長崎大学で個人情報流出 119
ストーリー by GetSet
Winnyじゃなくてイージーミス 部門より
Winnyじゃなくてイージーミス 部門より
alchemy 曰く、
2007年02月09日付け朝日新聞の記事によると、長崎大学は9日、「水産学部の学生や卒業生ら726人分の氏名と学年、卒業の可否、退学理由などの個人情報のほか、教授会の議事録がインターネット上に流出した」と発表したとのこと。
長年研究者として大学に在籍していますが、運営交付金の減額など、大学運営は厳しくなる一方で、学内の共通計算機の更新時にはギリギリまで予算を抑えざるを得ない現状です。今回このような問題が明らかになりましたが、潜在的に同様のケースが多数あるかと思われます。
予算の関係上厳しいのは分かりますが、何らかの手を打たないといけないかもしれません。
タレコミ子です (スコア:5, 興味深い)
いわゆる旧帝大ならまだしも、地方国立大学になると目も当てられないくらい予算が削られています。
学生に実験を任せるTA/RA制度(バイト)の採用人数も削除するという有様。
情報システムを管轄する部門の予算も同様です。どんどん安価な製品を採用せざるを得ません。
セキュリティの監査など、推して知るべし・・・。な状況です。
タダでさえ忙しいのに予算削られたら・・・という感じです。
まあ、大学と言うところは世間では信じられないような「常識」がまかり通っているところではあるんですけどね。
#大学裏の池にナトリウム投げ込んでる事件とかもあったよなあ・・・。
Re:タレコミ子です (スコア:1, 参考になる)
ごめん、学生の頃やりましたw
#結構やる人っているんじゃないかと思ってたり
Re:タレコミ子です (スコア:2, すばらしい洞察)
「現場の意識向上」だってタダじゃできないんだよ。
Re:タレコミ子です (スコア:1)
# どっかの社長じゃあるまいし、部下が働かないから問題だ、とでも言うつもり?
Re:タレコミ子です (スコア:2, 参考になる)
ただ、研究者は、「組織がつぶれても、業績があれば生き残れる。」
ので、組織防衛の為に努力するよりも研究業績あげるためにがんばってるだけ。
もっとも、外の人から言わせてもらえば、管理業務はまだしも、
学生の教育にはもすこしエフォートを割いてもええのでは。という教員が多いというのは事実ですな。
国立大学の「ぬるま湯体質」は、税金の無駄遣いにすぎない不良教員を大学に抱えていたという一面は否定できないけど、それ以上に、学生がじっくり、いろいろと勉強するのに好都合な状況の一助になっきまたと思うのですがね。学生さんがどれだけ教育されているか、という点で(世に言う一流どころにもかかわらず)目に当てられないレベルの私学の学生を複数(結構沢山)知っている(特定の大学の話ではないです。)ので、国立大学時代のぬるま湯体質批判には100%同意しかねる物があります。
情報漏洩に関しては、情報システムの管理者の経験上「予算があっても」だめだろうなぁとは思います。
プロに任せる予算があるとして、
・その金は永続的におまえたちの取り分ではない、ダメなら変える。
・我々は、よこしてくる技術者の目利きぐらいはできる。ただ、自分の時間がもったいないから外注しているのだ。
という姿勢を見せ続けないと、すぐに腕の悪いやつをまわしてきますから・・・っか、IT業界さんはとってく金に見合わないレベル以下の社員をこんなに抱えていて大丈夫なのかと他人ごとながら心配になります。・・・役所と違ってすぐつぶれるはずの民間企業が軒並み・・・
と、言うわけで金があっても人がいないと、結局つぶれるべき会社を税金で支援している状態にすぎなくなって、問題は解決しない。
#モデはフレームの元かしらん
度量が狭いのは国土が狭いせいか? (スコア:2)
俺は、そういう考え方の納税者が人材の未曾有の大損失を産んでいると思う。
Re:タレコミ子です (スコア:1)
Re:タレコミ子です (スコア:1, すばらしい洞察)
そりゃ不二家が救うだけの価値がある(と山崎パンが判断した)からでしょ。
経営不振になって、救う価値のある大学がどれだけあるの?
研究者じゃなくて「大学」そのものに。
研究者が個人主義にならず、自分の大学組織に価値を与えよう、と努力してれば、それを認めた
企業なり、自治体なりが救済するでしょうけど、研究者自ら、大学がなくなっても、
業績があれば、生きていける、つまり大学には箱としての価値しか見出してない、としたら、
赤字の大学はつぶして、有能な研究者だけ、べつの大学に吸収しろ、ってのが妥当な結論になると思います。
Re:タレコミ子です (スコア:1)
Re:「管理者の教員」ってだれ? (スコア:1)
しかしそもそも、今どきのネットワーク管理は教員(教授 助教授 講師 助手)じゃなくて事務方か計算機センターとかの職員の仕事だと思うのですけどねぇ。教員が担当するのは古き良き時代の名残でしょうか。任期に追われた若い人たちは当然自分の業績最優先でしょうし(それを咎めるのはどうかと)、任期無しになったお偉い人たちにはお出来になるとは思えない。
# でも自分の場合、学生のときに手伝わされた事がいい経験になったしなぁ。
Re:「管理者の教員」ってだれ? (スコア:1)
例えば、手元にサーバーがあれば迷惑メール対策もウィルス対策もサーバーでやり放題で、メールアドレスも持ち放題で、サーバーサイドでメール振り分けも出来ます。しかし、そういう自由さを許すと対処に困るので計算機センターのサービスを使ってはそういう自由なことが出来ないと。
ネットワークにしても自分達で構成していたら部署内の話し合いだけでさっさと変えられますが、外注していてはそうもいかないですからね。
Re:「管理者の教員」ってだれ? (スコア:1)
その辺をキッチリ運用出来るかどうかを判断し、セキュリティが一定以上保たれてるかどうか確認し、保たれてなければ指導するのが統括部門の役目です
それと共に規程通りしっかり運用することが所持部門の役目になります
好きかってするなら義務は果たせって事になりますが、ちゃんと出来ているところが多いかどうかは不安な所ではないでしょうか?
個人情報保護を考えると各サーバーは物理的にも論理的にも有る程度隔離されている必要がありますが
物理的に隔離する事を実施出来ているかどうかすら怪しい感じがします
サーバーが誰でも入れる部屋に野置きになってたりしませんか?
Re:タレコミ子です (スコア:2, 参考になる)
労働強度も一部を除いて高くもないですが・・・
http://www.mext.go.jp/b_menu/houdou/18/07/06072502.htm [mext.go.jp]
一応、公務員に合わせて地域調整手当てなんてのもあるので
旧帝大と地方国立ではそれなりの差があります。
最近は給与よりも予算の引き下げがきついので、
予算要求が脅迫っぽくなってしまったり・・・
見たような聞いたような・・・
itinoe
サーバの目的外使用 (スコア:3, 興味深い)
家で作業したファイルを自分の/homeにアップするのが面倒。
秘密鍵は別の計算機の中にあるのでloginできねー
→そうだ、自分のホームページ更新用にwwwだけftpを許容してたな
早速アプアプ
→どこかのサーチエンジンのクローラが「なんか面白そうな文書があるぜwwww」
→広く世界に大公開
ってことを某先生がやらかしたことがあります。
BASIC認証つきUPLOADERの設置でADHOCに解決しちゃいましたが
大学のことだからまぁこんな感じではないかと推測する元管理人
一般学生にゃちゃんと権限あげてますが、内部はどこもゆるゆる
#他にも中国人留学生がTor仕掛けてたりいろいろあったなぁ
Re:サーバの目的外使用 (スコア:0)
>→どこかのサーチエンジンのクローラが「なんか面白そうな文書があるぜwwww」
分かりにくいよ。前者は大文字で書いてくだちい。
Re:サーバの目的外使用 (スコア:3, おもしろおかしい)
wwww: world wide warawara
予算の問題では (スコア:2, すばらしい洞察)
>流出した情報は、民間会社の検索エンジンで探せる状態になっていたため
というのは、最初にクローラ除けのまじないでも書いておくべきで、投稿者の
>学内の共通計算機の更新時にはギリギリまで予算を抑えざるを得ない
という理由付けが成立するのか非常に疑問です。
というか、人為ミスでしょ。
Re:予算の問題では (スコア:5, 参考になる)
(中略)
> というか、人為ミスでしょ。
いやーシステム管理者の教育コストも予算のうちかと。
大学に限らず、企業などIT関係全般に言えることですが、日本は特に人材育成に必要な教育コストを相変わらず軽視しているように見えます。
今までも後進が育っていないことが問題視されてきましたが、1~2年ぐらい前から本当に日本人のエンジニアが捕まらなくなってきました。
そこでまだ慌ててでもまともに新人育成を考えよう、とかいう話になればマシなのですが、実際はあくまでもコスト削減追求のため、非欧米系外国人エンジニアを雇ったり、海外へオフショアしよう、とか言う話だったりします。
私の最近の同僚は中国人やインド系のエンジニアばかりになってしまい、慣れない英語でなんとか仕事してる状態です―日本語ができるエンジニアは高いので(苦笑)。
外国人を内部で雇っても、オフショアでも問題になりやすいのが教育コストに関する問題です。外人グループは実際の開発に入る前に、関連技術の習得のためのレクチャー・トレーニング・コーチングに要する期間を正式に求めて、つまり、工数に含めてくるケースが多いです。(特に連中がそれまで手がけたことのないアーキテクチャだったりする場合。)
日本人みたくOJT+セルフラーニング、なんてチャランポランなのはなかなか通用しません。
最近、ウチの会社で海外子会社にどんどんオフショアさせていこう、という方針になってしまったらしく、海外とのやりとりがさらに増えたのですが、彼らにまともなトレーニングも与えずに使おうとして失敗を繰り返している状況は、見てると鬱を通り越して痛々しいです。
・・・長文になってしまいましたが、もっと人材育成についてまともに考えようよ、というお話でした。
Re:予算の問題では (スコア:1, 参考になる)
情報〜学科とか〜情報学科とか出ても使えない人は多いけれど、せめて情報系学科卒業かそれと同等の学力を有するものとすれば良いのにといつも思う。
あと、情報処理技術者試験を簡略化したような入社試験があっても良いと思うけれど未だ嘗てそういう会社を聞いたことがない。
# ACに続けて書くのでAC
Re:予算の問題では (スコア:1, 参考になる)
> というのは、最初にクローラ除けのまじないでも書いておくべきで、
専門家ならクローラ除けのまじないなんて基礎中の基礎で誰でも知ってるし、
忘れるわけもないんだろうけど、研究者(ネットについては素人)が片手間で
こういうことをやっている、というかやらざるをえないから、こういうことに
なるわけです。
情報系の研究者とか、情報系の学生なら、詳しい人もいっぱいいるんだろうけど、
工学系でも他の分野なら、そうはいきません。MathematicaやLabViewが使える
人はそこそこいるだろうけど、cpやlsを知ってる人なんて、何百人に一人とか
いうレベルじゃないだろうか。
それでも、情報発信は研究者の仕事のひとつというわけで、余暇を利用して
勉強して管理者をやってるわけです。というか、余暇には自分の本来の仕事とか
本来の仕事に関係する勉強をやらなきゃならないのに、その時間を削って
やってるわけです。
Re:予算の問題では (スコア:2, すばらしい洞察)
#家庭内不和の元にもなる。
若い先生や学生が面倒見てる手弁当サーバーには、プロ意識の元に管理されてるわけじゃないのも多いでしょう。いつどんな事故が起こったって不思議じゃないです。一般論として。
で、じゃぁプロに管理してもらえばいいじゃないかってぇと金がないからそうもいかない、ってことですかね。タレコミさんの意図は。
Re:予算の問題では (スコア:1)
まじないだけで安心したらダメでしょうけどね。
#百度のクローラは行儀が悪いとか以前のストーリーにあったな。
まあ、 って事なので、人為ミス以外の何者でもないでしょうね。
予算不足でシステムが付いてなかったんではなく、付いている物を動かし忘れたんですから。
Re:予算の問題では (スコア:3, 興味深い)
想像するにシナリオはこんな感じ。
1. ディスククラッシュなどでサーバーが止まった。
2. 新しいハードディスクに現在のディスクにはいっているデータを救済。
3. .htaccessなどをコピーし忘れた。
例えば、cp * /where/is/secret/data/とワイルドカードつきでコピーしたときに.htaccessなど.で始まるファイルはコピーしないですよね。まあ、rsync使うとかtar使うとかするとこのミスは防げるのですが。
<余談>
なんか、研究室計算機管理者をやっている身としてはこの先生に同情しちゃうな。
計算機管理なんて雑用で、ミスったらこうして大問題になるけれど、平時は誰も褒めちゃくれない仕事だよ。そして、今時なりたがる変人はあまり居ない。何の報酬もないけれど、ちょっと動かないと文句言われるしさ。
学部名から推測した勝手な印象批評だけれど、水産学部にはサーバー管理できる人あんまり居ないだろうね。だから、1月2日のトラブルのときも、この先生に全ての負担がきてたと思うんだな。皆休んでいる2日にわざわざ休日出勤して行ったんだろうね。そして、早く帰りたいがゆえに手早く設定しての凡ミス。
予算の問題じゃないと力説する御仁も居るけれど、せめて学科として公開するサーバーくらいは技官を置くか、計算機センター(って長崎大学にあるの?)にアウトソーシングするかしたら今回の事故は起きなかったのではないかと思う。
</余談>
# あ、人のふり見て我が振り直そう(--;;
Re:予算の問題では (スコア:1, すばらしい洞察)
たいてい兼業だし、専業だったとしても他に仕事を割り当てられるし。
一般ユーザーや上司は一昔前の家電みたいに「壊れることは無い」と思ってるし。
安かろう悪かろうで組んだシステムを維持管理するのに、どれほどの労力がいるのか。
‥‥実際のところ、日本人特有の危機管理の無さがこういうところにも表れているような
気がする。「水と空気と安全はタダ」と同じように、導入したシステムは摩耗故障するま
で止まることは無いとか考えてる。予防保守とかセキュリティ教育は直接効果が見えにく
いし、削ってもすぐに悪化するとも限らないんで、割とコスト削減の対象にされがちだし。
安全を一定レベルに保持するには、それ相応のコストが掛かることを認識させないとね。
基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:2, 興味深い)
サーバで集中管理する技術思想は捨てるべきじゃないのかな。
各ご家庭に1サーバが理想な気がするこの頃。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:2, 参考になる)
それだと何もできなくなりますが…。
セキュリティポリシーを徹底させるか、そのための人員を雇うかが
現実的なところかと。
Updateしろって告知してもしない人って大量にいますし。
うちの母校はある研究室の学生がネットワーク管理してたぐらいなので、
その辺はちゃんと金かけて欲しいと思ったりしてました。
#ACは価値ある発言してください
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1)
違うよ、エンジニア要らずの「家庭用の、お気楽&安心&高性能なサーバ・コンピューティング」を実現しよう、って提案さ。
サーバ管理のような重労働を、事務員やバイトの片手間業務で出来るように、さ。
「日の丸製・家庭用高性能スパコン」こと、PlayStation3とかでどうよ?
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1, 荒らし)
は?予算?何のために?まずお一人一台づつ、ご家庭でPS3をご購入くだされ。んで、その後はオプソ開発。万事OK。
#メインメモリが少ない?
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1)
そういう台詞は自分で開発して公開してから言ったら?
出来が良けりゃ、勝手にユーザーが増えていくのでは?
#提案だけなら馬鹿でも出来る。
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1, 荒らし)
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1, 荒らし)
しのごの言わんと、僕のいうこと聞いたれや(笑)。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1, 荒らし)
で、MPMってなんだ?
Multi Processing Module,Apache httpd
http://httpd.apache.org/docs/2.2/ja/mpm.html [apache.org]
Meguro Parasitological Museum
http://kiseichu.org/default.aspx [kiseichu.org]
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:基本に立ち返って、「個人情報は個人が守るべき」という方向の技術仕様に (スコア:1, 荒らし)
ゲームソフトじゃあるまいし、「実用ソフトこそオプソで無償」でないと(笑)
#ちなみに未だPS3持ってない
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
予算の問題じゃないだろ (スコア:1, 興味深い)
まず必要なのは新しい計算機の導入じゃなくて、システム改修とセキュリティ教育だと思うのだが。
Re:予算の問題じゃないだろ (スコア:3, 興味深い)
誰かが責任者にならなければいけないから、って理由で
学科内でも管理も運営も(それどころか、自ら設定することも)できない(し、勉強する時間もない)っていう門外漢な先生が、
管理者になって悲鳴をあげているってこともありますね。
技官を一人雇いたいんだけど、それだけの為に雇えない(しお金もないし。)、外注しようにもお金がないし。
どうやってるんだろう。他の大学。
結局ね、予算と職員の定員の問題なんだと思いますよ。
大学はいまのままでも一杯一杯なのに、さらに、余裕もないのにネットワークのセキュリティなんてなにもかんがえられないって。
Re:予算の問題じゃないだろ (スコア:1, 参考になる)
私が所属している大学でも、先生方のパソコンは各学部内で個別に所有していて先生方が研究教育の傍らで管理しています。なので決して対岸の火事ではないなぁ、と思います。(個人情報に係るものは載せませんが、今回のケースと同様な「教職員専用のスペース」も設けています)
「ネットワークの保守・管理について本当に学部単位などで管理しなければならない事なのか?」と疑問に思うところですが、それが生み出すコストについて経営者はともかく先生方もほとんど認識されていないのが実情です。
それにしても流出した情報「学生の氏名と学年、卒業の可否、退学理由などの個人情報」は明らかに事務方管轄の情報だと思うんですが、これのセキュリティー管理まで本業の片手間で管理している先生に任せてしまうのは流石に拙いのではと思います。
Re:予算の問題じゃないだろ (スコア:0, 荒らし)
Re:予算の問題じゃないだろ (スコア:1, すばらしい洞察)
Re:予算の問題じゃないだろ (スコア:1)
おっしゃることが個人情報保護のための講習会や、ITセキュリティの講習会だとしても
今回の事件とはあまり関係ないでしょう。
「名簿は個人情報でありインターネットなどに公開してはならない」ということを
件の職員が知らなかったということはありえませんし、現に平常時は正しいセキュリティ管理ができていたのに
今回はたまたま作業ミスによって閲覧可能な状態になってしまっただけです。
むしろどれだけ教育や講習会をしたとしても人為的ミスには防げないという例に見えます。
この件について「教育にはコストがかかる」と書くのはミスをした職員を擁護するためとしても的外れに思えます。
大学の予算が削減されていることはこの件と切り離して論じるべきでしょう。
Re:セキュリティ教育の問題と捉えるのかどうか? (スコア:1, すばらしい洞察)
> あんたみたいなのがコンピュータ教育を語るな、大人しく数学やってろと、まじ思ったがな。
おとなしく自分の研究だけやってて大学にいられるなんて夢のような環境はありませんね. 他に担当できる人もしたがる人もいなかったということでしょう. この場合もその助手が自らリテラシ教育を買って出たのでしょうか?たぶん貧乏くじをひいた だけだと思います.
Re:セキュリティ教育の問題と捉えるのかどうか? (スコア:1)
社会の秩序とは何ぞや?と思いますけどね。思考力も何も、そんなもん当事者の立場や状況に応じていくらでも変動するので、現実には「不可能」と言うんですよ。
ちなみに、貴方の挙げた例のところの「情報公開」ってのは何を指しているのか分からないので理解も賛同もしかねます。
Re:セキュリティ教育の問題と捉えるのかどうか? (スコア:0)
名簿は漏れるもの (スコア:1)
どこの名簿からDMが来たかわかるようにしてたのに一度も来なくて悲しかったです。
メールアドレスでもこれと同じようなことをしようとおもったのですが途中で挫折。
#特許がらみでまだ未発表の研究とか、企業の委託研究など、
#本当に秘密なものは暗号化するなどして漏れないようにしてるんじゃない?
Re:名簿は漏れるもの (スコア:1)
> zz町xx-xx-3のようにして、どこの名簿からDMが来たかわか
> るようにしてたのに一度も来なくて悲しかったです。
えっと、郵便に関して言えば、もし「zz町xx-xx-3」あての郵便物があったとき、その「zz町xx-xx-3」という住所が「誤りである」として差出人に「あて所に尋ねあたりません」という還付印押して返している可能性があります。
同一家屋に複数番地がある場合であっても、郵便局(の外務が)その事実を知らなければ返します。
あて所=町名と番地(街区表示) で配達するのが原則だそうです(アルバイト3年していますが、根拠となるマニュアル等読ませてもらっていないので断言できません)。
でも、ま、中には名前と大まかなあて所が合っていれば配る人もいますが。
街区表示に切り替わって30年以上経つのに、同一家屋宛名のに街区表示と街区表示前の旧番地の両方使って来る某市役所なんて強者もいますけどね。
ラジオライフなどでよくこういった番地を変える裏技(?)が紹介されますが、表札やゼンリンの住宅地図、役所からの郵便物などで番地(街区表示)が確定できないと返すことになりますので、名簿の流失元を知る手がかりにするにはもう一ひねり必要かとおもいます。
Re:名簿は漏れるもの (スコア:1)
まぁ、マンションでも建っていることにして、丁目-番-号-部屋番号にしてしまえばいいかもしれませんね。部屋番号は4階以上にするように
たいていの市町村で4階以上をそうしている…し、マンション自体が市町村に登録されているか。
もう個人情報は漏れ漏れでいいやって思っている。あとは悪用さえされなければ。
Copyright (c) 2001-2014 Parsley, All rights reserved.
参考までに (スコア:1, 興味深い)
国立大学法人は,年1%の運営交付金の予算減が決まっています.その一方で,学生定員は増やせません.学費も変更はできますが上限と下限が決まっていますし,これまでの国立大学の担ってきた役割を考えれば,安易な増額は理解を得られないでしょう.ちなみに,一般の人は国立大学法人の業務効率化が進んでいないと考えているようですが,少なくとも予算の余りある旧帝大系を除けば,業務改善の余地は残っていません.残っていたところで,数%で,法人化されたはずなのに公務員の人員削減の影響受け,その人員削減に回される程度でしょう.
国際的には,日本の大学(特に国立大学法人)は特殊で,テクニシャンと呼ばれる人員がいません.いないということは,それようの予算がそもそも組まれていないということです.ちなみに,どんなに必要な予算であっても,法人化直前に賄われていた費用でないものは,運営交付金に新たに追加されることはほぼありません.
情報漏洩というのは問題外ですが,予算うんぬんというのはあながち嘘ではないでしょう.
ちなみに,単科大学や規模の小さい私大とは異なり,総合大学の多い国立大学法人では,IT部門に求められる柔軟性はかなり大きいです.多大な予算をかけて中央集権型にするか,小さい政府ばりに予算を圧縮するかは大学により異なるとは思いますが,集約型でない場合,各学科等のうん悪く担当になった普通の先生は悲惨と思います.
足りないのはお金ですか? (スコア:0)
おそらくランレベルを間違えて起動したとかそういう凡ミスの類でしょう。
それを予算のせいにするってのはどうかと。
Re:足りないのはお金ですか? (スコア:1, 参考になる)
報告義務 (スコア:0)
忙しい時期だとは思いますが、一言あっても良いような気も。
Re:報告義務 (スコア:0)