「確認作業は公益性高い」 架空予約で毎日新聞見解―ワクチンの大規模接種 /野党、防衛省に説明要求……この国は与党第一党も野党第一党もおかしい。
時事通信社の記事である。もう1本は後半にある。
システム不備があった場合にどう対応するのか?という話だが、はっきり言うが新聞社や日本でも英語圏でも、致命的な欠陥があれば、記事に真っ先になるものである。何故なら、それが彼らの仕事であり稼ぎの種だからだ。これを相手に報告して、修正してと言う作業を求める事は、ジャーナリストならまずない。
そうやって漏れたから、SpectreとMeltdownというCPUの脆弱性問題はヒッチャカメッチャカになり、緊急修正パッチが2ヶ月~3ヶ月で出たが暫定パッチで問題があり、それが性能を落とす自体にまで発展した。これは、たまたまセキュリティ関係者にメディアに漏らしチビッた人間がいたからである。
今回は、後述するが、セキュリティよりバグと呼ばれる考慮の問題である。
そもそも誰でもシステムに入力できるので試したら、出来ちゃったという話なので、脆弱性とかそういうレベルではなく、お粗末だったという話になる。
しかも分かっていたとか分かっていなかったとか、仕様だったとかそうじゃなかったという話なので、余計に不味いと言える。急いでいるにしてもやって良いことと悪いことがあるのだ。
そもそも、何故ダメなのかというと、誤入力しても受け付けてしまうからだ。
高齢者が直接手で入力しているなら、間違える事は有り得る。老眼の人も多いし、携帯操作が苦手な人も沢山いるからだ。
即ち、チェック機能は必須だったと言える。
だから、今回に関してはどう見ても新聞社が悪い訳では無い。
そして、日本人はよく分かっていないようだが、セキュリティ問題でも、新聞社やジャーナリズムは本来ならば実は知ればすぐに報道に流すものだ。それが報道というものなのだ。
それがあるからこそ、それで指摘されないように開発をするのが企業なり官庁なりの仕事だし、セキュリティメーカーや個人と協定(インセンティブ契約)などを結んで、それが漏れないように努力しているわけだ。それでも、漏れることがある。漏れれば、対応が信じられない程迅速に行われ、場合によっては本来保守が終わっている製品でも保守対応されるのも特徴の一つだ。だから、たまに漏れることがあってもよいかもしれない。まあ、システム会社にとっては恐ろしい話で、関係者から見ると絶対にあっては困る話である。私も経験があるから知っている。
Spectre問題なども、半年~1年後には対策ハードが投入されるまでになったのはそのためだ。しかも、かなり古い製品まで保守が行われた。(ちなみに、本来大規模プロセッサーの設計では1.5年~2年掛かり、保守対象のブランドは5年前ぐらいまである)そして、今それに関連する脆弱性情報は、メーカー側から先行して発表されることも増えている。彼ら自身が調べるようになった訳だ。
日本政府は、この記事を見る限りそういう点で真逆に向かっているのが分かる。
いや、そもそも日本では一般でも変な人も増えてきている。セキュリティの脆弱性とバグを混同する人も多い。デジタル時代に対応出来るのかという人も多い。だんだんと、批判する前に教えるのが筋だろうとか、そういう話になっていく。じゃあ、元々問題があると言われ続けていて、実際に問題があったLINEとかどうなんだよということとか、そういうのにも繋がる話だ。確か、政府や自治体のセキュリティ関係ではLINEの役員などが社外のアドバイザーになっているケースも多いはずだが、彼らがそう仕向けているのではとか……勘ぐってしまう。
別にそうではなくても、こんな話が出るとこういうのもあるのかなと思うのだ。サクラがSNSなどでそうやって流せば誘導できる時代でもあるし……。
今の日本は本当に政府や官公庁がダブルどころかトリプル、クアドラブル、ペンタブルなスタンダードで使い分けており、無茶苦茶だなと思う。
尚、不具合の報告にはいくつか種類があるものだが、多くは2つに大別される。
一般にバグと呼ばれる直接の個人情報漏洩などのセキュリティとは全く無関係な物が1つ。今回はそれに該当するはずで、困るのはシステムを運用する側や政府側が本物か偽物かを判断出来ずに手間取るだけだ。情報が漏れるわけではない為、公開で作業するのが妥当である。
もう一つは、情報が漏洩し悪用されたり、既に登録済みの他人になりすまして処理される恐れがある場合だ。こちらは、登録済み情報が漏れる恐れがあるため、通常はそのメーカーに先に通達してから、一定期間を置いて情報開示を行うのが好ましい。(好ましいだけである)そうしないと、今サービスを使っている人の情報が漏洩すると大混乱になるかも知れないからだ。
元々前者の場合は、最初から公開で対応するのが好ましい。要は、先にメーカーに伝えないといけないと言うルールは必ずしもないのだ。何故なら、情報漏洩はしないため、一般の利用者が深刻なレベルで困る事は原則としてないからだ。その代わり、世間にオープンにすることで、困る扱いをする人を排除することに繋がる。もし、それを知ってやる人がいるなら、その人をせいと断定することが出来るため、企業に取っても対応が楽になる。(その人のせいで遅れたと言えるし、そういう人を本サービスから排除することも出来るので結果的にメリットとなる)
一方で、後者は情報公開を先行するかどうかは、メーカーに先に問い合わせた方がよい。但し、「義務ではない」のだ。大事なことなので2度も言うが義務ではない。あくまで、その方がサービスを利用する人やメーカー側の双方または社会全体に取って好ましいと言うことだ。そうすると、相手側からセキュリティバグを見つけたことに対して、お礼や謝礼が来ることもある。ちなみに、前者では必ずしも来ない。あくまで、運用における不具合か、仕様かの話だからだ。
話を戻そう、このように先に伝えれば、見つけた人にもメリットがあるかもしれないわけだ。その代わり、セキュリティ情報をフィックス情報が公開されるか、保護契約に基づいて一定(30日~90日)の期間を経過するまで、公開してはいけないということになる。公開すれば、インセンティブやお礼が発生しないし、インセンティブ契約をした後ならばむしろ違約金が生じるかも知れない。
まあ、だからこそ某政治団体の人のように、ありがとうと言うべきかというと……それもおかしな話になるわけだ。
あの人達執行部の面々が、前回の党の選挙で別の顔ぶれになっていたら、きっともっと今は支持率が高かったかもしれない。
ルールだ何だと思っている元総理や野党までいるわけだが、セキュリティ情報を守秘で伝えてくれるのは、それなりの情報に対する謝礼が出ることから始まった面もある。
ゼロデイ攻撃(開発者がセキュリティの脆弱性を見つける前に、攻撃者が攻撃をすること)を恐れたからだ。その謝礼もないもので、且つそもそも情報が外に漏洩するようなセキュリティ問題じゃないなら、その範疇に必ずしも嵌まるわけではない。この辺りは、デジタル庁を作る政権担当の政府なら、理解しておくべきである。そこに別の脆弱性も隠れていて、それを一緒に影でフィックスしているならそういう態度も分からなくはないが、(そうだとしたら政府系のシステムとして余計別の問題が生じる。)
もしも、それでも自分達に先に伝えるべきだと封殺するなら、この国はデジタル庁もクソもないだろう。昭和感覚か平成初期のディジタル庁の発想に、我々にまず都合の悪い情報を無料で伝えてくれないと、許さないという自分が頂点、自分が正しいという人の発想になる。
そもそも、コンピューティングにしても、プログラミングにしてもバグや考慮不足、利用者と開発者の意図の差など腐る程あるものだ。
だからこそ、何にでもありがとうとは言えないし、だからといって簡単に利用者や指摘してくれるジャーナリストや企業、個人に対して批難は出来ないものだ。もちろん、忙しいと内(開発部内)で、文句を垂れることはあるだろうが、それで終わらせる話であり、上は認めて真摯であるしかない。
国民は、このどちらにも乗っかってはダメだ。
どちらも本末から離れ幼い幼児の言い争いのようになっている。本来は、何故それでスタートさせてもよいと判断したのか、誰がしたのか?早くスタートさせることで接種が早まる話だったのか?といったところを踏まえて、これからに生かすこととと、必要なら担当者が必要かを判断するしかない。
そこに行かない辺りに、この国の政治はもう終わっているというかなしさというか、虚しさを感じる。
この人達の幼稚な言い争いに税金払っているのだよ。私達は……。そして、その幼稚な言い争いを正しいとか正しくないとかいう輩がいっぱいいるんだよこの国は……。冗談抜きで、悲しくて泣きたい話だ。なんでここまで低俗な国家になったのだろう。
