続・ボクがチャイルドフィルターをオススメしない理由

質問しても、利用解除申し込んでも、梨の礫だったわけですが、ちょっと動きが出てきたので、その辺をまとめておきます。

とにかく、利用する上で機能面でも運営面でも規約面でも不明な点、不安な点が多すぎる、ということで、オススメできないと思った次第。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

まず、既にエントリーに書いていた、解除申込みのその後ですが、

解除申込みすると「通常3営業日以内にご連絡いたします。」と表示され、「入力された内容を確認しだい、削除用のプロファイルをこのメールアドレス宛てにお送りします。」という内容の確認メールも届くのですが、それ以降は音沙汰がありません。とりあえず、このまま督促しないでいたらどうなるか試してみますけど、自力でプロファイル削除できないユーザだと、解除申込みからプロファイル削除までの間、アクセスログ抜かれ放題になるんですけど、それで善しと思ってるんですかね…。

[From サイバーセキュリティ財団って、実際どうなのよ?というお話 - Soukaku's HENA-CHOKO Blog]

結局、10 営業日(実際に解除申し込みしたのが 3 月 11 日の夜なので、 2 週間も)放置されたままだったんですが、痺れを切らしてしまいまして、 26 日のお昼過ぎに再度解除申し込みをしてみたところ、27 日の朝に解除プロファイルが添付されたメールが送られてまいりました。
#おまけに、そのメール、SPAMに分類されてたという…。

メール本文には「ご連絡が遅くなり申し訳ありません。」とありました、一応…。
多分、再度解除申し込みしていなかったら、そのまま放置状態が続いていたんじゃないかと思うと、ちょっとねぇ…。

タブレット端末を活用したICT教育モデル事業報告書というのが図書館に所蔵されたので

区の図書館の新着をつらつらと眺めていたら「タブレット端末を活用したICT教育モデル事業報告書 平成26・27年度 」というものが所蔵されたらしい、ので早速借りてみた。

自分の子供達が関係することだし、随分前にも、

さて、書いてあった概要だけから類推するに電子黒板導入に向けての調査と、それに合わせて実際の授業での活用方法を模索するために、モデル校選定と研究を今年やる、という感じみたいですね。(ただ、タブレット型 PC の導入が唐突に出てくるのが、ちょっと…。)

[From 電子黒板とタブレット PC の導入ですか… #文京区 - Soukaku's HENA-CHOKO Blog]

ということは書いていたのだけど、特に行政文書の取得とかまでして調べる、ということもしていなかったので、現状を概略的に把握するためにも、読んでおこうと思いましてね。。

で、それが今日手元に来たので、読んでみたわけですが、そこから幾つか気になることなどを、書いておきます。

まず、今回のモデル事業の概要ですが

  • 実施期間:平成 26 年、27 年の 2 年間
  • 対象:小学校、中学校それぞれ二校ずつ。さらに、それぞれで通常学級と特別支援学級担当に分かれる。
  • 研究課題
    • 大きく以下の五つ
      1. 一斉学習、個別学習といった学習形態に合わせた、タブレット PC を効果的に活用した指導事例及び成果
      2. ICT 支援員の活用や、校内研修・研究等の工夫による、タブレットを効果的に活用するための校内体制
      3. 時間割の工夫、交流及び共同学習での活用など、タブレットの効果的な活用のための留意点、配慮事項の洗い出し
      4. ネットワーク、ソフトウェアやその機能、ベンダ対応などタブレットの学校への導入に際しての技術面、設備面での課題洗い出し
      5. その他、タブレット活用に関すること
  • 機材の配置
    • 通常学級:3〜6人に 1 台になるように配置。小学校、中学校ともに Windows タブレット PC で、中学校には iPad も配置。
    • 特別支援学級:1 人 1 台で配置。小学校が iPad 、中学校は Windows タブレット PC 。

という感じだったようです。

iPhone SE がマイナーチェンジ、だと…

つい先日書いたとおりなんですけど、いい加減バッテリーのヘタった iPhone 4S をなんとかしたい & 通信費削減したいというのがあて、その流れの中で Wiko tommy を手に入れたわけですが、

ただ、最初考えていた SIM フリーの iPhone SE 手に入れて一気に乗り換え、というのからちょっと計画変更になってまして、まずは手頃な Android スマホを手に入れて格安 SIM に乗り換えてしまうことに…。

[From Wiko tommy を入手したので、格安 SIM への乗り換え計画発動です! - Soukaku's HENA-CHOKO Blog]

iPhone 7/7Plus の (PRODUCT)RED 版追加の裏で iPhone SE のマイナーチェンジキター、ということでちょっと小躍りしております。

16GB、64GBモデルが無くなり、32GB、128GBモデルへと2倍に容量アップしたのです。価格は32GBは4万4800円(税抜)と旧16GBモデルとお値段据え置き。

[From 渇望された128GB登場。iPhone SEが容量倍増でお買い得ぅ!?|ギズモード・ジャパン]

容量倍増ということで、前だったら「64GB だよな〜」と思っていたのが「32GB でいいじゃん!」という感じに。
今使ってる 4S は 32GB モデルですが、それでも十分余裕ある使い方を出来てるんで、無理に 128GB モデルを選ぶ必要もないんですよね。もちろん、容量があればあるだけ使うようになるんでしょうけど…。

まずは、MVNO への乗り換えが最優先ですが、このタイミングでマイナーチェンジしたということは、しばらくは iPhone SE はライナップにあり続けるってことだと思うので、そういう意味ではちょっと安心ですね。

Wiko tommy を入手したので、格安 SIM への乗り換え計画発動です!

以前から画策していた、au から格安 SIM への乗り換えですが、少しずつ進めています。

iPhone 4s にして、そろそろ 5 年になろうかということで、いい加減新しくしたいなぁ、などと考えているわけですが、格安 SIM を提供する MVNO が乱立状態に近い状況ですし、キャリアの料金体系だと家計にも優しくないというのもあるので、 MNP でどこかの MVNO に移ってしまうのが、どうやら良さそうな感じ。

[From iPhone を買い替えたいな、と思うところではありますが - Soukaku's HENA-CHOKO Blog]

ただ、最初考えていた SIM フリーの iPhone SE 手に入れて一気に乗り換え、というのからちょっと計画変更になってまして、まずは手頃な Android スマホを手に入れて格安 SIM に乗り換えてしまうことに…。

んでもって、手に入れたのが、Wikotommy

tommyの背面

gooのスマホ g06かな〜、すげーお手頃だし」なんてことを考えていた時期はあったんですが、それよりもスペック上だし、日本で発売されたのもついこないだって奴だし、なんか面白そうだし、ボディカラーあんま見ないやつだよね〜、ということで決定。

SIM のほうも、計画通り OCN モバイル ONE の音声対応 SIM の申し込み手続き中。(支払いを口座振替にしたかったんで、その分ちょっと手続きが面倒ではあるんですが…。)

サイバーセキュリティ財団って、実際どうなのよ?というお話

先週末に書いた、チャイルドフィルターに対する批判エントリー、結構いろんな方に読んでいただけたようです。

自分のやってる事業が窮地に陥るようなセキュリティインシデントが発生している最中という、本来であれば何事にもおいて最優先でその対策への対応・指揮に当たらなければならない状況下であったにも関わらず、人に会うことを優先させた人がトップに立つ組織ですよ、サイバーセキュリティ財団って。多少、話盛ってるにしても、そういうことを対外的に文章にしてしまう時点で、信用しちゃいけないタイプの人だ、と感じましたし、そういう人物がチャイルドフィルターに絡んだ情報流出事故が発生した際に、果たして誠意を持って対応・対処できるのかという点において不安しかない、というのが正直なところなのです。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

しばらく、それに関することは書かなくていいかな、とか思ってたんですが、今週も終わりになって、動きがあったのでその辺をまとめておきます。
#流石に週刊化はしないと思うが…。

忽然と消えた特別顧問

財団案内に、国内でも著名なセキュリティベンダーの名前がいくつか載っていたことは把握していたんですが、とりあえず言及しないで静観しておこうという感じでいたところに、突如それらの会社の名前が消えたということで、取り上げておきます。

3 月 16 日あたりまでは、財団案内には以下のような形で 4 社の名前が乗っていたのですけど、3 月 17 日の時点で突如名前が消えました。

チャイルドフィルター プロジェクトメンバー

F-Secure は法人向けのアンチウィルス製品で、デジタルアーツは Web フィルタリング製品で有名なところですし、インフォセックも脆弱性診断やセキュリティ監視と行った分野では実績のある会社だったりします。最初は特別顧問とはいえ「へぇ、なんでか知らんけど、よく参加してるよなぁ」と感じてはいました。
先週後半にチャイルドフィルターの話が流れ始めたタイミングで、財団案内を見た時に特別顧問がごっそりチャイルドフィルター プロジェクトに移動したのをみて、「あ〜、自分とこの製品とバッティングするようなプロジェクトにデジタルアーツの名前載せちゃってて、ホント大丈夫?」と気にはなっていたんですけどね。やはりなんらかの形で問題になったために会社側から降りるという申し出がなされたのか、はたまた財団側で「迷惑かけちゃいかん」と判断して名前を消したのか、その真相は闇の中ではありますが、結果的に特別顧問から名前が消えた会社が出てきた、ということになったというわけです。
#自分のエントリーが影響した、とは考えにくい…。

セキュリティに関する情報交換や注意喚起やってます?

ところで、財団案内のビジョン、書かれていることには、とても良いことが書いてあるなぁ、と思う部分もあるんですよ。

これから訪れる超ICT化の時代に対応出来うるサイバー防衛戦士の育成は全ての企業・個人において最重要課題であります。
業界の垣根を越え全ての人々がサイバーセキュリティに対する注意意識を持たなくてはならない今当財団が設立されました。

[From 一般財団法人 サイバーセキュリティ財団]

書いてあるのはいいんですけどね、財団メンバー間でのセキュリティ関する情報交換、注意喚起や「注意意識」(ふつう、危機意識のような…)を持つための活動といったこと、普段からやってるんですかねぇ、という疑惑がが出てきた…。

ボクがチャイルドフィルターをオススメしない理由

子を持つ親として、またIT技術者として、自分の子供達に PC やスマホを与える時にどうしよう、って結構悩みどころ。世の中には同じように悩んでいる方も多いと思うんですが、そこにそういう話が流れてきた。

子どもがインターネットの交流サイトなどを通じて犯罪に巻き込まれるのを防ごうと、福岡市のIT企業などで作る財団が、子どものスマートフォンにダウンロードすれば有害なサイトへの接続を制限できる「フィルタリング」サービスを開発し、無料で提供を始めました。

[From 無料で有害サイト接続を制限 - NHK 福岡 NEWS WEB]

当財団が提供するフィルタリングサービスは全ての通信を暗号化しフィルタリングを行いますので、特定のアプリを使う必要はありません。
また、利用するための費用は一切かかりません。

[From 一般財団法人 サイバーセキュリティ財団]

フィルタリングについては、法律でも「保護者の責務」として規定されてますんで、それを無視するのもアレですし、

(保護者の責務)
第六条  保護者は、インターネットにおいて青少年有害情報が多く流通していることを認識し、自らの教育方針及び青少年の発達段階に応じ、その保護する青少年について、インターネットの利用の状況を適切に把握するとともに、青少年有害情報フィルタリングソフトウェアの利用その他の方法によりインターネットの利用を適切に管理し、及びその青少年のインターネットを適切に活用する能力の習得の促進に努めるものとする。
2  保護者は、携帯電話端末及びPHS端末からのインターネットの利用が不適切に行われた場合には、青少年の売春、犯罪の被害、いじめ等様々な問題が生じることに特に留意するものとする。

[From 青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律]

まぁ、どんなもんかと思って申し込んだり、色々と調べてみたりしたんですが、使い始める前「こりゃダメだ」って結論に至ったので、その辺をまとめておく。

rspamd の Web GUI にアクセスしてみる

rspamd をアップデートしたことで、使えるようなった機能があるので、いろいろと試してみよう

アップデートだけで結構な分量になってしまったので、フィルタについては別エントリーにて。バージョン上がったことで追加された機能もあるようなので、そのあたりの話もおいおい書いてきたいですね〜。

[From rspamd と rmilter をアップデート - Soukaku's HENA-CHOKO Blog]

ということで、まずは Web GUI から

Web GUI を有効にしてみる

と言っても、実際のところデフォルトの設定の状態でも、Web GUI は待受ポート 11334 で起動していて、下のような形で待ち受けしています。ただ、そのままでは localhost からの接続要求しか受け付けてくれないので、外部からも見れるように設定を変える必要があるというわけです。

root@vps2:~# lsof -i:11334
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rspamd 13943 root 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13943 root 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13945 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13945 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13946 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13946 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13948 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13948 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)
rspamd 13949 _rspamd 9u IPv4 905829 0t0 TCP localhost:11334 (LISTEN)
rspamd 13949 _rspamd 10u IPv6 905830 0t0 TCP localhost:11334 (LISTEN)

手っ取り早いのは、 rspamd 自身が待ち受けしている 11334/tcp を localhost 以外からアクセスできるよう設定することなんだけど、それはそれで芸がないし、無制限にアクセスを許可するのもよろしくないので、rspam の FAQ の中にある WebUI questions の部分に記述されている httpd からリダイレクトさせる方法で。

ところが、実際 Apache に対して設定してみたのだけど 500 Internel Server Error が出て上手く行かなかったので、結局 rspamd 側の設定でポート開放して、 iptables でアクセス元を絞る形に。

rspamd と rmilter をアップデート

ここ 2 年半ぐらい、rspamd を使い続けているサーバ、動作上特に不満があるわけでもなかったのだけど、

以前、インストールメモをエントリーとしてあげていた、 rspamdrmilter の組み合わせ、なかなか調子良く動作してくれている。

[From rspamd + rmiter の組み合わせに、ClamAV を連携させてみた - Soukaku's HENA-CHOKO Blog]

2週間ほど前から、そのサーバが受信・配送したメールに Spam がチラホラ紛れ込んでくるようになったので、「こりゃ自前でフィルタ書かんと駄目かな~」と思いつつ、公式サイトをチェックしてしてみたら…。

Rspamd is also available in some versions of Debian and Ubuntu. However, we are looking for an active maintainer for rspamd in these ‘official’ repos, as now rspamd is terribly outdated there.

Please DO NOT use those packages, as they are no longer supported.

[From Downloads]

「パッケージ、アップデートされねぇなぁ、 sid なのに…」とは感じてたんですけどね、「メンテナ探してるんだけど、 Debian/Ubuntu の公式サイトで配布してるのは古いんで使わないでね。」という状況だったはつゆ知らず…。

ということでフィルタを書く前に、公式サイトに書いてある手順を元に、最新バージョンの rspamd / rmilter にアップデートしてみた。

ということで、以下作業手順とログ

まず、現時点で、インストール済みのバージョンは、以下の通り。

root@vps2:~# dpkg -l rspamd rmilter
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name               Version        Architecture   Description
+++-==================-==============-==============-=========================================
hi  rmilter            1.6.3          amd64          Another sendmail milter for different mai
hi  rspamd             0.9.9+b1       amd64          Rapid spam filtering system

公式サイトで見ると、 rspamd は 1.4.4 、rmilter は 1.10 が最新のようなので、随分とバージョンが上がってますね…。

【メモ】ツタヤ図書館における Webサイトの構成に関する考察

さて、ツタヤ図書館としては、四館目となる高梁市図書館。建物も出来上がり、おそらく今頃排架作業の真っ最中というとことでしょう。

並行して図書館の Web サイトも新しいものの準備が進んでいるんであろうなぁ、ということで、いままで blog のエントリーとして書いた情報を踏まえつつ、HTTP レスポンスなどの通常アクセスの範囲で調べてみてわかった内容などから、特に Web サイト周りについてまとめておく。

以前にも書いたのだけど、海老名市図書館のサイトオープン当初、使っている SSL 証明書がワイルドカード証明書だったことから「今後、オープンするであろうツタヤ図書館の Web サイトでは、証明書使いまわすんじゃね?」と予想していたのですが、この点については改善され、各地自体別に CCC 名義での EV SSL 証明書を用意する形に変更されました。

ワイルドカード証明書になっている点と、海老名市が "ebina.city-library.jp" となっている時点で、今後オープン予定となっている多賀城市や高梁市のサイトを、"tagajo.city-library.jp" 、 "takahashi.city-library.jp" とすれば、同じ証明書を使い回せる、ってことを考えていてもおかしくはなさそうです。

[From 海老名市立図書館の新しいWebサイトで気になること、あれこれ - Soukaku's HENA-CHOKO Blog]

そのエントリーの影響なのかどうかは定かではありませんが、最近確認したところ、 ebina.city-library.jp と tagajo.city-library.jp に対して、それぞれ別 IP を割り当てるよう DNS 的な変更が行われ、https://tagajo.city-library.jp/ にアクセスするとリダイレクトにより、https://ebina.city-library.jp/library/another_top へ誘導するよう設定されていた Web サーバも、リダイレクトを行わない設定に変更されていました。( Web サーバは、おそらく 12 月中頃、17 日あたりに変えた?)

[From メンテ後の海老名市立図書館のWebサイトの状況から、多賀城市がどうなるかを推察してみる - Soukaku's HENA-CHOKO Blog]

EV SSL証明書使うようにしたのはいいけど、それもちょっと違うんじゃない的な話もありますけど。

これを海老名市に当てはめると、本来主である海老名市がそのドメインを使用し海老名市名義で証明書を取得して運用すれば良いのに、なぜか指定管理者となった企業がそれを表立って仕切っているというのが今回における違和感の原因。指定管理者として業務代行ということは、あくまで主は海老名市なのだから、そこを譲ってはいかんだろうと考えるのだけど違うのか。

[From 海老名市立図書館サイトとEV SSL証明書に関して雑感 | 脳無しの呟き《土鍋と麦酒と炬燵猫》]

今回は、まさに例と同じことが起きている。海老名市の施設のサイトなのにCCCが持っているドメインにCCCが『ドメイン名所有権の確認」、「申請責任者の権限の認証」、「企業実在性の認証」』を受けている。CCCのものであることは高いwレベルで証明されるが、海老名市のものであることは証明されていない。サーバ証明書と関係ない世界で、CCCが海老名市立図書館の運営を受託していることは知れているので、この一点だけでは攻めどころが難しいが。

[From 海老名市立図書館はCCCのEV SSL証明書を使っているということは私立図書館? #公設ツタバ館 #CCC - いろいろやってみるにっき]

#色んな人が指摘していことを、中の人は把握していて、色々変更しているように感じなくもない。

ただ、PC 用サイトとスマホ用サイトで、ドメイン名を変えているせいで、それそれのサイトに合わせた EV SSL 証明書を取得せざるを得ない状態なんですよね…。レスポンシブな Web デザインにしておけば、PC 用とスマホ用で URL 自体を変えずに対応できるように出来るはずなのだけど、何かしら理由でそういうデザインに出来ないのかもしれませんね。
もしかしたら、レスポンシブ対応するよりも、EV SSL 証明書のほうがコスト的に安い、って判断だったりするのかも、しれませんけど。

あと、割と早い時期から、BIG-IP を何らかの形で導入してるようだ、というのには気がついてたんですけど、

この "BIG-IP" というキーワードを中心に、いろいろと情報がつながってきた感じがあるのが、公開されている Web サイトの構成に関すること。

【メモ】VyOSのパッケージレポジトリ、引っ越した?

VyOS のパッケージリポジトリ、移動したのか、以前設定したものでは、パッケージのアップデートチェックに失敗していたので、移動した先を調べて設定し直した。ざっとチェックしたところでは、移動した云々に関するアナウンスは見つけられてないんだけど、なんか見落としてるのかな…。

以下、その差分。

@@ -275,9 +275,9 @@
         auto-sync 7
         repository community {
             components main
-            distribution helium
+            distribution squeeze
             password ""
-            url http://packages.vyos.net/vyos
+            url http://dev.packages.vyos.net/debian/helium
             username ""
         }
         repository squeeze-main {

#かと言って、 VyOS 1.1.7 を構成するパッケージが、個々にアップデートされている様子もなかったりしたわけだが…。