« 教職大学院制度 | トップページ | 健康食品の宣伝問題 »

2010.12.01

図書館システムの欠陥構造

毎日新聞より「三菱電機:子会社システムで3000人の個人情報流出

三菱電機子会社の三菱電機インフォメーションシステムズ(東京)は30日、同社の図書館貸し出しシステムを通じ、利用者の名前や生年月日、住所など約3000人の個人情報が流出したと発表した。

情報が漏れた利用者の内訳は、

  1. 宮崎県えびの市の図書館の2761人、
  2. 愛知県岡崎市の図書館の159人、
  3. 東京都中野区の図書館の51人。

8月上旬に九州の代理店のサーバーからインターネットを通じて漏えいしたが、流出した情報が悪用された被害は確認されていないとしている。

三菱電機インフォメーションシステムズは2000~10年7月に、図書館利用者の個人情報が含まれているのに気付かずに、プログラムを貸し出しシステムに登録し、他の図書館にシステムの出荷を繰り返した。

この結果、同社のシステムを採用した全国の76カ所の図書館のほとんどで、システム上に他の図書館利用者の情報が書き込まれた状態になっていたという。

30日記者会見した同社の門脇三雄社長は

「問題の根本原因は当社にあり、再発防止策を講じて信頼回復に努めていく」
と陳謝した。

毎日新聞 2010年11月30日 21時33分

岡崎図書館問題とでも言うべき事件の真相がこれであったということのようです。

高木浩光@自宅の日記に説明がありますが、元の事件は岡崎図書館の蔵書を検索したら、サイバーアタックだとされて逮捕されしまったということから始まりしました

ITmedia News より「「SIerとしての責務を果たせていなかった」 図書館システム問題でMDIS謝罪

「SIerとしての責務を果たせていなかった」――三菱電機インフォメーションシステムズは、岡崎市立図書館などに納入した図書館システムで、アクセス障害や個人情報流出を引き起こしたことについて謝罪した。
2010年11月30日 20時30分 更新

三菱電機インフォメーションシステムズ(MDIS)は11月30日、同社が愛知県岡崎市立図書館など全国の公立図書館に納入した図書館システムで、アクセス障害や個人情報流出を引き起こしたことについて謝罪した。

「システムインテグレーターとしての責務を十分に果たせておらず、根本原因は弊社にある」
とし、再発防止に努めるとしている。

「サイバー攻撃」

問題の発端は今年3~4月、岡崎市立中央図書館に納入した図書館システム(製品名は「MELIL/CS」)で断続的に起きたアクセス障害だった。

同図書館のWebサイトから蔵書を検索できる機能などを備えていたが、このWebサイトにつながらないと市民から苦情があったという。

外部プログラムによる高頻度のアクセスが障害の原因だとして、同図書館は愛知県警に被害届を提出。

愛知県警は「故意の大量アクセスで障害を発生させた」、つまり「サイバー攻撃」だとして、新着図書情報を取得するためのプログラムを作成・運用していた同県内の男性を偽計業務妨害の疑いで逮捕した。

だが、名古屋地検は悪質性はないとして、男性を起訴猶予処分にしていた。

男性は起訴猶予処分後の6月、Webサイトで当時のサーバ構成や経緯などを詳細に報告した。

実際の状況が明らかになるにつれ、クローラーなどを利用するネットサービスの運営者などから

「ネットでは常識的な程度のアクセスであり、逮捕はおかしいのでは」
と批判の声が高まった。

8月には朝日新聞の報道で、MDISのシステム自体に問題がある可能性が濃厚となった。

こうした状況で同図書館が発表した説明に対してもネットでは批判が集まっていた。

原因は「1アクセスにつき10分間のDB接続を維持」する仕様

同社によると、このシステムは、Webサイトへの1回のアクセスにつき、データベース(DB)との接続を10分間にわたって維持する仕様だった。

DBへの同時接続可能数には設定値があり、これを超えると新規のアクセスはできなくなる。

クローラープログラムなどによる機械的なアクセスに対しても、1アクセスに対しその都度10分間のセッションが発生することになる。

比較的高頻度のアクセスに対しても、

10分間のセッションがそのアクセス数の分発生した結果、同時接続数が設定値(朝日新聞の報道によると約1000)をオーバーし、ほかのユーザーがアクセスできなくなる状態に陥った
というのがMDISの説明だ。

障害発生の連絡を受け、同社は

「他の利用者へのサービスを優先し、機械的なアクセスを回避する種々の処置を講じたが、完全な回避はできなかった」
という。

だが6月になり、ほかの図書館でも高頻度な機械的アクセスがあった。

このため、対策として、DB接続を一定時間維持していた従来の仕様を、アクセスの都度接続する仕様に改めた。

6月末から改良開発を開始し、11月15日までにこのシステムを使っている28図書館で改修を完了したという。

逮捕された男性が経緯を報告した6月の時点で問題を認識していたことになるが、同社は公表はしていない。

また朝日新聞の報道によると、2006年の時点で問題を解消したソフトを開発していたという。

岡崎市立図書館のシステムは05年に納入されたものだった。

同社は一連の経緯について、

  1. 最初のアクセス障害が起きた3月中旬の時点でシステム解析や性能調査による原因の究明を行わなかった、
  2. 図書館への説明も不十分だった、
  3. 障害情報を開発部門で分析し対策を講じることを怠った
と、結果的に3月から3カ月の間、アクセス障害の可能性が残ったことについて非を認めた。

今後は、障害の発生を顧客担当SEが開発部門に対し迅速に伝えるなど、情報共有を徹底するほか、製品管理の強化に努めるとしている。

同社のニュースリリースには、逮捕された男性への言及はなかった。

ミスが重なり3000人の個人情報流出

8月上旬には、MDISの図書館システムを販売しているパートナー企業のサーバから、岡崎市立図書館など3カ所の図書館利用者の氏名、住所、電話番号などの個人情報3000人分がネットを通じて外部に流出したことも発覚した。

同社によると、システム改良時に、新機能を図書館でテストし、作業後にプログラムを自社に持ち帰ることがあったという。

その際、持ち帰ったプログラムに個人情報が含まれていることに気付かず、個人情報を含むプログラムの一部を製品マスターに登録してしまった。

そのまま出荷してしまったため、図書館システムを導入したほとんどの図書館に、ほかの図書館の個人情報が存在するという事態になったという。

さらに、同システムを販売していた九州地区のパートナー企業が、サーバをanonymousに設定するというミスが重なった。

このためサーバは誰でもアクセスできる状態になり、第三者によってプログラムとデータをダウンロードされ、個人情報が流出する結果を招いた。

プログラムがダウンロードされたことは8月上旬に認識していたが、

「個人情報流出について、弊社の確認が不十分であったことから、流出情報の確定まで約4カ月を要する事態となった」
と弁明している。

各図書館システム内に残った個人情報は11月19日までに削除を完了したという。

今後、出荷の際に個人情報が存在していないことを検索ツールやクロスチェックで確認するなど、再発防止策を徹底するとしている。

どこをどう見ても、ソフトウェアを商う資格がありません。
再発防止のために、すべてのアプリを回収の上、会社を潰すべきでありましょう。

常識的に考えて、開発体制が無かったのだと見ます。
その理由は、フィールドで開発してそれを持ち帰っている。
だとすると、同時に二ヶ所で「改良」すると二つ以上のバージョンが出来てしまいますから、両方とも存続させざるを得ない。

これが、AとBの二ヶ所であった場合、「改良後に」Aで問題が発生した、そこでAを再改良すると、A、B、A1となってしまって、2ヶ所で3種類・・・・。
後はねずみ算式なりますから、どんどんと事態は悪化します。

このような事は、わたしがソフトウェアの商売をしていた、1980年代に直接遭遇したことで、同業者がバージョン管理をしないために、何年経ってもシステムが安定しない、と大問題になっていました。

それから二十数年経って、同じことを大規模にやった会社があるということ自体が驚きです。

公開されたネット上の意見にもほとんど無いようだし、辛口の高木浩光も述べていませんが、わたしはこの会社が過去に納品した図書館システムのバージョン管理は無い(バグのあるソフトウェアの各図書館別のソースが保管されていない)、と確信しています。

ソースの保存であれば、たかだかロッカー一個です。
しかし、それは無いでしょう。
だから、改良に従って欠陥が減るのではなくて、隠れた欠陥が増えていく可能性の方が遙かに大きいのです。

12月 1, 2010 at 10:13 午前 事故と社会 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/50180189

この記事へのトラックバック一覧です: 図書館システムの欠陥構造:

コメント

色々検索してみましたが、それらが正しいとしたら、反吐が出るとしか言いようが無いです。

危機管理という視点で見ると、問題となった図書館やSIer、警察の対応は最悪といえないでしょうか?

「高木浩光@自宅の日記」で、高木さんが取締役に言ったことが、今回の謝罪に結びついたのでしょうかね?

#隠し通せなくなったからという気もしますが。

投稿: 多分役立たず(HNです) | 2010/12/02 21:25:09

実は、ちょっと前にツイッターに流れた情報の又聞きという形だったのですが、他の図書館のログが別の図書館のシステム内にあった、と言うことを聞きました。

これ、二重に問題なわけです。

テストするときに、生データを使ったと、いう問題があります。
多くの人は、この点に注目して問題にしたようですが、わたしは「他のユーザー」に着目しました。

これが、フィールドでデバッグしてそのまま納品、を示しているわけです。

そして、それが徐々に明らかになってきた。

おそらくは、高木さんもそこまでは考えていなのではないのか?と思います。
もっときちんとしていると思っているでしょう。

しかし、現実には昔はこの手のひどい話はたくさんあって、ソフトの開発管理が話題になりました。

今回の話は、そこらを全部ぶっ飛ばしているだろうと予想しています。

直すこと自体が無理だろうと思います。
完全リプレースの方が、間違えなく安いでしょう。

投稿: 酔うぞ | 2010/12/02 21:50:02

コメントを書く