高専機構でのOffice365事件(!?)について
こんばんは。最近ニュースが多くてなかなか追いつききれてません。(^^;;
今回は高専でのOffice365に関する問題です。全体の流れはこちらです。
ただ、「必ずしも設定ミスではない」とのことで、「本来意図した設定になっていたのか見解が分かれるところである」とのことだということが伝えられています。以下の記事はねとらぼからです。
現在出ている情報だけでは判断出来ないのですが、「手柄になる」と考えた高専機構本部の事務方が経費削減の一環として高専全体として包括契約したのでしょう。設定に関しては構築ベンダに丸投げ、実際の運用については各高専に丸投げだったのではないかと推測します。(なんか某県教育情報システム問題に似ているような…)
導入前にある高専の教員が設定の不備を指摘したにも関わらず、そのまま強引に押し切って機構本部主導で導入したという話も伝わってきています。
今回の問題が公になったのは、高専全体で情報が見えてしまっていることを学生がツイートしたことに端を発します。ここも推測ですが、この問題を内部的に指摘しようにも連絡窓口が分からないor伝えたものの、黙殺されてしまったのではないかという風に見えます。ツイートした学生の責任にするような連絡があったというようなこともTLに流れてきました。本来であれば、適切な連絡窓口があって然るべきです。それがないorあっても学生からアプローチ出来ないのは拙いでしょう。
そして、問題が大きくなった時点で学生に責任を押し付けようとするような教員側の言動・行動は悪手だと思います。ここは逃げずに、炎上した時点で即座に会見して陳謝すべきだったのでしょう。今まで他の組織で起きた不祥事でも、迅速かつ適切な対応を取れるかどうかが明暗を分けると思います。「嵐が過ぎるまで待とう」という姿勢は×です。出来るだけ早く真相をきちんと語って頭を下げるべきでしょう。
この問題に関して、もう少しウォッチして行きたいと思います。
【予約キャンセルデータベース】登録しようとする電話番号の信憑性は?
こんばんは。今回は予約キャンセルデータベースについて取り上げます。ねとらぼの取材に対して、高木浩光先生のツイートまとめに詳しい指摘があります。まずはこちらを御参照下さい。
詳しいことは上記サイトに譲ります。気になるのが
- 登録された電話番号が本当に無断キャンセルした人のものなのか?
- 登録された電話番号データベースは適切に管理されているのか?
- 一体誰がこのデータベースを管理しているのか?
- データベースは適切に管理されているのか?
- 登録情報によって無関係の第三者が不利益を被った場合、どのように責任を取るのか?
等々の点です。細かいことはいろいろとあるのですが、もう少し掘り下げてみます。
その電話番号は本当に無断キャンセルした人の番号だと断言出来ますか?
データベースに電話番号を登録する際、登録する番号がキャンセル被害を受けた飲食店主の自己申告なのでしょうか。だとすると、当該飲食店主の言い分を全面的に信頼するしかありません。番号記録ミスで間違った番号を登録してしまう可能性がありますが、それを確認する手段がありません。
他にキャンセルした人が伝えた番号が陥れたい人の電話番号を勝手に伝えたりした可能性も拭いきれません。その場合の裏付けも取りようがありません。その上、データベースにアクセスして得られる情報は「登録されているかいないか」だけですので、間違った情報かどうかを誰も指摘出来ません。
もし、自分の与り知らないところで勝手に電話番号を使われていたとして、予約しようとしたら「お請け出来ません」と、理由も知らされずに理不尽な断り方をされる可能性もあります。
電話番号はずっと持ち続けているとは限りません
他に考えられるケースとしては、登録された電話番号がすぐに解約されていて、しばらくそのままで、全く別の人が契約した電話番号として割り当てられていたとしたらどうでしょう。この場合も同様に、理不尽な断り方をされることになります。データベースに登録されていたことが分かったとして、どうやって別人であることを証明して登録抹消して貰うことが出来るのか?という問題があります。
最近ではIP電話アプリが普及してますし、電話番号使い捨てな風潮もあります。昔と違って、電話番号は一度取得したら引っ越さない限り変わらないというものではありません。番号に対してさほど執着はないと思われます。
これらの問題を含めて、きちんとデータベースを管理しないと役に立たないどころか、いたずらに混乱を引き起こすだけのツールに成り下がってしまいます。
なので、「データベースの適切な管理を行うためのコスト」にまで頭が回ってないのではないかと邪推しています。
セキュリティ面をきちんと考えておかないと拙いです
そして、セキュリティ面の問題もあります。「電話番号はハッシュ化しているので大丈夫」というのは間違いです。他の方々も指摘されていますが、携帯電話なら11桁、固定電話なら10桁です。電話番号として使われない番号も多いので、これらを除外すればかなり絞られることになります。これだと一方向ハッシュは無意味ですね…。
ソルトがあるのかないのかは分かりませんが、もしないとしたら、漏洩した場合に一発でやられてしまうのではないでしょうか。
データベース管理コストは意外に高いと気づくのではないでしょうか
他にも濡れ衣を着せられた第三者が不利益を被ったとして裁判を起こした場合どうなるのかとか、飲食業関係者のふりをして、気にくわない人の電話番号を登録依頼して登録してしたことが発覚したりとか…。いろいろ考えられます。
もちろん、無断キャンセルによる飲食店側の被害も馬鹿にならないのは十分理解出来ます。データベース管理コストを軽く考えているように思えてなりません。情報の正確性の担保、データベースのセキュリティ対策、定期的なメンテナンス等々…。これらのことを片手間で出来るとも思えません。
自分たちの身を守るつもりで構築したデータベースに身を滅ぼされる可能性も十分ありますので、今一度熟考しないと拙いのではないかと思えてなりません。
翔泳社の電子書籍(ITサービスマネージャ参考書)を購入しました
こんばんは。昨日は余裕がなくて書けなかったITサービスマネージャの参考書(電子書籍)を購入した話を書いてみたいと思います。
購入した電子書籍はこちらです。
今までは紙媒体(普通の書籍ですね)を購入していたのですが、今回は電子書籍にしました。書籍だとどうしてもかさばりますから、電子書籍の魅力は大きいですよね。
iBookでは取り扱ってなくて、Kindle経由ですが、iPad mini 4で読むにはちょうどいい感じです。昨夜ダウンロードしてパラパラと目を通し始めています。この本に関しては、午後1・午後2対応となっています。午前2に関しては別のポケットサイズ本やスマホアプリを使えということのようです。このへんは割り切っていいのではないかと思います。前半(1・2章)は午後1対策、後半(3・4章)は午後2対策という構成になっています。電車内で文章を書いたりということは出来ませんので、隙間時間を使う場合は演習部分を読むようにして使うことになりそうです。
そして、読者特典サービスがあります。このへんは紙媒体・電子書籍版問わず提供されます。書籍内の演習問題の解説PDFファイルがダウンロード出来るようになっています。
参考書としてはこの電子書籍を使い、ITECの本試験問題集を使ってこれから受験勉強を進めて行きます。因みに翔泳社から他区分の電子書籍もあります。
情報処理安全確保支援士版やネットワークスペシャリスト版やITストラテジスト版もリリースされています。
後日スマホアプリについて書いてみようと思います。少々お待ち下さい。
九州北部豪雨災害による通信関係のサービス提供など
こんばんは。昨日に引き続き情報処理技術者試験対策の記事を書く予定でいましたが、福岡・大分方面での豪雨による災害の影響のことが気になりましたので、通信関係のサービスについてまとめてみることにしました。
Wi-Fi接続やAC電源供給について
NHKのサイトでは公衆無線LANの臨時提供や携帯電話の充電サービスに関する情報がありました。以下の通りです。
NTTdocomo、au、SoftBank3社とも充電サービスと公衆無線LAN接続サービスを提供しています。公衆無線LANについては、SSIDが0000JAPANで接続出来るようです。契約している事業者を問わず利用可能です。もちろん、OCNやIIJmioやmineoなどのようなMVNO各社のSIMを使っている場合でも利用出来ます。1つの無線APに多くのユーザが一斉に接続すると、当然ながら速度は低下します。しかし、メール送受信やテキストベースのSNS利用と割り切れば十分使えるはずですので、心配は無用かと思われます。
携帯電話キャリア各社災害伝言板
そして、御存知の方々も多いかと存じますが、NTTdocomo、au、SoftBank3社の災害伝言板についてのリンクを貼っておきます。
こちらはdocomoです。
そして、auはこちらです。
SoftBankはこちらです。
福岡・大分AM/FMラジオ局各社の周波数等
ここまでは携帯電話関連でしたが、災害時の情報源としてラジオも有用です。ここではNHK及び福岡・大分の民放ラジオ局の周波数をお伝えするために、各局の当該サイトのリンクを貼っておきます。
まずはNHKです。
福岡612KHz、北九州540KHz、大分639KHzですが、他にも中継局がありますので、上記URLを御参照下さい。
民放ですが、まずはRKBラジオです。
福岡1278KHz&91.0MHz、北九州1197KHz&91.5KHzです。他地域は上記URLを御参照下さい。
続いてKBCラジオです。
福岡1413KHz&90.2MHz、北九州720KHz&94.0KHzです。他地域は上記URLを御参照下さい。
続いてFM FUKUOKAです。
福岡80.7MHz、北九州80.0MHzです。他地域は上記URLを御参照下さい。
CROSS FMはこちらです。
福岡78.7MHz、北九州77.0MHzです。他地域は上記URLを御参照下さい。
そして、LOVE FMはこちらです。外国語放送局ですので、外国人の方々向けの情報発信が強みかと思います。
福岡76.1MHz、北九州82.7MHzです。他地域は上記URLを御参照下さい。
大分県に移ります。OBSラジオです。
大分・湯布院1098KHz、中津等1557KHz、佐伯1269KHzです。
最後はFM大分です。
上記にもありますように、大分88.0MHz、中津84.9MHz、佐伯81.8MHzなどです。
「ラジオを聴くんだったらradikoでいいじゃん!」とか言われそうですが、非常時のことを考えて、スマホのバッテリーを温存しておく方が賢明です。ポケットラジオですと、乾電池駆動でさほど消費しませんので、可能な限りラジオ受信機で聴かれることをオススメします。
最後に携帯電話各社支払い期限延期に関する記事のリンクを貼っておきます。被災された方々におかれましては、一日も早く元通りの生活に戻られることを心から願っております。
秋期情報処理技術者試験向け参考書&問題集等物色中(1)
こんばんは。今月6日から秋期情報処理技術者試験・情報処理安全確保支援士試験申し込み受付が開始されていますね。そう言えば、昔は大手書店で受験願書を配ってましたが、最近見なくなったような気がします。(私が気づいてないだけかもしれませんが)ネット上で済ませてしまう方が楽ですし、郵送の場合だと受験料振り込みのために郵便局に行ったり、自筆で書類に記入しないといけないという手間がありますよね。
私も数年前からネット申込に切り替えたクチです。(^^; それはさておき、現時点で午前1通過者証の確認が出来ていません。郵便受けを確認してみなくては。
受験に向けて参考書と問題集やスマホアプリを探しています
さて、今回は(というか、なかなか攻略出来てないので…)ITサービスマネージャ(通称:SM)を受験予定です。比較的どうでもいいことなのですが、この略称変更してくれませんかねぇ。IPAさん。Twitterで書くとあらぬ誤解を受けそうなのでドキドキしてます。(^^;
受験に当たって、参考書と問題集とスマホアプリを用意します。そこで、まずは問題集です。
鉄板はITEC本試験問題集でしょうか
参考書は複数社から発売されてますが、純粋な本試験問題集となると、ITEC一択なのかなと思います。
単に過去問を解くだけなら、IPAが公開しているPDFファイルをそのままダウンロードして使えばOKです。解答もありますが、それだけです。本試験問題集には詳しい解説が記載されていますので、間違ったところをきちんと理解するには役に立つことを実感しています。このへんが同書の強みなのかなと思っています。過去に同社のNWやSCやSU等の本試験問題集を購入し、無事に合格することが出来ました。
参考書は翔泳社かITECでしょうか
ITパスポートや基本情報等と違って、高度試験になると出版される書籍数が激減します。受験者の絶対数が少ないので、当然と言えば当然ですが。(^^;
それでもSCやNWならば、高度試験の中でも受験者数は多い方ですので、それなりに見かけます。なので、事実上翔泳社とITECの二択という印象があります。TACも参考書を出していますが、同社の講座を受験すること前提で購入するのがベストなのかなと個人的には思っています。
翔泳社だとこちらの参考書になります。
この参照所には電子書籍版もあります。こちらですね。Kindleでの購入になるかなぁと思っているところです。(iBookでは対応してない模様)
と、ITECも参考書を出してますね、こちらです。
こちらも定番になりますが、重点対策です。各試験区分毎に発売されています。
電子書籍も発売されてはいるのですが、最新版が見当たりませんでした。
新しくて2013年版だったりするのが残念な感があります。最新版のリリースを期待してます。
今のところ、ITEC本試験問題集+翔泳社参考書電子書籍で検討中です。スマホアプリは次回を予定しています。
ベンダ側もセキュリティ人材が不足しているという記事
こんばんは。セキュリティ人材ネタですが、こちらの記事も気になりました。zdnetからの記事です。
複数社から「セキュリティ人材を大幅に増やす!」というような記事が出ていました。とは言いながら、なぜかベンダ側には人材がいないというお話。「何か矛盾してないか?」と思いながら読み進めていました。
この記事によると、客側が使用決定出来ずにベンダ丸投げになってしまっていて、相互依存の関係に陥ってしまっているとのこと。そして、ベンダが単なる商社になってししまっていて、製品販売のみになってしまっていることも問題だとのこと。
運用が一段下に見られていることもあり、セキュリティ対策として当たり前になっている多層防御を行うための機能をフルに発揮することが出来る人材がユーザ側にもベンダ側にもいないという不幸な事態に陥っているとあります。
こうしてみると、ユーザ側も「何も考えずにベンダに丸投げしておけばなんとかしてくれるだろう」という思考回路から抜けられなくなってしまっているのでしょう。
当然、そんな環境からは自力で問題解決してくれる人材など出て来るはずもなく、ベンダ側もセキュリティ対策のあり方が特にここ数年で変わってきているという事実に背を向けていて、人材育成を怠っていたのかもしれません。
「セキュリティ対策=セキュリティ対策機器を売る」で完結してしまっていることが問題なのでしょうね。基本的なところは組織を問わず共通なのですが、組織毎に異なる部分もあるはずで、この「個別に異なる部分」を自力で解決する/解決のための提案が出来なくなるほど劣化しているということなのかもしれません。
この問題は一朝一夕には解決出来ないでしょうから、ユーザ側は「自分たちの組織に必要なセキュリティ対策とは何か?そのためにはどうすべきか?」を自力で見つけられるようにならないといけません。ベンダ側は「セキュリティ機器を売ったらおしまいではなく、顧客の要望を確実に吸い上げ、きちんと形にして顧客に提案する能力」が必要になってきます。
もしかすると、こういう人材を育てるためのコストまでカットしてしまったのでしょうか…。
