Oracleは「悪の枢軸」、残りの枢軸はどこ？

AdobeがOracleに対して痛烈な批判をしています。

OracleはOpenSolarisについて、オープンコミュニティを解散に追い込んで自社商用化を目指すような動きをみせており、これに対してAdobeのオープンソース担当が懸念を表面したという状況です。

ITmediaの記事では、このように述べられていました。

『マカリスター氏（Adobeオープンソース担当）はこれらの出来事を、「Oracleは突然、Microsoftが以前演じていた役割に就いた」と批判している。「Oracleは突然、オープンソースを金になる商品と考え始めたようだ」とも。

オープンソースコードからお金をもうけるのはかまわないが、コミュニティーの関与をなくすのは問題だと同氏は主張する。「完ぺきな企業はない。だがこういった最近の動きは、この悪の枢軸が850マイルほど悪い方向に進んだことを示しているようだ」』
http://www.itmedia.co.jp/news/articles/1008/25/news088.html

850マイルという表現の意味がよくわかりませんが、それよりもっと気になるのは悪の枢軸（Axis of Evil）という表現です。これは2002年に米国ブッシュ大統領が北朝鮮、イラン、イラクをテロ支援国家として批判したときに使われた言葉で、遡れば、第二次世界大戦の日本、ドイツ、イタリアの枢軸のように、だいたい3つの国や組織を表すときに使われる傾向があります。

とすると、今回のAdobeのコメントにある悪の枢軸は、Oracle以外にどんな会社が当てはまるのでしょうね。マイクロソフトはすでに違うと述べていますから、それ以外で利己主義の強い巨大IT企業が当てはまると思われます。

うーん、保守料のバカ高いSAPと・・・・・それでもやっぱりマイクロソフトですかね？

毎秒2回アクセスを10分続けたら落ちる図書館システムと、その脆弱性を知っていながら対応できなかったCMMIレベル5のMDIS社

愛知県の岡崎市立図書館に不正アクセスしたとして、同県の男性が逮捕されました。しかし、事件の内容が明らかになるにつれて、不当な逮捕であったことが分かってきました。

事の経緯はasahi.comが詳しかったので、そちらを引用します。

『愛知県内の男性（３９）が、自作プログラムで図書館ホームページから新着図書の情報を集めたところ、サイバー攻撃を仕掛けたとして逮捕された。しかし、朝日新聞が依頼した専門家の解析によると、図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていたことが分かった。同じソフトを使う全国６カ所の図書館でも同様の障害が起きていたことも判明。ソフト開発会社は全国約３０の図書館で改修を始めた。

この問題は同県岡崎市立図書館で起きた。ソフトには、蔵書データを呼び出すたびに電算処理が継続中の状態になり、電話の通話後に受話器を上げたままのような状態になる不具合があった。一定の時間がたつと強制的に切断されるが、同図書館では１０分間にアクセスが約１千件を超えると、ホームページの閲覧ができなくなり、大量アクセスを受けたように見えたという。

男性はソフトウエア技術者で、岡崎市立図書館から年に約１００冊借りていた。図書館のホームページは使い勝手が悪く、新着図書の情報を毎日集めるプログラムを作り、３月から使い始めた。

図書館には同月以降、「ホームページにつながらない」と市民から苦情があった。相談を受けた愛知県警は、処理能力を超える要求を故意に送りつけたと判断し、業務妨害容疑で男性を逮捕した。名古屋地検岡崎支部は６月、「業務妨害の強い意図は認められない」として起訴猶予処分とした。 』
http://www.asahi.com/national/update/0820/NGY201008200021.html

一番突っ込みたくなるのは、10分間にアクセスが1000件を超えるとホームページの閲覧ができなくなるという、図書館の貧弱なシステムの仕様です。こんな貧弱なWebシステム、見たことがありません。開発元は三菱電機インフォメーションシステムズ（MDIS）社です。

この件については、セキュリティ専門家の意見も「明らかにMDISのソフトウェアの脆弱性に問題あり」ということで一致しています。つまり、図書館側に問題があるということです。余談ですが、朝日新聞は、ネット上でも高名な高木浩光氏のところに直接解析依頼を出したそうで、高木氏のウェブ上がとても賑わってました。

 

今回の件で私が最も問題だと思っているのは、図書館システムの脆弱性でも、警察のIT音痴っぷりでもなく、MDIS社の情報共有の姿勢です。

asahi.comの同記事で次のようなことが分かっています。

『朝日新聞が確認したところ、図書館ホームページの閲覧障害は、ほかに大阪府貝塚市、広島県府中市、東京都中野区、神奈川県鎌倉市、京都府長岡京市、石川県加賀市でも起きていた。ＭＤＩＳは「改善の余地がある」として７月、電算処理を毎回切るように岡崎のソフトを改修。全国約３０の図書館で順次作業を進めている。』

つまり、MDIS社はこの不具合を予め知っていたわけです。

にもかかわらず、今回の事件では、当初図書館側に対して、「10分間で1000アクセス以上もしてくるような相手に非があって、自分たちのシステムに問題はありません」というような姿勢で臨んでいたように思えます。そうでなければ、冒頭の男性の逮捕劇などあり得るわけがありません。
※図書館職員の方は製造元のMDIS社に問い合わせているはずです

このちぐはぐさはどこから来ているのでしょう。岡崎市立図書館のMDIS担当者に上記の情報が行き届いていなかったから、このような事態になってしまったのでしょうか。

もしそうだとすると、MDIS社のCMMIレベル5の看板にキズが付きますね。

 

同社は2006年3月にCMMIレベル5を取得し、継続的なプロセス改善が行われている企業として認定されていますが、このレベルの企業であれば、自発的にシステムの不具合（リスク）を調査するような取り組みが行われていて然るべきです。

「MDIS社のプロセス改善活動への取り組み：CMMIレベル5を達成」
http://www.mdis.co.jp/company/csr/process.html

今回の場合、他の図書館システムで次々に同様の事象が発生していた最中の出来事であり、このような重要な不具合情報を類似システムの現場担当者が知りませんでした、というのはちょっとお粗末すぎませんか？

一人の人間を20日も勾留させた原因を作ったのですから、MDIS社は説明責任を果たす必要があると思います。

ブラックベリーも陥落、国外サーバの存在を許さない国

セキュリティの厳しい企業では情報資産を海外に置くことを禁止しているところもありますが、なんと、国家レベルでこれをやり遂げているところがあるのを知っていますか？

つい先日、ニュースでこんな情報が流れていました。

『アラブ首長国連邦（ＵＡＥ）とサウジアラビアの通信当局は、カナダのリサーチ・イン・モーション（ＲＩＭ）社の高機能携帯電話（スマートフォン）ブラックベリーについて、国内法の規制が及ばず治安上の懸念があるとして、電子メールなど一部のメッセージ機能サービスを停止すると発表した。』

世界でも最も有名なスマートフォンであるブラックベリーのメッセージデータがサウジの国外のサーバで管理・蓄積されており、当局の手を逃れてコミュニケーションすることが可能なため、ブラックベリーのメッセージング機能を禁止させたというものです。

アラブ諸国の中でも、UAEとサウジアラビアはテロ対策が最も盛んな国のひとつであり、当局の検閲はすさまじいレベルで実施されています。

たとえば、日本では、サーバ上の個人情報や情報資産について、それらが国外にあって手出しできないというケースがよくあります。もっとも顕著なケースとして、「２ちゃんねるへの情報削除の命令を裁判所が出したのに、サーバが国外（US）にあるため手出しできなかった」というものがありましたね。

しかしサウジは違います。そんなことは許しません。国内からコントロールできないデータを扱うシステムは、その利用を禁じるのです。

サウジアラビアでビジネスをしたことがある企業なら分かるでしょうが、あの国は、重要なITデータを国内サーバに必ず蓄積させます。もし日本の本社にあるファイルサーバ上のデータをサウジ支店で使わせる場合、そもそもサウジ内にファイルサーバを立てて、そこにデータを格納させられます。

ですから、あの国でクラウドサービスを利用することは大変な困難を伴います。（というか無理）

結局、ブラックベリーを世界展開するRIM社がどうしたかといえば、サウジ当局の軍門にくだり、これまで国外に設置していたサーバをサウジ国内用に新規設置することにしたようです。

『サウジアラビア当局によると、各国で使用規制の動きが出ている高性能携帯電話「ブラックベリー」に関し、製造元のカナダ・ＲＩＭ社がサウジの検閲を受け入れることに原則として同意した。対象になるのは文字情報をやり取りできる「メッセージング」と呼ばれるサービス。同社は他国でもテロ対策など「治安上の理由」による検閲を受け入れたとされる。 ７日に同意したという。サウジ通信当局者は取材に「８月２８日まで（検閲のための新設備を）試験することになった」と述べた。ＡＰ通信によると、これまで国外に設置されていたサーバー（情報集配信コンピューター）をサウジ国内に新設することになる。』 http://mainichi.jp/select/world/europe/news/20100813k0000m030083000c.html

情報に対する当局の介入が厳しい国というと、つい中国などを思い浮かべてしまうでしょうが、実はサウジこそが最も検閲・介入が厳しいのです。知ってました？

日本の夜空を彩る花火とそれを操る海外ソフトウェア

日本の夏といえば花火大会ですが、実はITシステムで制御されていることを知ってますか？

花火大会といえば、花火職人が筒に火をつけて打ち上げるシーンが思い浮ぶかと思います。ですが、よく考えてみると、一時間で数千発の花火が打ち上げられる昨今、狙い済ましたようなタイミングで複数の花火が同時に炸裂させ続けるというのは、最早物理的に人手では無理です。

実は20年ほども前から、すでに花火大会はコンピュータ制御の仕組みが導入されていたそうです。昨日の日経新聞Web版で紹介されていた「東京湾大華火祭」の記事にその旨が紹介されていました。

『丸玉屋（東京湾大華火祭プロデュース）が使う制御システムは米国製で、打ち上げのタイミングを30分の１秒単位でコントロールできるという。観客席に向けて流す音楽やアナウンスに合わせて、あらかじめプログラミングした通りに、煙火玉（玉）の入った花火筒（筒）に命令を送る。さらに現場近くにいるオペレーターが制御システムを操作してタイミングを微調整している。

（中略）

花火の色、高さ、大きさ、着火してから開くまでの時間などを計算して進行表を作る。それを基に、一つひとつの花火を打ち上げる場所とタイミングを、システムと連携する専用ソフトでプログラミングしていく。』
http://www.nikkei.com/news/headline/article/g=96958A9C93819499E2E7E2E0938DE2E4E2EAE0E2E3E2E2E2E2E2E2E3

NTTコムウェアのウェブサイトでは、国友銃砲火薬店を取り上げて、さらに細かく説明をしています。

『國友銃砲火薬店の打ち上げソフトは、100分の１秒の精度で点火のタイミングを微調整できるのだ。設定数値を変更するだけで、例えば５分のプログラムを３分に巻いたり、逆に一発一発の間隔を延ばすこともできる。時には途中の花火をカットしたり、急きょ順番を入れ変えることもあるという。

また、オペレータは万が一の異常事態にも備えなければならない。そのため、打ち上げソフトはバックグラウンドで絶えずシステム全体をチェックしている。もしどこかの端子に不具合が生じていたら、パソコンの画面上にアラートが現れる。オペレータはその花火をカットするか、CMの最中に修理して対処するわけだ。

「こうしたソフトの仕様は、自分たちで開発したからこそ可能になった部分。当社にも海外製の点火システムがありますが、やはり自社のソフトの方が使いやすいですね」と上埜さんは言う。

現場に持ち込むノートパソコンは、どのようなものが使われているのだろう。写真を見ると、５、６年前までPC98で動くモデルが使われていたようだ。

「プログラム自体は比較的軽いので、別に高性能なパソコンを使う必要はないんです。さすがに最近はWindowsパソコンを使っていますが（笑）。それよりも大切なのは、現場の作業中にクラッシュやダウンしないこと。ハードはなるべく丈夫なものを選び、中のシステムは極力シンプルな構成にしています」（上埜）。』
https://www.nttcom.co.jp/comzine/no074/newdragnet/index.html

国友銃砲火薬店では内製ソフトウェアを採用して、花火のコントロールを行っていますが、最初に紹介した丸玉屋は米国製ソフトウェアを使っています。日本式花火は今や世界の夜空を彩るエンターテイメントであり、海外でも目にする機会が増えています。

日本はソフトウェアの輸入と輸出の割合が100:1という輸入超過の国であり、このままいけば、米国製ソフトウェアがさらに台頭してくるかもしれません。安っぽいナショナリズムかもしれませんが、花火大会くらいは国内製でまかなってほしいなと思います。

米政府から詐欺行為で提訴されたOracle

7月29日に米政府（調達局）がOracleを詐欺行為で提訴しました。

訴状では、1998年から2006年までの8年間、一般企業向けの値引きと比較して不当に高い金額でソフトウェア調達を米政府に行わせ、数百億円を詐取したとのこと。

この事件はOracle社の契約担当上級ディレクターからの内部告発に端を発していますが、驚くべきことに、今回の提訴で米政府が損害賠償金を受け取ることができた場合、この上級ディレクター（内部告発者）にも一部のお金が報酬として支払われるそうです。

「United States Files Complaint Against Oracle Alleging Contract Fraud」
　http://www.justice.gov/opa/pr/2010/July/10-civ-873.html

内部告発者が報奨を手にすることができるという点もそうですが、そもそも値引きの大小で詐欺罪でベンダーを提訴すること自体、日本では見られない事件でしょう。取引先に応じて値引き率など千差万別。ベンダーが取引先との将来の関係性を考えて、独自にレートを設定するものであるべきです。

本来はベンダーの自主性に委ねられるべき値引きについて米政府が提訴できた理由は、契約文書に「民間向けの商取引で割引改善があった場合、米政府へも同様に適用する」との文言が含まれていたからでした。

こんな契約書をOracleに飲ませた米政府の交渉力は凄いですね。果たして、日本政府との取引に同様の文言は存在するのでしょうか？

この事件から推察できるもうひとつの重要点は、Oracle以外の主要ベンダーも同様の契約を米政府と結んでいる可能性が極めて高いということです。特に、Oracleと同様のラインナップを抱えるIBM、デスクトップ周りを抑えるマイクロソフトは、まず間違いなく該当するでしょう。

政府調達のガイドラインを定めている総務省の方々、この事件をよく研究して、日本でもソフトウェア調達のやり方を見直してはどうでしょうか？