タイトルのまんまなんですが、情報処理安全確保支援士試験という試験に合格しました。名称が長いですね。(もうちょっと格好いい名前にならんかったのか…)

でーん。

試験運営母体のIPA(情報処理推進機構)からプレスリリースも出ているのですが、合格率は16.3%だったそうです。だいたい6人に1人なので、そこそこの難易度ということでしょうね。

以前は、情報セキュリティスペシャリスト試験(SCと略します)と呼ばれていた試験です。情報処理技術者試験の1つで、言葉の通り情報セキュリティに関する専門知識を問う国家試験ですが、今年からその名称が変わってました。

その背景が経産省のこちらのページ。

サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました

単なる国家試験ではなく、国家資格に扱いが上がって試験の名前も変えましたよ〜と。関連して法律もできてます。年金機構の情報漏えい事件以降、国として情報セキュリティが重要であると認識し始めている現れの一つでしょう。情報処理技術者試験の中でも一つだけ特別扱いになりました。

初の情報セキュリティ系の士業

例えば、中小企業診断士も税理士も弁護士も栄養士も、試験を受けて、合格してはじめて◯◯士として登録できて、ようやく◯◯士と名乗れて、◯◯に関連する仕事をするようになります。情報処理安全確保支援士試験はその情報セキュリティ版。この分野で士業をうたえる国家資格は初めてなんだそうです。

その国家資格の入り口になる初めての試験が4月に行われまして、それを受験してました。

初めてなことが好きなのと、やっぱセキュリティ関連のサービスを会社として展開するなら資格を持っておくにこした事はない…というのがその動機。

(試験会場は天満研修センターだった)

やっぱり栄養士の資格をもった人が社長をやってるダイエット支援事業会社は信頼感があるし、弁護士資格をもった人が社長の法律相談マッチングサービスの会社は信頼感があると思うんですよね。それと同じことが言えるので、この国家資格ができるとニュースを知った直後に社長として資格保有しようと受験を決めました。

まぁ細かいことをいうと、3年間で15万円の資格維持費がかかる点にIPAのビジネス臭を感じるとか、弁護士のように独占業務がある訳ではないので価値ないのでは…という批判もあるのですが、僕にとっては自社ビジネスに1つの箔をつけるのが目的なので余り関係ありません。

セキュリティは国を挙げての取り組みになってきてます。

近い将来、CISO(最高情報セキュリティ責任者)という役割はCFOやCCOと同レベルで必要になりますし、ひょっとしたら、IPAが生き残りの為にロビー活動を頑張って「情報処理安全確保支援士を持つ人物をCISOや顧問として置くこと」を上場会社の条件に含めさせるなんてことも100%無いとは言えないでしょう。日本という国は「国産」で固めたがりますから、海外の類似資格(例えばCISSP)のほうがブランドがあるとか関係ありません。

そんな将来を見据えて、「情報処理安全確保支援士かつソフトウェア開発者」である人財ばかりを集めて組織していたら…と想像すると新たなビジネスの匂いもしてきますね。資格保有者は固定給◯万円UP、合格一時金◯十万円、資格維持費も会社が全額負担みたいな社内制度を作ってまた組織作りのネタにしてみたりもできるかも…とか色々考えてしまいます(^^)

何はともあれ興味ある分野の試験は楽しい

資格としての価値はともかく。試験って勉強してナンボで、その為の勉強が知識の体系化と網羅性の向上に繋がりますから、やっぱり面白いです。

いわゆるビジネスプランコンテストの類とは異なる学びの楽しさと達成感がありますね。今回もセキュリティについて改めて考えるきっかけになりましたし、知らないことも学ぶことができましたし、理解が不十分だったところも補完できましたし。社長業やりながらは結構ヘビーですが、凄く楽しめました。

でも肝心なのは、試験や資格が仕事をする訳じゃないってこと。独占業務でない以上は、資格を持ってるから凄いんじゃなくて、資格に裏付けられた仕事をちゃんとしてるから凄いんだということを忘れないようにしないとだめですね。

実際、ウチの社内でセキュリティに絡む細かな実装の議論をしだすとエンジニアの @t0shiya のほうが詳しかったりしますから。資格はしょせん資格。その点は常に意識しつつ、でも資格を持つ効果は最大限に活用しつつビジネスしていこうと思います。

そんなこんなでご報告でした。あ、上で資格資格と書いてますが、まだ「士として登録できる権利を得た」だけで、これから情報処理安全確保支援士としての登録手続きになります。(書くかどうかはともかく)正式に名刺とかに書けるのは今年の10月1日からです。

CMSサイトを静的化する espar を発表してから1ヶ月強、お問合わせも着実に増えていて、実績も出始めています。静的サイトジェネレータの話題も相変わらずチラホラと見かけますね。

安全性や高速性などWebサイトが抱える課題を解決する合理的手段として静的化の機運が高まっているのを感じます。昨晩もサイト応答速度がどうにもならないので静的化を…と御相談がありました。

そんな中、今週土曜日に開催される WordCamp Kyoto 2017 に参加いたします。

数百人のWordPress関係者が一堂に会する国内有数のイベントですね。もちろんご存じの方が多いと思います。今回お誘い頂いたのもあり、スポンサーとして出展することになりました。

お隣にはキントーンのサイボウズさん、レンタルサーバのFirtServerさん、そしてPayPalとなかなかに凄い顔ぶれのGOLDスポンサーに当社も加わらせて頂きました。

出展は、年始の関デジDAY2017や情報セキュリティEXPOに続き今年で3度目になります。会場都合もあって余りアイテムを持ち込めないのですが、今回は新たに中綴じ冊子を持ち込む予定です。

こういうのを作りまして。出展アイテムというより普段の営業アイテムなんですけどね。

CMでよく見るプリントパックで商品紹介資料を中綴じ印刷かけたものなんですが、これが本当によくできてるんですよ。プリントパックの中綴じ印刷は、新規事業を立ち上げられてる皆さんに是非紹介したいサービスです。この話はまた別途エントリしてみたいと思います。

実は今回、残念ながら僕は会場には行けません。代わりに @t0shiya と、ウチの営業部隊として名刺を持って貰っているT氏(B2BなiOS界隈では知ってる人も多い筈)に立って貰うことにしました。休日にも関わらず営業してくれる二人に感謝です。

僕はというと、大阪城トライアスロン2017に出ます で書いた大会が翌日を本番に控えてまして。最終調整と事前選手登録、説明会参加などを予定してる関係で現地に赴けないのです。WordPressな方々と知り合える機会でもあるだけに残念…orz その分、大会準備をしっかりやってこようと思います。

という訳で、WordCamp Kyoto 2017 の御紹介でした。皆様よろしければこちらより参加申し込みできますので、ぜひぜひ会場にお越し下さいませ〜。

facebookの過去のこの日という機能がありまして。今朝見てみたら丁度こんなふうに出てきました。

この時はウチの副業制度について書籍で取り上げて貰ったんですね。今でこそ珍しくないですが、2009年時点では副業推奨はだいぶ珍しかったんだと思います。実際に副業を推奨する意味があるんだということを書いたエントリ(副業について)には随分と反響がありました。その時の思いは今も全く変わってません。いぁ、むしろ強くなってるかも。

で、既に風前の灯感のあるプレミアムフライデーです。

働き方改革という文脈で語られる事も多いので、前々から感じていたことがありました。で、たまたま登壇の機会を頂けることになったので、2017年6月17日(土)に開催される関西ネットワークシステム第57回定例会 in 関西学院大学でお話させて貰います。毎回、産学官民の沢山のカテゴリの人が集まる会合なんですが、そこで8分程度。

(Thanks! the photo on flickr by Julia CC BY-SA 2.0)

時間有給制度のススメ

当日の僕の題目は、

プレミアムフライデーより働き方の改革が見込める「時間有給制度」の提案

というもの。プレミアムな金曜日も悪くは無いでしょう。15:00に帰ることができれば、少しは経済効果もあるでしょうし、自分磨きにも時間を使えるでしょうし、家族との時間も増えて国民の幸福度も上がるかも知れない。働き方も変わるでしょう。

でも、なぜ月末金曜日限定なのか。これは誰もが思ってる。

時間を早く切り上げることが消費喚起や新しい働き方に繋がるなら、裁量労働制や変形労働時間制への移行とか大がかりなことをしなくても、簡単にできることが法律に実はもう書いてます。プレミアムフライデーってな形骸化しそうで且つ効果も見込め無さそうな一律早退より、もっと効果のあることができるようになってるのです。

それが、労働基準法39条の第4項 (参考 : 労働基準法)

...第一号に掲げる労働者の範囲に属する労働者が有給休暇を時間を単位として請求したときは、前三項の規定による有給休暇の日数のうち第二号に掲げる日数については、これらの規定にかかわらず、当該協定で定めるところにより時間を単位として有給休暇を与えることができる。

官僚やメディアの変な盛り上がりに煽られるんじゃなくて、労基法ちゃんと読みましょうよと。働き方の多様性を受け入れられるように改正されてるんですよね(平成22年)。プレミアムフライデーなんてやるより、ずっと効果的なのは誰の目にも明らかです。

ウチでは前から時間有給制度を適用しています(時間単位で取得できる有給休暇制度)。絶対このほうが良いですから。従業員からは「助かる」という反応しかありません。条件はあれど時間単位で有給を取れることがどれだけ従業員やその家族に助けになるのか、生産性や経済的効果に寄与するのか。

プレミアムフライデーに関連する官僚の方々、賛同している企業の経営者の皆さんに、やるべきは労基法39条4項を適用することですよ〜 って言いたい。ホント良いことしかありませんから。まぁそもそも有給を取る文化がない会社はそれ以前の問題にはなりますけど…

とまぁそんな話をさせて貰おうと思ってます。関西ネットワークシステム第57回定例会 in 関西学院大学、6月17日(土)開催です。他のスピーカーのお話も面白いと思うので宜しければお越し下さい。

スマホ見るならホンを読めと自分に言い聞かせて続けてるすきま読書。2017年5月の記録です。

(Thanks! the photo on flickr by Marketa CC BY 2.0)

色々あって冊数に並がありますが…

• 2017年1月 : 9冊
• 2017年2月 : 2冊
• 2017年3月 : 7冊
• 2017年4月 : 3冊 + 1冊(AudioBook)
• 2017年5月 : 5冊 + 1冊(AudioBook)

すきま読書では2冊を並行して読むようにしてます。外出する時に常に持ち運ぶ文庫・新書サイズが1冊、自宅等で読む為の持ち運びは前提としない単行本タイプを1冊って感じ。この組み合わせで、すきま時間が発生したら何か手にする本が常にある…って環境を作ることができます。

ビジネス・専門書

GIVE & TAKE 「与える人」こそ成功する時代 (単行本)

posted with ヨメレバ

アダム グラント 三笠書房 2014-01-10

起業のエクイティ・ファイナンス---経済革命のための株式と契約

posted with ヨメレバ

磯崎 哲也 ダイヤモンド社 2014-07-11

なぜ、あなたのウェブには戦略がないのか?―― 3Cで強化する5つのウェブマーケティング施策

posted with ヨメレバ

権 成俊,村上 佐央里,木村 純,鳴海 拓也,春日井 順子,佐藤 晶子,後藤 裕美子 技術評論社 2017-02-23

サイコパス (文春新書)

posted with ヨメレバ

中野 信子 文藝春秋 2016-11-18

沈黙のWebマーケティング −Webマーケッター ボーンの逆襲− ディレクターズ・エディション

posted with ヨメレバ

松尾 茂起 エムディエヌコーポレーション 2015-01-30

知らないと恥をかく世界の大問題5どうする世界のリーダー?~新たな東西冷戦~ (角川SSC新書)

posted with ヨメレバ

池上 彰 KADOKAWA/角川マガジンズ 2014-05-09

今月のベストは GIVE & TAKE 「与える人」こそ成功する時代 です。

GIVER(与える人)が成功する可能性を持っているという話ですね。情けは人のためならずという諺もあるし、Pay forward という考え方もありますし、まぁいわゆる自己啓発系のありがちで聞こえの良い「与える人になりましょう」という本かと思いきや、組織心理学者が多数の論文や実験を元に人と付き合う姿勢をどうするのが良いか解説した良書でした。GIVERであることが最も成功する戦略なのだとする一方で、GIVERであることが単に利用されるだけの「良い人」で終わっる可能性も高いことを併記しています。

スマホ見るならホンを読め！でやっておりますすきま読書による読書強化。

(Thanks! the photo on flickr by Sebastien Wiertz CC BY 2.0)

ちょっと前ですが4月の記録を残しておこうかと思いまして、5月末を目前に筆を(キーボードを)とりました。

• 2017年1月 : 9冊
• 2017年2月 : 2冊
• 2017年3月 : 7冊
• 2017年4月 : 3冊 + 1冊(AudioBook)

4ヶ月で22冊。4月は3冊。いぁ〜、少ない。4月,5月と新サービスを発表する為の準備に時間を取られてまして…ってコレはもう言い訳ですね。ホントは月に10冊は読みたい気持ち一杯で日々過ごしているんですが、なかなか現実はそうもいきません。すきま時間が無いぐらい目下のことに専念できてるというプラス解釈でいきましょう。

ビジネス・専門書

人工知能を超える人間の強みとは

posted with ヨメレバ

奈良 潤 技術評論社 2017-03-15

DREAM WORKPLACE(ドリーム・ワークプレイス)――だれもが「最高の自分」になれる組織をつくる

posted with ヨメレバ

ロブ ゴーフィー,ガレス ジョーンズ 英治出版 2016-12-15

デービッド・アトキンソン 新・所得倍増論

posted with ヨメレバ

デービッド アトキンソン 東洋経済新報社 2016-12-09

知らないと恥をかく世界の大問題4 日本が対峙する大国の思惑 角川SSC新書

posted with ヨメレバ

池上 彰 角川マガジンズ 2013-05-10

2月の2冊に比べればマシですが、4冊はやはり寂しいですね。

とはいえ良書には巡り会えていて、一番良かったのは人工知能を超える人間の強みとはです。AIに仕事を奪われない為にはどうすべきかのヒント満載。「あぁ、確実にシンギュラリティはあと数世紀ないな」と思うに足る、人間の力(直観力)についての論説です。ヒトの良さを知り、ヒトらしくあり、ビジネスはヒトであることを意識することが大切と改めて認識した次第です。AIは所詮道具でしょう。人間舐めたらいけません…と。

という訳で4月の読書記録。とかなんとか言ってる間に5月も終わりですね。時間が経つのはホント速いです。

先日、摂南大学さんで講義させて貰ったことをお話しましたが、学生さんたちのレポートが届きました。いぁ〜沢山のレポート、有り難い限りですね。たっぷり時間かけて全部目を通させて貰いました。

印象に残ったこととか感想とかを書いて貰ってるのですが、総じて好印象だったのかなと窺える内容が多く講師冥利に尽きる次第。伝えたかったことは、しっかり伝わっていたようで良かったです。

事業成否は運と縁

ある学生さんの感想。

大切なのは「尖る」ことで、その上で事業の成否を分けたのは「運」と「縁」だという意外な精神論的なことだったのでとても印象に残った

最近の講演でよく出す図。今回も幾つかあるテーマの1つに据えてお話しました。

会社としても、事業としても、製品として、また個人としても「なんでもできます」っていうのが一番僕は危険な戦略だと思ってまして、ウチの場合は、関西 x iPhone から更にB2BなiOSで尖ってきたのでその話。

2008年にiPhoneのフィードテイラーって言い出したけど、2009年には関西の・大阪のってのを強調してました。iPhoneで尖りまくって、セミナーやってブログも書いて、実際アプリも作ってアウトプットしてたら、情報が勝手に集まってきてB2Bに進むべきという気付きを得て更に尖ったと。

先が丸くなった鉛筆をまた削って尖らせるように、会社も事業もフィードバックを元に微調整して尖って発信を繰り返すと、また新たなチャンスが転がり込んでくる。この繰り返しを運という言葉で言っちゃうと身も蓋もないんですけどね。でも真理だと思います。

就職して会社勤めを始めてもコレは一緒なので、起業する就職する関係なく、何でもいいので◯◯さんなら□□と言って貰えるようになることを意識すると良いってことを伝えました。

B2Bという視点

また別の学生さんの感想。

普段の授業ではきけないような気づけ無いような話が聞けて良かったです。自分がいつも見えているのはB2Cしかなく、それが全てだと思っていたのだと気づけました。

B2Bの世界があることを紹介するのもテーマの1つでした。

アプリ業界に限った話ではなく、

• スターバックスのケーキやパンってスターバックスが作っていると思いますか？
  (2002年からアンデルセンが作ってるっぽい)
• セブンイレブンのレジ前にある肉まん温める機械、セブンイレブンが作っていると思いますか？

とか身近そうな具体例を折り込みながらお話しました。得てして就活時はB2Cメインな企業しか視野に入ってないので(今回対象だった1回生/2回生は特に)、将来の就活のヒントになれば良いのですけどね。

担当の先生曰く、今回も良い刺激になったのではないかとのこと。自分の経験が次代を担う世代の行動や思考に変化を与える刺激になっていたら、頑張って準備したかいがあったってもんです。

という訳で年に1回の大学講義、今年も無事に終えました。機会を頂いた摂南大学さん、3年前に紹介して頂いた週刊ひがしおおさかの前田さん、集中して聴いてくれた学生の皆さんに感謝です。ありがとうございました。

身代金を要求するランサムウェアWannaCryptが話題です(参考 : ランサムウエア “WannaCrypt” に関する注意喚起)。日本でも被害が出ています。

メール添付されたファイルをダブルクリックすると感染、同一ネットワークにあるWindowsの脆弱性をついて更に感染。多数のメディアでこの広がり方を史上最悪感でもって報じてますが、ネットワーク拡散型は今に始まった訳ではなく昔からありました。CodeRedとかNimdaとか懐かしいですね。

その時分、対策しようね、ということでこんなふうに言われていた訳です。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

あれからもうすぐ20年。また同じことを繰り返しています。

WannaCryptはやはり日本でも被害を見せて、案の定、日立のように大手企業で感染例が発表されました。そして総務省もIPAもまた同じことを言ってます。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

20年同じことを言い続けてて 全く進歩してない と思うのは僕だけでしょうか。

(Thanks! the photo on flickr by medithIT CC BY 2.0)

1425%

この数字は(一部には)有名なランサムウェアのROI(投資利益率)です。(参考 : Cybercrime Can Give Attackers 1,425% Return on Investment )

つまりランサムウェアを作りばらまく活動に使ったお金は何倍もの利益になって返ってくるってこと。今や攻撃とはイタズラではなく立派なビジネスです。1400%の利益率を誇るビジネスを止めるなんて誰にもできやしません。明日も、明後日も、来週も、来月も、来年も、5年後も10年後も、添付ファイルをダブルクリックしてしまって被害にあい、業務は止まり、個人情報は漏洩し、国家機密も漏洩し、大事なファイルは意図せず暗号化され、身代金を要求され続けるでしょう。

それだけではありません。

流行りのIoT時代はあらゆるものをネットに繋ぎますから、そのうち誰かが誤って添付ファイルをダブルクリックしたら人が命を落としてしまった…そんなことが起こるのも時間の問題でしょう。データを復旧する為の身代金ではなく、命をお金で買えという意味の正真正銘のランサムウェアが間違いなく出てきます。ランサムウェアではなくキルウェアでしょうか、言うなれば。

そして史上最悪の事故だとまたメディアは報じ、行政も専門家もなんちゃら協会も口を揃えて同じことを繰り返すのでしょう。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

容易に想像がつきますね。この運用は、ゼロデイ攻撃には無力だし、未知の攻撃にも我々は無力だし、そんなことは分かっていて攻撃の手はますます強まるばかりなのに、我々はいつまで同じ闘い方をするのでしょうか。

危機感が無さ過ぎだと感じざるを得ません。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

を啓蒙するのは「失策」だったといい加減に認めるべきです。添付に注意しよう、パッチを当てよう、とりあえずそう言っておくことで自分は忠告したからねという逃げ口上にしてしまってはいけません。20年間ずーーーーーっと同じことをやってきたセキュリティ業界は、未だに根絶できていないことを業界として心から恥じるべきだと思います。またリテラシの低い人がやっちゃったよ…じゃなくて。攻撃者の手は緩みません注意しましょう！でもないです。

今回、WannaCry は即効で無効化する策が発見されました。(参考 : 「WannaCry」から世界を救った青年に聞いた - グノシー) でも、すぐに亜種が出ています。(参考 : ランサムウェア「WannaCry」、キルスイッチをなくした亜種「Uiwix」が登場 - CNET Japan)

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

が徹底できるスピード感ではもはや無い訳です。このスピード感は今回にはじまった話ではないですが。そろそろ真剣に闘い方を変えませんか。無理ですよ、もう。何年同じことを言い続けて、何回同じような事態に陥ってるんですかって話です。国も企業も真剣に考え直した方が良いと思います。

僕は、危機が急増する情勢下で危機回避の為に「不完全な人間に、完全な運用を期待する」というやり方を平然と勧められる姿勢が全く理解できません。専門家の姿勢として間違ってると思います。

勿論、意識すべき専門家は意識すべきですが、そうでない人にはそんなこと気にしなくても安全が担保できる仕組みを作るのがプロの仕事 なんじゃないですかね。セキュリティの専門家は、メール添付がなくても業務が回る仕組みを御客様に提案・支援していくべきだったのではないでしょうか、この20年間。

USBなど外部ストレージは禁止している企業が多い(そして禁止しても仕事は回る)ですので、今の諸悪の根源はやはりメールの添付ファイルです。そこを絶たないといけません。

メール添付ファイルがなくても仕事は回る

ランサムウェアはじめウィルスとの無駄な不毛な闘いをやめる為、 メール添付ファイルの使用を国として原則禁止 とすべきだと思います。超極論ですけど。

今回の WannaCry には北朝鮮が絡んでいるとも言われてます。(参考 : WannaCryランサムウェアから北朝鮮ハッカーのコード見つかる。断定は時期尚早も、背景には国家的な関与？) 制裁で外貨獲得の道が無くなってきた国の苦肉の策なのかも知れません。国と国との闘いですよ、まだ断定はできないでしょうけど。でも、国民や国内企業の重要な資産や情報が、お隣から国レベルで脅かされているとしたら、これに国としてどう対峙すべきなんでしょうか。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

で良いんですかね。ホント真剣に考えるべきじゃないでしょうか。

メールの添付がこの国からなくなれば、どれほどの時間とお金が節約できることか。今の国内の情報セキュリティインシデントの多くはメール添付ファイルを原則無くすことで根絶できます。(あとはWebに対する攻撃ですが、これはこれでまた長くなるので省略)

いきなりのメール添付ファイル禁止論は現実的ではないですが、徐々になら変えていけます。企業や行政が段階的に取り組んでいけばいいのです。例えばウチではこんなふうに運用してます。

1. メール送信にファイルを添付するのは原則禁止
2. GMailを使い高精度なフィルタリングを行う
3. 社内はWindows原則禁止
4. ウィルス対策ソフトのインストール必須

3 はまぁ極端中の極端な施策なので置いとくにしても、1,2,4を全ての企業や行政が徹底するだけで状況は変わりますよ。あるいは行政や大手企業がリスクマネジメントの施策として、積極的に取引先を巻き込んで半ば強要しても良い。

そうすれば数年のうちに全企業・全行政が、デフォルトでメールサーバの受信メール添付ファイルを削除する設定にしても業務が回る社会になる筈です。そんな社会にならないかなぁ〜と非力ながら貢献できればと思ってウチは 1. を徹底しつつ、身を守ると為に2,3,4も徹底してます。

メール添付ホントに必要でしょうか。

メールよりはるかに安全にファイルを渡す方法は他に幾らでもある訳です。ウチの場合は昨年事業売却したSYNCNELというファイル共有サービスの機能を使って、ファイル送信をしてます。宅ふぁいる便の企業版みたいな機能ですね。まだウチの事業だった時に追加してた機能です。

SYNCNELは今は富士ソフトさんの事業なので、これを宣伝したからウチがどうこう…というのは特に無いのですが、富士ソフトさんのある部門ではメール送信時の添付はやめてこの機能を多用しておられるのだとか。

もちろん他にも色々あります。例えば、請求書作成・見積書発行とかでファイルやりとりが多い企業であれば、ヴェルクさんの board とかにも似た機能がありますね。取引先が利用されてます。

(boardを使っている会社から送られてきた請求書。PDFがダウンロードできる。期限+パスワード付き)

IIJさんとかは早くから似たサービスお持ちです。(IIJ DOX) IIJさん、さすがですよね。僕は今まで添付ファイルでやりとりをしたことがありません。

もちろん国産ばかりでなく、有名なDropboxにもOneDriveにもファイルを渡す機能はある訳です。あるいは今はやりのビジネスチャットで繋がってファイルを送っても良いですよね。SlackとかdirectとかChatworkとか色々あります。

メールよりはるかに安全にファイルを送る手段は溢れている訳です。相手が同じサービスを使ってなくてもファイルを渡せる手段を搭載したサービスも多数ある。それらを使うことが強制される力学が少しでも働き始めれば、数年後メール添付なんて不要にできる筈です。

メールの添付ファイルは全て「悪」

その前提で業務を回せたらどれだけ良いか。そしてそれは今の時代、まったく不可能ではありませんし非現実的でもないと思います。メール添付をトリガに業務に支障をきたすなら、守るべきものが守れなくなるなら、そしてメール添付に代替するものが十分にあるのなら、その廃絶を真剣に考えても良いんじゃないいでしょうか。

ランサムウェアなんぞに、その対策なんぞに、企業が貴重な時間やお金を費やす必要なんてありません。もっと売り上げ増や顧客価値創造といった本質的なことにリソースを費やすべきです。

2025年◯月✕日
「今回の新型ウィルスの被害、世界で蔓延していますが日本では被害ゼロだそうですよ。」
「添付ファイルってもう誰も使わなくなりましたもんね。」

と、数年後には1行ニュースで報道が終わらせられるようになってると良いなと思います。それは無理、とある人に先日言われましたが、逆にそれこそビジネスチャンスじゃないかな〜と僕は思ったりしますけどね。余談ですけども。

また長くなりました。

メールの添付ファイルはホントに諸悪の根源です。百害あって一利なしです。今はまだ取引先の多くでやはりメールにファイル添付されてる方が圧倒的に多いので声を大にして言い難いというのはありますけど、でもやはり将来のことを考えれば全ての企業や行政はメール添付は段階的にでも良いのでやめていくべきだと思います。

事例(追記)

facebookで知人に教えて頂きました。大手さんで、添付メール廃絶しているところが既にあるようですね。(勉強不足…orz)

• 富士通様 → 参考 : メールから添付ファイルがなくなる?! 富士通とBOX社が実現するセキュアなコンテンツ管理とは?

賞賛されるべき取り組みだと思います。他にも事例がありましたら教えて頂けると嬉しいです。こちらのエントリに追記してみようと思います m(__)m

去る2017年5月11日(木)、CMS静的化サービスのesparのリリースと同じ日の夕方、摂南大学さんで講演してきました。最近毎年お呼ばれしておりまして、何とも恐縮な次第です。

今回で3回目。毎回「ベンチャー経営論」という類の授業で1コマだけ担当させて貰ってます。

こんなアジェンダで。

アプリ開発事業がメインだった時のことを例に出して、とかく世間はB2Cのビジネスに目が行きがちなので、もっともっとお金の動く別の次元があるんですよ〜、と学生さんにお話する時に必ず出すのがこの図。

ビジネスやる時はどこの象限を攻めれそうか考えたほうが良い、情勢を見ながらどこに軸足を置くかは考えた方が良いですよと。

ウチの場合でいうと、iPhoneアプリ開発を黎明期に始めた頃の売り上げ比率はこんな感じで、

2010年にiPadが出た時にB2B需要が増すとふんでB2Bに軸足を移すことにしてこんな感じ

って変遷をたどりつつ、自社商品の売り上げ比率を徐々に上げて

こんな感じになってきたところで事業売却しました〜という話をしました。

その他、いつもよくやる話の繰り返し「尖る」「発信する」ってのが大事だよ〜という話とか、事業は結局のところ運と縁だとかとか…のお話。

1,2割の学生さんは起業も考えているらしく、やはり経験談は説得力が増すモノなのか真剣にノート取りながら聞いてくれました。学生の数は170名余りだったそうで、担当の先生によるといつもの授業に比べて寝てしまってる学生さんは少なかったとか。嬉しいですね。

僕は堂々と語れるようなバックグラウンドも持ってないし、色んなご縁と運で何とか生き残ってきた類の経営者なのでの「資金調達して上場して超凄いでしょ〜」的な壮大なネタは持ち合わせてないですが、自分の経験が次代を担う若い方々の何かしらヒントになると良いなと思います。

講演は使い回すことは基本的にやらなくて、資料も話も毎回作り直します。これ、結構大変なんですけど良いんですよね。今回も自分がやってきて良かったことや失敗談を改めて整理して、タイミング的にも新事業をどう攻めて行けそうかを考えるきっかけになりました。

例年通り170名分の講義レポート＆感想が届くそうなのでちょっとドキドキしてます。毎年お声がけ頂いている摂南大学さんに感謝です。

きたる5月22日(月)に、働き方改革という切り口でセミナーを協同開催することになりました。

働き方って各社色々考え方があって、その各社の取り組みやその結果生まれたものや成果を紹介をするのって結構面白いんじゃないかという話がきっかけです。当日の時間は晩の19:00から90分ほど。

神戸のWeb制作御支援事業のだいずらぼさん、フェンリルさんから事業子会社化されたBrushupさん、さらにウチも混ざりまして3社でのセミナーになります。

内容は以下のような感じです。(イベントページから抜粋)

• 『グラフィックデザイナーがWEBデザインを攻略する方法』
  株式会社だいずらぼ 脇本雅也
• 『CMSは静的化して安全性と生産性を手に入れる』
  株式会社フィードテイラー 大石裕一
• 『デザインデータのチェック＆ フィードバックの生産性を劇的に向上させる』
  株式会社Brushup 水谷 好孝

働き方を改革するって、決してルールや規制を策定するのではなく、実は仕事のやり方に目を向けて無駄が発生しない仕組みを作ることだったりします。これは創業期から効率の良い働き方を意識してきた経営者として個人的な経験談。

今回の三社に共通するのは、日々の仕事に目を向けた時に、無駄に思えてたことを無くす取り組みを内々でやってたら、その先にサービスが生まれたということなんですね。

だいずらぼさんは、Web制作をされている中でhtmlコーディング作業の無駄(制作の提案とかに時間を費やした方が価値が高い)があったそうです。それを無くす取り組みの先にCondigPackというサービスを作られたのだとか。

Brushupさんは、社内でWebやアプリのイラストとかグラフィックを制作される過程のメールコミュニケーションに無駄が多いというところから、Brushupというコンテンツ制作フローを改善するサービスを作れたそうです。元々親会社のフェンリルさんのプロダクトだったので、デザイン重視の会社さんならではの課題があったということなんでしょうね。

そういった無駄を解消する工夫や取り組み、その先にできたサービスについてお話をして頂きます。

で、うちは昨日リリースした espar をご紹介すると共に、ウチでやってきた生産性をUPさせる取り組みについてもお話する予定です。esparは生産性をあげるというよりも、CMSサーバに攻撃がこないようにして、アップデートとかメンテナンスの心配をしないようにしましょう、極論言えばもうメンテやめましょうってなコンセプトなので無駄の削減的アプローチになりますけども。

開場はお馴染みメビック扇町です。参加費は無料になります。こちらのイベントページからお申込み頂けます。

だいずらぼさんのCodingPackとか、BrushupさんのBrushupは、Web制作に関わられる方であれば知っておいて絶対損ではないプロダクトですのでぜひぜひお越し頂ければと思います。

静的化が最強のWebサイトセキュリティと信じて疑わない昨今です。こだわり続けて1年強でしょうか。ようやく理想の形に近づけた気がします。

エスパーと読みます。Elastic Static PAge Renderer の頭文字(?)をとって espar。タイトルの通りですがCMSの静的化サービスです。本日付でリリースしてまして、プレスもプレスリリースのページ(任意のCMSを静的化して第三者攻撃を無効化できるサービス「espar」をリリース)からご覧頂けますので宜しければ御覧下さい。

だいぶ長文になりますが、以下に詳細をご紹介します。まず espar の静的化ホスティングという仕組みについて。

静的化ホスティングって？

このブログをご覧頂いている方であれば図を見て頂くのが一番早いかも知れません。

従来の静的化とは全く異なるアプローチで静的化し、攻撃を無効化します。仕組みは以下。

これまでも色んな静的化アプローチがありました。

• A. CMSそのものを諦めて静的サイトジェネレータを使う
• B. StaticPressやConcrete5の拡張機能パッケージなどCMSの内部機能として静的化する
• C. NORENやshifterなど静的配信の分離機能をもったCMSを使う(引っ越す)

個人的にはどれも一長一短。Aは黒い画面(ターミナル)必須で敷居が高く、Bは問合せフォーム等に課題が残り、Cは引越し前提にするのは難しいし前者のNORENとかだと超高額だし…と。

Aはホント色々やって勉強会もしましたがエンジニア以外は無理と結論を出しました。BのアプローチでWP Guardというプラグイン製品も出しましたが何か違う感は残っていました。

なので今回、外から静的化することにしました。…もう力技ですね(笑)

弊社製エンジンで外から静的化、そしてそのまま静的化したファイル群を全部ホスティング。この構成なら、専用の配信サーバ(ステージングサーバ)を用意する必要はありませんし、CMSの引越しも必要なく従来のCMSをそのまま使い続けられます。ぶっちゃけCMSでなくてもWebサイトとして機能しているサイトなら何でもokですね。

CMS側とDNSの設定を少し変えて、アクセスを全てesparのホスティング側で受ける構成になります。CMSサーバ側はIP制限やBasic/Digest認証で閉じるとか、ぶっちゃけ社内ローカルに移設して貰っても大丈夫、だから悪意ある第三者はCMSのサーバに辿り着くことすらできないよね…という訳です。

勿論、セキュリティに完璧はありませんので、社内に物理的に侵入されてftpアカウントパスワードまで盗られたとか、リクエスト元IPを詐称されたうえBasic/Digest認証の情報まで漏れちゃったなんて事になればどうしようもないですが。

既存のCMSをそのまま使えて、CMSの種類を問わず静的化して、ホスティングまでしてくれる…というのが他にないesparの新規性。既存のCMSに何も強いることなく連携して安全性を最大化しましょってコンセプトです。

外からの静的化って？

実は前述の構成を実現するのに必要不可欠なのが、外から静的化するクオリティ(再現性)です。TOPページからサイトのツリーを解析し、各ページに必要なリソース(画像/動画/js/css等)を全部取ってくるエンジン、これを完全に内製しました。

開発者の方なら wget などのツールがあるのをご存知かと思いますが、静的化をつきつめようとすると実は不十分なんですよね。例えば、

• css で background-image に指定された画像ファイル
• HTML5 の SVGタグやdata-属性

などがその例。wgetでは取ってこれません。他のツールも同様。何かしら欠けてるのです。

esparはこれらにも対応しているのと、何より内製ですので万が一静的化NGだった場合でも、調査して対応が可能だということです。esparが Elastic(柔軟な) たるゆえんですね。

問合せフォームは？

これまでの静的化アプローチでは余り考慮されてこなかったことです。フォームとなるとどうしても php や perl などサーバサイドに頼らざるを得ませんでした。

esparは、静的化しても問合せフォームが機能する仕組み(jsのライブラリ)を一緒に提供します。

• 指定のjsタグをコピペする
• <form> タグに指定のクラスを追加
• 各 <input> タグに指定のクラスを追加 (validation条件とか)

をするだけで指定のメールアドレスにメールが届く仕組みを標準搭載してます。実装的には入力されたデータを元に弊社サーバを介してメール送信します。送信やバリデーション、エラーの表示等にサーバサイドプログラム(phpやperl)は必要ありません。

既にウチのオフィシャルサイトの問合せフォームはこれで動いてます。

(例えば、input要素に email クラスを指定すると自動でバリデーションする。phpやperlは必要ない)

書きながら思いましたが、静的サイトジェネレータで作られたサイト向けに、この機能単体でも御提供する意味があったりするかも知れませんね。

問合せフォーム以外の動的要素は？

静的化で更に悩ましいのが、問合せフォームのようにパターン化できるもの以外に動的要素が存在するケース。商品検索ページとかページ内検索とかはその典型ですね。

これらも頑張れば静的化(js化)できます。前者はKintoneとかクラウド上のDBにデータを引っ越してjsで実装とか、後者はGoogleのカスタム検索とか。でもその為に数十万円かけて作り直すとかは有り得ない訳です。

そういった場合に、リスクと利便はトレードオフという原則を御理解頂いた上で、指定したURLパスだけ元のCMSサイトに代理アクセスして返答するプロキシ機能をご用意しました。

絵にすると、つまりこういうことですね。静と動の共存です。

例えば、search.php?key=espar みたいなリクエストを受けた場合にそのままCMS側に転送します。リダイレクトではなくプロキシなので、アクセス元はesparになるってのがポイント。CMS側のBasic認証やIP制限を弱くする必要はありません。

でも一点心配があります。ここに、SQLインジェクション等の脆弱性攻撃を意図したリクエストが転送されてきたらどうするか。search.php?key=’ OR 1 = 1； とかそういうのですね。

そこはもうトレードオフです…という割り切りをしたとしても、全URLに対してフルオープンしている状態より随分マシ(指定URLパス以外は静的化されるので)なのですが、そうは言っても…というのが正直なところ。僕も利用者視点に立てば同じことを思いますから。

そこで、esparがプロキシ転送する直前にWAFを挟むことにしました(上図)。OWASP の core ruleset に準拠したものをベースに構築しており、またサイト毎の独自拡張もできる仕組みにしてるので随時対応も可能です。これなら、安心ですよね。

という訳で、動的要素が存在する場合については、トレードオフであることを御理解頂いた上で

• Webサイトは出来る限り全部静的化を目指す
• どうしても残る動的箇所のURLパスに限りプロキシでCMS側に転送
• 転送時にはWAFで一般的な攻撃は防御する

こんな優先順位でやりましょうと。これで、95%は静的化してますとか、まだ70%ですとか、そういう静動混在が可能になる訳です。段階的に全静的化を目指すことができます。動的部分だけホスト名を別にして下さいとか無茶な話にはなりません。

esparが目指すもの

だいぶ長文になってきたので最後にesparで目指していることを書いて筆を置きます。

無理ゲーだろと言われそうですが、esparは「情報発信を主体とするあらゆるWebサイトの静的化」を目指しています。つまり、html/css/js でWebサイトの動作を静的に完結させること。そうすれば、Webサイトに起因する情報漏洩問題も改ざん問題も消え失せます。

攻撃が成立しないのですから。

Webの脆弱性による被害とは『サーバサイドプログラムを意図しない形で悪意ある第三者に動作させられてしまうこと』です。ならば、サーバサイドプログラムのないサーバでサイトを公開し更新もできる仕組みを作れば良い。それがepsarのコンセプトです。

多少のインタラクションが発生するサイトでも、kintone や Google SpreadSheet などセキュリティリスクを転嫁できるクラウドサービスにjs使ってAPI連携させれば、静的化できちゃいますしね。

CMSとは、Content Management System の略です。つまりコンテンツの管理システムです。コンテンツを管理することが本来の役割であり、コンテンツを配信する役割を無理に担う必要はありません。そのややこしい(そして一筋縄ではいかない)「配信」という役割まで同じサーバでやろうとするから、インターネットにCMSサーバを晒す必要があり、その結果攻撃にあってしまうのです。

然るべき静的ファイル群を生成し、それらの配信を委託できるサーバがあれば、CMSをインターネットにフルオープンで晒す必要なんて無いし、CMSは今ほど神経質にセキュリティを気にする必要なんて無いのです。全く気にしないことを推奨はできませんが、少なくとも今ほど「常に最新バージョンにするように！」と現場を無視した無理を強いて、何の売り上げにも繋がらない非生産的なCMSメンテナンスに多くの貴重なリソースが割かれる現状は改善できる筈です。

この議論は深掘りすると、CDNとかリバースプロキシとどう違うんだという話になるんですが、そのあたりはこちらのサービス解説ページをご覧頂ければと思います。

以上、長々と書きましたが新サービス espar の御紹介でした。今後ともどうぞ宜しくお願い致します。