orangeitems’s diary

クラウドで働くエンジニアの日々の感想です。

人材不足は高スキルのみ、RPAで就職氷河期がやってくる

f:id:orangeitems:20190218113036j:plain

 

大企業中心にRPAを活用し工数削減実施中

RPAは繰り返し作業の自動化という色彩が強いので、大企業に最適と言われています。確かに中小企業であるスタッフの作業を自動化したところで、一人分は一人分なので導入費用の方が高くつくくらいです。でも、大企業では一つの業務に数十人、数百人といったスタッフが同じ業務をしていることもざらであり、これらを自動化すると単純計算で何万時間の工数が削減できてしまうことになります。

・・ということが、もう本当にいろんな大企業で起こっているのです。もうそろそろ、RPAなんて一時の流行でしょ・・と言っている場合ではなくなっていることを話題にした方がいいと思います。

生産性が上がるならイイネ!、なんてのんきなことを言っている場合ではないです。というのは、その削減した時間分の労働力は不要になるということであり、そのあと待っているのは人手不足、ではなく人余りだからです。

本当に大企業が、時間削減を行ってしまっていることをまとめてみました。

 

 

実例7つ

1) キリン

newswitch.jp

キリン(東京都中野区、磯崎功典社長、03・6837・7001)は国内グループ各社でRPA(ソフトウエアロボットによる業務自動化)を本格導入し、2021年に年9万時間の業務削減を目指す。

試験的に経理や調達部など5部署で導入し、18年末までに業務削減の効果が確認できたとして、19年からの新中期経営計画に合わせ本格導入を決めた。19年は7部署を追加し約20業務でRPA導入を進める計画だ。

19年に導入するのは営業系、工場、品質保証などの7部署。各部署で業務システムを使った各種の登録、帳票の更新、データ集計といった単純作業を中心にRPAに置き換える。

 

2) 損保ジャパン

www.itmedia.co.jp

  こうした取り組みを通じ、2018年12月末時点で約110の業務をRPA化し、年間ベースで約43万時間の効果を生み出したという。RPAを導入する部署や業務は広がり続けており、2019年3月末までには、約60万時間の創出を見込んでいるそうだ。

 

3) 横浜銀行

www.itmedia.co.jp

2020年3月までに約300業務で年間20万時間以上の業務量を削減する――横浜銀行がそんな目標を打ち出している。同行は2017年からRPA(Robotic Process Automation)を導入し、それまで手作業で行っていた定型業務を自動化する取り組みを行っている。17年10月の本格導入から約半年間で、5業務を対象に5000時間を削減するという“スタートダッシュ”を決め、社内でも好評という。

 

4) 茨城県庁

japan.zdnet.com

茨城県庁では、4種の業務に絞ってRPA(ロボティックプロセスオートメーション)の実証実験(PoC)を実施。その結果、対象業務に掛かる職員の労働時間を86.2%削減できることを確認した。(中略)

 庁内で類似する40種類の業務に適用した場合、年間4万6000時間を削減できると推定している。

 

5) 三井住友銀行

www.sbbit.jp

2017年4月から中期経営計画にもとづく業務改革に取り組んでいる三井住友銀行。同計画では、2020年3月までに500億円の経費を削減することを目標に掲げている。その効率化の中核をなすのが「RPA(Robotics Process Automation)」だ。2017年度末には「約700業務、110万時間」を削減。同行ではRPA導入の効果を最大化するため、帳票読み取り業務の効率化に着手。2019年度までに「300万時間、1500人分」の余力捻出を目指している。その原動力となるソリューションを紹介する。

 

6) NTTコミュニケーションズ

japan.zdnet.com

NTTコミュニケーションズは、RPAソフト「UiPath」を調達部門に導入した。業務時間の約30%、年間で約6万時間の削減を見込んでいる。UiPathが9月25日に発表した。
 2017年2月に運用を始め、13の業務プロセスでロボットの開発に取り組んでいる。当初は、対象業務を人間とロボットで半々に振り分け、問題がないことを確認した上で完全移行するステップを踏んでいる。現在は13のうち6つの業務で開発を終え、残りの7つの業務で開発を進めている。

 

7) あいおいニッセイ同和損保

www.itmedia.co.jp

同社では今後、自動化によって2021年度には約138万時間分の「余力」を全社で作り出し、新たな業務やサービスに注力したいとしている。また、現在紙をベースに行っている業務のデジタル化を進め、年間約1200トン分の紙を削減するという。

 

考察

7つの例を挙げました。ここまで同時に複数の例が上がるということは、見えないだけでどこの大企業でも実施しているということです。また、国・地方自治体も公務員をたくさん抱えているので同様に取り組んでいることでしょう。

この大量に削減した仕事にアサインされていた人達はどうなるんでしょう。

 

経営の言い分はおしなべてこうです。

 

www.sbbit.jp

RPAが注目されている背景には、「働き方改革」にともなう長時間労働の抑制、業務効率化による生産性向上、さらに深刻な人手不足があるのは言うまでもない。無駄な業務をRPAで自動化し、単調でストレスの多い業務から従業員を解放してクリエイティブな業務にシフトしてもらう。それによって働きやすい環境を作り、人手不足を解消し、企業全体の生産性を向上させようとするのが、RPAを導入する企業に共通した考え方だ

 

・・と、あたかも従業員ファーストのようなことを言いながら、実際はクリエイティブな業務って何?ということになります。そして、まだ雇用中の従業員はまだ良くて、新規採用は大幅削減ということになります。

 

japan.cnet.com

低価格を実現する上では業務効率の改善が必要であり、そのためにRPA(Robotic Process Automation:業務の自動化)を積極導入することで、人員削減を推し進める考えだ。

 

www.nikkei.com

荏原は標準ポンプ事業に営業支援クラウドソフトやRPA(ロボティック・プロセス・オートメーション)を導入し、営業人員を約2割減らした。余剰人員は人手の足りない別事業部に配置転換する。汎用品の標準ポンプは価格競争が激しさを増している。同社は標準ポンプを含む風水力事業で2018年12月期に100億円の営業利益確保を目指す。

 

blogos.com

──三井住友銀行では17年秋、3年間で4000人分の業務量削減を発表しました。多くの人員が不要になるということでしょうか。

肝心なのは「4000人」削減ではなく「業務量」削減だという点です。よく誤解されますが、単に人件費削減のためのAI導入ではありません。むしろこれまで膨大な事務作業で忙殺されてきた行員の負担を減らすため、そしてより創造的な業務についてもらうための布石なのです。

 

もう、確実に言えることは、昔ながらの一般職の就職口は大企業に関して言えば限りなく小さくなるということです。少子化により新卒の人数は減っていくものの、それにも増して既存の一般職がどんどん転用されていきます。人手不足と言われている高スキル部門は人材転用して充足しつつ、何もスキルのない新卒で一般職を希望していた層は急激に選択肢が狭まることが予想されます。

少子化や働き方改革による人手不足、また、ゆるい好景気の雰囲気により世の中ではまだ話題になっていないですが、確実に状況は変わっています。学生はできるだけ専門的な勉強や研究を行って、単純作業中心の業務ではなくクリエイティブな業務へ適応できるように準備を行うことをお勧めします。

また、自分の業務に、RPA要素、つまり大量の単純作業・繰り返しが含まれている場合は、自分から他の仕事に移る準備を今から進めることをお勧めします。いずれその時は来ると思って間違いないと思います。

 

Chromeの公式テーマは適用しない方がいいです。なぜなら

f:id:orangeitems:20190213153649p:plain

 

Chromeの公式テーマ(PC向け)

GoogleからChromeの公式テーマがリリースされました。

 

japan.cnet.com

Googleの「Chrome」チームは米国時間2月11日、Chromeブラウザ用の14種類の公式テーマを公開した。同社が公式テーマを公開するのはこれが初めて。

 これらのテーマは、公式「Chromeウェブストア」のページで提供されており、ボタンをクリックするだけでインストールできる。

 14種類のテーマは色合いが異なり、濃いものから薄いもの、明るいピンクからハイコントラストなものまでのバリエーションが取り揃えられている。

 

で、早速適用してみたらすごい落とし穴があったので、ご報告しておきます。

 

落とし穴はここ

結論から言います。

ほとんどのテーマが、通常モードとシークレットウィンドウの差がつかなくなります。

私は結構シークレットウィンドウを多用した使い方をしているので一大事です。

 

デフォルトのテーマの場合

通常モード

f:id:orangeitems:20190213155052p:plain

 

シークレットウィンドウ

f:id:orangeitems:20190213155112p:plain

 

ってことで、ブラウザの上が真っ黒になるんで、シークレットウィンドウだなあってわかりやすいんですよね。普段はブックマークバーを表示しているのでもっとわかりやすいくらいです。

 

テーマ「Sea Foam」を設定した場合

通常モード

f:id:orangeitems:20190213155250p:plain

 

シークレットウィンドウ

f:id:orangeitems:20190213155321p:plain

 

同じやないかーーい。

ということで、5秒で元に戻しました。

 

備考

ちなみに、テーマによっては少し分かりやすいものもあります。「Banana」は多少わかりやすく、シークレットモードの場合、上部がグレーになります。

あと、「Just Black」なんかは最悪で、どれもこれもシークレットモードみたいになって何だかなあです。

基本的には、どんなテーマを適用してもシークレットウィンドウは真っ黒にしてほしいなあと、素朴に思いました。そう思いませんか?

 

拡張ツールを使わずに、ChromeでWebページ全体のスクショを取る方法

f:id:orangeitems:20190212000950j:plain

 

Chromeでページ全体のイメージを取得する(PCのみ)

Windows PCで、ChromeのWebページのスクリーンショットを取るときどうしていますか?。ページは縦に長いので、ページ全体をビットマップで取るのは拡張機能などを入れないと難しいですよね。

実は、Chromeの標準機能で取得する方法があります。拡張機能は不要です。

とても簡単なので、紹介しておきます。

 

方法

Webページをひらく

まず、スクリーンショットを取得したいWebページを開きます。

f:id:orangeitems:20190211235909p:plain

こちらは、https://www.yahoo.co.jpの例ですが、縦長のページなので下の方は切れてしまっています。

 

CTRL+SHIFT+iを押す

次に、CTRL+SHIFT+i(アイ)を押してください。

f:id:orangeitems:20190212000028p:plain

右にHTMLが出てきますが気にしません。

 

CTRL+SHIFT+pを押す

次に、CTRL+SHIFT+pを押してください。

右側に、下記のテキストボックスが現れます。

f:id:orangeitems:20190211235539j:plain

 

fullと入力した後、「Mobile Caputure full size screenshot」をクリック

下記のように、fullと入力します。

f:id:orangeitems:20190211235706j:plain

その後、「Mobile Caputure full size screenshot」をクリックしてください。

すると、ファイルにダウンロードできますので保管してください。

なお、CTRL+SHIFT+i(アイ)を押せば元の画面に戻ります。

 

結果

下記のように、ページ全体のスクリーンショットが取得できます。

 

f:id:orangeitems:20190212000257p:plain

 

Webシステムでのシステム試験のエビデンス取得に使うと便利だと思います。

CTRL+SHIFT+i、CTRL+SHIFT+p、full、と覚えておけばサクサク取得できます。

私も仕事で今後使う予定です。

 

備考

ちなみに、MacOSだと、command+option+i、command+shift+p、fullとなるようです。

 

アルバイトの異常行動をAIで監視するというアイデア

f:id:orangeitems:20190210084905j:plain

 

頻発するSNS上での不適切動画

アルバイト従業員の異常行動が企業を悩ませていますよね。

 

くら寿司、不適切動画の従業員2人に刑事、民事での法的措置へ 信用回復と不適切動画続出に一石投じるため - ねとらぼ

ビッグエコー店員がから揚げを床に、謝罪文発表 元動画は2018年以前に投稿 - ねとらぼ

セブン店員が不適切動画/社会/社会総合/デイリースポーツ online

 

どれもこれも、悪ふざけで行ったことが社会的な大問題に発展しています。

アルバイトの運用は多くの企業のビジネスモデルの根本であり、社会全体で大きなリスクを抱えているということが顕在化してしまったと思います。

時給1,000円前後のアルバイトと、企業が背負う損害が見合わないという議論もあります。くら寿司は再発防止の観点から民事・刑事訴訟も行うとの見解を出しています。アルバイトの総支給額には見合わない金額となるのは間違いありません。だからといって、時給を大きく上げると企業側の収支が全く合いません。どうにか現在の仕組みの中で解決方法を編み出さなければ社会が存続しないと言っても過言ではありません。

また、しばらくは社会的な話題となり抑止効果はあると思いますが、時間とともに風化し再発すると思います。というのも、数年前に似たような事件が何度か起こっているからです。

 

[炎上]ツィッターで炎上騒ぎになった人々の悲惨な末路まとめ - NAVER まとめ

 

提案

これから書く本提案は結果として「非常に気持ちが悪い」のですが、論理的には構築できそうなので残しておきます。

各店舗で従業員の労働を録画し、その映像をディープラーニングして正常行動を学習させたうえで、異常行動とみられる状況が起こったら店長なり副店長なりに24時間警報を送る仕組みを、SIerがパッケージ化すれば、飛ぶように売れると思います。

映像に対するAIの利用方法については、なぜか顔認識などのセキュリティー用途だけが先行している状況ですが、むしろ行動分析の方がビジネスに向いていると思います。というのも、アルバイトの労働は基本的にルーティンワークであることが多く、ルーティーンに当てはまらない行動を検知するのはそこまで難しいことではないはずだからです。

もし、ルーティーンではなく、従業員が考えてクリエイティブに動いているとしたら、それはアルバイトの仕事ではないと思います。基本的な行動様式以外の映像を検知することは、企業において非常に価値があることではないかと思います。すべての職場において有人で監視することはほぼ不可能ですので、ここはAIによる自動監視を導入したうえで、異常行動検知とともにその行動を第三者が判断し、例えばスマートフォンで映像を取ったことが明らかであれば即座に対応し炎上を防ぐということができるようになると思います。

 

感想

今もてはやされているAIが、最終的に人間を監視する方に応用されてしまうのはこのように仕方がないことかもしれません。人間は生き物でありシステムではありませんので、予想できない理由で常識を外れた行動をします。行動様式をロボットのように一定化するためには、システムの力でねじ伏せる必要があり、技術的にはAIの出現によって現実的な状況です。まだ「アルバイト従業員AI監視システム」としてパッケージ化された例は聞いたことがないのですが、各SIerはすぐにでもシステム化検討を行うべきだと思います。

また、万引きなどの客側の異常行動も検知できそうで、さらに応用もできそうです。

ロボットに行動監視される人間。なんだか夢も希望もないわけですが、時給1,000円の従業員に対して、下手をすれば多額の損害賠償を背負うリスクを背負わせていることが一般常識化すれば、アルバイトをする人などいなくなってしまうのではないかと危惧しています。特に学生が巻き込まれている例が多く、親もアルバイトを禁止するのではないでしょうか。アルバイトを巨大なリスクから守る上でも各企業に必要な仕組みとなりそうだと思います。炎上を未然に防げれば、最悪解雇までで済みます(いやらしい話ですけれども)。

また、外国人労働者が増えると予想され、日本人が想定する行動様式を大きく外れるような行動が社会問題化する可能性もあります。このためにも必要なシステムとなると思います。

 

「そのクラウド、セキュリティーは大丈夫?」に回答するための方法をまとめる

f:id:orangeitems:20190207145420j:plain

 

そのクラウド、セキュリティーは大丈夫?

パブリッククラウドの利用において、「セキュリティーは大丈夫か?」という質問を受け取ることはありませんか?。

質問自体はシンプルなのですが、「大丈夫ですよ」と答えるのはなかなか大変ではないでしょうか。もしオンプレミスならば、エクセルで作ったチェック表を使ってリスクがないかどうか一つ一つ確認し、表を埋めて提出すれば良いのですが。クラウドは原則データセンターの場所が非公開ですのでそうはいきません。

最近はこの問いに対して、財団法人金融情報システムセンター (FISC)が作成した「金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準・解説書)」に対する、各ベンダーの回答を利用することを強くお勧めします。

各パブリッククラウドベンダーが、表形式で日本語にて答えてくれているので、非常に使いやすいです。また金融機関が出自のチェック表なので漏れがないと思われます。

 

FISC / 安全対策基準とは

FISCの基本情報です。

 

金融情報システムセンター - Wikipedia

公益財団法人金融情報システムセンター(きんゆうじょうほうシステムセンター)は内閣府所管の公益財団法人である。政府系シンクタンクかつ金融業界の自主規制機関であり、金融機関・生損保・証券・コンピュータメーカー等の出捐により1984年(昭和59年)に創設され、平成23年4月から公益財団法人へ移行した。

会員
644機関(平成29年3月31日現在)
都市銀行、地方銀行、第二地方銀行、信託銀行、長期信用銀行、外国銀行、信金中央金庫、信用金庫、全国信用協同組合連合会、信用組合、農林中央金庫、商工組合中央金庫、労働金庫連合会、各都道府県信用農業協同組合連合会、生命保険会社、損害保険会社、証券会社、銀行系カード会社、日本クレジット産業協会、メーカー、電機通信・情報通信会社、情報システム会社 他

 

上記のようにFISCとは金融業界を中心とするシンクタンクなのですが、この団体が作成した「金融機関等コンピュータシステムの安全対策基準・解説書(安全対策基準)」が日本においては、インフラに対するセキュリティー監査について、デファクトスタンダードになっています。

なお、この安全対策基準ですが、版があります。

 

f:id:orangeitems:20190207143927p:plain

出典:https://www.fsa.go.jp/singi/kessai_kanmin/siryou/20171220/04.pdf

 

2011年に第8版が発行されました。2013年、2015年に追補・改定が行われました。

2017年に第9版が出ています。

各社のFISC対応を見ると第8版への対応がほとんどで、第9版についてはまだ対応したという文書はみたことがないです。基本的な利用方法では第8版でも十分だと思っています。

ちなみに、AWSのFISC対応表は以下のような成果物になっています。「あー、これこれ」という担当者の声が聞こえてきそうです。

 

 

f:id:orangeitems:20190207144509p:plain

出典:

https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf

 

 

各パブリッククラウドのFISCへの対応

AWS

FISC - アマゾン ウェブ サービス (AWS)

 

Microsoft Azure / Office365

金融機関等コンピュータ システムの安全対策基準に対するクラウド サービスの対応状況 - Enterprise Security

※現在、準備中となっている

 

Google Cloud

Financial Industry Information Systems (FISC) - Compliance  |  Google Cloud

 

IBM Cloud

IBM Cloud のリスク調査結果 - Japan

 

Oracle Cloud

「Oracle Cloud」のFISC安全対策基準への対応について | Oracle Japan News Portal Blog

※ただし、現在資料が見られない

 

Nifty Cloud

クラウド ニフクラのセキュリティ | ニフクラ

※「FISC安全対策基準への対応状況につきまして」にPDFあり

 

まとめ

パブリッククラウドと言えば「いろいろ妥協して使う」のが数年前の状況でしたが、企業ユースが増えてきて、セキュリティーを証明する基礎資料が出そろってきました。今年以降企業中心にクラウド利用はもっと伸びていくと思いますので、上記リンクは有用かと思います。また、上記にないパブリッククラウドをご利用の場合は、一度FISC安全対策基準の対応が欲しい、とオーダーしてみても良いかと思います。

この、表形式での回答というのが、担当者としては落ち着きます・・。

 

マイクロソフトはMicrosoft Officeにエントリー向けのRPAを加えるべき

f:id:orangeitems:20190206154120j:plain

 

RPAに関する不満

2018年後半あたりから、相当にRPA市場が賑わってきていてどんな企業でも導入検討を始めているのではないかと思います。

とはいえ、RPAと一言で言ってもたくさんのソフトウェアが生まれていますし、だいたいが導入ソリューションと一体となっています。価格も100万とか1000万とか個人ではどうしようもない金額です。

今後のオフィスの生産性を向上させるためには不可欠なRPAですが、なぜマイクロソフトはまだRPAに未参入なのでしょうか。

どのオフィスにも、Microsoft Office、もっと言えばWord / Excel / Power Pointは当たり前のように導入されています。おかげで転職してもオフィスツールはどこでも同じで人間界の生産性を大きく向上させてくれたと思っています。

であるなら、RPAこそMicrosoft Officeに入ってしかるべきだと思うのです。なぜなら、オフィスの仕事は、WebブラウザとWord / Excel / Power Pointで9割がた足りているはずだからです。

どのオフィスに行っても同じRPAがあり、全世界で同じツールを共有しどんどん自動化していったとしたら、その成果物のメンテナンスも相当に保守しやすいはずです。

パソコンについてきたOfficeにRPAソフトが入っていて、参考書があれば皆勉強するでしょう。

もちろん、エントリー向けのスタンドアローンのRPAから始まり、今のエンタープライズで使われるようなサーバークライアント方式のRPAまで種類があってもいいと思います。今は残念ながらエントリー向けがありません。したがってシステムを刷新しないまま事務作業を自動化するSIとしてRPAが存在しています。

でも、RPAってもっとどのパソコンにも入っていて、独学しようと思えばチャレンジできるような存在になってもいいはずなのに、と思う次第です。

 

マイクロソフトはさっさとRPAベンダーを買収すべき

きっと、マイクロソフトは市場動向を見ながら対応するものだと思うのですが、スクラッチから作る暇があるなら、さっさと優秀なRPAベンダーを買っちゃったほうが早いと思うんですよね。

今やRPAツールが乱立していて、ツールそのものの優秀性よりどのSIベンダーが担ぎそのツールに合わせて教育を施すことで、市場優位性を作り出していると思います。

まどろっこしい。

Microsoft Officeという強力なソフトウェアがあるのだから、さっさとMicrosoft RPAとして入れ込んでしまえば世界は変わるのに。Excelを世界にばらまいた企業として、RPAまで責任を取ってほしいと思います。Excelは世界中の企業を表計算漬けにしたのですが、その副作用も非常にあったと思います。複雑な計算式やマクロが濫立し生産性を逆に下げてしまったというのは有名な話です。エントリーRPAをばらまいて、人々にロボティクスを啓蒙し、オフィスをもう一段改革してほしいと思う次第です。

そのためにも、早くマイクロソフトは表計算といえばExcel、RPAと言えばこれ、というツールを手に入れてほしい。どう考えてもエントリー向けにはそれが一番効率が良いと思うのです。そこからエンタープライズに進む方法はたくさんの企業が参入すればいいと思うのですが。

 

RPAを操れる人間を増やせ

もう一段話を進めると、RPAがこのままエントリー教育がおろそかなまま進んでいくと、成果物のメンテナンスがたちいかなくなるのではと思っています。いくらAというRPAツールを学んでも、転職したらBだった、では使えません。また、エントリー向けのRPAを学校やカルチャースクール、通信教育でたくさんの人々が身に着けるべきです。そしてそのツールは一種類のほうが良いはずです。

その延長上で、たくさんのオフィスにRPAが存在し、人材が流動してもメンテナンスできる、そうしないと、野良ロボットが作成者不明のExcelマクロのようにいつか暴れだして、生産性がだだ下がりする、そんな未来が来るような気がしてなりません。

マイクロソフトの奮起を願います。

 

今のSIer、共創って言いがち説

f:id:orangeitems:20190204220931j:plain

 

共創

どこのSIerに行っても、話題は共創(きょうそう)。取りつかれたようにみんな共創、共創。どうしてしまったんでしょうか。ベンチャーは共創なんて言葉語りませんよね。決まってSIerです。これからは共創の時代だと。お客様と共にデジタルトランスフォーメーションを考えて一緒に創り上げていく。通り一辺倒の要件定義から始まるウォータフォール型開発はもう限界だと。これだけデジタル技術が高度化すると、そもそも顧客側すら要件を思いついていない。でもIT投資予算はあるから各社提案してほしい、というのは古い。だから、ビジネスモデルの部分から含めてSIerの上流に位置するコンサルタント部門と一緒に、お客様の経営に近い層と時間を共有し、新しいデジタルならではのビジネスモデルを共に、創ろう。これが共創です。私でもこの営業はできそうな気がします。だってどのSIerのイベントに行っても必ず同じことを言うんですもの。

 

なぜかカフェっぽい部屋で

この共創という概念。SIerの本社オフィスを改造して、カフェスペースみたいなところを作って共創ルームみたいな場所をこしらえるのがテンプレートになっていますよね。

 

www.projectdesign.jp

会社の部署間の垣根を超えて、あるいは社外の企業や個人とともに、オープンな空間でアイデアを出しあい、イノベーションや新しい価値創造を目指す「共創空間」が注目を集めている。

「フューチャーセンター」「クリエイティブオフィス」「オープンイノベーションラボ」「コワーキングスペース」「ファブスペース」と、その空間に付けられる名称はさまざまだ。欧米では、IBM、アップル、グーグルなどのグローバル企業が従業員の創造性を引き出すためにクリエイティブオフィスをデザインし、政府機関などでも未来のための価値創造の場としてフューチャーセンターを運営している。

こうした動きは日本にも波及し、グローバル化のなかでイノベーション創出を求められる企業や、地方創生や起業家育成を目指す自治体などが、共創空間を相次いでオープンさせている。

しかし一方で、空間はつくったものの活性化しない、アイデアが出てこないという悩みの声も多いようだ。

「活発な共創空間はどのようにデザインすれば良いか」。そんな興味深いテーマで、クリエイティブ・エージェンシーのロフトワークが主催するイベントが開催された。共創空間づくりに取り組むパナソニックや富士通などの大企業の担当者や、空間設計の専門家などが登壇し、活発な議論が行われた。

 

どうにも、海外から輸入した文化のようで、日本の役所みたいなSIerのオフィスにこしらえたものですから相当に違和感バリバリという状況のようです。

そういえば国内SIerの代表格であるNECもチャンレンジするらしく。

 

cloud.watch.impress.co.jp

ちなみに、NECでは「共創」を商標登録しているが、「共創という言葉を独占するものではなく、幅広く活用してもらう」(同)ためと説明している。

 

あの田町にそびえるNEC本社ビルの中に、なんとか雰囲気を壊さないように慎重にデザインされた感じは受けますね。

共創という登録商標をNECが保持しているのも今回始めて知ったのですが、やっぱりSIerと共創と言う言葉は密接だよなあと感心しました。

なお、個人的には、日本人にカフェスペースでのディスカッションは気質的に合わないんじゃないかなあとは思いますけどね。

 

共創についての現状認識

これまでのSIって、ユーザーのビジネスモデルがまずあって、そのプロセスの一部をシステム化して自動化することで生産性を上げようというものばかりだったんですね。だから日本のSIは、海外と比べてカスタマイズがやけに多いことで有名でした。ITにビジネスを合わせることは無しで、ビジネスにITを当てはめるので独自のシステムが出来上がります。したがって、構築したシステムはなかなかリプレースするのが大変になります。カスタマイズの塊ですから。システムを更改するたびに要件は雪だるま式に広がり案件は大規模化。だんだんユーザー側もわけがわからなくなって、最後はベンダーに丸投げになりIT予算といえば保守予算がほとんどと揶揄されるまでになりました。

で、こんなこと日本も続けていたら、ビジネス自体をIT前提で考えたビジネスモデル、これが既存の業界からみると「破壊的ビジネスモデル」を持ってこられて、途端に既存の業界のシェアトップは売上を持っていかれて最後は破綻してしまう。こんなことがいろんな業界で起こっていて、保守的なユーザー企業もうかうかしてられないというのが今起こっていることです。

破壊的ビジネスモデルがやってくる前に、既存のユーザー企業自身が一からIT前提のビジネスモデルを作り上げてイニシアチブを取るべきなのですが、そもそもITの知識が全然ないぞってんで、SIerが、「共創!」「共創!」って騒ぎ始めているわけです。もしかしたらSIerも破壊的ビジネスモデルの創出にかんで、一緒にレベニューシェアできたらWin-Winです。

ただ今のところ、確実に変わったのは、カフェスペースがSIerの一角にできたことぐらいな感じで結果を出したところはまだまだ少ないと理解しています。

共創で結果を出したと各SIerが言っている実例を見ても、単なるSI案件の延長ばかりです。そもそもユーザー企業側が、これまでの企業文化を自己否定するようなビジネスモデルをSIerと組んで世に出して、破壊的に市場をなぎ倒すなんてことが起こったら、もう消費者の我々にもニュースとして耳に聞こえてくるはずですからね・・。単に協力することを共創という言葉で拡大解釈しているような認識です。

だいたい、営業が新製品や新サービスをお客様に紹介したら、「もしかしたら、こんなことに使えるかい?」とお客様から相談があり、それを営業が技術と協力して提案書を作りプレゼンしたら、「いいね、やってみよう。まずはPoC(概念実証)から」みたいなことって、大昔から普通の営業活動ですからね。広い意味ではそれも共創なんだと思いますが。

本来の共創とは、ビジネスプロセスをデジタルを元に一から作り直すことなのです。これが、今の狂騒、いや共創というキーワードの乱立を生んでいると解釈しています。

 

大事なことは

今のままでは共創はバズワードで終わります。

ユーザー企業+SIerで、世の中があっと驚く破壊的なビジネスモデルを成功させる必要があります。それができなければ、単なる営業活動の言い換えにしか過ぎません。単にAIを使うことやIoTを使うことは今までのSIの延長です。ビジネスモデルの構築までたどり着くことが大切です。

あのカフェスペースが世の中を劇的に変える何かを生み出す機会になればいいなあと思いつつ、本当に日本人はデジタルファーストにシフトすることができんのかいなとものすごく懐疑的です。

国会議員が代表質問するときに、タブレットを使おうとしたら咎められる国ですからねえ。

 

シニアSEが嫌われているらしいので対策を考えてみる

f:id:orangeitems:20190204102009j:plain

 

嫌われるシニアSE

なかなか身につまされる話です。

 

tech.nikkeibp.co.jp

政府は何歳になっても働き続けられる社会を目指す方針を示しており、2019年にその動きを加速させる。だが、システム開発の現場では、50代以上のいわゆる「シニアSE」が敬遠される状態が続く。そんな中、中小ソフト会社で作る業界団体「ユーオス・グループ(UOS)」は、シニアSEが開発現場のリーダーから嫌がられる原因に関する調査結果と、それに対する解決策をこのほど明らかにした。

 

ここで言うシニアSEとは、50代以上のシステムエンジニアを指すそうです。この記事の場合はプログラマーまで含んできそうです。

私自身はまだ40代なのですがしばらく時間が経てば仲間入りであり他人事ではいられない話です。また、今の20代、30代も結局はシニアSEとなるのです。IT業界は、もともと35歳定年説と言ってベテランを使い捨てにする風潮がありました。ここ最近の人手不足にてこの言葉自体は語られなくなりましたが、シニアSE問題は確かにまだ存在しているように思います。しかし、これは30代以下のためにも解決しなければいけない問題だと思います。みんな、年を取っていくのですから。

 

どうすればいいか

原因はもう分かりきっていて、私自身はシニアSEを「改造する」のは反対です。年齢とともに頑固になるのも知っています。他のメンバーとの年齢差が大きいのはどうしようもありません。生産性が低いのは、経験に対する期待値や単価に対してと言うことだと思います。若い人の方が単価を安くできますから不利ですよね。だからといって50代の方を若者に変身させることなどできないのですよ。

内部要因(本人の性格)ではなく外部要因(環境、プロジェクト構成)の工夫を行うべきだと思います。

シニアSEがいるということは、シニアリーダーもいますしシニアPMもいます。スキルだけの組み合わせでプロジェクトメンバーを構成するのではなく、部署そのものをシニアだけにして独立させればよいと思います。なぜか一般的に若手を底辺にして正三角形(ピラミッド)でシニアを頂点にしシニアの人数が少ないと考えがちですが、今の業界構成って、30代~40代がもっとも人数が多く20代はだんだん減っている印象です。一方50代もかなり増えてきた印象です。ピラミッド型ではない以上、シニアで固めても何の影響もないと思います。一方で、このようなシニア部署に若手が数名入ると、何でもかんでも雑用が回されがちになりモチベーションが低下するので、もはや一名も入れない方がいいと思います。一方でシニア一人あたりの単価は高いので、少人数プロジェクトで生産性を求めるべきだと思います。そうすると、彼らは経験があるので、どうにかして生産性を確保するために、アウトソーシングやRPAなどのオートメーションを考え始めます。それでいいと思います。シニアの生きる道は、あえて若手の軍門に下らせるのではなく、働きやすい環境づくりにこそあると思います。

一方で、若手中心のプロジェクトであっても、シニアでものすごく経験を積んだ方がマネージャーとなって活躍するという手段もあります。そういう意味では、シニアの使い方は非常に幅が広いはずなんです。ところが、前近代的な終身雇用を前提としたピラミッド型の人材活用をしようとすると、管理職やマネージャーになれなかったシニア勢を相変わらず使い捨てにしようとします。使い捨てられないためには、若手に混ざって若手と同じ目線で仕事をさせようとします。これ自体が矛盾に満ちているのです。若手に混ぜるから生産性が落ちるのです。あえて、シニアグループを作り結果を求めると、若手にはできない手法で結果を出してくるはずですし、一方で能力が低い場合でも、若手に混ざるよりは効率が良いはずです。

 

人口構成の変化へ柔軟に対応しよう

今後、IT自体の生産性はどんどん高まり、ウォータフール型の大型プロジェクトは減少し、少人数でアジャイルな案件が増えてくるはずです。プロジェクト構成も少人数になってくるはずで、その際に30代のリーダーと50代・20代のメンバーなんてうまくいくはずがないのです。少人数だからこそチームを同世代で固めるべきです。雑用を50代がやらなければいけないのか・・答えはYESでありNOです。やりたくないのならばその方法すら自分たちで考えることを求められていて、考えつかないのならやれという話です。若手をそこで消費するような考えを持つから、嫌われるシニアSEが誕生してしまうのです。

シニアSEを丸くするための研修、若手リーダーがシニアSEに気を遣えるための研修、若手リーダーがシニアSEへの偏見をなくすための研修・・・って、根本的に手段がずれている気がしてなりません。私は、ジェネレーションの違いは絶対的な壁であり、登るより、棲み分けしたほうが良いと思いますがいかがでしょうか。

 

AI・RPA・ロボティクスが年収180万円時代を到来させる

f:id:orangeitems:20190203013923j:plain

 

年収180万円時代

遠くない未来に年収180万円時代がやってくるという記事です。

 

toyokeizai.net

クリントン政権で労働長官を務めたロバート・ライシュ氏は、退任後は経済学者として「富の格差」についての研究を進めています。そのライシュ氏は今世紀の始まりごろに次のような予言をしました。

「21世紀の社会では世の中の仕事は頭脳労働とマックジョブに二極化する」

マックジョブとは英語圏で言われる「マクドナルドの仕事のようにマニュアルだけをこなしていればできる仕事」のことです。

(中略)

マックジョブとは日本語で言えば非正規労働者の仕事とほぼ同等です。それ以前の日本社会には正社員の仕事があふれていました。それは熟練が必要な仕事です。就職して何年もの時間をかけて、仕事を覚えて、それでようやく一人前になる。

(中略)

世界全体ではこの先、中流という階級が消滅すると言われています。米ドルにして年収3万5000ドル以上、日本円にして世帯年収400万円弱以上の家庭を仮に中流だと考えれば、多くの日本人がその水準にとどまることができなくなる。一方で世帯年収180万円程度の新下流層と呼ばれる人々が世界中で増加する可能性があります。

2020年代はこのように新下流層が激増する時代だと予想されます。頭脳労働や正社員の仕事がなくなり、世の中には資本家とマックジョブをこなす新下流層しかなくなるからです。

 

マクドナルドの仕事を悪く評価するわけではなく、単に時給1,000円程度で業務が全てマニュアル化されている仕事と言う意味で、シンボルとしてマックジョブという言葉が使われています。時給1,000円で8時間働くと8,000円ですから、月20日働くと16万円。これで1年回すと192万円。つまりほぼ全部の仕事がアルバイト待遇になるということを言っています。

 

2000年初頭を振り返る

一方で、2000年初頭、正社員の仕事ばかりだった世の中が、だんだんコンピュータシステムによって単純計算の繰り返しが自動化されたこと、および派遣労働の拡大により、一部が非正規へ切り崩されました。そこからもっと進めて、正社員の仕事そのものがぐっと少なり非正規の比率が拡大し、年収300万円時代が到来しました。この現象を言い当てていたのが『年収300万円時代を生き抜く経済学』がベストセラーとなった経済アナリストの森永卓郎さんです。

 

 

2003年から15年経ち、この予測は完全に的中しています。2003年の政策を見てこれを予見したのはかなり評価されるべきと考えます。去年のインタビューがありますので紹介します。

 

www.1242.com

これからはもっと凄いことが起ころうとしています。年収10万円時代がやって来るということです。第4の産業革命で、普通の仕事はどんどん人工知能に置き換わって行くのです。10年先には半分の仕事を、40年先には9割の仕事を人工知能やロボットがやる。生き残るのは一部だけです。

しかし年収10万円じゃ生きて行けない。そこで10数年先に導入されるのがベーシックインカムという制度。既に北欧やインドで社会実験が始まっているのですが、生まれた瞬間から一生、月に7万円が自動的に貰える。家族4人だとひと月28万円。そういう時代がもうすぐやって来るわけです。その財源は、たくさん稼いでいる人が払うということです。そうしないと社会が回らなくなる。

 

森永氏は冒頭の年収180万円の先、ほとんどの国民にお金が回らなくなるので、ベーシックインカムで最低限の生活を国家が保証する生活まで描いています。

このシナリオはともかく、冒頭の記事と同じように、AIやロボティクスが仕事を食い尽くしていくというシナリオが一致していることがわかります。

 

ちょっと前に、私自身もこの「気味の悪さ」を感じ文を起こしました。

www.orangeitems.com

業務の90%が削減されるということは、明らかに劇的に社会変化が起こることを示唆しています。社会学者も含めて本気でシミュレーションし、複数のシナリオを作成したほうがいいと思いますがいかがでしょうか。IT屋はRPAで儲かる、でいいのかもしれませんが一方で社会の変化まで責任を持たねばならないと思います。

 

2000年から20年ほどで、非正規労働の拡大とそれによる年収の300万円化の定着が現実のものとなりました。ここから20年もしくはもっと速いタイミングで次の社会への変質が起こるのは間違いないという確信を持っています。

 

今後我々はどうするか

冒頭の記事の鈴木氏は、こうおっしゃっています。

 

考えられる唯一の最適解は、資本家の側に回るということです。荒唐無稽なアイデアに見えるかもしれませんが、そうではありません。グローバル企業は主にアメリカと中国の企業に分かれているのですが、このうちアメリカの企業の株式は日本人でも買うことができます。

 

森永氏はこうおっしゃっています。

 

我々はこれから3つのコースの選択を迫られます。1つはお金を動かして大金持ちになる。もう1つは会社のしもべとなって働き続ける。第3のコースがベーシックインカムで食いつないで、アーティストになる。真面目に働き続けることが馬鹿馬鹿しく感じて来ますね。アメリカやヨーロッパもそうなって来ているし、おかしな世の中になりつつあります。

 

1つ目は資本家になること、2つ目は年収180万円で我慢すること。3つ目はベーシックインカムで食いつなぎながら芸術家になること。と言うことだと思います。

AIやロボットにはできないことを突き詰めていくと、どうしても芸術方面に価値が生まれそうなことは予見していました。

まあ、ITを仕事にしていると、自動化をすること(仕事にシステム、AIやRPAを導入すること)自体は人間にしか実装できないし、運用するのも人間にしかできないので、生き残りそうな職業ではあるとは思っていますがどうなることか。

こういった今後起こる社会の大きな変化をそろそろ大きな声で議論していかないと、知らないうちに年収180万円時代がごくごく自然にやってきますよ。

 

JCBクレジットカードで決済できない障害について情報まとめ

f:id:orangeitems:20190203001805j:plain

 

JCBクレジットカードにて決済不可

JCB系のクレジットーカードが、2019/2/2 21:58~22:30(約32分間)の間、決済できない状態になっていたとのニュースが流れました。現在は復旧しているとのことです。

 

www.sankei.com

クレジットカード大手のジェーシービー(JCB)は2日、同日夜にカード決済ができなくなるトラブルが発生したことを明らかにした。詳しい時間帯などは分かっていないが、既に復旧したという。

 

この時間に利用しようとされていた方は不便を被ったと思われます。

 

詳細

JCBカードは、加盟店とJCB・金融機関との間の接続について、CARDNETのCARDNETオンラインセンターという仕組みを使っています。

 

f:id:orangeitems:20190203000254j:plain

引用元:接続サービスのご案内-センター間接続サービス | 日本カードネットワーク

 

この仕組みを一部使っている、J-Mups(クラウド型マルチ決済システム)のホームページにて、今回の問題が掲載されていました。

 

f:id:orangeitems:20190203000858j:plain

J-Mups | クラウド型マルチ決済システム

緊急情報

2月2日 21時58分に検知した障害により一部のカードネットセンター経由のクレジット取引(主にJCBなど)がご利用いただけない状態となっておりましたが、22時31分にカードネットセンターが復旧したため現在はご利用いただけます。ご利用される皆様には、ご迷惑をおかけし、深くお詫び申し上げます。

 

 その他情報

CARDNETについては、2017年4月15日にも障害情報があります。

 

tech.nikkeibp.co.jp

日本カードネットワークが運営するクレジット決済ネットワーク「CARDNET」で2017年4月15日、クレジットカードの決済がしづらくなる障害が発生した。原因はCARDNETの拠点内におけるL3スイッチの故障。影響のあった取引件数などは「調査中」(日本カードネットワーク)としている。

(中略)

 今回の障害を巡っては、ジェーシービー(JCB)や三菱UFJニコスなど複数のカード会社もほぼ同時刻にクレジット決済が一部できなくなっていたと表明しているほか、東日本旅客鉄道(JR東日本)は指定席券などのネット予約サービス「えきねっと」で新規予約や変更、払い戻しなどが11時ころから18時30分ころまでできなかったとしている。

 

現在のえきねっとを調べてみると(2/3 0:05ごろ)、

 

f:id:orangeitems:20190203001252j:plain

 えきねっと(JR東日本)|新幹線・JR特急列車のきっぷ予約

 

確かに影響を受けているように思われます。CARDNET自体は復旧しているものの、おそらく定期バッチ等を含め、リカバリー処理を行う必要があるものと推測します。

 

補足

追加情報等あれば記載していきます。

 

2019年2月20日から総務省とNICTが実施する「NOTICE」まとめ

f:id:orangeitems:20190202121720j:plain

 

NOTICEの概要

目的

日本国内でインターネットにつながるIoT機器のうち、認証が脆弱でサイバー攻撃に悪用される可能性のある機器を探し、インターネットプロバイダーを通じて機器の所有者へ改善を求めること。

 

主管

総務省、国立研究開発法人情報通信研究機構(NICT)が主管となる。

インターネットプロバイダーが協力する。

 

実施方法

① NICTがインターネット上のIoT機器に、容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を特定。

② 特定された機器の情報をインターネットプロバイダーに通知。

③ インターネットプロバイダーが特定された機器の利用者へ、注意喚起を実施。また、利用者からの問合せ対応等を行うサポートセンターを設置。

 

いつから(いつまで)

2019年(平成31年)2月20日から実施する。

なお、実施の根拠となる法律「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」が2018年(平成30年)11月1日から5年間の時限措置であるため、現在のところ2023年10月31日までの実施となる。

 

関連リンク集

総務省

総務省|IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施

 

総務省|新規制定・改正法令・告示 法律

※平成30年5月23日 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)

 

IoT機器調査及び利用者への注意喚起の取組「NOTICE」について

※実施概要

 

国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要

※実施する技術的内容がまとめられている。ポートスキャンを行う機器のソースIPアドレスも掲載されている。

 

国立研究開発法人情報通信研究機構(NICT)

IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施 | NICT-情報通信研究機構

 

日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について(12月10日更新) | NICT-情報通信研究機構 

※事前調査

 

NOTICEサポートセンター

NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト

 

インターネットプロバイダー

■ IIJ

IIJ、総務省及びNICTと連携した「NOTICE」プロジェクトへ参加し、サイバー攻撃対策のための取り組みを開始 | IIJについて | IIJ

 

■ KDDI

IoT機器調査および利用者への注意喚起の取り組み「NOTICE」への参加 | 2019年 | KDDI株式会社

 

■ NIFTY

IoT機器調査及び利用者への注意喚起プロジェクト「NOTICE」への参加 |ニュースリリース|ニフティ株式会社:ニフティとなら、きっとかなう。With Us, You Can.

 

■ QTNet

IoT機器調査及び利用者への注意喚起プロジェクト「NOTICE」への参加について | 新着情報 | 株式会社QTnet

 

■ NTTコミュニケーションズ

ニュース 2019年2月1日:IoT機器調査および利用者への注意喚起プロジェクト「NOTICE」への参加について | NTT Com 企業情報 | NTTコミュニケーションズ 企業情報

 

■ ケイ・オプティコム

IoT機器調査及び利用者への注意喚起プロジェクト「NOTICE」への参加について|ケイ・オプティコムからのお知らせ|ケイ・オプティコム

 

 

ニュース記事

■ ニュース

総務省、脆弱なIoT機器のセキュリティ対策を促す「NOTICE」を開始 - ZDNet Japan

総務省、攻撃に悪用のおそれあるIoT機器を調査する取り組み「NOTICE」 | マイナビニュース

総務省、IoT機器のセキュリティ調査「NOTICE」を2月20日から開始 利用者特定し注意喚起|BIGLOBEニュース

IoT機器2億台調査へ 総務省、サイバー攻撃から防御:朝日新聞デジタル

IoT機器、安全性を調査=サイバー防衛強化へ-総務省:時事ドットコム

 

■ 技術記事

「政府がIoT機器に無差別侵入調査へ」 その方法は? 資料をチェック - ITmedia NEWS

 

備考

逐次追加します。

 

GoogleもPeingも、脆弱性のレベルは似たようなもんだよねって話

f:id:orangeitems:20190201114749j:plain

 

Peingの脆弱性の件は初動対応がまずいという話を書きました。一方で、今日Googleから受け取ったメールを見て、脆弱性のリスクについては大企業もベンチャーも似たようなものなんだということを深く確信しました。

 

Googleから受け取ったメール

いつも Google をご利用いただきありがとうございます。

「ソフトウェア アップデートに伴う Google+ API への影響」の件に関してご連絡いたします。ソフトウェア アップデートに伴い発生した技術的な事象により、2018 年 11 月 7 日から 2018 年 11 月 13 日(太平洋時間)にかけて Google+ API(アプリケーション プログラミング インターフェース)に影響が生じました。本事象は 2018 年 11 月 13 日に解決しています。今回の技術的事象の影響範囲はユーザーのプロフィール情報を返す Google+ API に限られることを確認いたしました。また、次の 2 つの意図しない影響が生じた可能性がございます。

1. お客様がご自身のプロフィール情報(名前、メールアドレス、職業など)の閲覧権限をアプリに付与していた場合、閲覧権限を付与していないプロフィール項目に対しても、アプリが誤って要求し、閲覧することができた。

2. お客様がご自身のプロフィール情報を共有しているユーザーが、お客様の一般公開プロフィール項目の閲覧権限をアプリに付与した場合、想定のとおり、アプリは一般公開プロフィール項目を要求し、閲覧することができた。しかし、そのユーザーと共有しているプロフィール項目であれば、一般公開されていないものに対しても、アプリが誤って要求し、閲覧することができた。

本事象はプロフィール項目に限って発生したものであり、デベロッパーが、不正行為や個人情報の盗難によく使用される情報(財務データ、政府発行の個人識別番号、パスワードなど)にアクセスできたということではありません。

本事象は弊社の自動テストにより検出されたもので、2018 年 11 月 13 日(太平洋時間)に修正されております。なお、この 6 日間に上記の事象に該当したアプリケーション デベロッパーのいずれかが、本事象を認識していた形跡や、対象のデータをなんらかの方法で不正に使用した形跡はありません。

ご参考までに、影響を受けた項目と対応するアプリ名(該当する場合)のリストを添付しております。アカウント情報へのアクセスを許可したすべてのサードパーティ製アプリのリストについては、セキュリティの設定で [アカウントにアクセスできるサードパーティ アプリ] をご確認ください。

本事象につきましては、Google+ に関する 2018 年 12 月 10 日のブログ投稿にも情報が記載されております。

このたびは、ご不便をおかけしましたことを心よりお詫び申し上げます。ご不明な点がございましたら、こちらのフォームからお問い合わせください。
今後ともよろしくお願い申し上げます。

Google Apps チーム

 

これは、下記のニュースの件と同じ内容です。

gigazine.net

Googleによると、2018年11月のアップデート時に、新たに5250万人以上のユーザーの個人情報が流出する危険のあるGoogle+ APIの脆弱性が発見されたとのこと。このソフトウェアのバグによって、ユーザーの氏名・メールアドレス・職業・年齢が、たとえ「非公開」に設定されていてもサードパーティアプリからアクセスできる状態になっていたそうです。なお、影響を受けた可能性のあるユーザーに対しては、Google側からその旨を通知するプロセスが進行中だとのこと。

この脆弱性を持つAPIが発見されたのは2018年11月7日で脆弱性は11月13日に修正されており、その期間中にサードパーティアプリによって情報を取得するために悪用されたという証拠はないとGoogleは述べています。

 

Webサービスは脆弱性リスクに常にさらされているということ

Peingの運営元ジラフの最新の報告書はこちらです。

jiraffe.co.jp

 

正直言って、上記2件の脆弱性のレベルは似たようなものだと思います。

しかし、Googleの脆弱性のニュースはそこまで話題にならず、逆にPeingの件はツイッターで炎上してしまいました。

Googleぐらい大きいと炎上しにくいのか、それともGoogle+を使っている人が日本では少なかったから話題にならなかったのか、サービス停止を伴わなかったから目立たなかったのか、よくわかりませんが目に見えて反応の差がありました。

Googleはサービスを閉じず、その場でちょちょいと修正して、後からこんなことがあったと発表しつつ、Google+自体を閉じる時期を前倒しするという対応を取っています。

Peingはメンテナンスに急遽突入し、理由がわからないまま憶測を呼び、最後に報告書出てきたりメンテナンスを完了したりという状況でした。

影響範囲からするとむしろ世界のGoogleのほうがやらかし感が大きいのですが、何とも対照的な推移だったと思います。

 

リスク対応は準備が大事

ということで、インターネットで何らかのアプリケーションを公開し運用されている企業は、絶対に脆弱性があることを前提に危機管理体制を構築し、かつ手順を整備したほうが絶対にいいと思います。繰り返しますがGoogleでも失敗するのに、他の企業が失敗しないなんてありえません。経営者を含めてエスカレーションフローや報告書のひな型を用意するべきです。脆弱性の検出プロセスも定期的に組み込まないといけませんね。

インシデント対応はユーザーに対して先手先手で臨むことで、炎上を防げます。Googleすらやらかすのですから、むしろ発生時の初動対応と完結までのプロセスこそビジネス継続性の命運をわけると思います。

 

Javaで仕事をしている人はサポートポリシー変更で何を困っているのか

f:id:orangeitems:20190131143949j:plain

 

Javaのサポートポリシー変更で何を困っているのか

下記のJavaの記事を読んで、実際に使っている人とは論点が異なるような気がして作文したいと思います。

 

kazokmr.hatenablog.com

  

困っている人の気持ち

今日でいよいよ、OracleによるOracle Java SE 8の商用ユーザー向けの公式アップデートおよび自動更新が終了します。

Oracle Java 8 SEは2014年3月にリリースされもう5年近く現役でした。一方で、今後の後継リリースはライセンスを変更し、半年間無償で利用できるバイナリは、非商用・開発用途のみに限定されることとなりました。Oracle Javaに限ればJavaは有償化されたのは間違いありません。かつ、Javaで仕事をしている人はOracle Java前提の構築がほとんどだったのでこれだけ波紋が広がったのだと理解しています。

一方で、OpenJDKについては、リリース間隔は依然として半年ごとです。もしOpenJDKに追随するなら半年おきにバージョンアップをすることに対応しなければいけません。これは依然として無償なのですが、一方でソースコードからバイナリを作って使うプロジェクトはごく少数ではないでしょうか。また、半年ごとにバージョンアップするというのも非現実的なのでユーザーが困っているのではないのでしょうか。

また、OpenJDKをもとにバイナリを提供する流れがあり、AdoptOpenJDK、やIBM JDK、またはRedHat Enterprize Linuxに含まれるOpenJDKは独自に長期サポートを行いバイナリを提供する表明をしています。Java 8はかなりこの流れで救済されていてどのバイナリも2022年くらいまでは救うようです。したがって、乗せ換えを行うのも妙案でした。でした、というのは今日でタイムオーバーなので、問題を正しく認識できた組織はすでに対応を行っていると思います。

そもそも、OpenJDKを配布しているhttps://jdk.java.netにも、ORACLEのロゴが貼られていることから考えても、openjdkがOracle JDKのビジネスと競合する動きをするのはあり得ないと思っています。

Oracle Java 8を、Oralcleのホームページから無償でダウンロードして有償案件で利用するのが今日までの優しいJavaの世界でした。明日以降のOracleのページがどのように変化するのか注目しています。おそらく8が消えます。そして開発者用途でしか使えない無償ダウンロード可能なOracle Java 11だけが残ります。それがすべてです。

 

Java is still freeの意味

いくつか利用の定義を狭めれば、Javaはまだ無償だと思います。

・開発もしくは非商用用途での、Oracle Javaの利用(ただしバイナリ公開、無償アップデートは半年間のみ)
・CentOSなどに含まれているOpenJDKバイナリの利用(サポート期間はRedHatに準ずるので長い)
・AdaptOpenJDKのバイナリの利用(参照
・Amazon Correttoのバイナリの利用(参照
・IBMのOpenJDKのバイナリの利用(参照

商用利用において保守付きでJavaを使うとなると、Oracle Javaでサブスクリプションを購入するか、IBMか、もしくはRedHatにするか・・・と言ったところになると思います。

サポートを、「脆弱性が出た場合は確実にFIXが出ること」と広く定義するのであれば、LTS(長期サポート)を前提とした今までのJavaの使い方は、無償でやろうとするとこれまでのようにはいかなくなった、と理解しています。

2月になったら各プロダクトの状況が見えてくると思いますので、実際各社はどうしたのか表面化します。

少なくとも、Oracle Java 8を「無償で」使っていたパッケージは何らかの対応を今日までにしなければいけないはず、です。

明日以降、興味を持ってJava関連の動きを見ていきたいと思います。

 

RPA/AI活用で業務の90%が自動化したら日本人は幸せになれるのか

f:id:orangeitems:20190130221556j:plain

 

RPAと自動化の関係

RPAで業務の90%は自動化されるそうです。

 

japan.zdnet.com

RPAやAI、データ分析をはじめとする先端技術を業務の随所に組み込み、業務処理の見直しと再設計を進めることで業務の運用を高度化する。同社ではこれを“インテリジェントオペレーション”と呼ぶ。「執行系業務の圧倒的な省力化で90%の自動化を目指す」(執行役員 オペレーションズ本部 統括本部長 伊佐治光男氏)

 

執行系業務といえば社長直轄部門で、本社業務と言えます。大きい企業であればビルごと執行系業務で、階ごとに部門が分かれていてエレベーターが忙しく動いているんでしょうね。この90%が全部機械化すると想像すればわかりやすいと思います。

 

人がいなくなる本社ビル

この記事を見て思ったのは、これが実現されたとして、オフィスは論理的には90%の人員がいなくなるだろうということです。手が空いた9割の人はRPAではできないもっとクリエイティブな仕事をすればいいと言うのがRPAを広げたい人の言い分ですが、それは詭弁です。なぜなら、今から会社を作るとしたらRPA前提で作るので、初めから少人数しか雇わないはずです。少人数で普通の会社の10倍の執行系業務を回す会社があったら、RPAを使わない生産性の低い会社は競争に負けてしまうでしょう。だから、90%の人はRPAができない現場の仕事に回されるか会社に居場所がなくなるかの2択です。

私は1990年代後半から2000年過ぎの就職氷河期に、派遣社員の制度が緩和されそのときに政治家が「規制緩和!」「セーフティーネット!」「働き方に自由を!」なんて甘いことを言って日本の終身雇用制度をメッタメタにしたのをよく覚えています。その結果が現状です。派遣社員制度は格差拡大と切り捨てのシンボルとなっています。負の側面から目を背けてはいけません。RPAは経営者にとってはメリットですが、大部分の労働者にとってはデメリットが多い仕組みです。労働する理由がなくなるというシンプルな話です。

これはRPAを否定しているわけではありません。負の側面の手当てをしないと、不幸な人々が大量生産されるということを言いたいのです。企業がグローバル化し、日本企業も本社を外国に移してまで延命しようなどという話まで聞こえてきます。日本人が豊かに幸せになることとは逆行してまで企業が生き残りを図るとして、国の基礎である国民が不幸せになってしまったら元も子もないのです。

 

RPAがホワイトカラーを駆逐する

話を元に戻します。

RPAが今後ホワイトカラーの仕事場を侵食します。敵はRPAを導入するベンダーではなく、スタートアップ時からRPAを導入し圧倒的な生産性を手に入れている競合企業です。それは日本企業ですらないかもしれません。手を付けないとジリジリ負けていくだけです。ある種の産業革命が起ころうとしているのです。

しかし勘違いしていけないのは、社会全体がどんどん生産性が高まっていくと、一人当たりの給与水準が上がっていくのではありません。RPAを操る一握りの企業およびその関係者に富が極端に偏っていくのです。その輪に入れない多くの人々が余っていくのです。余ったら消滅するわけではなく、人々の生活と幸せが保証されなければいけません。もし外国に物やサービスを売るから、日本の人々が余ろうがどうしようが知ったことではない、と言う人々すら出てくるでしょう。

大事なポイントとして、社会が大きく変わりうるテクノロジーが現実にRPAという形で現れたということ。またそれによる社会変化を今のうちシミュレーションしないと社会が混乱に陥る可能性があるということです。

 

都会が変わる社会が変わる

東京を歩くとわかるのですが、本社ビルがやたら多いです。執行系業務が東京に集中しているのですね。ということは、RPAがもし90%の執行系業務を減らしたらどうなるでしょう。そうです。東京のオフィスビルの90%は空きになるということです。東京に通っていた大部分の人たちは通勤すらしなくなります。不動産価値は暴落するでしょう。隣接する商業地も不景気に陥るでしょう。

「いや、違う。残り90%は別の企業を作る。結果的に会社数が10倍になり経済が10倍に伸びる」、そういう計算も可能ですが日本にそんなに会社はいらないでしょう。競争も10倍になるわけで現実性が感じられません。

その余った人々が都会が不要となったときどこに移り何をもって労働とするか、実は大きな社会問題が「執行系業務90%自動化」の後には待っていると思います。

貨幣を基礎とする「価値」は社会情勢によって大きく変わっていきます。RPAが大きく普及した後は、実は農業や漁業に価値が移っていくかもしません。もしくは、労働時間が大きく削減され少ない仕事をシェアするようになり、余暇のアクティビティーの価値が上がり、芸術やスポーツなどに価値が移るのかもしれません。

業務の90%が削減されるということは、明らかに劇的に社会変化が起こることを示唆しています。社会学者も含めて本気でシミュレーションし、複数のシナリオを作成したほうがいいと思いますがいかがでしょうか。IT屋はRPAで儲かる、でいいのかもしれませんが一方で社会の変化まで責任を持たねばならないと思います。

 

「情報セキュリティ10大脅威 2019」に初登場したサプライチェーン攻撃とは何か

f:id:orangeitems:20190130151918j:plain

 

「情報セキュリティ10大脅威 2019」の発表

本日、「情報セキュリティ10大脅威 2019」という記事がIPAから発表されています。

 

f:id:orangeitems:20190130140338p:plain

 

この情報については情報処理安全確保支援士の研修の中でも題材に必ず挙げられます。セキュリティー攻撃のトレンドについては常に最新の情報を身につけておかないと、対策の優先順位が現実とそぐわなくなるためです。

さて、特に注目すべき点として、「組織4位 サプライチェーンの弱点を悪用した攻撃の高まり」という項目があります。こちらは今年初めてライクインした項目であり、内容を理解する必要があります。今回はこのサプライチェーン攻撃に注目しておきたいと思います。

 

サプライチェーン攻撃とは

サプライチェーンと言えば、普通は物流の世界において、製品やサービスが原料の段階から消費者に届くまでのつながりのこと、という認識が一般的かと思います。それは全く誤りではないのですがコンピューターセキュリティーの世界では事情が違います。

企業はサーバーやクライアント端末などを大規模に取り扱いますが、その中身であるソフトウェアは外部ベンダーによって提供されています。外部ベンダーは製品、アップデート、パッチなどを企業に提供します。攻撃者は外部ベンダーのネットワークに侵入しこれらのプログラムに不正を埋め込むのです。企業は外部ベンダーのことを基本的に信用していますから、外部ベンダーの提供物に不正が埋め込まれていても、企業の防御をすり抜けてしまうのです。企業から見て、ソフトウェアのサプライ(供給)先から攻撃が来ることをサプライチェーン攻撃と呼んでいます。

 

サプライチェーン攻撃の実例

スーパーマイクロのマザーボードへのチップ埋め込み疑惑

この件は、米ブルームバーグがスクープした記事ですが、各企業がその事実を否定しています。内容としては、アマゾンやアップルなどが利用するスーパーマイクロ社のサーバーは中国で製造が行われるのですが、そのマザーボードにハッキング用のマイクロチップが埋め込まれているという話です。

 

www.bloomberg.co.jp

 

本件は証拠がなく、うやむやになってしまった件ですが、理論上中国が介在する形でサプライチェーン攻撃が成り立ってしまうという話で当時騒ぎになったニュースでした。

 

ファーウェイの余計なもの疑惑

こちらも、FNNが報道した、「与党関係者の証言で、ファーウェイ製品を分解したら、ハードウェアに余計なものが見つかった」という報道の件です。

 

www.itmedia.co.jp

 FNN PRIMEが7日、与党関係者の証言から「製品を分解したところ、ハードウェアに余計なものが見つかった」と報じた。また、日本経済新聞が12日、セキュリティ専門家へのインタビュー記事の中で「(これまでにHuawei製品では)仕様書にないポートが見つかった例がある」としていた。

 

ファーウェイは事実無根を主張していて、証拠もなくこの件もうやむやなままです。ただし、日本においてもサプライチェーン攻撃が話題になったのが新鮮でした。

 

CCleanerを踏み台にしたマルウェア混入

こちらは2017年の件ですが、サプライチェーン攻撃を一躍有名にした事件です。

 

gigazine.net

2017年8月から9月にかけて、PC最適化ツール「CCleaner」にマルウェアが混入された状態で配布され、IntelやMicrosoft、ソニー、富士通など世界の大企業に標的型攻撃が実行されるという出来事が発生しました。この件について、CClearnerの開発元を買収していたセキュリティ関連企業Avastが調査結果を2018年4月17日に公開し、ハッカーはリモートログインサービス「TeamViewer」を使って事件の5カ月前にサーバーに侵入してバックドアを作っていたことなどを明らかにしています。

(中略)

今回の攻撃ではマルウェアが正規のダウンロードサーバーで配布されており、配布元のPiriformに対する「サプライチェーン攻撃」であったことから、各企業は自社内だけでなくサプライチェーンのセキュリティ対策をも行う必要があるとしています。

 

業務委託先から攻撃がやってくるケース

特にIT業界ならありがちです。自社ではガッチガチにセキュリティーを固めているけれども、一部業務を外部委託していたらそこから脆弱性が持ち込まれてしまったというケースです。

 

japan.zdnet.com

情報処理推進機構(IPA)は3月26日、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」の報告書を発表した。ITに関する業務委託では、委託元企業が委託先に対するセキュリティをあまり重視していないことが分かった。

 調査は、ITシステムやサービスを提供する620社とユーザー499社に対するアンケートや、52件のセキュリティインシデントに関する文献、有識者を含むインタビューを2017年10月~2018年2月に行ったもの。IPAでは「ITサプライチェーン」を、ITシステムやサービスに関する業務を外部委託し、その委託が連鎖する形態と定義している。

 

複数のベンダーで一つのプロジェクトをこなすケースもふくめ、IT業界に閉じた形でサプライチェーンがあります。一部の企業のセキュリティー意識の低さが、全体を崩壊させるトリガーになりますので注意が必要だと思います。

 

まとめ

オンラインである限り、どんなに防御網を構築してもその「許可されたつながり」を通じて攻撃される可能性は完全にゼロにはできません。

入られないようにすることと同時に、入られたことがわかる、ということも大事です。入られてからの時間が短ければ短いほど、被害をより最小化することができます。

防御網をかいくぐるような未知の攻撃に備えて、入られることを前提に、セキュリティーを考えていかなければならないと思います。