2010年12月07日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(31) - 千代田興産株式会社篠栗図書館に見るIT版ストックホルムシンドロームの病理[http://sasaguri1.uxt.cknet.co.jp/][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

以前に、 IT版ストックホルムシンドローム[http://www.nantoka.com/~kei/diary/?20100819S1] として、 システムを人質 に取られた結果、システム業者の言いなりになっていく発注者を指摘した。
今回、「システムを人質に取られる」ということがどういうことか。 ある図書館[http://sasaguri1.uxt.cknet.co.jp/] の事例を入手したのでご紹介したい。
図書館システムレベルアップに関する提言書「図書館システムレベルアップに関する提言書」という資料を入手した。「提案書」ではなく、「提言書」である。
この時期、笹栗町は、導入していた旧版のMELILからのシステム更改の時期を迎えており、旧版のMELILを導入していた千代田興産株式会社が、図書館システムの「レベルアップ」を行うための検討資料として「提言」した文書であろう。
旧システムを導入、保守していた立場であるから、ある意味で、 システムを人質に取っている立場 の千代田興産がどの様な提案をしているのか、非常に興味深い。 図書館システムレベルアップに関する提言書 - コメント提言書は、システム移行の際には、「利用者サービスの低下を最小限度」にすべきであるとし、他社システムに移行する負担を列挙し、同社システムのバージョンアップで対応すべきであるとしている。
例えば、提言書では、
(1)移行には高度技術と大きな時間が必要となります。→ 1ヶ月以上の休館
篠栗町版MELILは、DBがオラクルで、コード体系データなどがACCESS(アクセス)を利用しており他社システム移行時には、オラクルシステム及びアクセスシステムの知識・システム環境が必要となります。
図書館システムレベルアップに関する提言書, 千代田興産株式会社, 平成21年4月22日
のだと言う。
なんと、 MELILシステム導入館が他社のシステムに移行するためには、1ヶ月程度の休館が必要 になると言うのだ。
実際、 「F社」システムのリプレースの際には、1〜2か月の休館が必要であった という事例報告がなされている *1
しかも、 MELILシステムからのデータ移行は移行費用を請求するし、その費用は事前には想定できない と言う。
そんな、 システムを人質とした「脅迫」 を受けて、他社システムに移行しようと頑張るためにはどれだけの心労が必要であろうか。
実際のところ、仮にデータ移行を依頼したとすれば、どの程度の金額が必要となるか。これは見積を取得したようである。
データ移行見積書金額が黒塗りされた資料しか入手することができなかったが、果たして、他社に移行する際に必要となる費用が明らかにすることが、 当該法人等又は当該個人の権利、競争上の地位その他正当な利益を害すると認められるもの に相当するのだろうか。
見積条件もふるっている。
移行作業は、図書館既存データのパックアップを行い、弊社のコンピュータにて実施いたします。
他社殿向けデータ移行作業見積書, 千代田興産株式会社, 平成21年6月19日
図書館利用者の個人データを持ち出すと言っているのだ。この言説を システムを人質に取った脅迫 と言わずしてなんと言おう。
結果、篠栗町立図書館としては、他社システムへの移行を含む競争入札での移行は諦めざるを得なかった様だ。
酒々井町立図書館[http://www.tosyokan.town.shisui.chiba.jp/] が、 システム導入仕様書[http://www.nantoka.com/~kei/diary/?20100910S1] に入れた項目が光る。
*1: 不思議なことに、別の自治体における、F社からの移行案件での提案に、「5日間の休館で移行が可能」と提案し、この移行期間の短さが決め手となって、プロポーザルでの高評価を獲得している。どういうことだろうか。

■ 関連記事

詳細はこの日の詳細から

2009年12月07日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1「首相官邸ブログ」と称する何か[セキュリティ][政治]次の記事 >> このエントリーをはてなブックマークに追加

1日の記事[http://www.nantoka.com/~kei/diary/?20091201S1] へのコメントによって、「首相官邸ブログ」と称するページが公開されていることを知った。当該サイトは、一般に提供されているブログサービス上に公開されているが、鳩山首相の写真や 五七桐紋[http://ja.wikipedia.org/wiki/%E6%A1%90%E7%B4%8B] が配されており、ドメイン名を気にしなければ、いかにも日本政府が公式に提供しているページに見える。
「首相官邸ブログ」と称するページ
内容はと言うと、 鳩山内閣のメールマガジン[http://www.mmz.kantei.go.jp/jp/m-magazine/index.html] を引用したような記事が並んでおり、メールマガジン登録のバナーも貼り付けられている。
いくら 偽メール事件[http://ja.wikipedia.org/wiki/%E5%A0%80%E6%B1%9F%E3%83%A1%E3%83%BC%E3%83%AB%E5%95%8F%E9%A1%8C] で名をはせた民主党政権とはいえ、政治家個人のページではなく、首相官邸という政府機関の名を冠したページを、特定の民間企業が定めた 利用規約[http://helps.ameba.jp/rules/post_104.html] の下に提供されるページに置くわけがないから、恐らく、広告収入を目的としたspamサイトの一種ではなかろうか *1 。 その様な懸念であえてリンクをはらないでいるが、検索エンジンでもかなり上位に表示されるようだ。
今のところ、公式メールマガジンをコンテンツとして、アクセスを集めているだけであろうし、本物の政府官邸サイトにあたって、このページが信頼できるものかどうかを確認できるような利用者は偽物と判断できるから、実害は無いかもしれない。
しかしながら、この様な偽サイトが放置されれば、インターネットの情報は迂闊に信用できないというネガティブな実績が作られることになる。 インターネットは、偽サイトを偽サイトと見分ける能力がある人だけのものではないはずだ。
この様なページこそ、 プロバイダ責任(制限)法[http://ja.wikipedia.org/wiki/%E7%89%B9%E5%AE%9A%E9%9B%BB%E6%B0%97%E9%80%9A%E4%BF%A1%E5%BD%B9%E5%8B%99%E6%8F%90%E4%BE%9B%E8%80%85%E3%81%AE%E6%90%8D%E5%AE%B3%E8%B3%A0%E5%84%9F%E8%B2%AC%E4%BB%BB%E3%81%AE%E5%88%B6%E9%99%90%E5%8F%8A%E3%81%B3%E7%99%BA%E4%BF%A1%E8%80%85%E6%83%85%E5%A0%B1%E3%81%AE%E9%96%8B%E7%A4%BA%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%B3%95%E5%BE%8B] を活用して取り締まれないものか。
*1: ページ上には、ブログ運営サイトの広告が貼り付けられている。

この記事に頂いたコメント

Re: 「首相官邸ブログ」と称する何か by よー    2009/12/08 03:27
取り締まるなら軽犯罪法(官名詐称)や著作権法でしょう。 責任制限法は責任を追及す...

■ 関連記事

■2 JVN#79762947 EC-CUBE における情報漏えいの脆弱性[http://jvn.jp/jp/JVN79762947/index.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

緊急です。
顧客情報が、一般ユーザーのブラウザ上から閲覧できる、極めて緊急度の高い深刻な脆弱性です。
ということで、修正コードが公開されています。
ざっと見てみたのですが、認証ページを経ずに直接、閲覧ページにリクエストをすると認証無しに結果が得られてしまうというパターンなのでしょうか。検証サイトを立ち上げればはっきりするとは思いますが。
いずれにせよ、無権限ユーザーの管理機能へのアクセスを許してしまうと言うのは大問題ですから、
システム設計
例)管理システムはインターネットからアクセスできない
コード設計
例)管理システムは統一されたベースクラスで権限が確認される
コード実装
例)XSS, SQL Injection対策
レビュー
例)設計レビュー、コードレビュー
等の手段で安全性を確保しようとするもので、今回の脆弱性に関しては、設計段階で配慮するか、レビュー段階で実装者間ででも簡単なレビューを行っていれば発見できていたレベルに見える。
自分が脆弱性の発見に貢献したわけでは無いので大きなことは言えないけれども、探せばもっともっと出てくるような気もするので、もっと注目していかないといけないと感じると同時に、クライアントにすすめるような機会があったら、費用掛けてでもレビューを一緒に勧めるべきだと思った。

■ 関連記事

詳細はこの日の詳細から

2005年12月07日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 簡単!やさしいセキュリティ教室 金融犯罪に遭わないために[http://www.smbc.co.jp/kojin/security/index.html][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

高木先生のとこ[http://takagi-hiromitsu.jp/diary/20051206.html#p01] から。
確かに良くできている。後はグループ全体で、これに反するページや運用を行わないようにして頂きたいところ。

■ 関連記事

■2 「殺人犯潜伏」放映、神戸の小学校抗議にテレ朝が謝罪[http://headlines.yahoo.co.jp/hl?a=20051207-00000506-yom-soci]<< 前の記事 このエントリーをはてなブックマークに追加

この件といい、 養鶏業者に言いがかり[http://www.sankei.co.jp/enak/2005/nov/kiji/30hosoki.html] の件といい、超能力や占いを事実として取り上げるマスコミの姿勢にも、それで視聴率が取れる状況に問題を感じる。

■ 関連記事

詳細はこの日の詳細から

2001年12月07日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 LinuxベースのVPN箱[http://www.centurysys.co.jp/xr/index.html][CLIP]次の記事 >> このエントリーをはてなブックマークに追加

IPsecの暗号処理をハードウェアで実現していて、8Mbps位出せるらしい。 ソフトウェア版も出ているので、そんなに速度が要らない拠点ではそちらを選ぶのもあり。
価格はオープン価格となっているけど、 実売4〜6万円[http://www.watch.impress.co.jp/broadband/news/2001/11/09/xr-300.htm] らしい。

■ 関連記事

■2 アクセスが・・・[http://www.nanet.co.jp/][IPv6]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

一件もない。設定失敗してる?
IPv6でページが見えるかどうかテスタって世の中にないかな。 って作るとみんな便利かも知れず。

お、来た来た!:

大丈夫だったらしい。 やっぱりどこからのお客さんかは気になるので、digの使い方を調べる。.ip6.int.形式で引くときは、
dig -n -x 2001:218:49a::80
みたいに引くと良い *1
*1: あやうく逆引き用の形式を生成するスクリプトを書きそうになったが、ちゃんとマニュアル読んで正解。

■ 関連記事

■3/etc/rc.conf[freebsd]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ちょっと頑張ればラクできるのに、伸ばし伸ばしにしてるからもっと大変なことになるってのは良くあるけど、 とあるところのホストの/etc/rc.confがそれ。
FreeBSD-2.2の時代から、そのままコピー修正を続けてきて、/etc/default/rc.confを使う構造になっていない。 次こそはマージできるようにしよう。

■ 関連記事

■4 続・ウイルスメール[http://www.nantoka.com/~kei/diary/?200111c&to=200111301&ref=here#T200111301][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

真剣に欲しいと思って探したのだけれども見つけ出せなかった。 アーカイブし直すってのは良いと思うんだけどなぁ。
便利さに逆行?

■ 関連記事

詳細はこの日の詳細から

以上、10 日分です。

指定日の日記を表示

前月 2020年06月 翌月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project