水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 三菱インフォメーションシステムズが謝罪

三菱インフォメーションシステムズが謝罪

2010年11月30日(火曜日)

三菱インフォメーションシステムズが謝罪

公開: 2010年12月3日12時30分頃

三菱インフォメーションシステムズが会見を開き、謝罪を行ったそうで。津田大介さんによる記者会見の報告がまとめられています。

プレスリリースも出ていますね。

入札参加停止措置を受けての発表なのでしょうか。いずれにしても、システム側に問題があったことを公式に認めたという点は大きな前進だと思います。

しかし、プレスリリースを細かく見ていくと、気になるポイントもいくつかありますね。

2010年3月中旬から5月中旬にかけて、新着図書情報をプログラムを使って取得する機械的なアクセスがありました。

このプログラムは、図書館が提供するホームページから蔵書データベースに直接アクセスする方式で、人がホームページの画面から操作する頻度を超えるアクセスが機械的に繰り返されました。

この頻度の高い機械的なアクセスが行われた際、他の利用者がホームページを利用するとつながりにくい、または、つながらないというアクセス障害が発生いたしました。

「頻度が高い」ということを繰り返し言っているように読めますが、それほど頻度は高くなかったのではないでしょうか。「人が操作する頻度を超える」とも言っていますが、素早く操作すれば十分に出る頻度だと思います。

原因及び処置状況

弊社図書館システムのインターネット接続方式は、1回のホームページアクセスに対して10分間、データベースとの接続を維持する仕様となっていました。

今回の頻度の高い機械的アクセスにより、データベースの同時接続数が設定値を超えたため、アクセス障害が発生したものです。

障害発生の連絡を受け、弊社は他の利用者へのサービスを優先し、この機械的なアクセスを回避する種々の処置を講じましたが、完全な回避はできませんでした。

その後6月に、他の図書館でも、頻度の高い機械的なアクセスが見られたため、弊社は同じ仕様の図書館システムで同様のアクセス障害が発生する可能性があると判断し、接続方式を従来の一定時間維持する方式からアクセスの都度、接続する方式に改めることといたしました。

新しい接続方式は、6月末より改良開発を行い、対象となる28の図書館の改修を7月から順次実施し、11月15日に完了しております。

これは誤解を招きそうな説明ですね。アクセスの頻度や「機械的なアクセス」かどうかという点が重要であるかのように読めますが、そうではないはずです。アクセスの頻度が高くても、Cookieを処理していれば問題は起きにくい作りでした。逆に、Cookieを無効に設定している利用者がブラウザでアクセスした場合にも問題が起きる作りです。この点は「岡崎市立中央図書館のサービスが停止した理由」にも書きましたが、高木さんのまとめが詳しいですね……「三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) (takagi-hiromitsu.jp)」。

プレスリリースでは「システムインテグレーターとしての責任」についても述べられています。

弊社は図書館システムにおいて、以下の責務を果たすことができていなかったと認識しております。

1.今回のアクセス障害が発生した際、弊社はシステム解析や性能調査による原因の究明を行わず、図書館への説明も不十分でした。また、障害情報を開発部門で分析し対策を講じることを怠りました。この結果、3月中旬の障害発生後、これを解消する6月末の提案を行うまで約3ヵ月間、障害の可能性が続いてしまいました。

2.個々の図書館のカスタマイズや保守を、顧客に対応するシステムエンジニアに任せており、情報が拠点に分散していたため、根本的な分析と改修に時間を要しました。

このあたりは重要だと思います。不具合のない完璧なシステムを作ることはほとんど不可能なわけで、大切なのは、不具合があったときにどうするかです。特に「図書館への説明も不十分」という点が大きな問題だったのではないかと思います。

今回の件で私が特に驚いたのは、robots.txt が図書館の了承なしに配置されていたらしいという点です。クローラによるアクセスがあると動かなくなる、ということが分かっていたから無茶苦茶なrobots.txtを置いて対策したのだと思いますが、その対策の意味をきちんと説明していれば、こんなことにならなかったのではないでしょうか。

しかもこのrobots.txt、ドメイン全体に対してアクセス拒否する設定になっていて、図書館のサイトがまともに検索できない状態になっていたという……。置く方も置く方ですが、置かれた方もこの状態で問題に気づいていないというのが悲惨です。普通のサイトは「利用者が検索エンジンで検索して訪れることができるように」と配慮してSEOなんてことをやったりするわけですが、そういうことをしようとしたら普通に問題に気づくはずです。それがないということは、まともなサイト運営が行われていないと言ってしまって良い状態だと思います。

どうも、「どうせ図書館の人はIT音痴だから説明しても分からないだろう」などという考えがあったような気がしてなりません。そうだとしたら、そう思われる方にも問題はあるのでしょうね……。

※後半の個人情報流出に関しては、私はよく知らないのでとりあえずノーコメントで。たぶんたりきさんがコメントされるでしょう。:-)

※追記: コメントしていただきました……「MDIS が謝罪したようです (d.hatena.ne.jp)」。

関連する話題: セキュリティ / 岡崎市立中央図書館事件 / librahack

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト