SlideShare a Scribd company logo

20110110日本図書館研究会

UEHARA, Tetsutaro
UEHARA, Tetsutaro
1 of 24
Download to read offline
Librahack事件から見えてきたもの ~公共IT調達を中心に~ NPO法人情報セキュリティ研究所 京都大学学術情報メディアセンター 上原哲太郎 http://uehara.tetsutaro.jp uehara@tetsutaro.jp Twitter: @tetsutalow
自己紹介  学生時代、学内の「インターネット」立ちあげ ボランティアの一人  和歌山大学にて「システム情報学センター」に 勤務、ネットワークと学生向け端末管理  現在、京都大学学術情報メディアセンターで 学生用端末の企画運営  その一方でNPO活動として 「自治体の情報セキュリティ」支援活動を
私と図書館…  中学生時代「図書委員長」  図書館情報システム導入との関わり…  和歌山大学での「合築→組織統合」  図書館情報システム仕様策定  電子ジャーナル問題  大学図書館の印象として…  学内地位の高さ  図書館内IT担当の地位の低さ?
ある数字 和歌山大でも京大でも 実質約2名? 3名と突っ込まれた(^^;  参考:京都大学附属図書館概要2010
Librahack事件の提起した問題  なぜ導入業者、図書館、警察、検察は システムの「不具合」を見逃したのか??  攻撃として捜査開始したとしても、 なぜ警察は簡単に逮捕に踏み切ったのか?  なぜ検察は「起訴猶予処分」にしたのか?  プログラムを作る側からすると何をしておけば 攻撃と見なされずに済むのか? これらの議論の多くは今回は扱わない
今回問題にしたいこと  岡崎市は前回の図書館システム調達に際し プロポーザルにより高評価を与え、 落札しているが…実際は… →何故このような調達が起きるのか?  事件の初期段階において、図書館は Webアクセス記録を「任意で」警察に提出 →図書館の自由宣言はどこにいったのか?
岡崎市立図書館のIT調達の経緯  平成17年に現システムのプロポーサル開始  平成18年に旧中央図書館と額田図書館で 三菱電機インフォメーションシステムズ(MDIS)製 MELIL/CS導入、運用開始  17年の額田町合併の対応も兼ねる  平成20年11月、新中央図書館開館に伴い MDISと追加の契約を行う  同年には岡崎げんき館図書室にも導入  その合計額は…
5年で5億のIT投資! (前田勝之氏(www.nantoka.com)調べ) ちなみに年間資料購入費は だいたい6000万円
そもそもこれはアタリマエなのか  三菱総研から発表された 「図書館のITシステム」に関する調査報告  初期構築費用の平均は2000万 資料購入費に対しIT投資は25~50%が多い  ただし6%ほど資料購入費を超えているところが。  専任システム担当者がいるところは6% 担当者なしが41%(全部業務委託?)  8割が外部IT専門家の支援がない?  85%はIT人材育成をしていない??
ではMELIL/CSは その価格に見合うものだったのか  岡崎市のプロポーザル集計表によると 目立つ高評価項目は  「インターネット蔵書検索業務」  「セキュリティ対策」  「個人情報保護に対する内規や社員研修」  しかし、実際は?
じゃあインターネット蔵書検索は 優秀なのか  そもそもアクセシビリティが…  検索の速度が遅い 館によっては1文字で検索できない (岡崎は修正済み)  これがなぜこんな評価につながるのか?
MDISおよびMELIL/CSの セキュリティと個人情報保護  「大量アクセス」事案に触発された人々が MDISの図書館システム(MELIL/CS)の 欠陥調査・脆弱性調査を始めた結果 XSS,SQLインジェクション等の 「簡単な」脆弱性が次々見つかる  少なくとも専門家の目から見て、Webシステム 関係はセキュリティに配慮された設計ではない  これで「セキュリティ」に高評価?!  その中でこんなことが判った…
なんと一部のMELIC/CS導入館 のWebサーバが「丸見え」に  Anonymous ftp状態で全データにアクセス可能 これによりWebサーバ内のデータが大々的に流出  MELIL/CS採用館では 福岡県篠栗町、宮崎県えびの市、北海道栗山町  実は他システム採用館からも見つかっている…  図書館システム以外からも偶然見つけたり…  この中からASPのスクリプトが見つかり MELIL/CSの問題点が露わに  それだけではなく「個人情報漏えい」が明らかに 岡崎市の個人情報が少なくとも37図書館に流出  他にえびの市、中野区などからも
なんで個人情報が漏れた? 「コピペ図書館疑惑」  実はそれ以前にトップページのHTMLソースの記 述から、こんなことが推測されていた…  MELIL/CSは『パッケージ』ということになっているが、 実は図書館毎に構築されカスタマイズされた後、他館 に複製されさらにカスタマイズ…を繰り返していたので は?  その痕跡が杉谷智宏氏によって解析されている  参考: http://www26.atwiki.jp/librahack/pages/30. html
おそらく、ストーリーは…  いくつかの契約書によると各館では 「雛形をMDIS社内に持ち、そこで保守を行い動 作検証した上で実運用に投入」と説明されていた 模様  構築そのものが現地で行われた結果、構築作業 終了時にその現場環境を逆に社内に巻き取って 「雛形」にされた模様  岡崎では実運用開始後も構築作業が行われてい た模様で、その時のデータが「雛形」作成時に吸 い上げられてしまった…  それが横展開されていた? どんな「個人情報保護に関する社内研修」をしたら こんな運用が可能なのか!
そもそもの問題 「公務員システム」とは何か??  公務員が大事にしているのは「身分」「安定」 特に「金銭的利益」<「地位の安定」  評価は基本的に「減点主義」  何もしないのが最適戦略になってしまう  いかに面倒な仕事を減らすかが勝負  加点されるのは…(特に地方公務員では)  金と人の確保が出来る人 特に「予算はチカラ」  議会対応がうまい人  ジェネラリストが出世し専門家は飼い殺される(含IT)  そもそも異動しまくるので専門性が育たない こんな中でどうやってITシステムを管理するというのか?
しかも、公共ITにおける 「原課調達主義」の弊害  公務員の縦割りが徹底していると、 システムの更新は全て原課から提案され…  予算申請  仕様策定 調達  システム導入 運用  …全てが原課の主導の下で行われる  ところがITの技術的評価や価格の妥当性は この種の人たちには全く理解できない  かといってIT担当課も業務がよく見えてない場合が  よって全てが業者任せになってゆく
私が某市で見た例(業務委託)  某システムの調達・・・「高いなぁ??」  どうも既存業者への追加調達として随意契約  内訳見せて下さい…?  まず人件費積算の根拠が「メートルあたり」?  なんか上級SEと普通SEがいるらしく「メートル単価」が 違うのだが単純にかけ算  よく見ると「メートルあたり」パソコンとソフトの使用料が かかる?  全部足した上に一定割合かけて「諸経費」?  それを全部足してから一定割合かけて「事務経費」?  …「半額にして!」 本当に半額に! 目利きがいないとすぐにこういうことが行われる
自治体IT調達における IT版ストックホルム症候群  業者と原課が(特に贈収賄関係もなく)癒着  原課にとっては業者は…  ITという「予算の理由」を持ってきてくれる人  ITを使って自分の仕事を楽にしてくれる人  特にトラブったときに臨時に助けてくれる人 逆にいうと逃げられると自分の仕事が回らなくなる  業者にとって原課は…  業務内容に関して注文はうるさいが技術的なことはいわない  積み上げた予算の妥当性が判断できない  公務は「莫大な損害賠償」を請求されるリスクが割と低い  システム移行は原課の恐怖、業者のチャンス →同一業者に更新することでWin-Winの関係に (いわゆるベンダロック状態)
自治体は大事なことを忘れてない か  業者は金銭的利益を追究する: 予算が最初に確定する公共調達では 「落札したら全力で手を抜けば利益率が上がる」  そして「しょせん原課には何も判断できない」と…  ベンダロックはSIerの必勝方程式  機器を入札で取って保守を随契に持ち込むのは常道  ITゼネコンは「奴隷商人」に過ぎない  名のあるベンダも実は技術者がいない  下請、孫請と、3~5割中抜きしつつ丸投げされる  結局、払った対価にとても見合わない人が来る  ならば最初からその人を直接雇用するべき
公共IT調達はどうあるべきか  原課調達主義からの脱却  予算への財政課からのチェックと同様に IT担当課が調達に最初から関われるように  相応にIT担当課の増強が必要  自治体が仕様書を作るチカラを  適切な競争に持ち込む  ベンダロック排除の仕組みを入れる  必要ならば外部の目を  仕様書策定やシステム監査を外部から  うまくやれば地域産業振興にもなるはず
今回もう一つ残念だったこと  図書館の自由はどこにいったのか  なぜ図書館は簡単にWebアクセスログを 警察に任意提出したのか 任意ではない  いわば入退館記録を渡すようなもの 捜査事項照会書が きているそうです  個人情報漏えい事案において、 なぜ「督促リスト」が漏えいしたことが 話題にならないのか  機微性が議論されていない  あとはパネルで…
最後に、図書館関係者の 皆さんへ  ITを「魔法」扱いしないで 恐れないで  IT調達適正化から電子書籍対応まで 今後はますます重要になるのに  いまこそ「無料貸本屋」から脱却を  電子書籍の時代は必然的に図書館の姿が 改めて問われるはず  その際本当に残るのは リファレンス力しかないのでは?

Recommended

8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室Yusuke Ando
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~UEHARA, Tetsutaro
 
インターネットで学習すべき事柄について
インターネットで学習すべき事柄についてインターネットで学習すべき事柄について
インターネットで学習すべき事柄についてTatsuya (Saeki) Takiguchi
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminarUEHARA, Tetsutaro
 
IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~
IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~
IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~法林浩之
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点UEHARA, Tetsutaro
 
ネットで個人はどこまで追われているか
ネットで個人はどこまで追われているかネットで個人はどこまで追われているか
ネットで個人はどこまで追われているかYoichi Tomi
 
データサイエンス概論第一=0 まえがき
データサイエンス概論第一=0 まえがきデータサイエンス概論第一=0 まえがき
データサイエンス概論第一=0 まえがきSeiichi Uchida
 

Recommended

8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室8時間耐久PHPUnitの教室
8時間耐久PHPUnitの教室Yusuke Ando
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~UEHARA, Tetsutaro
 
インターネットで学習すべき事柄について
インターネットで学習すべき事柄についてインターネットで学習すべき事柄について
インターネットで学習すべき事柄についてTatsuya (Saeki) Takiguchi
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminarUEHARA, Tetsutaro
 
IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~
IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~
IoT×ビジネス活用 ~最先端技術のビジネス活用に向けて~法林浩之
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点UEHARA, Tetsutaro
 
ネットで個人はどこまで追われているか
ネットで個人はどこまで追われているかネットで個人はどこまで追われているか
ネットで個人はどこまで追われているかYoichi Tomi
 
データサイエンス概論第一=0 まえがき
データサイエンス概論第一=0 まえがきデータサイエンス概論第一=0 まえがき
データサイエンス概論第一=0 まえがきSeiichi Uchida
 
機械学習の実践を始める
機械学習の実践を始める機械学習の実践を始める
機械学習の実践を始めるssuseraebb59
 
インタラクションのためのコンピュータビジョンのお仕事
インタラクションのためのコンピュータビジョンのお仕事インタラクションのためのコンピュータビジョンのお仕事
インタラクションのためのコンピュータビジョンのお仕事Yasunori Ozaki
 
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...Peatix Japan
 
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...Toshihiko Yamakami
 
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦Yuto Takei
 
IoTの見える化について そしてHoloLens
IoTの見える化について そしてHoloLensIoTの見える化について そしてHoloLens
IoTの見える化について そしてHoloLens佳孝 中田
 
ビッグデータ
ビッグデータビッグデータ
ビッグデータShigeru Kishikawa
 
日本語における自然言語解析とその応用 〜COTOHA VA & API〜
日本語における自然言語解析とその応用 〜COTOHA VA & API〜日本語における自然言語解析とその応用 〜COTOHA VA & API〜
日本語における自然言語解析とその応用 〜COTOHA VA & API〜ネクストスケープ
 
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜Takashi Kaneda
 
20141101 大田区民大学での講演「実際にロボットを動かす方法」
20141101 大田区民大学での講演「実際にロボットを動かす方法」20141101 大田区民大学での講演「実際にロボットを動かす方法」
20141101 大田区民大学での講演「実際にロボットを動かす方法」Ryuichi Ueda
 
20190411 kasimadadays
20190411 kasimadadays20190411 kasimadadays
20190411 kasimadadaysm_miyamoto
 
Wo! vol.37 事例から発想する人工知能系サービスの可能性
Wo! vol.37 事例から発想する人工知能系サービスの可能性Wo! vol.37 事例から発想する人工知能系サービスの可能性
Wo! vol.37 事例から発想する人工知能系サービスの可能性thinkjam.Inc.
 
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携Tetsuya Tomomatsu
 
Data scientist casual talk in 白金台
Data scientist casual talk in 白金台Data scientist casual talk in 白金台
Data scientist casual talk in 白金台Hiroko Onari
 
Newsletter20110202
Newsletter20110202Newsletter20110202
Newsletter20110202one corporation
 
ディープラーニングによる時系列データの異常検知
ディープラーニングによる時系列データの異常検知ディープラーニングによる時系列データの異常検知
ディープラーニングによる時系列データの異常検知Core Concept Technologies
 
リクルートライフスタイル流!分析基盤との賢い付き合い方
リクルートライフスタイル流!分析基盤との賢い付き合い方リクルートライフスタイル流!分析基盤との賢い付き合い方
リクルートライフスタイル流!分析基盤との賢い付き合い方Recruit Lifestyle Co., Ltd.
 
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)ayumi kizuka
 
さくらのIoTプラットフォーム「sakura.io」を使ってみよう
さくらのIoTプラットフォーム「sakura.io」を使ってみようさくらのIoTプラットフォーム「sakura.io」を使ってみよう
さくらのIoTプラットフォーム「sakura.io」を使ってみよう法林浩之
 
YakoCloud presen 141213
YakoCloud presen 141213YakoCloud presen 141213
YakoCloud presen 141213知礼 八子
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはUEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)UEHARA, Tetsutaro
 

More Related Content

Similar to 20110110日本図書館研究会

機械学習の実践を始める
機械学習の実践を始める機械学習の実践を始める
機械学習の実践を始めるssuseraebb59
 
インタラクションのためのコンピュータビジョンのお仕事
インタラクションのためのコンピュータビジョンのお仕事インタラクションのためのコンピュータビジョンのお仕事
インタラクションのためのコンピュータビジョンのお仕事Yasunori Ozaki
 
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...Peatix Japan
 
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...Toshihiko Yamakami
 
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦Yuto Takei
 
IoTの見える化について そしてHoloLens
IoTの見える化について そしてHoloLensIoTの見える化について そしてHoloLens
IoTの見える化について そしてHoloLens佳孝 中田
 
日本語における自然言語解析とその応用 〜COTOHA VA & API〜
日本語における自然言語解析とその応用 〜COTOHA VA & API〜日本語における自然言語解析とその応用 〜COTOHA VA & API〜
日本語における自然言語解析とその応用 〜COTOHA VA & API〜ネクストスケープ
 
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜Takashi Kaneda
 
20141101 大田区民大学での講演「実際にロボットを動かす方法」
20141101 大田区民大学での講演「実際にロボットを動かす方法」20141101 大田区民大学での講演「実際にロボットを動かす方法」
20141101 大田区民大学での講演「実際にロボットを動かす方法」Ryuichi Ueda
 
20190411 kasimadadays
20190411 kasimadadays20190411 kasimadadays
20190411 kasimadadaysm_miyamoto
 
Wo! vol.37 事例から発想する人工知能系サービスの可能性
Wo! vol.37 事例から発想する人工知能系サービスの可能性Wo! vol.37 事例から発想する人工知能系サービスの可能性
Wo! vol.37 事例から発想する人工知能系サービスの可能性thinkjam.Inc.
 
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携Tetsuya Tomomatsu
 
Data scientist casual talk in 白金台
Data scientist casual talk in 白金台Data scientist casual talk in 白金台
Data scientist casual talk in 白金台Hiroko Onari
 
ディープラーニングによる時系列データの異常検知
ディープラーニングによる時系列データの異常検知ディープラーニングによる時系列データの異常検知
ディープラーニングによる時系列データの異常検知Core Concept Technologies
 
リクルートライフスタイル流!分析基盤との賢い付き合い方
リクルートライフスタイル流!分析基盤との賢い付き合い方リクルートライフスタイル流!分析基盤との賢い付き合い方
リクルートライフスタイル流!分析基盤との賢い付き合い方Recruit Lifestyle Co., Ltd.
 
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)ayumi kizuka
 
さくらのIoTプラットフォーム「sakura.io」を使ってみよう
さくらのIoTプラットフォーム「sakura.io」を使ってみようさくらのIoTプラットフォーム「sakura.io」を使ってみよう
さくらのIoTプラットフォーム「sakura.io」を使ってみよう法林浩之
 
YakoCloud presen 141213
YakoCloud presen 141213YakoCloud presen 141213
YakoCloud presen 141213知礼 八子
 

Similar to 20110110日本図書館研究会 (20)

機械学習の実践を始める
機械学習の実践を始める機械学習の実践を始める
機械学習の実践を始める
 
インタラクションのためのコンピュータビジョンのお仕事
インタラクションのためのコンピュータビジョンのお仕事インタラクションのためのコンピュータビジョンのお仕事
インタラクションのためのコンピュータビジョンのお仕事
 
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
子どもの「好きなこと」×テクノロジーで広がる学び場! お茶の水女子大学「共創工学部」伊藤教授に聞く、女子大ならではの安心感と将来性 [KIKKAKE fo...
 
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
ユーザ・エクスペリエンスからソーシャル・エクスペリエンスへ:現代ネットビジネスから読み解く「人間」「コンピュータ」「サービス」とは何か (in Japan...
 
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
ブロックチェーンと仮想通貨 -- 新しいビジネスに挑戦
 
IoTの見える化について そしてHoloLens
IoTの見える化について そしてHoloLensIoTの見える化について そしてHoloLens
IoTの見える化について そしてHoloLens
 
ビッグデータ
ビッグデータビッグデータ
ビッグデータ
 
日本語における自然言語解析とその応用 〜COTOHA VA & API〜
日本語における自然言語解析とその応用 〜COTOHA VA & API〜日本語における自然言語解析とその応用 〜COTOHA VA & API〜
日本語における自然言語解析とその応用 〜COTOHA VA & API〜
 
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
物体認識 IoT サービスを支える技術 〜クラウドアーキテクチャから組込み深層学習まで〜
 
20141101 大田区民大学での講演「実際にロボットを動かす方法」
20141101 大田区民大学での講演「実際にロボットを動かす方法」20141101 大田区民大学での講演「実際にロボットを動かす方法」
20141101 大田区民大学での講演「実際にロボットを動かす方法」
 
20190411 kasimadadays
20190411 kasimadadays20190411 kasimadadays
20190411 kasimadadays
 
Wo! vol.37 事例から発想する人工知能系サービスの可能性
Wo! vol.37 事例から発想する人工知能系サービスの可能性Wo! vol.37 事例から発想する人工知能系サービスの可能性
Wo! vol.37 事例から発想する人工知能系サービスの可能性
 
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
2016/2/20 DevelopersIO 2016 実践 IoT システムで求められる確実なデータ連携
 
Data scientist casual talk in 白金台
Data scientist casual talk in 白金台Data scientist casual talk in 白金台
Data scientist casual talk in 白金台
 
Newsletter20110202
Newsletter20110202Newsletter20110202
Newsletter20110202
 
ディープラーニングによる時系列データの異常検知
ディープラーニングによる時系列データの異常検知ディープラーニングによる時系列データの異常検知
ディープラーニングによる時系列データの異常検知
 
リクルートライフスタイル流!分析基盤との賢い付き合い方
リクルートライフスタイル流!分析基盤との賢い付き合い方リクルートライフスタイル流!分析基盤との賢い付き合い方
リクルートライフスタイル流!分析基盤との賢い付き合い方
 
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
2015-11-07 電子工作でクリスマス飾りを作ろう会(2015年度WiTワークショップ)
 
さくらのIoTプラットフォーム「sakura.io」を使ってみよう
さくらのIoTプラットフォーム「sakura.io」を使ってみようさくらのIoTプラットフォーム「sakura.io」を使ってみよう
さくらのIoTプラットフォーム「sakura.io」を使ってみよう
 
YakoCloud presen 141213
YakoCloud presen 141213YakoCloud presen 141213
YakoCloud presen 141213
 

More from UEHARA, Tetsutaro

クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはUEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)UEHARA, Tetsutaro
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説UEHARA, Tetsutaro
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいUEHARA, Tetsutaro
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題UEHARA, Tetsutaro
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性UEHARA, Tetsutaro
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへUEHARA, Tetsutaro
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてUEHARA, Tetsutaro
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現UEHARA, Tetsutaro
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題UEHARA, Tetsutaro
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理UEHARA, Tetsutaro
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能であるUEHARA, Tetsutaro
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドUEHARA, Tetsutaro
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)UEHARA, Tetsutaro
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSUEHARA, Tetsutaro
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションUEHARA, Tetsutaro
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」UEHARA, Tetsutaro
 
20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティUEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)UEHARA, Tetsutaro
 

More from UEHARA, Tetsutaro (20)

クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能である
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
 
証拠保全とは?
証拠保全とは?証拠保全とは?
証拠保全とは?
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
 
20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティ
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
 

20110110日本図書館研究会

  • 1. Librahack事件から見えてきたもの ~公共IT調達を中心に~ NPO法人情報セキュリティ研究所 京都大学学術情報メディアセンター 上原哲太郎 http://uehara.tetsutaro.jp uehara@tetsutaro.jp Twitter: @tetsutalow
  • 2. 自己紹介  学生時代、学内の「インターネット」立ちあげ ボランティアの一人  和歌山大学にて「システム情報学センター」に 勤務、ネットワークと学生向け端末管理  現在、京都大学学術情報メディアセンターで 学生用端末の企画運営  その一方でNPO活動として 「自治体の情報セキュリティ」支援活動を
  • 3. 私と図書館…  中学生時代「図書委員長」  図書館情報システム導入との関わり…  和歌山大学での「合築→組織統合」  図書館情報システム仕様策定  電子ジャーナル問題  大学図書館の印象として…  学内地位の高さ  図書館内IT担当の地位の低さ?
  • 4. ある数字 和歌山大でも京大でも 実質約2名? 3名と突っ込まれた(^^;  参考:京都大学附属図書館概要2010
  • 5. Librahack事件の提起した問題  なぜ導入業者、図書館、警察、検察は システムの「不具合」を見逃したのか??  攻撃として捜査開始したとしても、 なぜ警察は簡単に逮捕に踏み切ったのか?  なぜ検察は「起訴猶予処分」にしたのか?  プログラムを作る側からすると何をしておけば 攻撃と見なされずに済むのか? これらの議論の多くは今回は扱わない
  • 6. 今回問題にしたいこと  岡崎市は前回の図書館システム調達に際し プロポーザルにより高評価を与え、 落札しているが…実際は… →何故このような調達が起きるのか?  事件の初期段階において、図書館は Webアクセス記録を「任意で」警察に提出 →図書館の自由宣言はどこにいったのか?
  • 7. 岡崎市立図書館のIT調達の経緯  平成17年に現システムのプロポーサル開始  平成18年に旧中央図書館と額田図書館で 三菱電機インフォメーションシステムズ(MDIS)製 MELIL/CS導入、運用開始  17年の額田町合併の対応も兼ねる  平成20年11月、新中央図書館開館に伴い MDISと追加の契約を行う  同年には岡崎げんき館図書室にも導入  その合計額は…
  • 8. 5年で5億のIT投資! (前田勝之氏(www.nantoka.com)調べ) ちなみに年間資料購入費は だいたい6000万円
  • 9. そもそもこれはアタリマエなのか  三菱総研から発表された 「図書館のITシステム」に関する調査報告  初期構築費用の平均は2000万 資料購入費に対しIT投資は25~50%が多い  ただし6%ほど資料購入費を超えているところが。  専任システム担当者がいるところは6% 担当者なしが41%(全部業務委託?)  8割が外部IT専門家の支援がない?  85%はIT人材育成をしていない??
  • 10. ではMELIL/CSは その価格に見合うものだったのか  岡崎市のプロポーザル集計表によると 目立つ高評価項目は  「インターネット蔵書検索業務」  「セキュリティ対策」  「個人情報保護に対する内規や社員研修」  しかし、実際は?
  • 11. じゃあインターネット蔵書検索は 優秀なのか  そもそもアクセシビリティが…  検索の速度が遅い 館によっては1文字で検索できない (岡崎は修正済み)  これがなぜこんな評価につながるのか?
  • 12. MDISおよびMELIL/CSの セキュリティと個人情報保護  「大量アクセス」事案に触発された人々が MDISの図書館システム(MELIL/CS)の 欠陥調査・脆弱性調査を始めた結果 XSS,SQLインジェクション等の 「簡単な」脆弱性が次々見つかる  少なくとも専門家の目から見て、Webシステム 関係はセキュリティに配慮された設計ではない  これで「セキュリティ」に高評価?!  その中でこんなことが判った…
  • 13. なんと一部のMELIC/CS導入館 のWebサーバが「丸見え」に  Anonymous ftp状態で全データにアクセス可能 これによりWebサーバ内のデータが大々的に流出  MELIL/CS採用館では 福岡県篠栗町、宮崎県えびの市、北海道栗山町  実は他システム採用館からも見つかっている…  図書館システム以外からも偶然見つけたり…  この中からASPのスクリプトが見つかり MELIL/CSの問題点が露わに  それだけではなく「個人情報漏えい」が明らかに 岡崎市の個人情報が少なくとも37図書館に流出  他にえびの市、中野区などからも
  • 14. なんで個人情報が漏れた? 「コピペ図書館疑惑」  実はそれ以前にトップページのHTMLソースの記 述から、こんなことが推測されていた…  MELIL/CSは『パッケージ』ということになっているが、 実は図書館毎に構築されカスタマイズされた後、他館 に複製されさらにカスタマイズ…を繰り返していたので は?  その痕跡が杉谷智宏氏によって解析されている  参考: http://www26.atwiki.jp/librahack/pages/30. html
  • 15. おそらく、ストーリーは…  いくつかの契約書によると各館では 「雛形をMDIS社内に持ち、そこで保守を行い動 作検証した上で実運用に投入」と説明されていた 模様  構築そのものが現地で行われた結果、構築作業 終了時にその現場環境を逆に社内に巻き取って 「雛形」にされた模様  岡崎では実運用開始後も構築作業が行われてい た模様で、その時のデータが「雛形」作成時に吸 い上げられてしまった…  それが横展開されていた? どんな「個人情報保護に関する社内研修」をしたら こんな運用が可能なのか!
  • 16. そもそもの問題 「公務員システム」とは何か??  公務員が大事にしているのは「身分」「安定」 特に「金銭的利益」<「地位の安定」  評価は基本的に「減点主義」  何もしないのが最適戦略になってしまう  いかに面倒な仕事を減らすかが勝負  加点されるのは…(特に地方公務員では)  金と人の確保が出来る人 特に「予算はチカラ」  議会対応がうまい人  ジェネラリストが出世し専門家は飼い殺される(含IT)  そもそも異動しまくるので専門性が育たない こんな中でどうやってITシステムを管理するというのか?
  • 17. しかも、公共ITにおける 「原課調達主義」の弊害  公務員の縦割りが徹底していると、 システムの更新は全て原課から提案され…  予算申請  仕様策定 調達  システム導入 運用  …全てが原課の主導の下で行われる  ところがITの技術的評価や価格の妥当性は この種の人たちには全く理解できない  かといってIT担当課も業務がよく見えてない場合が  よって全てが業者任せになってゆく
  • 18. 私が某市で見た例(業務委託)  某システムの調達・・・「高いなぁ??」  どうも既存業者への追加調達として随意契約  内訳見せて下さい…?  まず人件費積算の根拠が「メートルあたり」?  なんか上級SEと普通SEがいるらしく「メートル単価」が 違うのだが単純にかけ算  よく見ると「メートルあたり」パソコンとソフトの使用料が かかる?  全部足した上に一定割合かけて「諸経費」?  それを全部足してから一定割合かけて「事務経費」?  …「半額にして!」 本当に半額に! 目利きがいないとすぐにこういうことが行われる
  • 19. 自治体IT調達における IT版ストックホルム症候群  業者と原課が(特に贈収賄関係もなく)癒着  原課にとっては業者は…  ITという「予算の理由」を持ってきてくれる人  ITを使って自分の仕事を楽にしてくれる人  特にトラブったときに臨時に助けてくれる人 逆にいうと逃げられると自分の仕事が回らなくなる  業者にとって原課は…  業務内容に関して注文はうるさいが技術的なことはいわない  積み上げた予算の妥当性が判断できない  公務は「莫大な損害賠償」を請求されるリスクが割と低い  システム移行は原課の恐怖、業者のチャンス →同一業者に更新することでWin-Winの関係に (いわゆるベンダロック状態)
  • 20.
  • 21. 自治体は大事なことを忘れてない か  業者は金銭的利益を追究する: 予算が最初に確定する公共調達では 「落札したら全力で手を抜けば利益率が上がる」  そして「しょせん原課には何も判断できない」と…  ベンダロックはSIerの必勝方程式  機器を入札で取って保守を随契に持ち込むのは常道  ITゼネコンは「奴隷商人」に過ぎない  名のあるベンダも実は技術者がいない  下請、孫請と、3~5割中抜きしつつ丸投げされる  結局、払った対価にとても見合わない人が来る  ならば最初からその人を直接雇用するべき
  • 22. 公共IT調達はどうあるべきか  原課調達主義からの脱却  予算への財政課からのチェックと同様に IT担当課が調達に最初から関われるように  相応にIT担当課の増強が必要  自治体が仕様書を作るチカラを  適切な競争に持ち込む  ベンダロック排除の仕組みを入れる  必要ならば外部の目を  仕様書策定やシステム監査を外部から  うまくやれば地域産業振興にもなるはず
  • 23. 今回もう一つ残念だったこと  図書館の自由はどこにいったのか  なぜ図書館は簡単にWebアクセスログを 警察に任意提出したのか 任意ではない  いわば入退館記録を渡すようなもの 捜査事項照会書が きているそうです  個人情報漏えい事案において、 なぜ「督促リスト」が漏えいしたことが 話題にならないのか  機微性が議論されていない  あとはパネルで…
  • 24. 最後に、図書館関係者の 皆さんへ  ITを「魔法」扱いしないで 恐れないで  IT調達適正化から電子書籍対応まで 今後はますます重要になるのに  いまこそ「無料貸本屋」から脱却を  電子書籍の時代は必然的に図書館の姿が 改めて問われるはず  その際本当に残るのは リファレンス力しかないのでは?