2017.05.17 (Wed)

身代金を要求するランサムウェアWannaCryptが話題です(参考 : ランサムウエア “WannaCrypt” に関する注意喚起)。日本でも被害が出ています。

メール添付されたファイルをダブルクリックすると感染、同一ネットワークにあるWindowsの脆弱性をついて更に感染。多数のメディアでこの広がり方を史上最悪感でもって報じてますが、ネットワーク拡散型は今に始まった訳ではなく昔からありました。CodeRedとかNimdaとか懐かしいですね。

その時分、対策しようね、ということでこんなふうに言われていた訳です。

  • 怪しい添付ファイルは開かないようにしましょう
  • セキュリティパッチは必ずあてましょう

あれからもうすぐ20年。また同じことを繰り返しています。

WannaCryptはやはり日本でも被害を見せて、案の定、日立のように大手企業で感染例が発表されました。そして総務省IPAもまた同じことを言ってます。

  • 怪しい添付ファイルは開かないようにしましょう
  • セキュリティパッチは必ずあてましょう

20年同じことを言い続けてて 全く進歩してない と思うのは僕だけでしょうか。

hackers
(Thanks! the photo on flickr by medithIT CC BY 2.0)

1425%

この数字は(一部には)有名なランサムウェアのROI(投資利益率)です。(参考 : Cybercrime Can Give Attackers 1,425% Return on Investment )

つまりランサムウェアを作りばらまく活動に使ったお金は何倍もの利益になって返ってくるってこと。今や攻撃とはイタズラではなく立派なビジネスです。1400%の利益率を誇るビジネスを止めるなんて誰にもできやしません。明日も、明後日も、来週も、来月も、来年も、5年後も10年後も、添付ファイルをダブルクリックしてしまって被害にあい、業務は止まり、個人情報は漏洩し、国家機密も漏洩し、大事なファイルは意図せず暗号化され、身代金を要求され続けるでしょう。

それだけではありません。

流行りのIoT時代はあらゆるものをネットに繋ぎますから、そのうち誰かが誤って添付ファイルをダブルクリックしたら人が命を落としてしまった…そんなことが起こるのも時間の問題でしょう。データを復旧する為の身代金ではなく、命をお金で買えという意味の正真正銘のランサムウェアが間違いなく出てきます。ランサムウェアではなくキルウェアでしょうか、言うなれば。

そして史上最悪の事故だとまたメディアは報じ、行政も専門家もなんちゃら協会も口を揃えて同じことを繰り返すのでしょう。

  • 怪しい添付ファイルは開かないようにしましょう
  • セキュリティパッチは必ずあてましょう

容易に想像がつきますね。この運用は、ゼロデイ攻撃には無力だし、未知の攻撃にも我々は無力だし、そんなことは分かっていて攻撃の手はますます強まるばかりなのに、我々はいつまで同じ闘い方をするのでしょうか。

危機感が無さ過ぎだと感じざるを得ません。

  • 怪しい添付ファイルは開かないようにしましょう
  • セキュリティパッチは必ずあてましょう

を啓蒙するのは「失策」だったといい加減に認めるべきです。添付に注意しよう、パッチを当てよう、とりあえずそう言っておくことで自分は忠告したからねという逃げ口上にしてしまってはいけません。20年間ずーーーーーっと同じことをやってきたセキュリティ業界は、未だに根絶できていないことを業界として心から恥じるべきだと思います。またリテラシの低い人がやっちゃったよ…じゃなくて。攻撃者の手は緩みません注意しましょう!でもないです。

今回、WannaCry は即効で無効化する策が発見されました。(参考 : 「WannaCry」から世界を救った青年に聞いた - グノシー) でも、すぐに亜種が出ています。(参考 : ランサムウェア「WannaCry」、キルスイッチをなくした亜種「Uiwix」が登場 - CNET Japan)

  • 怪しい添付ファイルは開かないようにしましょう
  • セキュリティパッチは必ずあてましょう

が徹底できるスピード感ではもはや無い訳です。このスピード感は今回にはじまった話ではないですが。そろそろ真剣に闘い方を変えませんか。無理ですよ、もう。何年同じことを言い続けて、何回同じような事態に陥ってるんですかって話です。国も企業も真剣に考え直した方が良いと思います。

僕は、危機が急増する情勢下で危機回避の為に「不完全な人間に、完全な運用を期待する」というやり方を平然と勧められる姿勢が全く理解できません。専門家の姿勢として間違ってると思います。

勿論、意識すべき専門家は意識すべきですが、そうでない人にはそんなこと気にしなくても安全が担保できる仕組みを作るのがプロの仕事 なんじゃないですかね。セキュリティの専門家は、メール添付がなくても業務が回る仕組みを御客様に提案・支援していくべきだったのではないでしょうか、この20年間。

USBなど外部ストレージは禁止している企業が多い(そして禁止しても仕事は回る)ですので、今の諸悪の根源はやはりメールの添付ファイルです。そこを絶たないといけません。

 

メール添付ファイルがなくても仕事は回る

ランサムウェアはじめウィルスとの無駄な不毛な闘いをやめる為、 メール添付ファイルの使用を国として原則禁止 とすべきだと思います。超極論ですけど。

今回の WannaCry には北朝鮮が絡んでいるとも言われてます。(参考 : WannaCryランサムウェアから北朝鮮ハッカーのコード見つかる。断定は時期尚早も、背景には国家的な関与?) 制裁で外貨獲得の道が無くなってきた国の苦肉の策なのかも知れません。国と国との闘いですよ、まだ断定はできないでしょうけど。でも、国民や国内企業の重要な資産や情報が、お隣から国レベルで脅かされているとしたら、これに国としてどう対峙すべきなんでしょうか。

  • 怪しい添付ファイルは開かないようにしましょう
  • セキュリティパッチは必ずあてましょう

で良いんですかね。ホント真剣に考えるべきじゃないでしょうか。

メールの添付がこの国からなくなれば、どれほどの時間とお金が節約できることか。今の国内の情報セキュリティインシデントの多くはメール添付ファイルを原則無くすことで根絶できます。(あとはWebに対する攻撃ですが、これはこれでまた長くなるので省略)

いきなりのメール添付ファイル禁止論は現実的ではないですが、徐々になら変えていけます。企業や行政が段階的に取り組んでいけばいいのです。例えばウチではこんなふうに運用してます。

  1. メール送信にファイルを添付するのは原則禁止
  2. GMailを使い高精度なフィルタリングを行う
  3. 社内はWindows原則禁止
  4. ウィルス対策ソフトのインストール必須

3 はまぁ極端中の極端な施策なので置いとくにしても、1,2,4を全ての企業や行政が徹底するだけで状況は変わりますよ。あるいは行政や大手企業がリスクマネジメントの施策として、積極的に取引先を巻き込んで半ば強要しても良い。

そうすれば数年のうちに全企業・全行政が、デフォルトでメールサーバの受信メール添付ファイルを削除する設定にしても業務が回る社会になる筈です。そんな社会にならないかなぁ〜と非力ながら貢献できればと思ってウチは 1. を徹底しつつ、身を守ると為に2,3,4も徹底してます。

メール添付ホントに必要でしょうか。

メールよりはるかに安全にファイルを渡す方法は他に幾らでもある訳です。ウチの場合は昨年事業売却したSYNCNELというファイル共有サービスの機能を使って、ファイル送信をしてます。宅ふぁいる便の企業版みたいな機能ですね。まだウチの事業だった時に追加してた機能です。

SYNCNEL

SYNCNELは今は富士ソフトさんの事業なので、これを宣伝したからウチがどうこう…というのは特に無いのですが、富士ソフトさんのある部門ではメール送信時の添付はやめてこの機能を多用しておられるのだとか。

もちろん他にも色々あります。例えば、請求書作成・見積書発行とかでファイルやりとりが多い企業であれば、ヴェルクさんの board とかにも似た機能がありますね。取引先が利用されてます。

board
(boardを使っている会社から送られてきた請求書。PDFがダウンロードできる。期限+パスワード付き)

IIJさんとかは早くから似たサービスお持ちです。(IIJ DOX) IIJさん、さすがですよね。僕は今まで添付ファイルでやりとりをしたことがありません。

IIJ DOX

もちろん国産ばかりでなく、有名なDropboxにもOneDriveにもファイルを渡す機能はある訳です。あるいは今はやりのビジネスチャットで繋がってファイルを送っても良いですよね。SlackとかdirectとかChatworkとか色々あります。

メールよりはるかに安全にファイルを送る手段は溢れている訳です。相手が同じサービスを使ってなくてもファイルを渡せる手段を搭載したサービスも多数ある。それらを使うことが強制される力学が少しでも働き始めれば、数年後メール添付なんて不要にできる筈です。

メールの添付ファイルは全て「悪」

その前提で業務を回せたらどれだけ良いか。そしてそれは今の時代、まったく不可能ではありませんし非現実的でもないと思います。メール添付をトリガに業務に支障をきたすなら、守るべきものが守れなくなるなら、そしてメール添付に代替するものが十分にあるのなら、その廃絶を真剣に考えても良いんじゃないいでしょうか。

ランサムウェアなんぞに、その対策なんぞに、企業が貴重な時間やお金を費やす必要なんてありません。もっと売り上げ増や顧客価値創造といった本質的なことにリソースを費やすべきです。

 

2025年◯月✕日
「今回の新型ウィルスの被害、世界で蔓延していますが日本では被害ゼロだそうですよ。」
「添付ファイルってもう誰も使わなくなりましたもんね。」

と、数年後には1行ニュースで報道が終わらせられるようになってると良いなと思います。それは無理、とある人に先日言われましたが、逆にそれこそビジネスチャンスじゃないかな〜と僕は思ったりしますけどね。余談ですけども。

また長くなりました。

メールの添付ファイルはホントに諸悪の根源です。百害あって一利なしです。今はまだ取引先の多くでやはりメールにファイル添付されてる方が圧倒的に多いので声を大にして言い難いというのはありますけど、でもやはり将来のことを考えれば全ての企業や行政はメール添付は段階的にでも良いのでやめていくべきだと思います。

 

事例(追記)

facebookで知人に教えて頂きました。大手さんで、添付メール廃絶しているところが既にあるようですね。(勉強不足…orz)

賞賛されるべき取り組みだと思います。他にも事例がありましたら教えて頂けると嬉しいです。こちらのエントリに追記してみようと思います m(__)m


2017.05.14 (Sun)

去る2017年5月11日(木)、CMS静的化サービスのesparのリリースと同じ日の夕方、摂南大学さんで講演してきました。最近毎年お呼ばれしておりまして、何とも恐縮な次第です。

講義中写真

今回で3回目。毎回「ベンチャー経営論」という類の授業で1コマだけ担当させて貰ってます。

アジェンダ

こんなアジェンダで。

アプリ開発事業がメインだった時のことを例に出して、とかく世間はB2Cのビジネスに目が行きがちなので、もっともっとお金の動く別の次元があるんですよ〜、と学生さんにお話する時に必ず出すのがこの図。

4象限

ビジネスやる時はどこの象限を攻めれそうか考えたほうが良い、情勢を見ながらどこに軸足を置くかは考えた方が良いですよと。

ウチの場合でいうと、iPhoneアプリ開発を黎明期に始めた頃の売り上げ比率はこんな感じで、

1:9

2010年にiPadが出た時にB2B需要が増すとふんでB2Bに軸足を移すことにしてこんな感じ

1:4:4:1

って変遷をたどりつつ、自社商品の売り上げ比率を徐々に上げて

1:1:1:7

こんな感じになってきたところで事業売却しました〜という話をしました。

その他、いつもよくやる話の繰り返し「尖る」「発信する」ってのが大事だよ〜という話とか、事業は結局のところ運と縁だとかとか…のお話。

1,2割の学生さんは起業も考えているらしく、やはり経験談は説得力が増すモノなのか真剣にノート取りながら聞いてくれました。学生の数は170名余りだったそうで、担当の先生によるといつもの授業に比べて寝てしまってる学生さんは少なかったとか。嬉しいですね。

僕は堂々と語れるようなバックグラウンドも持ってないし、色んなご縁と運で何とか生き残ってきた類の経営者なのでの「資金調達して上場して超凄いでしょ〜」的な壮大なネタは持ち合わせてないですが、自分の経験が次代を担う若い方々の何かしらヒントになると良いなと思います。

講演は使い回すことは基本的にやらなくて、資料も話も毎回作り直します。これ、結構大変なんですけど良いんですよね。今回も自分がやってきて良かったことや失敗談を改めて整理して、タイミング的にも新事業をどう攻めて行けそうかを考えるきっかけになりました。

例年通り170名分の講義レポート&感想が届くそうなのでちょっとドキドキしてます。毎年お声がけ頂いている摂南大学さんに感謝です。


2017.05.12 (Fri)

きたる5月22日(月)に、働き方改革という切り口でセミナーを協同開催することになりました。

働き方って各社色々考え方があって、その各社の取り組みやその結果生まれたものや成果を紹介をするのって結構面白いんじゃないかという話がきっかけです。当日の時間は晩の19:00から90分ほど。

神戸のWeb制作御支援事業のだいずらぼさん、フェンリルさんから事業子会社化されたBrushupさん、さらにウチも混ざりまして3社でのセミナーになります。

内容は以下のような感じです。(イベントページから抜粋)

  • 『グラフィックデザイナーがWEBデザインを攻略する方法』
    株式会社だいずらぼ 脇本雅也
  • 『CMSは静的化して安全性と生産性を手に入れる』
    株式会社フィードテイラー 大石裕一
  • 『デザインデータのチェック& フィードバックの生産性を劇的に向上させる』
    株式会社Brushup 水谷 好孝

働き方を改革するって、決してルールや規制を策定するのではなく、実は仕事のやり方に目を向けて無駄が発生しない仕組みを作ることだったりします。これは創業期から効率の良い働き方を意識してきた経営者として個人的な経験談。

今回の三社に共通するのは、日々の仕事に目を向けた時に、無駄に思えてたことを無くす取り組みを内々でやってたら、その先にサービスが生まれたということなんですね。

だいずらぼさんは、Web制作をされている中でhtmlコーディング作業の無駄(制作の提案とかに時間を費やした方が価値が高い)があったそうです。それを無くす取り組みの先にCondigPackというサービスを作られたのだとか。

Brushupさんは、社内でWebやアプリのイラストとかグラフィックを制作される過程のメールコミュニケーションに無駄が多いというところから、Brushupというコンテンツ制作フローを改善するサービスを作れたそうです。元々親会社のフェンリルさんのプロダクトだったので、デザイン重視の会社さんならではの課題があったということなんでしょうね。

そういった無駄を解消する工夫や取り組み、その先にできたサービスについてお話をして頂きます。

で、うちは昨日リリースした espar をご紹介すると共に、ウチでやってきた生産性をUPさせる取り組みについてもお話する予定です。esparは生産性をあげるというよりも、CMSサーバに攻撃がこないようにして、アップデートとかメンテナンスの心配をしないようにしましょう、極論言えばもうメンテやめましょうってなコンセプトなので無駄の削減的アプローチになりますけども。

開場はお馴染みメビック扇町です。参加費は無料になります。こちらのイベントページからお申込み頂けます。

だいずらぼさんのCodingPackとか、BrushupさんのBrushupは、Web制作に関わられる方であれば知っておいて絶対損ではないプロダクトですのでぜひぜひお越し頂ければと思います。


2017.05.11 (Thu)

静的化が最強のWebサイトセキュリティと信じて疑わない昨今です。こだわり続けて1年強でしょうか。ようやく理想の形に近づけた気がします。

エスパーと読みます。Elastic Static PAge Renderer の頭文字(?)をとって espar。タイトルの通りですがCMSの静的化サービスです。本日付でリリースしてまして、プレスもプレスリリースのページ(任意のCMSを静的化して第三者攻撃を無効化できるサービス「espar」をリリース)からご覧頂けますので宜しければ御覧下さい。

だいぶ長文になりますが、以下に詳細をご紹介します。まず espar の静的化ホスティングという仕組みについて。

 

静的化ホスティングって?

このブログをご覧頂いている方であれば図を見て頂くのが一番早いかも知れません。

esparの構成図

従来の静的化とは全く異なるアプローチで静的化し、攻撃を無効化します。仕組みは以下。

  1. CMSでの更新のたびに適宜静的化してホスティング
  2. DNS設定変更により、サイト訪問者はesparのホスティング環境から応答を受け取る
  3. CMSサーバは管理者とesparのアクセス以外を全て拒否する (IP制限/Basic認証)
  4. サーバサイドプログラムやフレームワークが一切存在しないため脆弱性を狙った攻撃は成立しない
  5. 攻撃者はCMSサーバの所在が分からない (仮に所在が分かっても3.の制限でアクセス不可)

これまでも色んな静的化アプローチがありました。

個人的にはどれも一長一短。Aは黒い画面(ターミナル)必須で敷居が高く、Bは問合せフォーム等に課題が残り、Cは引越し前提にするのは難しいし前者のNORENとかだと超高額だし…と。

Aはホント色々やって勉強会もしましたがエンジニア以外は無理と結論を出しました。BのアプローチでWP Guardというプラグイン製品も出しましたが何か違う感は残っていました。

なので今回、外から静的化することにしました。…もう力技ですね(笑)

弊社製エンジンで外から静的化、そしてそのまま静的化したファイル群を全部ホスティング。この構成なら、専用の配信サーバ(ステージングサーバ)を用意する必要はありませんし、CMSの引越しも必要なく従来のCMSをそのまま使い続けられます。ぶっちゃけCMSでなくてもWebサイトとして機能しているサイトなら何でもokですね。

CMS側とDNSの設定を少し変えて、アクセスを全てesparのホスティング側で受ける構成になります。CMSサーバ側はIP制限やBasic/Digest認証で閉じるとか、ぶっちゃけ社内ローカルに移設して貰っても大丈夫、だから悪意ある第三者はCMSのサーバに辿り着くことすらできないよね…という訳です。

勿論、セキュリティに完璧はありませんので、社内に物理的に侵入されてftpアカウントパスワードまで盗られたとか、リクエスト元IPを詐称されたうえBasic/Digest認証の情報まで漏れちゃったなんて事になればどうしようもないですが。

既存のCMSをそのまま使えて、CMSの種類を問わず静的化して、ホスティングまでしてくれる…というのが他にないesparの新規性。既存のCMSに何も強いることなく連携して安全性を最大化しましょってコンセプトです。

 

外からの静的化って?

実は前述の構成を実現するのに必要不可欠なのが、外から静的化するクオリティ(再現性)です。TOPページからサイトのツリーを解析し、各ページに必要なリソース(画像/動画/js/css等)を全部取ってくるエンジン、これを完全に内製しました。

開発者の方なら wget などのツールがあるのをご存知かと思いますが、静的化をつきつめようとすると実は不十分なんですよね。例えば、

  • css で background-image に指定された画像ファイル
  • HTML5 の SVGタグやdata-属性

などがその例。wgetでは取ってこれません。他のツールも同様。何かしら欠けてるのです。

esparはこれらにも対応しているのと、何より内製ですので万が一静的化NGだった場合でも、調査して対応が可能だということです。esparが Elastic(柔軟な) たるゆえんですね。

 

問合せフォームは?

これまでの静的化アプローチでは余り考慮されてこなかったことです。フォームとなるとどうしても php や perl などサーバサイドに頼らざるを得ませんでした。

esparは、静的化しても問合せフォームが機能する仕組み(jsのライブラリ)を一緒に提供します。

  • 指定のjsタグをコピペする
  • <form> タグに指定のクラスを追加
  • 各 <input> タグに指定のクラスを追加 (validation条件とか)

をするだけで指定のメールアドレスにメールが届く仕組みを標準搭載してます。実装的には入力されたデータを元に弊社サーバを介してメール送信します。送信やバリデーション、エラーの表示等にサーバサイドプログラム(phpやperl)は必要ありません。

既にウチのオフィシャルサイトの問合せフォームはこれで動いてます。


(例えば、input要素に email クラスを指定すると自動でバリデーションする。phpやperlは必要ない)

書きながら思いましたが、静的サイトジェネレータで作られたサイト向けに、この機能単体でも御提供する意味があったりするかも知れませんね。

 

問合せフォーム以外の動的要素は?

静的化で更に悩ましいのが、問合せフォームのようにパターン化できるもの以外に動的要素が存在するケース。商品検索ページとかページ内検索とかはその典型ですね。

これらも頑張れば静的化(js化)できます。前者はKintoneとかクラウド上のDBにデータを引っ越してjsで実装とか、後者はGoogleのカスタム検索とか。でもその為に数十万円かけて作り直すとかは有り得ない訳です。

そういった場合に、リスクと利便はトレードオフという原則を御理解頂いた上で、指定したURLパスだけ元のCMSサイトに代理アクセスして返答するプロキシ機能をご用意しました。

絵にすると、つまりこういうことですね。静と動の共存です。

esparのプロキシ機能

例えば、search.php?key=espar みたいなリクエストを受けた場合にそのままCMS側に転送します。リダイレクトではなくプロキシなので、アクセス元はesparになるってのがポイント。CMS側のBasic認証やIP制限を弱くする必要はありません。

でも一点心配があります。ここに、SQLインジェクション等の脆弱性攻撃を意図したリクエストが転送されてきたらどうするか。search.php?key=’ OR 1 = 1; とかそういうのですね。

そこはもうトレードオフです…という割り切りをしたとしても、全URLに対してフルオープンしている状態より随分マシ(指定URLパス以外は静的化されるので)なのですが、そうは言っても…というのが正直なところ。僕も利用者視点に立てば同じことを思いますから。

そこで、esparがプロキシ転送する直前にWAFを挟むことにしました(上図)。OWASP の core ruleset に準拠したものをベースに構築しており、またサイト毎の独自拡張もできる仕組みにしてるので随時対応も可能です。これなら、安心ですよね。

という訳で、動的要素が存在する場合については、トレードオフであることを御理解頂いた上で

  • Webサイトは出来る限り全部静的化を目指す
  • どうしても残る動的箇所のURLパスに限りプロキシでCMS側に転送
  • 転送時にはWAFで一般的な攻撃は防御する

こんな優先順位でやりましょうと。これで、95%は静的化してますとか、まだ70%ですとか、そういう静動混在が可能になる訳です。段階的に全静的化を目指すことができます。動的部分だけホスト名を別にして下さいとか無茶な話にはなりません。

 

esparが目指すもの

だいぶ長文になってきたので最後にesparで目指していることを書いて筆を置きます。

無理ゲーだろと言われそうですが、esparは「情報発信を主体とするあらゆるWebサイトの静的化」を目指しています。つまり、html/css/js でWebサイトの動作を静的に完結させること。そうすれば、Webサイトに起因する情報漏洩問題も改ざん問題も消え失せます。

攻撃が成立しないのですから。

Webの脆弱性による被害とは『サーバサイドプログラムを意図しない形で悪意ある第三者に動作させられてしまうこと』です。ならば、サーバサイドプログラムのないサーバでサイトを公開し更新もできる仕組みを作れば良い。それがepsarのコンセプトです。

多少のインタラクションが発生するサイトでも、kintone や Google SpreadSheet などセキュリティリスクを転嫁できるクラウドサービスにjs使ってAPI連携させれば、静的化できちゃいますしね。

CMSとは、Content Management System の略です。つまりコンテンツの管理システムです。コンテンツを管理することが本来の役割であり、コンテンツを配信する役割を無理に担う必要はありません。そのややこしい(そして一筋縄ではいかない)「配信」という役割まで同じサーバでやろうとするから、インターネットにCMSサーバを晒す必要があり、その結果攻撃にあってしまうのです。

然るべき静的ファイル群を生成し、それらの配信を委託できるサーバがあれば、CMSをインターネットにフルオープンで晒す必要なんて無いし、CMSは今ほど神経質にセキュリティを気にする必要なんて無いのです。全く気にしないことを推奨はできませんが、少なくとも今ほど「常に最新バージョンにするように!」と現場を無視した無理を強いて、何の売り上げにも繋がらない非生産的なCMSメンテナンスに多くの貴重なリソースが割かれる現状は改善できる筈です。

この議論は深掘りすると、CDNとかリバースプロキシとどう違うんだという話になるんですが、そのあたりはこちらのサービス解説ページをご覧頂ければと思います。

以上、長々と書きましたが新サービス espar の御紹介でした。今後ともどうぞ宜しくお願い致します。


2017.05.04 (Thu)

昨年アクアスロン(スイム+RUN)に初出場し無事に完走できまして。次はトライアスロンだ!と意気込んでたら当選してしまい(?)、6月に出ることになりました。

出るのは大阪城トライアスロン2017です。大阪でマラソンなら大阪マラソンという感じで、大阪でトライアスロンなら大阪城トライアスロンと代名詞的存在にりそうな開催第1回目の大会です。

大阪城トライアスロン

大阪初というか多分国内初なのでしょうけど、お城の堀を泳ぐそうです。大会主催者側が前代未聞って言ってるぐらいですからもはやネタですね。ある意味で大阪らしい。

開催が決定した直後の報道を見ると

野鳥が泳いでおり、市によると、水面のゴミを取り除くため定期的に清掃しているが、水泳大会に使われたことはなく、水質検査もしてこなかった。協会理事の内田宗一・大会組織委員会事務局長は「堀の水は汚いイメージがあったが、意外に透明。案外いけるのではと思った」と振り返る。

水質検査もしたらしく、案外いけるのだそうです(笑)

水深3m〜5mの堀を泳いだ後は、大阪城とその近隣をバイクで流してからのラン。自分は初挑戦なので無理はせず、出るのはスプリントという一番距離の短いレースにしました。750m泳いで、20kmバイクして、5kmのランです。それぞれ単体で見ると全然大変じゃないんですが、3種目を休みなく続けるとなるとしんどさが半端ない筈。

気が付けば何だかアスリートっぽくなってきました。5年前1kmすらまともに走れなかったのに、人間変わるもんですねぇ。本番まであと50日程、今回は制限時間内に完走することを目指します。良いご報告ができるように頑張ります。


2017.05.02 (Tue)

今年に入ってから、一度もすきま読書の記録を残していませんでした。今更3ヶ月分を3エントリにするのも何か変なので3ヶ月分まとめて第一四半期の記録です。

20170502_080000
(Thanks! the photo on flickr by faeryhedgehog CC BY 2.0)

今年の4月にとあるイベントごと(?)がありまして、その準備の為に年始から冊数が少し減ってしまってました。

  • 2017年1月 : 9冊
  • 2017年2月 : 2冊
  • 2017年3月 : 7冊

3ヶ月で18冊。読書数を減らしてた理由についてはまた改めて。面白い報告ができると良いのですけどね。…ということで2017年Q1の読んだ書籍たちです。

1月

ビジネス・専門書

小説

2月

ビジネス・専門書

3月

ビジネス・専門書

小説

 

少ないとはいえこうして並べるとそれなりに読んでますね。ちょっと技術よりな本を昨年より増やしてみようかな…と思ってセキュリティ系を読んだりしてます。

一番良かったのは小説の残業税

物語として普通に面白かっただけでなく、とかく残業や労働時間の議論に偏重しがちな働き方改革論の先にこんな世界が待ってるのかも知れないなぁ…とフィクションとは思えないリアルさが秀逸。「労働とは何か」「働くとは何か」という問題提起をしていて貴重な小説だなと思いました。働き方改革、特に残業問題に関心のある人は読んでおかれると良いと思います。

ビジネス書で一つ際立っていたのがその「エンジニア採用」が不幸を生む ~良い人材を見つけ、活躍してもらうには何が必要か?。今エンジニアは引く手数多ですが、ミスマッチが起こってしまう原因について、採用側とエンジニア側の両視点で具体的に書かれている画期的な本。IT関連企業の役員・管理職、そして転職を考えるエンジニアさんは必読書です。

という訳で2017年も良い本との出会いでスタート切れてます。幸先良いですね。今年も読書を楽しんでいきたいと思います。単冊でのレビューも書いていきたいですね。


2017.05.01 (Mon)

世間はGWです。

今年は2日間の有給を入れたら9連休!ということで、ウチでは今年も有給取得推奨日を設定しました。昨年も同じGW時期にやって10連休にしてたようです。

20170501_080930
(Thanks! the photo on flickr by Takeshi KOUNO / CC BY 2.0)

有給取得推奨日はもう随分と前からやってる取り組みで、毎年僕の独断で有給消化が推奨される日というのを作ってます。GW以外だと夏の天神祭の日とかですね。日中から晩まで、事務所近くの人の往来が激しくて帰るのも大変だから休んじゃえみたいな。あとは休みに挟まれた平日とかですね。

単なる推奨日に過ぎないので別に休まなくても良いんですが、制度って利用されるように社員を後押しする仕組みや体制もないと意味がないという考えでやってます。例えば、副業推奨しているけどメッチャ残業がある…とか最悪ですからね。制度として機能してないでしょと。

有給も同じで、制度はあっても休む為の心理的ハードルが高いとか、そもそも休める状況じゃないってのは意味がないなと。

20170501_083020
(Thanks! the photo on flickr by m-louis / CC BY 2.0)

ウチはそもそも有給が取り易い環境ではあるんです。新型iPhoneの発売日にやっぱり行列並ぶことにしました!って、slackで一報入れるだけでokってなこともありましたしね。しかも1時間単位に分けて取得okだし。だとしても、背中を後押しする仕掛けは必要で、だから有給取得推奨日を設定してます。

とまぁそんなこんなで今年のGWは9連休。

僕は相変わらず普通に仕事です。前にちょっとご紹介した、CMSサイトを静的化とホスティングする espar という新製品の正式リリースを5月に予定してましてその残作業。あとは、GW明けに予定されてる摂南大学さんでの講義の準備とかですね。

昨年は熊本地震の後に敢えて熊本に行ってきたのですが、今年はドタバタしてて予定はありません。いつも無茶に付き合ってくれてる奥さんに感謝です。丸っとどこか1日ぐらいは一緒に過ごそうかなと思ってます。皆様も良いGW休暇をお過ごし下さい。


2017.02.27 (Mon)

2017年2月15日〜17日の三日間、「Japan IT Week 関西 2017」に出展致しました。

Japan IT Week はリードエグジビションジャパンが主催する国内大型IT系見本市の1つです。それが関西初上陸。約300社が集結する関西圏のIT系展示会としてはかなり大規模なものとなりました。

 

展示したもの

来月リリースを予定している新サービスを展示しました。

Webサイトの静的化とホスティングを行うサービスです。既存CMSを使用し続けながらサイトを静的化できる という、CMSと静的サイトの良いとこ取りをする仕組みを作りました。

昨年発表した WP Guard を洗練させて、WPだけに限らずどんなCMSにでも使えて、静的化するだけでなく静的ファイルのホスティングにまで踏み込んでます。https化まで(証明書の取得/更新を込みで)やっちゃうので、静的化の為のオールインワンなサービスですね。

名を espar(エスパー) と言います。Elastic Static PAge Renderer の太文字部分をくっつけた造語。柔軟な静的化エンジンで、Go言語を使って自社開発しました。静的化を追求したノウハウが凝縮されています。


既存CMSを静的化するのが主なので厳密には違いますが、一部Netlifyとコンセプトが近いと思います。会期中は、こんなものをまさに求めていた!という声を頂いたり、弊社展示を目的に来場された人がいらっしゃったりと、反応は想像していた以上に良いものでした。

 

かかった費用

ブースはこんな感じになりました。専有面積は 3m x 3m の9㎡の最小サイズです。

何といっても場所代が半端なかったです。複数社で負担しあって共同出展するならともかく、従業員数人規模の小さな企業が負担する額としてはかなり高額です。明細はこちら。

項目 代金
小間代(0.5小間) 約50万円
調度品レンタル 約20万円
キャッチコピー看板 約1万円
搬入搬出費 約1万円
お弁当 約5000円


小間とはブースのことで、3m x 6m の18㎡の1小間が基本サイズ。その半分の9㎡が最小単位。基本1小間単位で申し込みますが、0.5小間というのは規模の小さい企業向けの特別プランで、これにざっと50万。

ホント陣取りだけで壁も机も電気も含まれていませんから、何から何まで全部自分で用意する必要があります。初めての出展なら要領もよくわかりませんので、運営側が用意しているレンタルセットを契約するのが良いんじゃないでしょうか。ちょっとお高いですけど、ウチはそうしました。

机やイス、カタログスタンドなどはもちろん、壁や社名版、カーペットに電気工事など、展示をしている様を出すのに最低限必要な物々を揃えてくれます。ダサくなるので標準レンタルセットは避けたほうが良いという意見もありますが、標準セットを卒業できるのは2,3回経験してからかなぁ。

これらに、後述するモノを色々と作った費用を加えると全部で費用は100万円そこそこ。名の通った展示会はおおよそこんな感じになるんじゃないでしょうか。

 

作ったもの

3m x 3m のブースは案外広いので何も無いと本当に惨めなブースになってしまいます。この種の展示会には僕も見る側として何度も行ったことがありますが、貧相なブースの残念さといったらもう…。机にパンフレットだけとか哀愁感ただよいまくりですから。

そうなるのは避けたかったので、とにかく賑やかになるようにと色々作ったものの一覧が以下。

  • 大型パネル(A1サイズ)
  • 地面に立てかけるバナー(50cm x 160cm)
  • リーフレット(2種類)
  • 机上パネル(A4サイズ)
  • プロモーション動画(40インチの液晶で再生)

これだけあると、3m x 3m 程度なら貧相な感じにはなりません。

ブース全体が何となくちゃんとやってる雰囲気に見えたことに初出展の自分らがまず驚きましたが、反省点が幾つか。もちろん、良かったなという点もあります。

  • 壁面にぶら下げるパネルはA0サイズでもよかった(A1だと小さく見える)
  • 壁の背丈が結構あった(2.7m)ので、ぶら下げるチェーンは長めのものを用意すればよかった
  • 机上パネルはスマートに机を彩ってくれるので効果あり
  • 立てかけバナーの存在感と賑やかし効果が思った以上にあった
  • 液晶TVで動画再生するには40インチ以上が必須(27インチのiMacは小さ過ぎる)
  • テーブルの白布の代わりにロゴ入りのオリジナルのものを用意すればよかった

全てやってみて初めて分かる気づきですね。特に良かったのは立てかけのバナー。


(ひとことブログのikuneeと、遊びに来てくれたジールズさん)

ほぼ人間一人分の大きさなので、やはり存在感があってブースの最前面ギリギリに斜め方向に置いておけば確実に視界に入ります。これがあるだけで随分と雰囲気が違いました。スタンドとバナー部分は取り外しが可能で、別のバナーを作れば差し替えが可能なものです。

当面、こんな感じで実物を社内の会議スペースに飾るつもりですので興味お有りの方は是非お越し下さい。

 

かけなかった費用

出展者用には運営側が気を使って(?)本当に色々とオプションを用意してくれています。最も高額な場所代(前述)は最初に支払ってしまうのですが、その後は出展者用の管理画面のようなものがWeb上に用意される他、メールで色々と案内が届きます。

オプション類は「せっかく出展するのだから」とあれもこれも付けてしまいがちになりますが、そこはあえて手持ちのもので代替したり、そもそも使わないという判断をしました。

  • 液晶TV(自社会議スペースにある40インチを持ち込み)
  • 有線ネットワーク(現場ではテザリングを使用)
  • バーコードリーダ
  • セミナー枠や広告枠

ネットワークは「当日現場でデモができなかったらどうしよう」という心配もありましたが、敷設すると10万円もかかるという話だったので却下。心配も杞憂に終わりました。期間中はテザリングで十分でしたし、有線があっても全く使わなかったと思います。

バーコードリーダはこの主のイベントでキレイなお姉さんが持ってるやつですね。来客者の入場証をスキャンしておけば後から個人情報をCSVダウンロードできるという代物。システム利用料が10万円超えするビックリ価格だったのでやめました。まぁ、そもそも効率性を重視して獲得しただけのリストはお金になる効率が極めて低いので利用する価値は疑問です。ここはお金をかけなくて正解。

あと動画制作もお金をかけずでした。冒頭に載せましたが、KeynoteやPowerPonintのアニメーションやトランジションを使えば何とかなるもんです。


動画の有効性ですが、正直、展示会場ではゆっくり最初から最後まで見て貰うという方は皆無に近いです。そもそも、途中で「ご説明させて頂きます」と声をかけますしね。ブースの賑やかし役です。控えめながらBGMも流しました。

なお動画を流す液晶TVはレンタルするとバカ高いので、会社のミーティングルームのものを持ち込みました。以下は40inchの液晶TVを梱包している様子。

購入時の箱を事務所引越し時に捨ててしまっていたので、楽天のこちらのショップから購入した法人向け専用の梱包セットが役に立ちました。展示会が終わった今、この大きな箱は 展示会用品セット として一式を入れておく箱になってます。

 

とまぁそんな訳で、ドドドっとかかった費用とかモノとか紹介してきました。これを読んで下さった方が出展される時に参考になれば幸いです。展示会に出てみて実際何が良かったのかとか、そのへんのお話はまた改めて書きたいと思います。


2017.01.27 (Fri)

iOSのフィードテイラーから、セキュリティのフィードテイラーへ。

事業の軸を変えるのも軸を増やすのも相当なエネルギーと覚悟がいるものです。ましてや全く違うドメインとなると尚のことそうだなぁと改めて思います。創業3年目には、社名に冠するRSS関連事業からiOSアプリ開発事業に軸を移し、そして11年目の今、セキュリティ事業に軸を向けると。

20170127_2102.jpg
(Thanks! the photo on flickr by Andres Atehortua CC BY-SA 2.0)

年末年始に熟考して進むべき道がクリアになってきたので、2017年は自信を持ってセキュリティのフィードテイラーで打ち出していきます。その発信の一環として、新サービスの披露をかねて2つの展示会に出ることにしました。

 

関デジDAY2017(2/9)に協賛

一つは関西デジタルコンテンツ事業協同組合さんが主催される関デジDAY2017。お馴染みメビック扇町で開催されます。開催主旨やコンセプトに共感したのもあって、弊社にしては珍しい協賛という形を取らせて頂いてます。前のめりでいくならそれぐらいが良いかなと。

20170127_2053.png
(参加申込みはDoorkeeperのイベントページから)

協賛企業は4社。KDDIウェブコミュニケーションズさん、ファーストサーバさん、クレディセゾンさん。で、フィードテイラー…何でやねんと。格差感すごい(笑) でも今回展示するモノ(後述)はどこよりも尖ってる自信のあるものですので、来場の御客様にも関心を持って頂けると思います。

開場は2017年2月9日の13:00。入場無料です。場所はメビック扇町。15時からは協賛企業のプレゼン枠で30分ほど僕からお話させて頂きますので、宜しければお越し下さい。

それからもう一つ。

20170127_2112.jpg

第1回 関西情報セキュリティEXPO(2/15-17)に出展

言わずと知れたリードエグジビションジャパンさんの大型イベント。関東圏では馴染み深いあの Japan IT Week が関西に初上陸、2017 Japan IT Week 関西 が開催されます。今までこの手のイベントでは、ウチの製品を扱って下さる販売店さんと御一緒に出たりとか、ヘルプでお邪魔したりとかでしたが、今回は何と自社出展です。

20170127_2115.jpg

情報セキュリティ分野だけではなく、IoT/M2M、組込みシステム、モバイル活用、Web&デジタルマーケティング、クラウドコンピューティング、と他にも5大テーマでEXPOが併設された大イベント。

そこに弊社は、一番小さいサイズですが小間を確保して、新サービスを引っさげて出展致します。僕はもちろん、@t0shiyaも、ひとことブログ執筆担当の@ikuneeも現地入り。3日間セキュリティを前面に出して発信させて頂きます。小間番号は 8-7 です。

既に200名ぐらいの方々に招待状をお送りさせて頂いたり、最近お会いした方には手渡しでご案内させて頂いています。招待状をお持ち頂くと無料で入場できますので、お越し頂けたら嬉しいです。まだ届いてないぞっという方は僕宛でメッセージやメールなど頂けましたらすぐお送り致しますので宜しければお声掛け下さい。

 

で、何を展示するのか

招待状に同梱でお配りしているご案内のパンフがこれ。Webサイトの静的化 によるセキュリティ確保サービスです。以前に WP Guard という Wordpress 向けプラグインを発表させて頂きましたが、今回はその進化系のサービスを主役に据えます。esparって書いてるやつですね。

20170127_2122.jpg
(パンフは時間の関係もあり、素材を組み合わせて使って自作しました。illustrator便利ですね)

展示では、Webサイト静的化について価値訴求すると共に、動的なCMSサイト(WordPress)がハッキングされるデモとか、任意のWebサイトをその場でリアルタイムに静的化してしまうデモとかもやらせて頂く予定です。

このWebサイト静的化という分野。海外を含めて色々マーケットを調べていると、ぼちぼちお金の伴う動きが出てきています。2016年は、日本じゃ余りニュースになってませんが Netlifyが約2億調達した なんて話もありました。既に静的化の周辺に static web hosting という事業ドメインが生まれていて、お金が動きはじめる気配を感じます。

課題解決に必然性があり、お金の動く傾向が見られたなら、それは進むべき半歩先の未来です。そういう訳で、フィードテイラーはセキュリティの中でもまずはWebサイト分野に絞り込み、更に static web hosting のカテゴリへ事業の軸を向けます。今回の展示会出展は、その前哨戦的な位置づけとして新サービスをご披露する場にしたいなと考えてます。

お時間御都合の会う方は是非お越し頂けましたら幸いです。会場でお会いできるのを楽しみにしています。


2017.01.04 (Wed)

昨年12月のすきま読書の記録。

20170104_1826.jpg
(Thanks! the photo on flickr by Sam Greenhalgh CC BY 2.0)

スマホ見るなら本を読め ということで昨年から続けている読書週間ですが、半年たってこんな感じになってます。

  • 2016年6月 : 6冊
  • 2016年7月 : 10冊
  • 2016年8月 : 13冊 + 1冊(AudioBook)
  • 2016年9月 : 7冊 + 1冊(AudioBook)
  • 2016年10月 : 7冊
  • 2016年11月 : 9冊 + 1冊(AudioBook)

もう既に習慣化して効果も実感していますが、すきま読書のおかげで普通に年間100冊を達成できそうなペースになってきました。読書好きながらなかなか増えなかった読書量。創業来初の勢いじゃないかなと思います。

本を沢山読みたいけど積読に悩まされているかつての僕と同じ方は、是非とも スマホ見るなら本を読め の精神で読書されるのをお勧めします。

さて、そんな訳で昨年の12月はこんな感じでした。

 

ビジネス書

小説

 

全部で10冊。小説多いですね。本のレビューを書いたりしたので(LIFE SHIFT を読み終えてその先の世界を想像してみた話, [書評] 価格の掟 〜ザ・プライシングマンと呼ばれた男の告白〜)、時間をそちらに費やした感があります。アウトプットしなけりゃもう少し読めていたのでしょうが、そこはバランスということで。

11月から詠んでいたみをつくし料理帖はついにシリーズ読破で感動の完結。とっても良い作品でした。小説の舞台の一つになってた九段坂界隈とか行ってみたくなりますね。

次々と迫る不幸や事件に苦悩しながらも、耐えて乗り越えて料理の道を進み続ける主人公澪の姿に心打たれます。強いなぁ。あと、お客様からお金を頂くとはどういうことかという仕事論が随所に散りばめられていて気づきも得られる物語でした。

ビジネス書で最も印象的だったのはゲノム編集とは何か

SFが現実の脅威となる避けて通れない未来が、実は目前まで迫ってきているということが分かり衝撃を受けました。分子生物学の進化が遺伝子操作を容易なものとし、人間の価値観に倫理観に道徳観に、科学が揺さぶりをかけてくることを分かり易く説明しています。

先月に読んだ LIFE SHIFT と併せて書評も書いていたりしますので宜しければ御覧下さい。

LIFE SHIFT を読み終えてその先の世界を想像してみた話 - 大阪/関西でiPhone業務活用・Webサイト静的化をご支援するfeedtailor社長ブログ

という訳で12月も沢山読書ができました。ご縁に感謝。

これまでずっと本は好きでいたけど、実は年間50冊も読んだこともなかったんですよね。それが、すきま読書のおかげで約半年で65冊も読めてしまってるという。今年は100冊読了することを目標にしながら、適宜の書評アウトプットを行っていきます。