2010年11月02日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(27) - 任天堂株式会社 経営方針説明会/第2四半期(中間)決算説明会 質疑応答[http://www.nintendo.co.jp/ir/library/events/101029qa/03.html][LibraHack][電子自治体][IT調達][図書館] このエントリーをはてなブックマークに追加

Twitterの #LibraHack[http://twitter.com/#!/search/%23LibraHack] のタグに集まっている人たちが、共通の利害関係で結ばれているかとか、同じ敵と戦っているかと言うと、実はそういったことは無くて、部分的に共通するところはあるかも知れませんが、各々異なった目的意識を持って活動し、このタグに集まって、発言しているという事を考えた時に、この動き、旧来の市民運動とか、学生運動とかそういったものとは異なる性質を持っていることに気づきました。
市民運動も学生運動も、利害を共にした者同士が団結してある敵と戦うと言った性質を持ち、特に 学生運動[http://ja.wikipedia.org/wiki/%E6%97%A5%E6%9C%AC%E3%81%AE%E5%AD%A6%E7%94%9F%E9%81%8B%E5%8B%95] においては、「敵」の前には一見、微妙に見える思想の違いが セクト化[http://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AF%E3%83%88_%28%E6%96%B0%E5%B7%A6%E7%BF%BC%29] を生み、時には 内ゲバ[http://ja.wikipedia.org/wiki/%E5%86%85%E3%82%B2%E3%83%90] が生じるほどの対立に発展しました。
根幹に、まず共通した問題意識があり、問題意識の共有から連帯した運動が生まれると言う流れにおいては、問題意識を共有しているかどうかは重要な問題だったのでしょう。
一方、今回の問題。
そもそも問題意識の共有なんかされていませんけども、外から見ると、何となく連帯して動いている。これは実に不思議な形態であると思います。
共有どころか、最初から 各々意識している問題は違うと理解しつつも、「まずは真実を明らかにしたい」「それを多くの人に知ってもらいたい」という思いは共通しており 、真実を明らかにして多くの人に知ってもらう事で、多くの人に自らが提起したい問題を理解してもらうことができるだろうということを期待しているという構造でしょう。
異論が出てくることを承知で、敢えて単純化して問題あるいは改善すべきことと捉えられている事項を列挙してみます。
  1. IT事件に関するトラブル解決のあり方
  2. 司法機関の捜査姿勢
  3. 逮捕された氏の名誉回復
  4. 自治体と業者の関係
  5. 図書館あるいは職員のあり方
  6. 三菱グループ全体の姿勢
  7. SIベンダのあり方
他にも色々出てくるかも知れませんし、単純に括れるものでは無いかも知れません。複数の項目は絡み合ってもいますし、全てが大事とおっしゃる方もあるでしょう。また、問題意識が共通でも、では具体的にどうなれば良いのかと言う思いは当然異なるでしょう。
あるいは、現在の市政運営やMDISに不満がある、他のベンダーを応援していると言った、より直接的な動機によって、この事件を見ている人もいるかも知れません *1
私自身は、この事件が 自治体と業者の関係が見直され、IT調達とSIベンダのあり方が変わるきっかけ になれば良いなという思いを持っています *2
公的機関のIT調達においては、透明性が確保された判断基準で技術が評価されるようになって欲しいと考えています。 会社の大きさや営業の口の巧さではなく、技術が真っ先に評価される様にならなければ、優秀なIT技術者の待遇が良くならない と考えるからです。
技術が並以下であっても、営業が丸め込めば仕事を得られ、しかも技術が低いからこそ追加で随意契約まで得られる…と、そんな状況があったとすれば、企業としては優秀な技術者を厚遇することが難しくなります。こういう状況が、日本のSIベンダーの技術力を危うくし、国際的な競争力まで損なってしまったのではないかと私は思うのです。
表題の任天堂の経営方針説明会の質疑応答。Q8の質疑応答を読んで、 SIベンダーの中で技術的な質問を受けて、きちんと答えられるトップがいる会社がどの程度あるだろうか と考えさせられました。
*1: 必ずしも否定しませんが、その様な動機で私を応援いただいてもご期待に応えられるとは限りません。
*2: この事件に関わり続けている個人的な理由は他にもあるのですが、これを明らかにすることは恐らくないでしょう。

■ 関連記事

詳細はこの日の詳細から

2010年11月04日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(28) - 容易に推測可能なパスワードにリセットし利用者の個人情報を危険に晒す吉田町立図書館[http://www.lib.yoshida.shizuoka.jp/index.asp][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

静岡県の 吉田町立図書館[http://www.lib.yoshida.shizuoka.jp/index.asp] は、この10月末にシステム更新を行った様だが、この際に
システム更新に伴い、すべてのかたのパスワードが生年月日(和暦6桁)に初期化されています。
と、なんと、 パスワードを生年月日にリセットしてしまった 様だ。
吉田町立図書館大きな問題が3つほどある。
1つ目。まず、和暦の生年月日の有効範囲は高々2万通り程度しか無いから、ネット経由であればこの程度の組み合わせを探すのは造作なく可能なことである。
銀行のキャッシュカードの暗証番号が4桁でも何とか運用できているのは、物理的にカードを入手した上で、映像などの証拠が残るキャッシュコーナーに出かけて行き、制限回数以内で当てなければならないからだ。
このシステムの場合、ネット経由で完全に匿名で試してみることが可能であるし、恐らくだがパスワード試行回数に制限は設けられていないだろう。
従って、このシステムは 任意の利用者の生年月日を漏洩するシステム として機能してしまうであろう。
利用者認証2つ目。生年月日を推測できれば、その人としてログインすることが可能である。つまり、借りている本を覗き見たり、読者メモに登録したお気に入りの本を覗き見たり、勝手に本を予約したりということができるのである。
学校のクラスメートの場合、生年月日を知ることは容易であろうし、そもそも365通り程度しか組み合わせが無い。 借りた本に挟まっていた貸出のレシートから、年齢層を推察して、サイバーストーキングを行う場合にも悪用できてしまう。
3つ目。実は、これが最も長期的な悪影響は大きいかも知れない。こういう杜撰な初期パスワードを付けると、 それをそのまま使い続けてしまう人が出る ことと、 パスワードはその程度のもので良いのだと思ってしまう人が出る という問題がある。
誰もが一定期間内に必ずログインを要請されて、しかも初回ログイン時に変更を強制されるのであれば、初期パスワードに利用者番号などの簡単な番号を付与することはトレードオフとして許されるケースも考えられるが *1 、 今回は既に生きたデータが入っている稼働中のシステムであるから、それは許されないだろう。
さらに、生年月日の様な容易に推測可能なパスワードを、ネット経由のサービスで付与されることが、パスワードはその程度のもので良いと言う誤解につながる危険もある。 将来、自治体が他のWebサービスを提供する際にも、利用者が安易なパスワードを付与する危険を誘発しかねない だろう。
さらに、これまでウェブ経由のアクセスを利用したことが無い利用者についても、生年月日でアクセス可能になっているのだとしたら、これらの利用者は危険性に気づくことも無く、生年月日がパスワードとして設定され続けることになるのではないか。
この様に、 吉田町立図書館は杜撰な初期パスワードを設定することによって、利用者のセンシティブな個人情報を危険に晒しつつある。
取るべき対策は以下の様なものになるだろう。
  1. 即刻、Webログイン、館内端末からのログインを停止する
  2. アクセスログを確認し、初期パスワードを推定された利用者の有無を調査する
  3. 本件についての事情と生年月日をパスワードに使うことは危険であることの説明を行う
  4. 初期導入した際[http://web.archive.org/web/20050316214503/www.lib.yoshida.shizuoka.jp/iliswing/opac/Osirase.jsp] と同様に、利用する人に申告してもらい、本人確認を行った上で、パスワードを設定してもらう
パスワード設定する手間を掛けたくないという図書館側の希望があったのか、あるいは移行にあたった業者の提案力に問題があったのかは分からないが、図書館や業者の手間を惜しんで、利用者の個人情報を危険に晒すことは許されることでは無い。
*1: 例えば、初回ログインまでシステム側には何も情報が保存されていないから、他人にログインされても被害が発生しないケースや、セキュリティ被害を全てシステム運営者側が負担できるケースでは許されるだろう。

この記事に頂いたコメント

Re: シリーズ・クロールとDoSの違いと業務… by sugitaro    2010/11/04 12:11
利用者全員、そんなセキュアなパスワードに変更とか… 無茶してますね〜

■ 関連記事

詳細はこの日の詳細から

2010年11月09日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 keikuma-radio on USTREAM[http://www.ustream.tv/channel/keikuma-radio][LibraHack][図書館][Twitter][USTREAM] このエントリーをはてなブックマークに追加

11/13 23:00からオンエア先日の たりき氏[http://d.hatena.ne.jp/Tariki/] のUSTを聴いて。これは、「つながり感」を持つための新たなメディアになり得ると感じました。
先週は、 たりき氏[http://d.hatena.ne.jp/Tariki/] が発表の方をやって下さったので、今週は、私が懇親会を企画してみたと言った感じになっております。
番組では、もちろん、岡崎図書館事件(三菱図書館システム事件)の最近の動きをお話しすると共に、最近読んだ本の話。最近入荷してお勧めした本の話。各地の図書館便り。飲んでいるお酒のお話。「お酒と書物」という、二大文化テーマを扱う割にはゆるゆるした番組を作っていこうと思っています。
初回放送は、11月13日(土曜日) 深夜23:00〜の放送です。頂いたお便りとTLのコメントで番組を作って行きますから、皆様からのメールが頼りです。
keikuma_radio@nantoka.com まで、ラジオネームを添えて、お便り下さい。
では、当日。番組でお会いしましょう。お好きなお飲み物を片手に、おくつろぎください。

■ 関連記事

詳細はこの日の詳細から

2010年11月16日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・keikuma-radio on USTREAM[http://www.nantoka.com/~kei/diary/?20101109S1][図書館][Twitter][USTREAM][おさけ] このエントリーをはてなブックマークに追加

ということで「けいくまラジオ」。週末に放送をしてみました。
今どきは、ミキシングもエフェクトも全部PCでできる様になっていて、デジタル処理ですから音質も良いのでしょうけれども、結構なCPUパワーを必要とする様で、ウチのPCでは負荷が高すぎたのと、私には使いこなせそうになかったので、アナログ機材を活用する方針で。
BGMにする音源は、MD(って最近の人は知らないかも)に予め録音しておいて、ループで再生。これでBGMは手間もCPUパワーも使わずに送出できます。
狙ったタイミングで入れる必要がある音源は、別にノートパソコンを用意しておいて、そちらで foobar2000[http://www.foobar2000.org/] を使って送出することにしました。
こういう感じで、音声系は、アナログミキサーで混ぜて、そのままUSTREAMに送り込めるところまで加工した状態で、USB経由でPCに取り込んでいます。
映像の方は「ラジオ」な訳ですから、静止画しか扱わないのですけれども、操作性が良くて軽いものを求めて、 ManyCam[http://www.manycam.com/] というソフトを使ってみました。
エフェクトで、けいくまショットをかぶせたり、スクリーンキャプチャを出したりもできるので重宝しました。
前回の放送の時は、素材を作ったり、原稿を書いたりするのが大変でしたし、放送の送り出しも、一人でオペレーションするのは上手にできなかったりしましたけれども、リスナーの方も温かく見守って下さった様です。回数を重ねたらこなれてくると思いますので、大目に見てください。
引き続き、お便りお待ちしております。

■ 関連記事

詳細はこの日の詳細から

2010年11月19日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1Ustreamで放送することのできる楽曲[USTREAM][著作権] このエントリーをはてなブックマークに追加

その昔、ミニFMが流行った頃は、まぁ 合法的なミニFMの電波の届く範囲は、拡声器の音が聞こえる範囲と大して変わらない ので *1 、それほど大きな問題にはならなかった様ですが、インターネットを使って、これだけ手軽に、それこそ全世界に、誰もが放送をできる世の中になると、楽曲の権利が問題になってきます。
一方、 けいくまラジオ[http://www.ustream.tv/channel/keikuma-radio] の様なトーク番組を、音楽無しで放送するのは、非常に難しくて、音楽がいかに私たちの生活を彩っているかということを思い知らされます。
と、いうことで、放送することのできる楽曲をいかにして確保するかというのが重要なテーマになってきます。
Ustreamで楽曲を使うためには、 「著作権」と「著作隣接権」の重要な2つの権利をクリアする必要があります *2
大まかに言って、著作権は、作曲者と作詞者の権利であり、曲や詞を使えば、誰が演奏しても、この権利をクリアする必要があります。一方、Ustreamにおいては、 音楽著作権に関する包括契約[http://www.ustream.tv/jp/copyright/1] を結んでいるため、「インタラクティブ配信」が許諾された楽曲に関しては、著作権の問題はクリアできます。
Ustreamでは、JASRAC、イーライセンス、JRCと音楽著作権に関する包括契約を結んでおります。
利用者は、使用した楽曲をUstreamに報告するだけで、利用者自身が許諾を取ることなく、歌を歌ったり、楽器などを用いて演奏する事が可能になりました。
但し、 クリアされるのは「著作権」だけですから、CD等をそのまま使える訳ではない ことに注意が必要です。
音源を用いて、BGMとして利用したり、DJプレイなどを配信する場合、一般的に多くの曲が許諾の範囲外になりますのでご注意ください。利用可能な曲は、こちら(JRCサイト)から検索してください。
上記以外の著作権・著作隣接権の権利処理は利用者自らが許諾を取っていただく必要があります。
実際のところ、自らが許諾を取ることは現実的では無いので、この注意書きにある様に、多くの音源は使うことはできないのです。
そこで、
  1. 自分で演奏する。誰かに演奏してもらう。
  2. JRCの配信可能楽曲から選曲する
  3. 著作権、著作隣接権が切れた音源を使用する
自分で演奏するのは、相応の腕があればもっとも簡単かつ個性も出せて有効なのだと思いますが、残念ながら私にはできません。MIDIを使えばできない訳ではないのですが、放送に乗せられる品質まで打ち込もうとすると、ピアノ曲でも相当に大変でした。
あるいは、誰かに演奏してもらう。演奏した方に許諾をもらうという方法もあります。
JRC[http://www.japanrights.com/]USTREAM利用可能音源検索データベース[http://www.japanrights.com/ust/terms.html] にある音源が、数は少ないのですが、そのまま放送できる楽曲となっています。お気に入りの曲があれば、幸運です。
そして、最後の方法。著作権、著作隣接権が切れた音源を使用するです。
「クラシック」と言われる音楽は、作曲者の死後50年 *3 以上経過しており、ほとんどの楽曲について著作権は消滅しています。
問題は著作隣接権なのですが、これは録音から約50年経つと消滅します *4 。 従って、録音日が非常に重要で、図書館に行って録音が古いCDを探して来たり、 Musopen[http://www.musopen.org/]IMSLP[http://imslp.org/]Wikimedia Commons[http://commons.wikimedia.org/wiki/Main_Page] あたりで、著作権フリーの音源を探したりしています。
まぁ。そういった苦労の中で選曲しております、 けいくまラジオ[http://www.ustream.tv/channel/keikuma-radio] 。次回放送は、20日、土曜日。23時からです。皆様のお越しを心よりお待ちしております。
*1: 隣の市町村からリクエストハガキが来るような「ミニ」FM局とかありましたけれども。
*2: 著作者人格権関係の問題はここでは扱いません。BGMとして通常の使い方をする限りにおいては、著作者人格権が問題になることは無いだろうと考えています。
*3: 細かくは、戦時加算の例外があります。
*4: 細かくは、翌年の1月1日から起算するとか、録音後公表されなかった場合の規定があります。

■ 関連記事

詳細はこの日の詳細から

2010年11月23日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1読んだ本[book] このエントリーをはてなブックマークに追加

ITにまつわる話は、ほとんど出てこないのだけれども、ITアーキテクトは読んでおくべき本。
惹句的な感想メモ。
  • 惨事というのは「たまたま起きた、たった一つ不運」で引き起こされる、ということは稀で、「ダメな設計」「ダメな実装」「ダメな運用」と、その土壌になる組織によって、むしろ、作り出されるべくして作り出される
  • 有形無形の組織的圧力によって生み出される事故
  • 前兆の無い大惨事は無い
  • 第三者が大惨事の事故調査を行うと、必ずと言って良いほど、危険を指摘して無視された内部関係者のメモが出てくる
本書では、多数の「最悪の事故」の事例が紹介されているが、最悪の事故を免れたケースとして、不完全な状態で荷物を積載された貨物船の船長の話が興味深かった。
19世紀当時、レールを作るための鋼材を積み荷として積み込まれた貨物船なのだが、積み荷の固定状態が悪く、嵐で船が揺れる様な事があれば荷物が暴れて沈没しかねない船があった。
一等航海士は、その危険性を会社に訴えるのだが、会社側は耳を貸さないばかりか、それ以上文句を言う様であれば、首にするぞと言われ、引き下がるしかなかった。
それを聞いた船長は、会社側とは一切いさかいをしなかったが、密かに港湾当局に連絡を取り、船の検査をさせ、港湾当局者は荷造りの補強を命じることになる。
同じ積み荷を積んだ船、五隻が出航していったが、無事に到着したのは、この船を含む二隻だけであった。
この話。色々示唆に富んでいると思う。

■ 関連記事

詳細はこの日の詳細から

2010年11月29日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(29) - サイバー攻撃えん罪も…図書館システム不具合[http://www.yomiuri.co.jp/national/news/20101129-OYT1T00017.htm][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

YOMIURI ONLINEの記事[http://www.yomiuri.co.jp/national/news/20101129-OYT1T00017.htm] によれば、
図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。
ということだけれども、 「関係者」に「誤解された男性」が含まれているかどうか が重要なポイントだと思っている。
これまで、岡崎市立図書館、MDIS共に、逮捕された男性への謝罪は行っていないし、それが「逮捕は当然だった」論者の論拠にもなっている様に思う。
もし、「謝罪」が含まれていたならば、私の中では、(狭義の)岡崎市立中央図書館事件は一つの解決だと思う。
もちろん、今後、Webサービスを、サービス提供者が想定しなかった使い方をしたために、システムにトラブルが発生したといった様な事例に、メタに対応できるような仕組みを育てていくことや、図書館システムでも見てきたような、自治体のIT調達の問題は残るのだけれども、これはそもそも息が長い問題だから、長期的に取り組むことになるだろう。
とりあえずは、「調査結果の公表」に注目したい。

図書館のシステムでトラブル[http://www3.nhk.or.jp/news/html/20101129/k10015521551000.html]:

17時台のNHKニュースでも取り上げられた模様です。

三菱電機系の図書館システムにトラブル相次ぐ[http://www.yomiuri.co.jp/national/news/20101129-OYT1T00017.htm]:

冒頭の記事。タイトルが変わって「えん罪」という表現が無くなりました。クレームが入ったのでしょうか。

■ 関連記事

詳細はこの日の詳細から

2010年11月30日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(30) - 弊社図書館システムに生じた問題について(お詫び)[http://www.mdis.co.jp/news/press/2010/1130.html][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

このシリーズ、ちょうど30回目なのだけれども、一つの区切りとなる記事を書けることを期待していた。
  • アクセス障害の原因がシステム側にあった
  • SIerとしての対応に問題があった
を認めている点で、区切りになることはなったけれども、文書としてはかなり不満が残る内容の発表だった。
例えば、
各図書館システムに存在する他館の個人情報は、通常の図書館業務メニューでは閲覧や複写などの操作を行うことはできず、また、 インターネットからアクセスできない領域に格納されています。
と書いているが、だとすると、そもそもどうして「アノニマス設定」にしたために流出したのだろうか。
「個人情報流出についても調査が終了 して、対応の目処が立ちました」 とするには、まだまだ調査が不足している様に思う。

■ 関連記事

詳細はこの日の詳細から

以上、30 日分です。

指定日の日記を表示

前月 2010年11月 翌月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project