Web屋のネタ帳

「三菱電機インフォメーションシステムズ（ＭＤＩＳ）がクソだったってことでファイナルアンサー」の続きです。 新たなファイナルアンサーってそれファイナルじゃねえとかいう細かいツッコミはスルーです。 それに技術的な新ネタは一部しかありません。エンジニアの皆さんは過度に期待しないように。

1. 図書館長「了解求めないアクセスが問題」という朝日の見出しについて

とか言っちゃいけません。 この朝日の見出しには（とその反応にも）若干の揚げ足取りが含まれていて、 図書館長さんは「人間がマウスをクリックしてアクセスする以外の特殊な方法でうかつに多数のアクセスを浴びせてくれるな」ということを言いたかったのであろう。

しかし、現実に起きたこと＝図書館長が言うところの「多数の（繰り返しの）アクセス」＝が実は21世紀以降の技術水準からすると常識的なレベルなのにそれすらさばけないほどアプリの品質が悪かったのだ、という事実を前にすれば、やはり失笑なのである。

そもそもITの素人に分かるレベルをやや超えている事案であることは少なくとも業界人はわかっており、その意味では図書館側の責任なんて誰も問うてないんだが、館長さんは身を守らなきゃと思っちゃったのかねえ。 （アホな後追いマスコミがなんて責め立てたかはしらない）

2. 一方、図書館の中の人による、一見すると無関係なつぶやき

注：こちらの人が、岡崎市の図書館の人なのか、それとも岡崎市の図書館と同じシステムを使ってる別の図書館の人なのか、どちらかは不明。

• MDISのMelil/CS、Webからの蔵書検索で「1%」を検索すると、検索しっぱなしになってレスポンスが返ってこなくなる件って、どう対処してもらえばいいのだろう・・・
• 「1%の」とか、「1%は」って検索するのはOKなので、「検索できない文字列」っていうのは、不親切な気もするけど・・・
• 他館のことは分かりませんが、館内では「ｲﾁﾊﾟｰｾﾝﾄ」と検索するのが至極当然な日常です。
  （筆者注：つまり、「1%」だとレスポンスが返らなくなるので、 カタカナで検索することによって、DB上のカタカナのフィールドに対する検索が走るようにすることで運用対処しているということと思われる）

なお、こちらの方が、librahack事件について筆者が7月に書いたこの記事（に大きく張ったリンク）を読んだうえでこの発言に至ったのかどうかなんて定かではないしそこはどうでもいい。（笑）

重要なのは、エンジニアの方ならすぐ理解したと思うが、つまり 入力された検索キーワードに含まれる、SQL文的な意味での特殊文字に対するエスケープ（無害化）処理がなされていなかった疑いが濃厚なのだ。 （なお、現在は改修されていると思われる）

これは検索機能として致命的な不具合であるばかりでなく、SQLインジェクション脆弱性があった可能性を示唆しており、性能どころの騒ぎではない。 いずれにせよWebアプリケーションの品質としては夏祭りのテキヤのミドリガメと同レベルである。

3. とんでもなく低品質なモノをMDISに売りつけられていたという現実を受け入れることができない人々

MDISが図書館に売っていたのは今回問題になった外部向けの蔵書リスト公開サイトだけではもちろんない。本にRFIDタグを埋め込んだりそれの読み取り機を設置したりその他もろもろ特殊なハードウェアまですべて含めた「図書館システム」である。 おそらく、蔵書の仕入れ、保管、貸し出し、返却などの他の部分の満足度は高かったのだろう。

が、何の罪もない人間が一人警察に逮捕されたという結果の前に、そんな満足はすべて吹き飛ばされてしかるべきだろう。違うというなら留置場に20日間入ってみろ。 （まあここのあたりの責任は図書館やMDISというよりは警察にあるけど）

しかしそれにしたって、話がここまで進んでもなお、とんでもなく低品質なモノを三菱電機インフォメーションシステムズから売りつけられていたという現実を自覚できていない責任は、重い。どうせ保身と責任転嫁に走るなら「コンピュータの素人である自分じゃどうしようもなかったから業者と警察に任せたんだ」って言っとけばよかったのにね。

見方を変えると、システムのユーザーとしては大した飼いならされっぷりであり、逆に他のSI事業者の営業さんはMDISの営業を見習うべきかもしれない。

4. 図書館の中の人と朝日の神田記者のツイッターから見えてくる IT版ストックホルムシンドローム

注：下記の図書館の中の人によるツイートはすべて、朝日の記事が出る前です

• 帳票のサマリー項目を１つ追加するだけの機能追加に、3桁近い見積もりを出されるほどなめられる・・・
• #librahackで議論されてきた問題について、内部にちょっと投げかけてみた。が・・・あまりの温度差に愕然。
• MDISのシステムが弱い訳ではないので安心してくださいって言われたし、またいまだに今回のクロールはサイバー攻撃だと・・・
• @keikuma @gutei 図書館＆MDIS側が、とっても被害者的な発想です。「MDISも」なところに、愕然です。
• MDISが頑張ってるから、他社から恨みをかって非難の的にされてるんじゃないか、とか。
• 新聞や雑誌というメディアで、もう少し突っ込んだ報道があればなぁ （注：この数日後に朝日の報道が出る）

次、朝日の神田記者のツイート

• 岡崎市の会見では、図書館長が「図書館ソフトに不具合はなく、図書館側に責任はない。図書館に了解を求めることなく、自作プログラムで繰り返しアクセスした男性に問題がある。男性からきちんと連絡してもらえれば、図書館として対処できた」と述べたそうです。 #libraHack
• @HiromitsuTakagi いやー、率直に言って驚きです。私がMDISに対する取材をしていた席には、この館長も同席していました。問題の所在も繰り返し説明してきたんですが。残念です。 #libraHack
• @tetsutalow 今回の取材では、岡崎に限らず、問題を指摘してもなぜかMDISの肩を持つ図書館職員を非常によく見ます。彼らは一面ではMDISから不具合を隠されていた被害者なのに、まったく不可解です。 #libraHack
• 事前の取材に館長は、「第三者機関に依頼し、技術的なシステムの脆弱性を定期的に診断したい」とも話していました。前向きだなあ、と思っていたんですが。 #libraHack
• 岡崎市の「会見」とした件。実際には、朝日新聞の報道を見て問い合わせをしてきたマスコミ各社に市がまとめて応対するというもので、会見ではなかったそうです。報道陣は市の主張に納得せず、最後は物別れの格好で終わったとか。 #librahack
• 大場・岡崎市立中央図書館長は実直な人柄の方で、取材にも協力的でした。それだけに昨日の発言に驚いたわけですが、改めてこの問題での認識の溝の深さを感じます。 #librahack
• ちなみに岡崎図書館は、これは大場館長とは別の職員の方ですが、取材に対して早い段階で「今回のプログラムはアクセス数の多さが問題だったのではない」という点を明確に自分の言葉で話していました。 #librahack

それにしてもIT版ストックホルムシンドロームという分析（しかも朝日の報道前）は秀逸（笑）。

個人的にこれに加えたいのが、 「彼（彼女）を否定することは、彼を信じてきた今までの自分と自分の行動を否定することだ」 ←これ、セルカンネタでも出した、詐欺師（とまでは今回は言えないけど）や今まで長いこと信じてきた人やモノに裏切られた人間が最初に感じてしまう、精神的自己防衛反応。館長さんの反応はこれに近いものも感じる。

5. 結論

もう書いたけど、大切なことだからもう一度書く。

1. エンジニアでもない図書館の人が今回の件について理解しきれないのは仕方が無い。Excelの使い方の話じゃあるまいに、素人にわかれというのは無理がある。
2. しかしそれでも、話が大きくなってゆく過程で図書館の中の人による理解はすすんだかのように見えた。それはある意味希望でもあった。
3. にもかかわらず結局は、 とんでもなく低品質なモノを三菱電機インフォメーションシステムズから売りつけられていたという真実を自覚できていない発言にみんな目がテン。
4. よって、そんな図書館長という存在自体が税金の無駄である。

「自治体がベンダーの食い物にされている」と書きましたが、企業が利益を追求するのはある意味当然。また、自治体に高い専門性を求めるのも酷です。しかし、使われているのは税金なんですよね。 #librahack

see also:

• 岡崎市立中央図書館事件 議論と検証のまとめ - 時系列