったにもかかわらず,活用できなかった。
・個人情報を取り扱うシステムにふさわしい高セキュリティなシステム構築を自らが担っているという認識が不足していた。このため,提案書,要件定義書および基本設計書に高セキュリティと記載し,これを実施する姿勢をうち出していたにも関わらず,セキュリティ設計における当然の注意(due care)を果たすことができなかった。

さらに同報告書では以下内容等が指摘されていた。

  • DMZから機微なネットワークへのリクエスト到達を確認するファイアウォールのテスト項目が存在したが、実際は確認していないにも関わらずこれをやったことにして「到達しないことを確認した」としていた。委託事業者、再委託先の一部関係者はDMZから機微なネットワークに接続可となっている認識があったが事業者全体に共有されていなかった。
  • 市から委託事業者に不具合(本来アクセスできないサーバーへのアクセスが可能、プロキシを経由しないインターネット通信)が報告されていたが、市教委が委託事業者からの情報提供依頼に応答せず、委託事業者もフォローをしていなかったために不具合も放置されたままとなってしまった。
  • 他県の教育ネットワークで発生した事案を受け委託事業者に不正アクセス対策の安全性確認を依頼したが、委託事業者は基本設計書を確認し問題ないと回答を行っていた。(他県の事案とは佐賀県のSEI-NETだと思われる
  • 2017年8月に不正アクセスを受けて以降、ウイルス対策ソフトのアラート管理を行っていなかった。

前橋市とNTT東日本のやり取り

提訴に至るまでの経緯は以下の通り。交渉は代理人を通じてやり取りを行っていた。

日時 出来事
2019年1月 前橋市が損害額を確定しNTT東日本と賠償交渉を開始。同社へ請求書を送付。
2019年2月 NTT東日本より市に対し自社責任外であり請求理由はないとする回答。
2019年7月 前橋市よりNTT東日本へ請求主張を補う文書を送付。
2019年9月 NTT東日本より市に対し現時点で反論の予定はないとの回答。
2020年2月19日 前橋市は教育福祉常任委員会で取り上げ。
2020年3月3日 前橋市 市議会第1回定例会で提案される予定。可決されれば提訴。
2020年3月26日 前橋市がNTT東日本を提訴。*3

更新履歴

  • 2020年2月21日 AM 新規作成
  • 2020年3月28日 AM 続報反映