今朝、大学職員の同僚から、文部科学省から apache の脆弱性について連絡があったみたいだ、との話がありました。apache と言われて、httpd サーバーを連想し、あんな枯れたシステムで、と思ったのですが、よく聞くと apache strutsの脆弱性でした。
昨日、チェックして無視したニュースでした。
「Apache Struts 2」に遠隔からコード実行可能な脆弱性、実証コードによる攻撃も観測
この記事では、
「Apache Struts 2は、オープンソースのJavaウェブアプリケーションフレームワーク。国内でも
多くのウェブサイトで採用されている。」
と紹介されています。
Apache Struts 昔から使われている Java 用の基本ソフトですが、私は設定したことがありません。Java を使うシステムは一般的に大規模なもので、私が扱ってきたのは、極小規模な PHP もの。基本的なことは本やネットで読んで知ってましたが、どういう脆弱性かまでは、記事を読んでも理解できません。
同僚には、Java 用の仕組みで、WordPress のブログには関係ないソフト、と説明しておきました。大学の基幹システムは Java で組まれたものもあります。そっちは影響を受けるかもしれない、という話はしましたが。しかし、それは保守業者しだい。大学職員は、Java Struts のどのバージョンが使われているか、は解りません。というか、どのシステムに Java Struts が使われているかも理解していないと思います。
文部科学省としては必要なことだと思って通知してくれるのでしょうが、受け取る側で内容を理解できる人がいないと、いたずらに不安をかきたてるだけか、無視してリスクを負うか、あまりいい結果にはならないでしょう。
経理の事務担当者が異動で他の部署に移って新しい事務員に代わっても、難しいことはずっと見てくれている会計事務所の会計士が対応してくれる。事務所の建物でトラブルが発生したら、なじみの工務店に連絡するとすぐに職人さんが来て対応してもらえる。そういった付き合いができるIT関係の会社が1社でもあって、すぐにエンジニアが来て相談にのってくれるという関係があればいいんでしょうね。今のところ、派遣先の大学では、私がその役目を果たせないか、努力しているところです。
昨日、新しいシステムの話があるというので、某大手の山形支店の営業の話を聞く機会があったのですが、こっちの事情を全く無視した見積書を持ってきてました。こういう商売をいまだにやっているんですね。大手企業のプライドが、見積書に書かれているのかな、と感じました。私がこのシステムの導入担当なら、御社のプライドを購入する気はありません、とはっきり言ってたかもしれません。
昔つきあいのあった仙台支店の支店長は、こっちの事情を親身に聞いて、身の丈にあった提案をしてくれました。エンジニアも顔見知りで、いろいろ質問させてもらった思い出があります。なので、冷たい対応が多かった系列の営業支店より、そっちを信用していました。ただ、そういった関係を築くには時間がかかるので、大手企業の営業にはできないでしょうね。