2010-10-15
■[IOT][図書館]パネルディスカッション「岡崎市立図書館事件を我々はどう捉えるべきか?」
パネルディスカッション以外の部分は理解できないに違いないと見て、14時30分会場入りという掟破りながら、行ってきました。
情報処理学会 インターネットと運用技術(IOT)研究会 平成22年度第3回(IOT通算 第11回)
会場に入ったらいきなり英語のご発表で、アウェー感にうちのめされ、無線LANにうまいこと繋がらないばかりか、イーモバさんも電波を捕まえられない状況で、寂しいったらありゃしない。なんだかアップル率も高いし。、学会の研究会自体10数年ぶりの参加だし、前に参加したのって、図書館情報学会だったような・・・!?という状況ではありましたが。みききしたこと。おもうこと。の人を見つけたからもう安心。
結論というか、まとめというか、を先に行ってしまうと、
「わからないときは、しかるべき人に聞けばよい」ということだったような。
以下、自分が聞き取れた限りでメモを公開。
パネルディスカッション「岡崎市立図書館事件を我々はどう捉えるべきか?」
コーディネータ:山之上卓さん(鹿児島大学/IOT研究会主査)
パネリスト:
高木 浩光さん(産総研)
松本 直人さん(さくらインターネット研究所)
【京大・上原先生のスライドによる事件の概要についての紹介】の中で気になったところ
・librahack氏が、3つのIPアドレスを使ってアクセスしている→マス攻撃ではなく、標的型攻撃と見られた可能性有り
・IPアドレスからプロバイダに訴えるプロセスはとらなかったのか。
・民事にせず刑事にしたのはなぜか。
・県警への電話で「IT音痴に基準を合わせる」と言い切っていることへの懸念。
山之上さん
・この事件は他人事ではない。
・マッシュアップなんかをもろに自分もやっている。
・サーバー側のプログラムも作成している。サーバやネットワークの管理運営もやっている。
・情報倫理ビデオを制作するチームにも参加。この事件のようなことも扱うことにそのうちなるかも。
高木さん
・逮捕の報道の文を見ただけでおかしいと思った。
・警察にも電話した。最初に電話したときの担当警部補。すでに何件か電話が来ていた。
・起訴猶予処分になったあと聞いてみると、嫌がらせ・迷惑行為とは明らかに違った。
※今日言いたいこと
・線引きしてくれ ですって?
・意図しない使い方を戒めて欲しい ですって?
・プログラマなら予見できたはず ですって?
・情報技術の発展を擁護してくれる法律家の不在
・警察と検察の対応の問題。
【線引き】(という議論の無意味さを説明)
どこまでやっていいのか?どこからは許されずどこからは許されないという線引き。
そんな選は引けません。というと、線引きできないなら許すな、と言い出す。
ラインは無限に考えられる。一つ一つ上げて吟味していけばいい話。
問題のMDISのシステムは、cookie非対応でのアクセスで破綻するシステムだった。→構造上の欠陥。
【提供側が意図しない使い方を戒めて欲しい】という論の無意味さ
今回の問題がどこにあるかがわかっていないとこういう考え方になる。
「図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ」(by大羽館長)
技術的にあきらかにおかしいということが、一般の方にはわからない。明確で客観的な記述がないと、一般の人は納得できない。
岡崎の前に起きていた事件・・・3月12日朝日新聞報道 朝霞市立図書館大量アクセス事件→これがあったから、こういうことがまかり通ってはいかんという意識がなかったか。
IT弁護士→技術者の常識感を把握して正論を言える弁護士が日本にはいない。
プロなんだから気付かなくちゃ論について
逮捕は当然。サーバが止まったという認識があったはずだ。→プログラムが作れる人ならば、当然サーバがそうなることはわかっていたはずです(学生の発言)cf.岡崎図書館事件について 高木浩光氏から学生へのヒアリング(Togetterまとめ http://togetter.com/li/51956)
新さん
なぜ図書館で事件が起こったか?
・アクセスが多いことが利益に結びつかない。
・電子自治体サービスの中で、図書館の検索予約は最も利用が多い。(電子自治体の中の半数を図書館サービスが占めている)
・自治体の公開しているDBとしては規模が大きい。
・有益だが使い勝手が悪い。
・図書館の自由からの視点。知る自由を保障する機関。
知る自由を行使した利用者を警察に売り渡した→図書館の存在意義が問われる行為。
図書館の自由に関する宣言(1979年改訂)
資料と施設を提供・・・図書館にリアルで来る人でサービス対象が止まってしまっている。
サイトへのアクセスを利用形態としてどう捉えるか。
問題利用に対して・・・普通はいきなり警察は呼ばないわね。
なぜサイバー攻撃と誤認したのか。
・ベンダーの言うことを盲信してしまう。
・図書館職員のITCに関する知識レベル→一般人と変わらない。
・図書館の6割が非常勤職員。
なぜ警察に頼ったのか
・明白な犯罪事実とは言えない段階でなぜ図書館は警察に訴え出たのか。
・カーリルによるアクセス負荷→Librahackさんより高負荷だった。
・図書館職員としては、非常に違和感がある。
捜査照会には答えず、令状には従う。→というのが、図書館の常識。
アクセスログが「利用事実」か。
・契約内容について、自治体がどこまで把握・検証できるか。
APIの提供。
ここで、Twitterで上原先生から質問が飛ぶ。
岡崎のIT費用が5年で5億、一方書籍購入費が1年間に6千万円。これをどう思うか。
新さんのお答え
岡崎にお金払いすぎ。資料費を上回るのは、ないなあと思う。*1
松本さん
・インシデントのハンドリングには、人が多くなればなるほど時間がかかる。
・内部で説明するだけでも長い時間がかかってしまう。
・Dosは同一IPアドレスから10秒間に30回以上のトラフィックは遮断する。というような設定は簡単にできる。オープンソース。
・JPCERT における一般的な対応→通知メールが出る。
・うまく連携をしてまとめる、任せるという連携がなされる。
・どんな手を使ってでも、なるべくなら当事者間で交渉にあたるのが、一番の解決の近道。
討議・この事件をどう捉えるか
会場の方
これを見ていて思うのは、三者三様(三菱・図書館・警察)にみな頭が悪いということ。
専門家って誰?学会や大学はその役割を果たしているのか。
山之上さん
われわれのような団体がもっと気軽に相談できる存在になっていれば良かった。
会場の同じ方から
IT業界に、専門家はいない。IT弁護士もいない。まずい。
高木さん
日本の研究業界はただ研究して論文書いているだけで、社会に対してモノをいうべき。
偉い先生が慎重になるのはよくわかるけれども、海外を見ていると類似のケースに対して声明を出す団体はある。
新さん
図問研の声明は、これはまずい*2だろうということで出した。どちらかというと、Web業界の方で話題沸騰中で、図書館員から何も出ていないのはまずい。うちの団体は任意団体なので好き放題できる。ただし、力はない。IT系の理事長談話みたいなものが出てませんでしたっけ?
→高木さん Winnyの金子さんが逮捕されたときに結成された団体が、ほとんど意味のないモノを出していた。
松本さん
無料で相談できないのか。
会場にいたJPCERTの方
無料です。JPCERTに来れば、ごく普通に対応したのに。プロバイダを通じて、あなたからのアクセスで迷惑をされている。という通知が行って、図書館と話ができたと思う。JPCERTに来れば解決した。
ただし、これはセキュリティインシデントではない。
問題の切り分け(事故か、故意かなど)は一切しない。今目の前の問題をどうすれば解決できるか、ということを見て解決する。
高木さん
JPCERTと警察と連携を深めていく予定はないのか
JPCERTの方
交流を県警レベルでやっているところはある。
実際にDOs攻撃を受けて、困っていて警察に相談に行ったところ、JPCERTを紹介されたというケースもある。地方の県警レベルではうまくいかない。
高木さん
個人と警察とつながりがあってもだめなので、組織としてツナガリがないと人が変わってしまうとこうなってしまう。
新さん
図書館業界として問題があるが、図書館職員に対して研修なりなんなりをしていくべきと思うが、どういったものを研修していくべきなのか、基礎的な情報の研修
高木さん
職員研修 tail -f access_log くらいは見て欲しい。どのくらいの勢いでアクセスが来るか感覚的に見ておいて欲しい。
みんなが常識を知っておきましょうというのは通らないのではないか。
☆「聞く」姿勢さえあればいいのではないか。
某市の担当者は、全く話を聞かない人だった。言われたことは聞いて、考えて、本当はどうなのかということを考えられる人材を育んでいくことが大事。
会場から
司書とかを育てる方の立場なのだが、彼らに対して、最低限これだけは教えた方が良いことを教えて欲しい。
そういう人たちがすがれるような資料とか、こういうモノを見たらいいというものは。
松本さん
インターネット協会、それに対する団体は存在し続けている。IPAとか。サーバクリーンセンターとか何とかインターネット協会から必ずつながる。
団体のリストくらいは共有しておいた方が良い。
会場の方
・インターネットのサービスが図書館のサービスとして見られていない。
・サービスとして定義されていないのに、外に出しているというのがよくわからない。
・サービスとして提供するからには、ちゃんとしたものを出すべきなのに、なんでこんなのを出してるのか。
会場の方
・そんなのいくらでもあることだよ。
高木さん
・何が普通か、がシステム担当者の方がわかっていない。
・アクセスに時間がかかることについて、担当者が全く把握していない。
・非常識な発注をしている部分はある。
新さん
・利用者として自分の図書館を使わない。
・自分たちの業務プロセスがどう上手く行くかを重視している。
高木さん
・業務システムすら使いにくい。
・そもそもぼったくられているというところに気付いていない。
会場の方
・図書館のシステムを考えるときには、業務システムベースに考える。Web関係はおまけ。つけろというのが議会の要請だし、Webが補助金つく。という面があって仕方なく入れている面もある。
・Webが危ないということもよく知らずにやっている。
・ログがあることすら、SEがわかっていない。
・予算を確保するために、しぶしぶやっている。
これで終わり。
最後のまとめ的になった、会場の方のご意見、ちょっとわたしこれはなーと思ったのは、予算を確保するためにしぶしぶWebサービスをやっているところも、まあ少なからずあるんでしょうが、それが全部と取られるのはいささか残念であるよということ。
その最後の方の発言の前の会場の方からの発言には、完璧なモノができるまでサービスを開始しちゃいけないのか、という疑問も湧くわけで。今回のようにお粗末なものはさておくとして、トライアンドエラーというか、試行錯誤的にとりあえずやってみるのが、Webサービスなんじゃないのか、とわたしなんぞは思っていたので、「ちゃんとサービスとして定義されていないのに、外に出すのはなんでなんだ」という意見が出ること自体が新たな発見でした。
ところで、ぼったくられていることに気付いている図書館は少なくないんだけど、じゃあ、常識的なお値段はどの辺に収まるべきなのか、どうやったら検証できるのでしょうねえ。
Permalink | コメント(15) | トラックバック(0) | 19:39
- 468 http://www.st.ryukoku.ac.jp/~kjm/security/memo/
- 81 http://twitter.com/
- 38 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/10.html
- 35 http://b.hatena.ne.jp/
- 33 http://longurl.org
- 30 http://renkeim1.kuas.kagoshima-u.ac.jp/mod/resource/view.php?id=13581
- 20 http://b.hatena.ne.jp/hotentry
- 18 http://b.hatena.ne.jp/entrylist
- 17 http://www.ig.gmodules.com/gadgets/ifr?exp_rpc_js=1&exp_track_js=1&v=8e8ca0b08d2a39c5adcb3fa49561c46d&container=ig&view=default&lang=ja&url=http://www.hatena.ne.jp/tools/gadget/bookmark/bookmark_gadget.xml&country=JP&parent=http://www.google
- 14 http://hootsuite.com/dashboard