NW屋的新幹線通勤日記(3ヶ月限定名称)

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

SSLサーバ証明書の善し悪しの判断とは?

(お詫び:今日の記事は【weekend edition】ではないです。<(_ _)>)

 こんばんは。森永乳業がLet's EncryptのSSLサーバ証明書を使っていることについて、賛否両論渦巻いています。まずは、問題となった森永乳業のHPを参照してみましょう。こちらです。森永乳業の通販サイトです。

https://kenko.morinagamilk.co.jp/

  証明書のパスを見ると、確かにLet's EncryptのSSLサーバ証明書であることが分かります。

f:id:amagasaki820:20180607202606j:plain

 因みに森永乳業本体のWebページはこちらです。

www.morinagamilk.co.jp

 こちらはhttpsではなく、httpなんですね。最近の常時SSL化が浸透している状況を鑑みると、「通販サイトはhttps化の必要はあるけど、本体は公開情報しか置いてないし、httpでいいだろう。https?出来るだけコストはかけたくないよなぁ。え?無料でSSLサーバ証明書発行してもらえるの?Let's Encrypt?それでええやん!それでやって!」というようなやり取りが繰り広げられたのかなと邪推しました。(^^;

 ここで、「東証一部企業が無料証明書(Let's Encrypt)使うってどうなん?」という主張がありました。これに対して、「無料証明書(Let's Encrypt)だからといって、何の問題もない!有料か無料かということは証明書の信頼性には全く関係ない!」という反論がありました。

 Twitter上なので、140文字以内で表現しないといけない制約があります。両者の意見を自分なりに想像して補完してみると、両者の主張に納得しました。

 補完した内容ですが、「SSLサーバ証明書」の種類にも3種類あります。このへんは後日書いてみる予定です。DV、OV、EVの3種類存在します。左→右の順に取得のハードルが上がります。詳しくは以下のカスペルスキーのブログを御参照下さい。

blog.kaspersky.co.jp

  SSLサーバ証明書は3種類あると上で述べましたが、有料と無料の2種類が存在します。有料ですと、Symantec(今はデジサートになりましたが)や、グローバルサインなどの有名どころの証明書の他に、RapidSSLをはじめとする格安証明書もあります。

 無料証明書はLet's Encryptが最も有名ですね。両者の違いについて、さくらのwebサイトで説明がなされています。有料/無料問わず、「ドメインの存在を証明する」という意味では何ら変わりません。基本機能においては両者ともクリアしていますので、決してLet's Encryptはダメだという話ではないということです。

ssl.sakura.ad.jp

 個人的には腕時計と似ているなと思っています。「社会人になったんだから、それなりの価格の腕時計を身に着けておけ」と言う中高年が存在します。100万円の腕時計と1万円の腕時計の違いは一体何でしょうか?

 時計の最も重視される性能は「正確さ」ではないでしょうか。1日に30分もずれる時計なんて何の値打ちもないと思います。「100万円の腕時計が1万円の腕時計の100倍正確なのか?」と聞かれると、そんなことはありませんね。100万円のゼンマイ式時計よりも、1万円の電波時計&ソーラーバッテリーの方が正確性は高いですし、メンテナンスの手間もかかりませんね。

 「Let's Encryptってどうなん?」と言い放つ人の思考回路は、高い腕時計を着けておけという人の思考回路に似てるのでしょうね。

 なので、無料証明書だからダメだという話ではないです。しかし、こういう事故があると、「ほら見ろ!セキュリティコストをケチるような組織だからこんなことになるんだ!」と言い出す人が出て来るということでもあるんでしょうね。(この両者は全くの別物なんですけどね。そういう意味では風評被害ですよね。)

 なので、両方の言い分は理解できるんですよ。付帯条件を考慮すれば納得です。

scan.netsecurity.ne.jp

SSLサーバ証明書関連の記事書きかけです。<(_ _)>

 こんばんは。昨日は家事やインフラ勉強会オフラインイベント参加申込最終日ということもあって、バタバタしていました。(特に大阪会場の参加呼びかけに力を入れていたこともあって、時間的余裕がありませんでした。60人定員のところを46人もの方々に参加申込いただいて、たいへん感謝しております。)

 家事とインフラ勉強会オフラインイベントプロモーションで大半の時間を占めてしまい、ブログ記事が途中になっています。<(_ _)>

 今回はSSLサーバ証明書関連の記事を書きかけていました。今日中にアップ出来るように計画中ですので、今しばらくお待ち下さい。

 また、インフラ勉強会オフラインイベント大阪会場の様子も後日レポートしますので、そちらの方もチェックいただければ幸いです。

IT人材増に向けた政府の施策はどうなのか?

 こんばんは。IT人材育成に関する記事がありました。NHKニュースからです。

www3.nhk.or.jp

 「2025年までに毎年数十万人規模で育成する」とありますね。ここで言うところの「IT関連人材」とはどれぐらいのスキルを持った人材を想定しているのかは、この記事からは読み取れませんでした。ITパスポート合格レベルの人材を数十万人排出を想定しているのか、情報工学に関する博士号取得者を数十万人輩出するのかで全く意味合いが変わってきます。さすがに後者は非現実的ですが、スキルレベルをどこに置いているのでしょうか?それによって採るべき対策が全く異なってきます。

 情報処理安全確保支援士登録者をどうやって活用するのかが不明

 短い記事では書き切れなかったのだろうと思いますが、以前、「情報処理安全確保支援士登録者を2020年度までに3万人を目指す」というような目標提示があったように記憶してます。結局は早々に諦めて、言い訳に知恵を絞るという形になったんだろうという風に見てとれました。解決策は簡単で「情報処理安全確保支援士登録することで明らかに収入が増える(待遇が良くなる)」と思わせるインセンティブの提供が全く出来ていないことに尽きます。今回の記事ではそのあたりの話も出てきていないことも気になります。(あったのかもしれませんが)

 「情報系若手教員を増やす」のは一見良さそうには見えますが…

 「40歳未満の若手教員を2023年度までに3割以上に増やす」と言ってますが、実際には非常勤or有期なんだろうなと推測します。今までやってきたことを見ていると、どうも信用出来ません。大学院重点対策を取って、博士後期課程学生を増やし、博士号取得者を大幅に増やしましたが、就職先がありませんでした。このあたりに関して言及していないので、にわかに信用出来ません。

 先にすべきことがあろうかと 

 縦割り行政と省益を捨てて、総務省経産省文科省厚労省が手を組んで横断的に取り組むべきではないでしょうか。合わせてIT業界の「構造改革」もひつようなのではないでしょうか。

iOS12新機能についての発表がありました

 こんばんは。昨日はiOS12新機能についての発表がありましたね。こちらはすまほん!!の記事からです。

smhn.info

 最初に気になったのは、対応機種でした。iPhoneSEとiPad mini 4なので、「もしかしたら足切り?」と少々不安になったのですが、iOS11と変わらないので一安心です。

 「最新OSにすると、動きが重くなってもっさりするんじゃないか?」という不安もありましたが、その点に関しては心配ないとのことで安心しました。むしろ改善されるということで、こちらは朗報です。

 他にFaceTimeの機能強化も挙げられています。グループビデオチャットが出来ることが売りになっています。Macとも連携出来るのですから、複数拠点間の通信用にも使えそうです。

 以前から話があったように、iOS12では新機能追加を含めた大きな変化はないような話だった記憶があります。何か新しい機能を盛り込むのもそろそろ無理が出てきたのかなという気もします。旧機種でも快適に使えるようになるというあたりは、以前散々批判されたことへのAppleとしての回答なのかなという気もします。

 実際のリリースは秋口になるらしいですが、今から楽しみではあります。iOS12は安定性重視で、iOS13で本格的なバージョンアップということになるのでしょうか。ということは、ハードウェア側も大幅な改善が期待出来るのかも???

CSVファイルでもウイルス感染するという事実

 こんばんは。今朝気づいたニュースですが、CSVファイルでもウイルス感染が起きるという衝撃的な話です。日経XTECの記事からです。

tech.nikkeibp.co.jp

 「CSVファイルはテキストファイルなんだし、ウイルス感染とは無縁だな。添付書類でも安心して開けるな。」なんて思っていたことも正直ありました。(遠い目)

 他の方のツイートにもあったのですが、CSVファイルに関数を書き込むと実行してくれるという画像を貼っておられました。まさか関数を書いて実行されるとは思いもよりませんでした。少なくともExcelとの関連付けをした状態のままで、うっかり添付書類を開くと危険だということになります。気休めかもしれませんが、Excelとの関連付けは外しておいて、テキストエディタで確認する必要はあるのかもしれませんね。

 さて、このへんの問題をMicrosoftサイドがどのような解決策を出してくるのかは注視しておきたいところでもあります。

 実際にCSVファイルに関するを記述して実験してみた結果を公表しているサイトがありました。株式会社アーティスさんですね。

www.asobou.co.jp

 こういう形で実際に試してみると、結構怖い代物だなと実感します。うっかりExcelでいきなり開くというのが如何に危険かという話でもありそうです。(^^;

 最後にtogetterでも今回のCSVファイルのウイルス感染についてもまとめられてましたので、リンクを貼っておきます。

togetter.com

 ということで、CSVファイルだからと思って油断してはいけないというお話のようで。

 

情報セキュリティ担当者はコスト視されているということか?

 こんばんは。情報処理安全確保支援士ネタ関連になるかもしれませんが、セキュリティ担当者配置に対する意識ネタです。Security-NEXTの記事からです。

www.security-next.com

 専任担当者で2割というのが意外に少なく感じられました。あちこちで情報漏洩や不正アクセスが頻発している状況で、「あれは他所様の話で、自分ところは大丈夫。そんなこと起きるわけないし。」というような根拠のない自信を持っているんでしょうかね。

 他に考えられそうな理由としては、「情報セキュリティはコストでしかない」というような考え方が支配的ではないかと推察します。「情報セキュリティの専門家を雇用しても利益にはつながらないじゃないか」という発想が頭の中にあるでしょう。いざ事故が起きてしまった場合に対処を誤ると、大きな損失をもたらします。「事故時の損失を最小限に抑えるための保険的意味合い」もあると同時に、「積極的に対策をしています」というプロモーションにもつながるのではないでしょうか。

 6割overが「既存人員で十分対処可能」と考えているのは甘くないか?

 既存人員の配置で対処出来るという発想はどのへんから来るのでしょうか?既存人員の能力が高いから?あるいは、「そんな大したことは起きないはずだから大丈夫」と思っているから?「お金がないし、そこに費用をかける余裕はない」という発想?

 本当にそれで大丈夫なのですか?凧糸結んでバンジージャンプするようなもんじゃないですか?さすがにこれでは切れてしまいますよね。飛び降りた瞬間に。そんなバンジージャンプ誰もしたくないですよね。(^^;;

 でも、それと同じことをしようとしているんですよね。危険度に関しては同じだと思うのですが、このへんをどうやって理解してもらうかというお話ですよね。

 今回の記事と情報処理安全確保支援士未登録者(旧試験合格者)向け説明会の話とも絡んで来るのですが、需要と供給の両側からの整備をしないといけないのではないでしょうか。

【weekend edition】飲食業界の人手不足は本物か?

 こんにちは。weekend editionということで、今日もITネタではありません。(^^;

 昨日、近所の居酒屋チェーン店に行ってみました。海鮮ものが売りの店で、「回らない寿司」が出てきます。外には土佐フェア(鰹中心)ののぼりが上がっていました。久しぶりなので、期待に胸を膨らませて入ってみました。

 着席後メニューを見たら、大幅に減っていることに気づきました。売りの1つの握り寿司メニューも大幅に減っていました。呼び出しスイッチでスタッフに知らせる仕組みについても、2回押してもなかなか気づいてもらえず、かなり後になって2回続けてやって来られるということがありました。

 メニュー品切れが頻出してましたし、看板に挙げていたメニューが変わっていたりということがありました。オーダー前に確認したのに違うものが出て来たり、他の客がオーダーしたメニューが届いたり(すぐに訂正しましたが)というようなことが頻発していました。

 別にスタッフを責める意図はありませんが、気になることが…

 いろいろチグハグなことが起きていました。スタッフ間の連携が出来てない+情報共有が上手く行ってないということを感じました。品切れメニューを書いた紙がそのまま出ていたり、一部品切れになっているメニューをスタッフ間で共有出来てないことにより、あらぬ混乱を引き起こしたり…。

 この現象は本部からの無理なコストカットを押し付けられたり、ベテランスタッフが辞めて行ってしまって、新人アルバイトだけしかいない状況で回さざるを得なかったのではないかと推察します。最近は人手不足でなかなかスタッフが確保できないという切実な問題があるようです。なので、経験値の低いスタッフを本部から落下傘でやってきた店長が束ねざるを得ない…という無理ゲーな状況で店を回さなくてはならなかったのではないかと思えてなりませんでした。食事をしながら厨房を眺めていたのですが、漠然とした違和感がありました。以前来たときよりもスタッフの方々の有機的連携が見られず、何かぎくしゃくした空気を感じました。スタッフの方のうちの1人がたまたまグラスを割ってしまっていたこともあったのかもしれません。スタッフの方々の動きがどことなくぎこちなかったところからも感じられました。

 メニューを絞ってオペレーションを簡素化しようということもあったんでしょうが、ホール係スタッフのスキルがこなれてないことが上手く回せないということにつながったのだろうなと推測します。従来型の手法は通用しなくなっているのでしょうから、メニューを徹底的に絞って、シンプルなオペレーションに徹することで、スタッフのスキル熟練性を要求しない仕組みが必要でしょうね。