厚生労働省が脆弱性のある旧バージョンのJREのインストールを勧奨していたのだとか
厚生労働省が古いバージョンのJRE(Java Runtime Environment)をインストールするようホームページで勧奨していたというニュースをNHKで見かけた。
元ネタはどこだかよく分からないが、WEBを探していたところ、時事通信社発で
という記事が見つかった。
厳密には「厚生労働省への申請をインターネットで行うためのソフトの動作に、脆弱性のある旧バージョンのJREが必要で、そのJREを厚生労働省が配布していた」といったところだろうか。
NHKのニュースではあの高木浩光先生が登場。厚生労働省の対応のまずさを鋭く指摘していた。
「ソフトの配りっぱなしはよくない」などと。
実際のところ、会社の中などでは、ソフトのバージョンアップを抑制することはよくあることだ。
旧バージョンのソフトに合わせて社内システムを構築してしまった場合など、そのソフトをアップデートすることで既存のシステムに影響が出ないかどうか調査するだけでも費用が莫大になることがあるからだ。
会社内の業務にしか使わないパソコンで、ファイアーウォールなど他の方策で、問題の脆弱性がカバーできるなら、こういう運用もいたしかたなしといったところだ。
場所によってはWindows 95が現役だったりするのだから。
厚生労働省はこの考え方をそのまま、ホームページで公開している申請ソフトに適用してしまったわけだ。
それをまた、何かの拍子でNHKか時事通信社が見つけてしまい、今回の報道内容となったわけだ。見つからなかったらそのまま放置だったのだろう。
「これまで被害の報告はない」と厚生労働省は回答してきたらしいが、これまた無責任なご答弁だ。「被害はあったかどうか知らない」と遠まわしに言っているに過ぎない。
ではどうすれば良かったのか。
JREのセキュリティフィックスが出た時点で、厚生労働省のソフトも対応した新バージョンをリリースするというのが一案。
あきらめて公開を停止するというのも一案(実際、一時的にこうなっているようだ)。
思い切って、脆弱情報だけを公開し、ユーザーに対処をまかせてしまう(パソコンを要塞化したうえで、他の用途に使うなと告知する?)のも案としてはありだったかもしれない。
さて、ここで私の着目点は、この厚生労働省のソフトが無償で配布されていたという点だ。
無償のソフトウェアは、原則、ユーザー側が使用責任を負うお約束(法律)になっている。厚生労働省が無責任な態度を取ることについては、法的には許されているはずだ。
NHKも、厚生労働省に非があるような報道をするのではなく、「フリー(無料)ソフトはユーザーが使用責任を負うことになります。お使いになる方は十分に注意するようにしてください」というスタンスで報道するのもありだったのではないか?
視聴者の共感は得にくいかも知れないが、そのほうが問題の本質にはより近づけた気がする。
・無償のソフトは配布者に経済的責任を負わせにくい部分があるのは確かだが、かといってすべてをユーザーの自己責任にしてしまっていいのか(かつて窓の杜かどこかの記事が元で一大議論になっていたような...)。
・厚生労働省だけ特別扱いで、無償のソフトでも責任をもたなければならない理由があるのか。
・その理由があるとすれば、それは他の無償のソフトにも適用されうるのか。
といった論点が考えられる。
どうも今回の事件は厚生労働省のみを悪者にして終わってしまいそうな雰囲気になってしまっており残念だ。
とりあえず、私の配布しているフリーソフトについては、「ソフトの使用で何か起こった場合、経済的責任を負いかねるのは事実です。しかし、一定水準のソフトを提供するという形での責任は全うしたいと考えており、そのために日々努力しております」とこの場で宣言しておきたい。
元ネタはどこだかよく分からないが、WEBを探していたところ、時事通信社発で
厚生労働省への申請をインターネットで行うのに必要なコンピューターソフトに欠陥があり、情報が流出するなどの恐れがあることが5日、分かった。同省は、ソフトをインストールした利用者に削除するよう呼び掛けている。同省によると、このソフトはほかの省庁や自治体でも、電子申請の際に必要としているケースがあるという。
という記事が見つかった。
厳密には「厚生労働省への申請をインターネットで行うためのソフトの動作に、脆弱性のある旧バージョンのJREが必要で、そのJREを厚生労働省が配布していた」といったところだろうか。
NHKのニュースではあの高木浩光先生が登場。厚生労働省の対応のまずさを鋭く指摘していた。
「ソフトの配りっぱなしはよくない」などと。
実際のところ、会社の中などでは、ソフトのバージョンアップを抑制することはよくあることだ。
旧バージョンのソフトに合わせて社内システムを構築してしまった場合など、そのソフトをアップデートすることで既存のシステムに影響が出ないかどうか調査するだけでも費用が莫大になることがあるからだ。
会社内の業務にしか使わないパソコンで、ファイアーウォールなど他の方策で、問題の脆弱性がカバーできるなら、こういう運用もいたしかたなしといったところだ。
場所によってはWindows 95が現役だったりするのだから。
厚生労働省はこの考え方をそのまま、ホームページで公開している申請ソフトに適用してしまったわけだ。
それをまた、何かの拍子でNHKか時事通信社が見つけてしまい、今回の報道内容となったわけだ。見つからなかったらそのまま放置だったのだろう。
「これまで被害の報告はない」と厚生労働省は回答してきたらしいが、これまた無責任なご答弁だ。「被害はあったかどうか知らない」と遠まわしに言っているに過ぎない。
ではどうすれば良かったのか。
JREのセキュリティフィックスが出た時点で、厚生労働省のソフトも対応した新バージョンをリリースするというのが一案。
あきらめて公開を停止するというのも一案(実際、一時的にこうなっているようだ)。
思い切って、脆弱情報だけを公開し、ユーザーに対処をまかせてしまう(パソコンを要塞化したうえで、他の用途に使うなと告知する?)のも案としてはありだったかもしれない。
さて、ここで私の着目点は、この厚生労働省のソフトが無償で配布されていたという点だ。
無償のソフトウェアは、原則、ユーザー側が使用責任を負うお約束(法律)になっている。厚生労働省が無責任な態度を取ることについては、法的には許されているはずだ。
NHKも、厚生労働省に非があるような報道をするのではなく、「フリー(無料)ソフトはユーザーが使用責任を負うことになります。お使いになる方は十分に注意するようにしてください」というスタンスで報道するのもありだったのではないか?
視聴者の共感は得にくいかも知れないが、そのほうが問題の本質にはより近づけた気がする。
・無償のソフトは配布者に経済的責任を負わせにくい部分があるのは確かだが、かといってすべてをユーザーの自己責任にしてしまっていいのか(かつて窓の杜かどこかの記事が元で一大議論になっていたような...)。
・厚生労働省だけ特別扱いで、無償のソフトでも責任をもたなければならない理由があるのか。
・その理由があるとすれば、それは他の無償のソフトにも適用されうるのか。
といった論点が考えられる。
どうも今回の事件は厚生労働省のみを悪者にして終わってしまいそうな雰囲気になってしまっており残念だ。
とりあえず、私の配布しているフリーソフトについては、「ソフトの使用で何か起こった場合、経済的責任を負いかねるのは事実です。しかし、一定水準のソフトを提供するという形での責任は全うしたいと考えており、そのために日々努力しております」とこの場で宣言しておきたい。
この記事へのコメント
素人には、実にありがたいお言葉です。今後もベストに近づけていってください。ちなみに、作者さんの日々努力を疑う者は誰もいないと思いますよ。だって、ほぼ毎日、現況報告してくれているし。心配なのは、作者さんの身体だけです。
JanusDGX と KageHinata が、一定のレベルに達するまでは、責任をもって、自分の健康を管理していく所存です。
大きく扱われたことで、対策を解説したホームページもあちこちで出来上がっているようです。
旧バージョンのJREを必ず削除しなければいけないというのが重要ポイントですかね。JREについては、新バージョンをインストールしても上書きされず、問題のある旧バージョンが残ってしまうようです。