システム開発・運用者から見たワクチン予約サイトの不具合報道について
政府・防衛省のワクチン大規模接種予約システムの不具合について、一部マスコミが具体的な不具合内容を含めた報道をしました。これに対し、賛否両論があるようです。ただ、リタイアしたとは言え、システム開発、運用に携わっていた身としては、今回の報道は許せません。2度とこのような過剰報道が発生しないように、法的措置を含めた対応を政府にはとって欲しいです。
そもそも何が問題なのか
そもそも何が問題なのかという点については、自分がごちゃごちゃ書くよりも、以下に丁寧にまとめられていましたのでこちらを見ていただいた方がわかりやすいかと思います。
一応、一番重要なところを引用しておきます。
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
今回の件については、報道内容としてはシステムに重大な欠陥があることを確認した旨を記載し、防衛省など関係機関には連絡した上で、修正見込みなどについては確認しているがまだ回答を得られていない、で良かったはずです。問い合わせに対する予防線を張るなら、欠陥の具体的な内容については悪用の危険があるので公表は差し控えます、でよいはずです。
それを、わざわざ架空の番号で予約ができる、なんて具体的な内容まで公表する必要性がどこにあったのでしょう?正直、子供か!とツッコミました。
ちなみに、公益性を考慮して公表したとか言い訳していますが、具体的な欠陥内容まで明かす必要性については触れてはいないようです。
実際、複数の会社による共同事業において、A社の担当者がB社のシステムの問題を見つけてA社内で報告したもののB社に連絡せず、裁判沙汰になって敗訴した事例があります。
また、これは個人の話ですが、公益のためと無罪を主張して敗訴したケースもあります。
実際のシステムの問題をイベントで発表したという事件です。当該記事中から引用しますが、以下のように判決理由を述べています。
元研究員は「プレゼン発表は、サーバ管理者のセキュリティ対策を促すため」と主張していたが、裁判長は「たとえそうだとしても、管理者側に修正の機会を与えないまま発表したのは正当視できない。模倣犯も出現し、高度情報通信社会の発展を妨げることは明らか」とした。
悪いのは問題を放置しているシステムやその関係者であって、自分はそれを世に警告しているだけ、と正義感故の行動なのかもしれません。ただ、それによって実際に被害が発生しかねないのです。
今回の報道についても公益性を大義名分に正当化していますが、具体的な内容まで公表する必要性があったとは思えません。
なぜ公表してはいけないか
今更述べるまでもないですが、悪用される恐れがあるからです。個人情報については、厳しく言われるようになりましたが、なぜ個人情報を保護する必要性があるのでしょう?それは、悪用される恐れがあるからです。
今回のシステムの場合、まずはワクチン接種を進めることが一番大事であることは明確かと思います。仮に、これによって業務に支障が生じたら、他人の責任に煩いマスコミ殿はどのように責任をとっていただけるのでしょうか。改修のためにシステムを数日止めますなんてことになったら、どうしてくれるのでしょう。
今回の件について言えば、さも重大な欠陥のように言っていますが、仮に架空の番号で予約を取っても接種はできません。予約枠が浮いてしまってその日打つ予定だったワクチンが余ったとしても、モデルナ社のワクチンはファイザー社のものほど管理がきつくはありませんし、実際に、キャンセルなどで発生した余剰分は大規模接種の関係者に回して有効活用しています。
報道がなくても誰かが気づいて不正予約する可能性はありますが、報道してしまったらその可能性が跳ね上がるのは誰でも分かるかと思います。当該システムの運用監視がどうなっているか存じませんが、真っ当な体制が組めていれば、運用監視で何度も不正アクセスを繰り返すような不審な行動は検知して対応できます。余程のプロでもなければ、そいつらをひっ捕まえることもできたかもしれませんが、報道によって便乗犯、愉快犯が増えればそういう不正アクセス犯罪者予備軍も紛れてしまいます。
つまり、具体的な内容を公開することによるメリットはなく、デメリットばかり浮かぶのですが、マスコミの方にはそれを帳消しにするようなどのようなメリット、公益があるのかをぜひ語っていただきたいものです。
報道側の言い分
一方、マスコミ側の言い分もいくつかあるようですが、たまたま見かけた記事のリンクを以下に掲載しておきます。
これについても、多分一番書きたかったのはここなんだろうなという部分を引用します。正直、この程度の認識でいたことに驚愕です。
システムに脆弱性があると報道したのは当然のことだと考える。特殊なツールなどを使ってシステムの穴を突いたなどの話ではなく、「適当な数字を入れたら通ってしまった」という程度のことを書くのは報道機関としては当然の態度である。国民の関心事が高いことであり、ニュースとして公益性が高い。さらに、記者が実際に試してみて事実であることを確認し、防衛省にも取材を行った上で記事化しており、記事制作のプロセスとしてもまったく問題がない。
これが正直一番始末に追えません。「適当な数字を入れたら通ってしまった」なんてことが報道されたら、それを試す便乗犯、愉快犯が出てくるのは自明です。その中には、本当に悪意を持ったプロが紛れ込んでおり、便乗犯たちの中に紛れてしまいます。つまり、格好の隠れ蓑にできるわけです。
でまあ、記者個人がそういう義憤に駆られて記事を書こうとしたことはまあ、よしとしましょう。実際には、これが世に出るまでには何人かの社内のチェックを経た上で、承認を得て公開されるのかと思います。
そのチェックの過程で誰も問題と思わなかった、スクープだ、政治利用できると喜び勇んで公開したという組織としての問題の方が大きいと考えています。
不具合、欠陥のないシステムはない
こう書くと開き直りと取られるので現役の方はなかなか書けないと思いますが、自分はリタイアしているの書きます。システム開発、運用の現場では常識です。
上記のマスコミ側の記事でも書いてありますが、今回は(たぶん、既存のシステムを流用したのかと想像しますが)急拵えのシステムで、細かい問題の解消よりはまずはリリースありきだったのかと思います。
もちろんだから良いという話ではなくて、可能な限り確認はした上でシステムを公開しますが、どうしたって不具合はあります。今回の件も確信犯と言うか、色々あって目を瞑った部分かと思います。正直、番号にチェックデジットくらいつけとけよと思いましたが、予約システムの範囲外の話ですからどうしようもありません。
不寛容社会、日本
マスコミ側の記事の中で以下の下りがあります。
岸大臣が朝日・毎日両社に言うべきは抗議ではない。「問題が起きる前に指摘してくれてありがとう。市区町村の予約システムと連携できないのは困ってるんだけど、急いで何らかの対応をするよ」なのではないだろうか。
え、あなた方がそれを言います?いや、もしかすると記事を書いた方はやらないのかもしれませんが、こんなこと大臣が言ったら、マスコミと野党が鬼の首を取ったかのような大騒ぎしますよね。目に浮かびますよ?
本件に限らず昔から言われていることですが、日本という国は完璧主義者が多すぎます。ちょっとでも問題があると大騒ぎして、責任を追求しようとします。実はこれマネジメントとして愚の愚策とされています。
こうやって失敗を追求して責任ばかり問うようになると、それを恐れて失敗を報告、公表することにブレーキがかかります。それによって、問題が顕在化しなかったり、より大きな問題になることも多いです。
システム開発者がよく口にする言葉に「それは運用でカバー(してね、運用担当者さん)」というのがあります。まあ、単なる言い訳だったりすることもあるし、こういうことを言わなくて済むようにするべきではあります。が、どうしても開発時点で見落としていた点とか、検討不足だった点、果ては開発時の不具合など、システムが本来カバーすべきところを、運用担当者が人手で対応するケースがあります。
また、セキュリティについても、一般的な範囲のよくあるパターンはあらかじめ対応するとして、なんらかの問題で侵入されることは防げないので、システムのログや問題を検知した際のアラートなどを組み込むことでセキュリティを担保するという考え方もあります。
今回のシステムがどこまで何を考えていたのかは存じませんし、そういうことはあとで反省してもらうとして、無邪気な正義感による報道でこれらの作業に支障をきたしてシステム(狭義の具体的なプログラムの集合としてのシステムではなく、そのシステムを中心としたワクチン接種予約という業務を果たすための関係者も含めた広義のシステム)が破綻する恐れはあったと自分は思います。
完璧を求める人たち
前職の末期にRPAというものに関わりました。詳細をここで説明するのは避けますが、大雑把に言えば人がパソコンでする単純作業を代わって実行するアプリケーションです。
このRPAというツールですが、中々思う通りに動かない部分があります。何しろ、機械のすることですから、画面のタイトルがちょっと変わったり、画面のボタンの色や名前が変わったりすると途端に止まったりします。
もちろん、そうならないように色々工夫するのですが、そうするとそれだけ手間がかかり、費用対効果が薄れます。その上、いろいろ手を尽くしてもWindowsというシステムの問題なのか百回に一回失敗するとかいう謎現象が発生します。
そういう時に、それでは使い物にならんと怒り出す人がいるのです。気持ちはわかりますけど。自分が営業する時には、その旨も必ず伝えるのですが、そうすると同行している本職の営業の人が嫌そうな顔するのですよね。
果てはなんでそんなツールの利用を推進しているので、責任を取れみたいなことを言い出す始末。
余談・失敗を繰り返す人
余談ですが、そうは言っても同じような失敗を繰り返す人がいます。いや、前職の時に居ました。台帳や元データを確認しろと何度も口を酸くして言っても毎度毎度同じことを繰り返します。で、それに対して今後どう改善するのか聞いても、気をつけますと言うだけ。いや、気をつけて失敗しているんだから、それじゃダメでしょ?改善策は何か浮かばないのか聞けば黙り込む。仕方ないので、こう言うことをすれば?と助言しても馬の耳に念仏。手順書があっても自分の思い込みで手順書無視するので意味がない。
システムあるあるで、何か問題が起きるたびに安易にチェックシートに項目を追加して、膨大なチェック項目になるというのがありますが、それ以前でした。
まずは連絡
最近、街に熊や猪が出てきたり、ペットのニシキヘビやイグアナが逃げ出したり、なんて報道がよくあります。その際に必ず言われるのは、発見したら手出しせずにまずは関係機関に連絡しなさい、ということです。
近所のどこかで熊を見つけて、注意喚起の意味で詳細な住所をSNSにあげたらどうなるでしょう?野次馬を呼び込むことになりかねません。
システムの不具合情報も公表は双刃の件です。というか、素直に専門機関に任せましょう。
今回、公益性を大義名分とした過剰な報道について、マスコミ内部から一切行き過ぎとの声は上がってきてないようです。まあ、特に探してもいませんからどこか片隅に申し訳程度にはあるのかもしれませんけど。
つまりは、マスコミ関係者は誰も今回の件が問題と思っておらず、自分たちの正義を信じて疑わないということに恐怖を覚えます。ペンは剣より強しということの意味を理解し、自省して欲しいものです。