脱学校:どこでも学べる日本政府初のオンライン講座

働き方だけでなく、学び方も新しい時代の到来です。

「社会人のためのデータサイエンス入門」というオンライン講座が開講しました。

データサイエンス・オンライン講座「社会人のためのデータサイエンス入門」の開講

http://www.soumu.go.jp/menu_news/s-news/01toukei09_01000002.html

「社会人のためのデータサイエンス入門」

http://gacco.org/stat-japan/

世界最先端IT国家創造宣言にもありますように、統計なども含めたデータをどのように活用するかが、日本のイノベーションに必要なことですので、高度な人材育成にも積極的に取り組み、新ビジネス・新サービスの創出支援を行うこととなっています。

その一環として、今回は総務省統計局が、自らの学びをサポートするウェブ上で誰でも参加可能なオープンな講義「社会人のためのデータサイエンス入門」を開講したところです。

ここで、私が注目したのは、MOOC(ムーク)という取り組みです。
MOOC(Massive Open Online Courses) というのは、インターネット上で誰でも無料で講義を受講することができる「大規模公開オンライン講座」のことです。

その概念は、オーストリアの哲学者である、イヴァン・イリイチが提唱したコンピュータ技術を用いることで、中央集権化されていない学習環境を構築できるとし、学校のない社会ができる、とした「脱学校論」が始まりではないかと言われています。

その目標には、

 1.学びたい人はいつでもどこでも学習リソースにアクセスすることができる。
 2.学びたいと思っている人が何を知りたいかを共有することができる。
 3.公共の知識として広めたいと思っている知識を知りたい人に伝えることができる。

が挙げられています。

このような概念を踏まえて実際の社会に登場したのが、スタンフォード大学の「Coursera」やMITとハーバード大学によって創立された「edX」です。
我が国においては、「OUJ MOOC」などともに、今回の講義を提供している「gacco」が有名なのではないでしょうか。

従来、オンラインでの教育(e-Learning)というと、家や職場でパソコンに向かって、というのが想定されました。
でも、いまではスマホやタブレットなどお持ちの方も随分と増え、通勤途中に動画を鑑賞している光景を目にすることがあります。
今回のオンライン講座も通勤時間を利用して学ぶことができます。
通勤途中に大学の講義で学ぶ、新しい時代が来るのかも知れません。

ご興味がある方は、ぜひお試しください。

(GAPS代表 高橋邦明)

ベネッセコーポレーションの情報漏えいに関する現時点での気づき  2014年07月18日(金)

皆様もすでにご案内のところかと思いますが、通信教育大手のベネッセコーポレーションの保有する大量の顧客情報が漏えいし、事件となっています。

ことの発端は、5月末くらいからネット上でつぶやかれたジャストシステムによるダイレクトメールになります。
この中で、ベネッセの教材申込みにしか使っていない住所の書き方をしたものが、ジャストシステムから来ている、そのため、ベネッセから情報が漏れているのでは?というところから、俺も私も、となった次第です。

現在までの報道の内容を見るに、今回の事件は以下のような段階を踏んでいます。

1 外注先の社員がベネッセの統合顧客データベースにアクセスし、権限の範囲を超えてダウンロードを行って、名簿業者に数百万円で売り渡した。

2 名簿事業者の手に渡ったデータは、幾たびの転売を経て、ジャストシステムの手元に届いた。
ジャストシステムは、入手方法を確認せずに、名簿事業者から購入した。

3 ジャストシステムは、当該名簿情報をダイレクトメールに使用した。

4 情報漏えいが露見

とのことのようです。
この事案は、個人情報の大量流出として世の中を騒がせていますが、いくつかの視点で課題が指摘されています。

●情報システムの運用管理面
 ベネッセは、外部からの不正アクセスには細心の注意を払っており、セキュリティ対策は万全なつもりでした。
しかしながら、古くからの外注事業者に対して警戒しておらず、データのダウンロードを許してしまった、とのことです。
(さらに、システムについて熟知しており、セキュリティを解除できてしまったようです。)
 長くてよく知っているから安心、という属人的な管理は、個人に魔が差した際には脆弱であるということが言えます。
適切な監査も必要ですし、相互牽制を必要だと思います。

●オプトアウト制度の瑕疵
 個人情報を取得する際に、情報の利用に関して本人同意が必要です。
また、活用において不服がある場合には、申し立てることで、事業者に対して活用をやめさせることができます。これを「オプトアウト」と言います。
しかしながら、名簿事業者に売り渡された個人情報は、転売を繰り返すことで、本人の同意とは関係ないところに活用されてしまいます。
この場合、オプトアウトをしたところで、名簿は削除されません。
これは、個人情報保護法が名簿の転売を容認した制度設計をしており、本来守るべき個人の権利ではなく、手続きを重視したことに起因します。
誰のための法律だったのか、今一度議論が必要なところです。

●消費者の個人情報へ意識の低さ
これは、オプトアウトに関連します。
ダイレクトメールが来るということは、個人情報が流通していることの証左です。
しかしながら、多くの方はダイレクトメールを捨ててしまい、個人情報がどのような経路で入手されたかの調査はしません。
オプトアウトも多くの方がしないのではないでしょうか。
これでは、名簿の売買について、個人が容認していることになるため、制度も効力を発揮しません。
そうならないためにも、一人一人が個人情報について意識を高めることが必要です。
たとえば、カードなどの入会において住所の書き方を工夫することで、どこから名簿が漏れたか知ることができます。
例)
 霞が関3-2-2
 霞が関3丁目2-2号
 霞が関三丁目2番2号
などのように記述を変えることで、名簿の入手先を特定することができます。

●IT業界と法律への意識の低さ
今回の騒動が明らかになった直後に、ジャストシステムはデータの削除を公表しました。
しかしながら、事件性がある場合には、当該データは証拠となることが明白です。
誠意を見せたとみることもできますが、データは複写可能であることや復活もできることから、証拠の隠ぺいを企図したのではないかと見るほうが、技術を知る者にはしっくりきます。
そのため、早々にデータの削除を宣言した老舗IT企業に対して、多くの批判が集中しました。
(その後、削除宣言は撤回されました。)
このように、咄嗟の行動が、法律などよりも技術を優先してしまうところは問題です。
情報システムに下す命令一つを間違えただけで法律を犯してしまうことがあることもあるわけです。その際に法的な根拠をもって行動できれば、関係者にも説明責任を果たすことは容易なのですが、技術を過信して小手先でなんとかしようとしてしまう例を聞くことがあります。
また、IT業界において、法律の専門家と言われる方はまだまだ多くはありません。

上記のように、いろいろな視点で議論ができる貴重な場を、今回の事案は提供してくれています。
社会にITが随分と浸透してきていますので、今後の関係者の動向に注目したいところです。

以上

日本におけるIT Dashboardの運用開始について 

7月4日に日本政府においてもIT Dashboardが運用開始されました。

http://cio.go.jp/news/619

IT Dashboardは、「世界最先端IT 国家創造宣言」(平成25年6月14日閣議決定)の中で、「政府におけるIT ガバナンスの強化」として、各府省庁のIT 投資の状況等をインターネット経由で一覧性をもって国民が確認できる仕組みとして整備が求められてきたものです。
また、IT国家創造宣言の上位に位置する「日本再興戦略」においても、同様に紹介されていま
す。

世界最先端IT 国家創造宣言について

http://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20130614/siryou1.pdf

日本再興戦略

http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/saikou_jpn.pdf

このグラフを見ることで、情報システムに係る政府支出金額を見て取ることができます。
実際に、規模と運用経費の比較や保守経費との関係など、とても興味深い傾向を見ることができますし、ここに受託事業者の分布などを入れると、さらに見えてくるものがあるのでは?
などと納税者としては気になって仕方がありません。
このようなグラフを国民に公表することで、運用経費削減圧力の享受という方向へ舵を切った政府の勇気は評価できるところだと思います。

ところで、この運用経費ですが、実際にはどのようなものが含まれているのでしょうか?
個人が持っているパソコンでは、ごみ箱のデータをきれいにしたり、バックアップを取ったりします。
それ以上に、情報システムも面倒を見てあげなくてはいけません。
具体的には、
○監視業務:システムの稼働監視、セキュリティ監視、性能監視など
○運用業務:バックアップ、簡易な障害復旧、ヘルプデスクなど
○保守業務:機器障害対応、セキュリティパッチ適用など
が「例」として思い浮かぶところです。

ここで、例を「」付きで記載させていただきました。
その理由は、このような区分や業務内容を詳細化せずに、運用・保守として一括で発注している例をよく見るからです。また、契約はしているものの、実際には何をしているか把握せず放置しており、運用報告書も受領して綴じているだけ、という例があります。

そのため、契約しているものの、事業者側は実際には体制をとっていない、自動化を進めることで受注額に見合うほどの工数が発生していない、などの現状があります。
さらに、情報システムを使う上での業務量を把握していないために、ハードディスクの容量が余っている、メモリ容量が過大になっている、通信容量に比して回線容量がジャブジャブになっているという例もあります。

本来、業務をIT化する上では、単なるワープロシステムにするのではなく、情報システムを用いることの特性を理解したうえで業務を効率化できるような取り組みを行うと、費用対効果を高めることができます。
さらに、情報システムの運用開始後に、業務量やハードディスクの使用量などを把握していくことで、情報システムがどれほど業務の効率化に貢献できているかも把握することができます。

家計の支出を抑える際には小遣いを削るだけではなく、支出の内容を見直していると思います。
政府においても、従来は運用経費の削減ばかりを目標としてきたところですが、これからは、自分たちの業務の量とそれに見合う支出ができているかについて把握し、さらに支出内容について妥当なのか、あらためて精査していくことで、歳出の見直しができると思います。
それは、継続的に払い続けている運用経費についても、同様だと思います。

以上

※最後までお読みいただいた方に裏技です。
ITダッシュボードの画面上では統計処理された情報が表示されますが、CSVでダウンロードすると情報システムごとのデータを取得することができます。
→7月4日時点での動作ですので、今後機能改修により取得できなくなる可能性がありますので、
ご了承ください。

【事務局よりお知らせ】
GAPS通信は会員向けにメール配信もしています。

http://gaps.or.jp/gapsmembership

またfacebookページもあります。
情報配信をご希望の方はいいね!を押してページフォローしてください。

https://www.facebook.com/GAPS.or.jp

ぜひご登録ください。

最近のセキュリティに関する話題と資産台帳

共同代表の高橋です。
今回は「最近のセキュリティに関する話題と資産台帳」についてのコラムです。

年度末に始まりこの連休までの間に、セキュリティ関連の話題が世間を騒がせました。
その話題について、簡単にご説明すると、

【Apache Strutsの脆弱性】 
 Javaという言語を用いたソフトウェアを作成するための環境において、特定の命令をインターネットから送ってあげると、パスワードファイルなどが見えてしまうというものです。
 当初は、バージョン2.0の問題が指摘されていましたが、サポートが切れているそれより古いバージョンも同じような脆弱性があることが確認されました。
 また、オープンソースであることもあり、幅広く活用されていることも、騒ぎを大きくした要因です。
 政府においては、このためにe-Taxの一部やITパスポート試験のサイトを止めることになりました。

【Open SSLの脆弱性】 
 インターネットで取引をする際など、通信を暗号化してカード番号や個人情報を窃取されないようにすることが一般的になっています。
 このためのツールの一つがOpen SSLになります。
 しかしながら、通信は暗号化できたとしても、それを管理するサーバーソフトに脆弱性があると、そこから情報がダダ漏れになってしまいます。
 今回のOpen SSLが、まさにその例に該当し、称して「heartbleat(心臓出血)」と言われています。本来、血を送り出す心臓から出血していたら致命的です。
 これは世界中のあらゆるシステムで用いられているとともに、スマートフォンや機器の中に組み込まれていたりと、影響範囲が計り知れない状況になっています。
 ちなみに、日本では三菱UFJニコスなどが影響を受けたようです。

【Internet Explorer の脆弱性】 
 インターネットを閲覧する際に使用するのがブラウザです。そのブラウザについてWindowsに標準で組み込まれているのが、Internet Explorer (以下、「IE」と言います。)です。
 このIEにおいて、悪意のあるサイト等を閲覧することで、自動的にプログラムが実行され、
パソコンが乗っ取られたりすることがわかりました。発見当時において、既に攻撃が確認されており、多くのパソコンにIEが入っていることや、業務用の情報システムにおいてIEを使うことが多いことなどから大騒ぎとなりました。
 こちらは、影響範囲のすそ野も広く、インターネット閲覧禁止などの事態になってしまいました。

 このような事態は、それほど頻繁に起こることがなかったのですが、今回は立て続けに発生したものですから、内閣官房や各府省のLAN担当などは大騒ぎをして調査をしたところです。
 しかしながら、本当にこんな大騒ぎをしなければいけないのでしょうか。
少なくとも、自分の使っている基盤や情報システムはどのような構成になっているかを知っていれば、慌てて調査をする必要もありませんし、影響範囲の特定や対応策の手順などの立案も、落ち着いてできたところです。

 政府においては、平成19年度以来、各府省に情報システムの資産台帳を作成するようにしていたところですし、一昨年度においては、全省庁に対して情報システムの棚卸しを行ったところです。
 その際、自分たちに納品された情報システムの設計書をちゃんと確認しなかったのかもしれません。
 それはもしかしたら、契約事務取扱規則に定める、監督官業務(18条)や検査官業務(20条)
が確実に行われなかったことを意味するかも知れません。

 業務を行う上で、ネットワークやソフトウェアを活用することがほぼ必須になっている中で、自分たちが何を持っていて、それがどのように作られているかは、もう少し関心をもたないといけないと思います。
 そのための道具として、「資産台帳」を活用するのも一つの答えだと思います。

※ちなみに、上記の脆弱性に関する詳細情報は、以下をご参照下さい。

【Apache Struts関連】
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)

http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
~国内でいまだ
大量稼働するStruts 1利用企業に、直ちに緩和策を~

http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

【OPEN SSL関連】
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html

OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001920.html

OpenSSLの脆弱性について(2014年4月15日更新)

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/vulnerability/01-openssl.html

【Internet Explorer 関連】
Internet Explorer の脆弱性対策について(CVE-2014-1776)

http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

Internet Explorer 用セキュリティ更新プログラムの提供について

http://www.microsoft.com/ja-jp/news/Press/2014/May14/140502_updating_InternetExplorer.aspx