orangeitems’s diary

クラウドで働くエンジニアの日々の感想です(ほぼ毎日更新)。

RPAが流行するとプロセスを改変する攻撃が広がるという罠

f:id:orangeitems:20190423101711j:plain

 

RPAで業務が圧縮された。ところが・・。

国内SIerが熱心に売り込んでいるRPAですが、少しクールダウンする必要があるという件です。

 

techtarget.itmedia.co.jp

企業を狙ったサイバー攻撃の一つに「ビジネスプロセス詐欺」(BPC)がある。攻撃者が業務プロセスを不正に改変し、金銭や機密情報をだまし取る攻撃手法だ。BPCにおいて一般的に攻撃対象となるのは金銭の授受に関わるシステムで、例としては給与振込に関わるシステムや商取引の請求支払いシステムなどがある。攻撃者はシステムに偽の送金を要求する命令を与えたり、システムに登録済みの送金先情報を改ざんしたりといった行為により金銭を詐取する。

 こうした振込業務をRPAツールで自動化している場合、攻撃者がRPAツールを介してBPCを仕掛ける恐れがある。トレンドマイクロは同社のレポート「2019年セキュリティ脅威予測」において「BPCの新たな糸口として、自動化された業務プロセスを攻撃者が狙うようになる」と予測する。

 

考察

RPAツールにもいろいろ種類がありますので一概には言えませんが、ロボットを作成したあと、手動で実行するか、スケジュール実行するかというのは共通だと思います。

また、サーバー・クライアント型では、サーバーで集中管理してロボットをクライアントで実行させますし、スタンドアローン型では端末から起動します。

この内容を外部侵入者からコントロールされようものなら、溜まったものではないわけです。勤務表からデータを抽出して、ネットバンキングに振り込み処理をかける。これをRPAで自動実行する。そのとき、ネットバンキングに指定する振り込み文字列を、攻撃者の口座にするだけで、大規模な被害が発生することがわかります。

結局のところ仕事の基本は何も変わらず、ロボットの仕事を監査する仕事は残ります。ロボットが適正な仕事をしているか確認するのは誰なのでしょう。今のところ人間しかいないと思います。ロボットに適正な仕事を教えたのは人間なのですから。また、人間が悪意を持って、悪い仕事をロボットに教えている可能性もあります。

人間がロボットに置き換わったとしたって、適正かどうかを絶えずチェックしなければならないのは同じで、その手間は何も変わっていないのがわかります。ロボットになったので手順が変わっただけです。

 

特におさえるべきポイントを本番システムの運用経験をふまえてまとめておきます。

 

1)導入時

作成前に、なぜロボットを導入するのか、目的を正しく定義する。

作成前に、そのプロセスを定義し、人間が承認する。

作成時には、試験データと試験環境で行う。本番データを用いない。

テストは、作成者とは違う第三者が実施する。

※悪意のあるロジックが紛れ込んでいるかもしれない。例えばテスト時には悪意のあるロジックが動かないように設定されているかもしれないので、ブラックボックステスト(ロジックを見ないで正しく動くかを見る)のは危険。

本番導入を、第三者立ち合いのもと行い、それ以降は変更できないようにする。

 

2)改変時

改変前に、なぜロボットを改変するのか、目的を正しく定義する。

改変前に、改変するプロセスを定義し、人間が承認する。

改変時には、試験データと試験環境で行う。本番データを用いない。

テストは、作成者とは違う第三者が実施する。

※導入時と同様の観点が必要

本番導入を、第三者立ち合いのもと行い、それ以降は変更できないようにする。

 

3)障害対応時

修正対応時に、不正なプロセスが紛れ込む可能性がある。できれば、手動対応(ロボットではなく人手で実施)を行いつつ、(2)改変時のプロセスを踏むのが望ましい。

 

RPA時代にも規律・ガバナンスの維持が最重要

このように、RPAの運用には、それなりの規律・ガバナンスが必要になってくると思います。正しく操作しているか。必要に応じた導入・改変を行い、それ以外のカジュアルな編集を行っていないか。これを脅かすようなアクション自身が「正しいプロセスを攻撃すること」です。その主体は第三者だけではなく、スタッフの可能性もあります。

特にRPAはこれまで組織で行っていたために衆人環視が働きできなかったこと、システムがバリデーションチェックを行ってできなかったことをすり抜けることができる可能性を持つ技術です。

※注 バリデーションチェック:例えば、100万円の1回の振り込みはできなくても、1万円を100回ならできるかもしれません。

※注 野良ロボットの話題がありますが、野良社員だっていますよね。

したがって、「9割削減!」ばかりに囚われず運用面のリスクを対応していかなければなりません。

勉強レベルならスタンドアローンで動かして面白い技術なのですが、いざ本格導入するとなると、まさに何人も「自由に」触らせない技術が必要になる、と思います。

 

深い。「問80 技術者倫理の観点から、職務遂行において技術者が優先すべきこととして、最も適切なものはどれか。」

f:id:orangeitems:20190422192031j:plain

 

問80

H31春応用情報技術者試験午前の問80が話題になっていますね。

 

問80 技術者倫理の観点から、職務遂行において技術者が優先すべきこととして、最も適切なものはどれか。

 

ア 会社の利益

イ 技術者個人の名誉

ウ 公衆の安全

エ コストの削減 

 

こちら、正解は「ウ 公衆の安全」だと思います。技術者倫理の観点とありますから一択なのですが、現場で会社の利益やコストの削減にいつも晒されている技術者には新鮮に見えた設問かもしれませんね。

 

ITインフラの仕事は特に「安全」にたおす

この設問に似た瞬間って、結構仕事していてもあるんですね。

ファイアウォールを設置するにも、二重化して冗長にするべきか。それともシングル構成にするか。冗長にすると価格も倍です。また冗長化構成にかかる技術料も積算すると、迷うポイントとなる。

物理サーバーのディスク構成も、RAIDを組むのは当然として、ホットスペアという壊れた時の予備のディスクを装着するか。またそれは何本にするか。容量も、ぎりぎりの構成にして費用を抑えるのか。それとも余裕を持った容量にしておくのか。HDDにするのかSSDにするのか。

VMwareなら、たくさんメモリを載せたら一杯仮想マシンを動かせる。でもホストが停止すると全部落ちる。たくさんのホストでクラスターを組むのか。それともパワフルマシンにして台数を減らすか。

ネットワークも最近では10Gbpsが標準化しているが、1Gbpsはすこぶる安い。

Redhat Linuxで有償サポートつけたほうがいいけど、CentOSにしておいてOS代をけちる。

クラウドにするにしても豊富な選択肢があり、とにかく価格と安全の綱引きが行われます。各社提案してコンペする場合、安全に寄せすぎるとすぐ価格が高くなって、他社に負けるポイントとなってしまします。

だから、この問80、なかなか深い問題なんです。

情報処理安全確保支援士の研修でも諭されたのですが、会社員である一方で、技術者として倫理を守っていこう。利益重視でダンピングしていくと、重大事故の起きやすいITになってしまう、と。

で、「安全に安全に」ということで提案を作っていくとお客様から一言。

「高いね」

どうしろっちゅうねん。

 

コストも目をかけつつ安全を実現する、が価値

本当、面白くもなんともないのですが。

ITインフラの世界においては、コストがあまりかからないでいながら、強度な安全を実現する方法を見つけ出すことが、ものすごく価値があります。

ただただ値段が高いだけでは、価値と見られません。

一方で、ただただ値段が安いだけでは、それも価値とは見られません。

こんなに安いのに、こんなに安全。

で、安全であると、その後の運用がとてもとても楽になります。コストを抑えたのにその後の運用が穏やか。これがITインフラ技術者の技術を測る評価ポイントとなると思います。

しかし、それには「システムのスケールアップやスケールアウトに安全に対応できる柔軟さ」「システム自体の実装がシンプルで、たくさんの人に理解しやすいから、誤解による障害が起きにくい」と言った、将来も見越した安全設計が必要で、険しい道だと思います。

この仕事を長年していると、本当に慎重になります。安全に対して神経質すぎるほど神経質になります。

ですから、答えは「ウ 公衆の安全」でいいんですけど、会社の利益やコストの削減がチラッチラする今日この頃、平常運転です。

 

人月商売の脱却とは何だ?

f:id:orangeitems:20190422125038j:plain

 

優秀な技術者が辞めていく

いつも読んでいる木村氏のコラムの新作です。

 

tech.nikkeibp.co.jp

最近、SIerなど大手ITベンダーの経営幹部に会うと、決まって次のようなぼやきを聞かされる。「若手や中堅の優秀な技術者が相次いで辞めてしまってね。我が社の将来を背負って立つような人材ばかりだから極めて深刻なんだよ。懸命に引き留めるのだが、とても翻意してもらえなくてね」。

 

人月商売の悪影響を考察します。 

 

人月商売が優秀な若手を転職させるロジック

「人月商売」は私のビジネス論から言って最も遠ざけるべき言葉です。

システムエンジニアとは、人手で行っていた仕事をコンピューターを利用して自動化し、効率を上げることを目的とした仕事です。

したがって、効率を上げること自体に価値があるのであり、システムエンジニアが出社し時間を過ごすことは直接の価値ではありません。極端に言えば、出社しなくてもクライアントの効率が上がれば、それは価値なのです。

人月商売はこれを真っ向から否定します。一時間当たり一人おいくらという精算方法ではどの程度の価値を生み出せたかさっぱりわからないのです。

昨日(日曜日)、カフェに入ったら長蛇の列ができていました。店員さんは少ない人数でオーダーからドリンクの作成まで一人でやっています。いくらせわしく動いても、客の列が切れません。おそらく数時間動き詰めだったでしょう。一方で、平日の午前中などは客もまばらです。店員同士で雑談ができるぐらい空いていて客さばきも全然余裕です。さて、日曜日と平日、店員さんはアルバイトですが、時給は同じか、少しだけ割り増しされるぐらいです。明らかに仕事量も違うし売上も全然違います。でも一時間対応したとして、1000円もらえるか1125円もらえるかの違いぐらい。125円。

これが人月商売の最も悪い部分です。生み出した価値を無視して、そこに存在することにだけ価値を見出すのです。これがアルバイトであればまだ話は小さいのですが、あろうことかシステムエンジニアに当てはめる。システムエンジニアのスキルは、初心者と熟練者で数百倍違うことがあります。一か月かけてもできないことを10分でやり遂げてしまうのがシステムエンジニアリングの面白いところです。

そのような優秀なシステムエンジニアが人月商売が嫌で辞めていく。実は私自身も数年前に同じ経験で転職しました。私を人月商売ロンダリングしていた自社担当営業の彼はこう言い放ちました。

「・・さんは、ベテランだから人月単価が高くて持っていきにくいんですよ」

ああ、この会社にはもういられないな、と思いました。スキルが高いことを表現するのが人月単価であり、この単価が高いとエンドユーザーに提案しにくい。そんなアホな。

結局アルバイトで、スキルの高い1800円の人と、未経験で990円で若い人、どっちを取るかということです。アルバイトであれば990円の方を誰しも採用するでしょう。担当営業にはその程度しかシステムエンジニアリングの価値が見えていなかったということになります。

ところが、IT業界、まだまだ人月商売がはびこっています。大手SIerが人月商売しているのではなく、大手SIer経由で中小SIerに人月単価で案件紹介が大量に出回るのです。この辺りがITゼネコンという言葉で、大手SIerはきちんとユーザーから請負で受注します。これをこなすためのマンパワーを、中規模SIerが人月単価で受注し、さらにその末端の協力会社にこれより安い人月単価で廻す・・。これが業界構造であり、今もって存在しています。

今起こっていることは、大手SIerが人月商売をしているのではなく、大手SIerをトップとしてそこから人月商売ピラミッドが構築されている、ということです。

このピラミッドで輝けるのは実は若手です。若手は人月単価が安いので提案がしやすく、そこで大手のプロジェクトに入って力をつけていくのです。ベテランはもともと給料が高いので逆算して人月単価も引き上げなければならず、かつより新しい技術だと結局は若手に対してアドバンテージがない場合があり、営業からすると「使いにくい」となってしまうのです。

若手は、ある程度したらこの業界構造に気が付き、ドロップアウトして、ユーザー側に行って情シス担当となったり、大手SIerのピラミッド構造にない、エンドユーザー直で商売をしている企業に転職します。これが今起こっていることだと思います。

 

大手SIerがなぜ45歳以上にリストラをかけるか

大手SIerはピラミッドの上で安全な場所にいるように思えたのですが、昨今はそうではないようです。

 

smart-flash.jp

 

私が思うのは、大手SIerと直契約で下請けしていた中堅SIerが力をつけ、自分たちで商売をしようとしていて(いわゆるプライム)、大手を脅かしているのではないかという読みをしています。中堅SIerが人月商売でシステムエンジニアを多く抱え現場で仕事をさせているうちに、本当に力をつけて、大手を通さなくても自身でリスクを取ってプライムで仕事をするようになっているのでは、と思っています。

特にクラウドサービスが伸長し、大型の設備投資がなくとも顧客に提案できるようになりました。とすれば、実際に手を動かしてきた中堅SIerが力を付ければ、大手SIerに負けない提案ができるようになるのは自明の理です。

大手の独壇場だったSI業界が、だんだんレッドオーシャンになってきて、ピラミッドをマネジメントすることしかできないような高齢のプロジェクトマネージャーの居場所が小さくなってきたのでは・・・。これはあくまでも個人的な推測ですが、IT系のニュースを見ていると、何だか中堅SIerがどんどん市場に出ていこうとしているなと思うことが最近多いです。

「人月商売の脱却」とは、システムエンジニアリングの本当の価値への回帰、ということだと思います。人月商売を脱却した一人の現場のシステムエンジニアとして、「本当に価値を生み出せるのであれば人数は全く関係ない。価格の形成に必要なのは顧客がどの程度価値を享受できるかだ」、ということを強調し、業界全体が適正化してほしいと願います。

 

今週末にアクセスが急減し日曜日の夕方に急回復した理由

f:id:orangeitems:20190421234454j:plain

 

なぜかアクセスが少なかった今週末

今週の土曜日(2019/4/20)のアクセスがあまり伸びなくて、うーんおかしいなあと思い、意地になって4本くらい記事をアップしたのですが、反応が薄い。

なぜだろうか、うーんと思いながら様子を見ていました。今日(4/21)の15時くらいまでは確かに低調だったんです。

特に、今度10連休がありますよね。休みの日にアクセスが低いのが定例化したら連休中に忘れ去られてしまうよなあ個人ブログなんて。

ちょっと不安になりました。

 

ところが今日(4/21)の16時くらいになってアクセスが突き抜けだして夕方から夜にかけてドカンと来ました。

なぜだろうなぜだろう。

まるで、読者層が一か所に集められ閉じ込められていて、突然扉が開いて押し寄せた感じです。

こんなことは今まで無かったような。

 

理由

良ーく考えたら理由がわかりました。

こちらの試験日だったんですね。

 

www.jitec.ipa.go.jp

 

土曜日はちょうど前日で、追い込みの日。

日曜日はネットから切断されて、9:30から16:00くらいまで試験。

帰りの電車や、自宅でたくさんアクセスして頂いた・・。

確実に計算が合います。

 

試験お疲れさまでした

たくさんのIT企業において、情報処理技術者試験は必修のような扱いになっていますよね。情報系の学生の方も意識されていると思います。

私も業界でいろんな経験を積みましたが、情報処理技術者試験は最も素晴らしい試験だと思います。特定のアプリケーションに偏らず、基礎となる情報技術の知識を体系的に問いてきます。そして時代に合わせて問題内容を最適化しています。特定の開発言語やアプリケーション、クラウドサービスなどに触れる前、もしくは触れると同時に情報処理技術者試験はおさえるべきだと思います。

なぜかというと、トレンドで実装(アプリケーション)は様変わりするのですが、情報技術の基礎は変わりづらいからです。基礎がしっかりしている人は、いくら実装が変わってもすぐ理解しものにしていきます。基礎が無い人は、実装が変わると一から学びなおしになります。

OracleはできるがSQL Serverはできないとか、AWSはできるけどAzureはだめとか、CiscoはできるけどJuniperはだめとか、Javaは良いけどPythonはできませんとか・・。実装が変わるとついていけない自覚のある人はリスクがあると思ったほうがいいです。業界のトレンドはどんどん変わりますし、ベンダーの栄枯盛衰も激しいので特定の実装に依存するようなスキル形成は極力避けるべきです。繰り返しますが、基礎ができる人は実装の変化に強いです。雰囲気で新しい技術も使えてしまうのです。

 

ということで、アクセス数の変化を踏まえ、このブログを読んでいらっしゃる方は試験をお受けになられたのではないかと思います。

お休みのところお疲れさまでした。

情報処理技術者試験で日曜日を拘束されながら、月曜日に仕事というのがつらいですよね。私も何度か受験してそう思いました。

10連休ももう少しに迫っています。今週を乗り切りましょう。

 

ファイルシステムに「いいね!」機能を加えてほしい

f:id:orangeitems:20190420181206j:plain

 

「いいね!」が欲しいあの場所

インスタに「いいね!」が無くなるとかどうとか。

 

jp.techcrunch.com

Instagramではデザインに小さいが重要な変更を加えることを検討している。これは最近問題になっている群衆心理的なユーザー行動を抑制することを狙っている。Instagramはこう述べている。

「我々はユーザーが単に投稿の「いいね!」数に注目するのではなく、フォローしている相手のコンテンツそのものに注意を払うよう期待している。今回のプロトタイプでは、実際に投稿したたユーザーだけが自分の投稿の「いいね!」数を見ることができるユーザーインターフェイスをテストしている」。

 

私はもっぱらブログ運用が主役なので、インスタは全然見ないしやらないのですが、いいね!は確かに副作用もありますね。

ただ逆に、私があったらいいなあと思う「いいね!」の場所、それはファイルシステムです。

 

ファイルシステムに「いいね!」が実装されるといいこと

どんな組織にも、ファイルサーバーはありますよね。

そして、時間とともにものすごくファイル数が増えているのではないでしょうか。

その中から、当たりの資料を見つけ出すには、ファイル名とタイムスタンプから判断するしかないですよね。

新しい資料だからと言っていい資料とも限らず、古い資料だからと言って陳腐化しているとは限りません。

「いいね!」を実装してはどうかと思うのです。

いろんな人がこの資料いいね!、と思ったら無制限に投票できるのです。

そして、そのファイルサーバーからいいね!がたくさんついている資料を確認できる。そうすると、ファイルサーバーの中から宝物が出やすくなるのでは・・。

 

誰も知られていないが似たような機能はある

ちなみに・・・、Windows 10のファイルプロパティーを見ると、似たような機能があります。「評価」という項目です。

 

f:id:orangeitems:20190420180808p:plain

 

121ware.com

「評価」欄は、「値」欄から任意の「☆」をクリックして、5段階で評価します。

 

ただ、こちら5段階評価までしか付けられないし、写真のためにあるようです。

いいアイデアだと思うんですけどね~。

 

アジャイル・バブルがやってきた!

f:id:orangeitems:20190420173900j:plain

 

アジャイルの由来

アジャイルなんてすごーく昔から耳にした言葉です。

調べてみたところ2002年あたりに登場したようです。

 

it.impressbm.co.jp

しかしアジャイル開発の一つのエポックは2001年にアジャイル開発関係者が集まって「アジャイルソフトウェア開発宣言」というマニフェストを示したことであろう。そこには「個人と対話」「動くソフトウェア」「顧客との協調」「変化への対応」というアジャイル開発手法の価値が示され、アジャイルソフトウェアの12の原則(http://agilemanifesto.org/iso/ja/principles.html)が示されている。

 

tech.nikkeibp.co.jp

「アジャイル・ソフトウエア開発」は、いま最も話題を呼んでいるソフトウエア開発手法だ。ドッグイヤーと叫ばれ出してから久しい今日、「完全な要件定義」、「完全な設計」、「完全な実装」を求める従来のソフトウエア開発手法は、もはや無力である。経営スピードにマッチした新たな手法が求められている。アジャイル開発は、ソフトに対する要求の変化を受け入れ、同時に“人間”を重視することで、ユーザーに価値をもたらすソフトを“超高速”で実現することを狙う。ここでは代表的な6種類のアジャイル開発手法の概要を紹介する。

 

ただ誕生してからも旧来のウォータフォール型開発が本業で、何となく正統法から外れたようなやり方とされていたアジャイルが、今2019年に来てバブル的な様相を見せているのをご存知でしょうか。

 

2019年のアジャイル関連ニュース

NTTデータ(2019/4/19)

tech.nikkeibp.co.jp

NTTデータは2019年4月19日に記者説明会を開き、アジャイル開発やデジタルトランスフォーメーション(DX)に対応した受託開発やソリューション提供を強化する方針を説明した。専門技術部門の参画案件数を3~10割増やし、受注貢献額を2018年度実績の300億円から600億円に倍増させる計画だ。

 

日立(2019/2/6)

japan.zdnet.com

日立製作所は、「アジャイル開発コンサルティングサービス」を提供を開始すると発表した。アジャイルソフトウェア開発(アジャイル開発)の専用スペースの提供や技術支援、体制整備などトータルでサポートするもので、同社が培った経験やノウハウに基づき、専門技術者によるコーチングや、システム開発に関する顧客の社内規約の整備・標準化を支援する。

 

KDDI(2019/3/11)

cloud.watch.impress.co.jp

アジャイル開発手法「スクラム」に関する認定やセミナー、導入支援サービスなどを行う米Scrum Inc.の日本法人「Scrum Inc. Japan株式会社」が設立された。

 設立は1月29日で、4月より事業を開始する予定。KDDI株式会社と米Scrum Inc.、株式会社永和システムマネジメントが、51%:44%:5%の比率で出資する。なお、米Scrum Inc.は、スクラム手法の提唱者であるJeff Sutherland氏が創業した企業だ。

 

富士通(2019/3/11)

itjinzai-lab.jp

富士通は昨年10月、米Pivotal Labsとの業務提携により「FUJITSU Agile Lab」を立ち上げた。同Labは、富士通としてアジャイル開発の実績を重ねていく拠点であるとともに、共同開発を通じてグループ企業やパートナー企業、顧客企業にアジャイル開発を学び取ってもらう場でもある。同社がこの取り組みを進める背景やねらいは何か。FUJITSU Agile Labの責任者を務める福井伸彦氏と、同Labでコーチ役を務める春日理氏に話を聞いた。

 

各SIerの動き(2019/2/14)

tech.nikkeibp.co.jp

次に「顧客システムのアジャイル開発プロジェクトに携わるエンジニアの数」を聞いたところ、今後3年間で合計3倍以上に増える見通しが明らかになった。伸び率が最も高かったのが富士通で、3年後は2018年比13.3倍の4000人に増やす計画である。現状で最多のアジャイル人材を抱えるのはNTTデータで1000人。3年後には6000人とし国内最大規模を維持する。

 

なんとなく、デジタルトラスフォーメーションはアジャイルと解釈された

去年、デジタルトランスフォーメーションという言葉がバズったときに、SIerもこれをどう顧客に説明するか、そもそもSIerの経営層もそのプロセスを掴みにくい。

「何かもっと、こう、うまく説明できる言葉はないのかね、君?」

「あ・・あります。アジャイル・・です!」

「ああ、アジャイルなら知ってるぞ。でももう十数年前からある言葉だな」

「はい、だからこそ、お客様にも浸透していて何をするかが明確なのです。どのように進めるかについても過去の知見がありますし・・それから・・」

「よし、じゃあその線で進めよう。」

という会話がいろんなSIerの本社内でされたんでしょうね。

 

その結果、顧客のうけもいいようです。

 

enterprisezine.jp

 一方、アジャイル型については、「採用中」の割合が継続/拡大と縮小を合わせて40%近くに上り、「未採用:採用予定あり」の割合も30%に達していて、実に70%ほどの大企業が採用中や採用予定の段階にあると回答している。

 この割合は、全体の30%(「採用中:継続/拡大」 15%、「採用中:縮小」2%、「未採用:採用予定あり」13%の合計、図1)と比べて大きく、大企業でのアジャイル型への関心が非常に高いことがうかがえる。

 

デジタルトランスフォーメーションという最新の概念が、アジャイルに変換する辺りが日本っぽくて面白いところだと思いますが、最後にアジャイルが2002年に生まれたのに2019年まで主流になっていない原因まで探っておきます。

 

2010年の記事です。

www.nikkei.com

いま、企業のシステム開発プロジェクトでは、「アジャイル」[注1]方式の採用が本格化しています。Webアプリケーションなどスピード重視の開発案件が増えたからです。アジャイルは、開発途中での仕様変更などに柔軟かつ迅速に対応することを重視したやり方の総称です。一方、事前に仕様を詳細なレベルまで詰めておく、プロセス重視・手続き重視の従来方式を「ウォーターフォール」[注2]と呼びます。アジャイル開発は、ウォーターフォール開発よりも簡単そうに見えますが、安易に取り組めば失敗します。本連載の第1回では、アジャイル開発の経験が豊富な3人に、現場の様子を語ってもらいました。(聞き手は、池上俊也=日経SYSTEMS)

 

今回のアジャイル・バブルともいえる状況は、上記のような問題を超えていける知見を持っているかどうかがSIerに十分存在しているかどうか、そしてその自信があるということになるかと思います。

まあ、デジタルトランスフォーメーションがアジャイルかどうかも、懸けのようなところも個人的には感じますけれども。

 

5Gに耐えうるサーバー側の仕組みはまだできていない

f:id:orangeitems:20190420080803j:plain

 

5Gが来る

世の中、5Gが来るというのでかなりワクワクしている様子です。

 

business.nikkei.com

次世代高速通信「5G」の商用サービスがいよいよ始まる。「高速・大容量」「低遅延」「同時多接続」という特徴は、現行の「4G」を凌駕(りょうが)する。日経ビジネス、4月15日号特集「5Gインパクト」では、5Gの登場がビジネスと生活をどう変えるかを取り上げた。

 5Gの登場で、業界構造を真っ先に大きく変えそうなのがゲームなどのエンターテインメントの世界だ。米グーグルが、サーバー上でゲームの操作や映像表現を処理する「クラウドゲーム」のサービスを発表するなど競争は激化しそうだ。5Gはゲーム業界に何をもたらすのか。コナミ時代に「メタルギアソリッド」で大ヒットを飛ばし、独立後もゲーム業界の最前線で活躍する、コジマプロダクションの小島秀夫代表に聞いた。

 

ビジョンを描くことはすごく大事で人間の原動力そのものだと思っています。閉塞感を感じる中で5Gは確かに何かを一新させる技術になりそうです。

コンテンツのクリエーターは技術革新のたびにゲームチェンジが起こることを知り尽くしていて、どれだけ先読みできるかが重要なのだと思います。ヒットしてから作り始めても周回遅れになり市場の先駆者にシェアを握られてしまうからです。

先日の楽天のインタビューを読んでも、とにかく5Gの実装は間違いなく成功していて、すぐに私たちの手元に来るのは間違いないと思います。

 

business.nikkei.com

インターネット通販大手の楽天が2019年10月、国内携帯電話市場に新規参入する。NTTドコモやKDDI(au)、ソフトバンクに続く「第4軸」が誕生するのは約13年ぶりになる。14年から格安スマートフォン(スマホ)事業を手掛けてはいるが、自前で最大6000億円規模の資金を投じる展開は大きな賭けだ。長らく続く大手3社の寡占市場に割って入り、5G時代に躍進できるのか。楽天傘下で携帯通信事業を担う楽天モバイルのタレック・アミンCTO(最高技術責任者)にゲームチェンジの“秘策”を聞いた。

 

4Gの時はどうだったか

私は業界経験が長いので、4G、および家庭の光通信化が急激に進んだ2010年付近を思い出します。何が起きたかと言うと、サーバー側、そしてサーバーがつながるインターネットの帯域不足です。

それまでのコンテンツは文字中心の軽いコンテンツばかりでした。待ち受けるサーバーのスペックも今の数分の一だしクラウドもないのでオンプレミスの物理サーバーでの対応が中心でした。そして、インターネットも100Mbpsぐらいが相場でした。今は家庭でも10Gbpsサービスみたいなものも始まってますよね。

 

news.kddi.com

 

光や4Gの普及に呼応して、動画や音声などのリッチコンテンツ配信がサーバー側にも押し寄せるのですが、その結果どうなったか。よく覚えているのが熱問題です。昔のサーバーの特徴として、高負荷時にとても熱を持ちました。リッチコンテンツを処理するためにたくさんのサーバーをサーバーラックに並べるのですが、サーバーとサーバーの間に空きスペースを設けないと、高負荷時に熱がこもって故障しまくる。2010年のころのサーバーはよく止まっていたし、ディスクも良く壊れました。マザーボード交換やRAIDコントローラーの故障などなど、あの現象は絶対に熱のせいです。だからあのころのデータセンターはブラック職場だったのです。

そこからサーバー側の技術革新が急激に進行し、まずは仮想化技術が盛んになりました。物理サーバーを並べていたら不動産的にお金がかかるので、一台に処理能力を集積してOSは仮想化することでスケールアウトをしのぐことに成功しました。そのうえで、熱問題を考えて、サーバーラックの空間は余裕を持って設計しました。データセンター側の空調技術も相当に進化しました。

サーバーの性能進化のうち、実はコア数や周波数等々より何が進化したかって、低電力で運用できるようになったということです。最近の物理サーバーはできるだけ熱を出さないような工夫がたくさんの部品でされています。エコという言葉がそのころ流行ったんですが、これはエコ対応が目的というより故障率削減、高負荷時の安定性などが目的だったように思います。最近のハードウェアはそのころに比べると断然壊れにくくなりました。

そのうえで、100Mbpsが中心だった通信速度も1Gbpsやそれ以上の速度を用意、最近はそれでも足りないのでCDNを利用し、コンテンツを配るという技術が一般化しています。

また、クラウドコンピューティングが一般化したのもこのころ。オンプレとの闘いに疲れたインフラ戦士たちがクラウドを使うことで、様々な問題を抽象化しました。私もその一人・・です。

まず通信環境が先に良くなり、コンテンツが生み出され、最後にハードウェアが進化するという順番で進みました。

 

サーバー側は5G対応などできてはいない

今のサーバーインフラは、コンテンツクリエーターの考えるビジョンに対して耐えられるアーキテクチャーではないです。例えて言いますと、4Gが下り3車線上り1車線とすると、5Gは下り100車線上り100車線みたいなものです。すごく道幅が広くなる。だからといって、サーバー側から車を数十倍走らせられるかというと、今の技術では難しいです。サーバー側で頭打ちになってしまいます。また、4Gから5Gになるに当たって上り、端末からサーバーへの通信速度が非常に上がるのですが、サーバーもそんなに投げ込まれても受けきれないと思います。じゃあ圧縮するか。それってもう4Gでやっていることなんですね。

コンテナというキーワードが最近ささやかれますが、いくらコンテナがあったところでそれを動かす物理サーバーがエンジンですから、物理サーバーの処理能力でアウトです。コンテナだと処理が軽くなると思っている誤解があると思うのですが、プロセス自体はこれまでと何ら変わらず、不要なプロセスが動かないだけです。スケールアウトしやすいというだけで、スケールアウトできなくなるほどの処理が4Gから5Gへのステップアップで起こるのは間違いないと思っています。

ですから、必要なのはこれまでのx86/x64のCPU、あとはノイマン型と言われるCPU/メモリー/ハードディスクという伝統的なコンピューターの作りからの脱却です。

まずは、現在のアーキテクチャーの弱点を塞ぎつつ・・

 

japan.zdnet.com

発表製品は既報通り、同社の「Data-Centric」戦略の3本柱である「Move Faster(高速な移動:ネットワーキング/インターコネクト)」「Store More(より多くを保存:メモリー/ストレージ)」「Process Everything(あらゆるものを処理:プロセッサー)」における7製品で、同社のデータセンター向け製品群のほぼ全てが一気に新世代へと移行したと言っても良いほどの規模だ。

 

一気に量子コンピューターで刷新する。

 

news.mynavi.jp

米IBMは1月8日、CES(Consumer Electronics Show)2019で、科学やビジネスでの利用を目的として設計された汎用近似量子コンピューティング統合システム「IBM Q System One」を発表し、2019年中にニューヨーク州ポキプシーに初の企業顧客向け「IBM Q Quantum Computation Center」を開設する計画を明らかにした。

 

従って、今までのインフラの延長上でスケールアウトすれば5Gに対応できると思ったら大間違いで、何らかのブレイクスルーがないと、サーバー側で頭打ちになるということを主張しておきたいと思います。

楽天が既存キャリアにゲームチェンジを仕掛けるように、AWSやAzureが先行しているパブリッククラウドもゲームチェンジが起こる可能性があります。既存インフラを拡張するだけでは間に合わないことがわかりきっているからです。

 

コンテンツクリエーターはワクワクしていると思いますが、インフラエンジニアだってワクワクしているのです。開発者たちの足を引っ張らないようにしなきゃ、ですね。

 

Backlog管理に向かないこともある

f:id:orangeitems:20190419222210j:plain

 

Backlogにもある向き不向き

今週は何度か進捗管理はBacklogだ、という記事を書きました。

 

進捗会議も議事録も使わずプロジェクト管理をする方法

ツールを使っても進捗が管理できないのは、家計簿をつけてもお金が貯まらないのと同じ理由

 

Backlogを使うとなんでもはかどるかというと、ああこれはBacklogではないな、という瞬間もありましたのでこの体験をシェアしておきます。

できれば、向いている事柄に対して利用して頂き、その便利さを体感頂きたいところです。

 

不向きなこと

一見何にでも向いてそうなので、不向きなことをまとめます。

個人的な経験に基づきますので、ご了承ください。

 

終わりのない仕事は向かない

Backlogは進捗管理のツールです。タスクを書き出し、一つ一つを終わらせることで完了タスクが増え、そのうちやることがなくなったり数が減るということが目的です。

部門の課題を全部書くとか、抽象的な使い方だとあまり利用者が伸びないケースが多いです。構築プロジェクトや、何かのイベントを成功させる、など、終わりの見えている仕事をやるたびにBacklogプロジェクトを作り、そこで閉じて完了まで共有するというのがとても向いているツールだと思っています。

 

ひとりプロジェクトだと効果は限定的になる

二人以上がメンバーになっていない場合、自分でスレッドを立てて自分で更新し、自分で完了まで持っていくこととなります。

私もそうやったことはあるのですが、だんだん更新が雑になります。読むのも自分しかいないからです。自分にしかわからないように更新しだすと、ドキュメント品質が落ちます。

電車の中とか家にいるときなど、脳内で自分会議がはじまって、いろいろ瞬間的なToDoが増えるたびに、Backlogにタスク整理していたら仕事の効率が落ちるんですよね・・。人に伝えなくていい自己完結するタスクなら普段もBacklogには載せないことが多いですね。

単にToDo管理ができるタスク管理ソフトで十分だと言う結論になることが多いです。誰か読んだりアサインしたりと言ったプロジェクト管理が発生して初めて、Backlogの武器が活かされると思います。

 

ナレッジマネジメントにはならない

ナレッジに、未対応も処理中も処理完了も完了済もないので、Wikiが別に作られていると思いますが、システム運用をやっていると、作業手順書作成の積み重ねで十分かなと思うことが多いです。

また、課題管理のスレッドは、課題に対して試行錯誤やブレーンストーミングの情報が入るので、ナレッジとして体系だったものになりません。検索して、そのプロセスを確認するのがすさまじく優れるツールなので、その結果できた作業手順書やURLなどを参考にすることが多いです。

ナレッジマネジメントという面でいえば、Backlogより優れたツールは存在するような気がします。

 

プライベートには向かない

たまに、家庭に課題管理ツールを持ち込む記事を見かけるんですが。

私はお勧めしません。なぜかというと家事は契約と金銭交換を前提としたビジネスではないからです。期限に間に合わなかったら、仕事を忘れたから、担当者があいまいだったから・・。これを家庭に持ち込みたくない・・。責任論を家族と話したくない・・です。

また、人数も少ないので、個別でスマホや手帳、手書きのカレンダーなどでメモしておけば基本的には大丈夫だと思ってます。

あくまでも個人の価値観ですが・・。

 

補足

ちなみに、システム運用・保守は、終わりがないのですが向きます。なぜかというと、「課題が無いことが当然」だからです。1件でもオープンされていると目立ちますから、お客様と課題を管理することにはとても向いています。

サグラダ・ファミリアの構築には向かないだろうなあ・・。たぶん120年前のスレッドが60年前の更新で処理中のまま放置されてそうな気がします・・。終わりがないプロジェクトで向いていないのはそういう、仕事の終わりがルーズでいい案件ですね。

 

ツールを使っても進捗が管理できないのは、家計簿をつけてもお金が貯まらないのと同じ理由

f:id:orangeitems:20190419061606j:plain

 

なぜツールは万能でないのか

昨日の記事にて、BackLogを使うと進捗会議もいらなければ議事録もいらない、と記載しました。賛同いただくこともあれば、いや、そうとも限らないというご意見もありました。

この正反対の反応、両方正しいと思います。なぜツールを使ってもうまくいかないケースがあるのかを考察します。

 

考察

若かった時、お金を貯めよう!と思って家計簿をつけようと思った時期がありました。

Excelで当初やっていたのですが、だんだん凝りだしてAccessを使ってちょっとした会計ソフトみたいにもなったのですが。すごくデータは溜まっていくのですが、お金は貯まらない(笑)。

最終的に、ハッと気づいたのですが、家計簿というのは見える化であって結局は自分自身そのデータを見て行動を変えないと、何の役にも立たないのですね。つまり、家計簿をつけるだけ、というのは、お金が浪費されていく様子を高解像度で見ていただけにすぎないということです。

家計簿をいくら振ってもお金は出てきません。

Backlogなどの進捗管理ツールも全く同じです。いくら使って見える化してもうまくいかないのは、進捗管理をさぼっていることを見える化しただけにとどまっているからだと思います。

私がBacklogの管理を「宇宙一厳しくすること」に、ヌーラボの方に反応頂きました。

 この厳しさこそが、ツールを使って成功させる秘訣です。行動に厳しさを伴わないツール利用は、ただただ、カオスを見える化するだけで、幻滅のもとです。我々はこんなに進捗管理についてルーズだったんだね、終わり。と。その結果、新しい進捗管理エクセルができるのがオチです。

 

どう厳しくするか

どのようにBacklogに厳しさを持ち込むか。具体的な例を挙げます。

 

スレッドに担当者を必ず入れること

担当者が空白でもスレッド作成できてしまうBacklogですが、禁止事項としています。完了(クローズ)にできないスレッドに担当者を付けておけば、ボトルネックが明確化できます。その人がプロジェクトを遅らせているのです。

かつ、そのオーナーは、上司だろうが社長だろうがお客様だろうが平等に設定します。プロジェクトにおいてボトルネックが起きる理由が、部下以外である場合があります。会議を催促の場にすると遠慮が生まれますし、会議までの時間を浪費します。担当者を明確化することでプロジェクトメンバーが平等に評価され、かつルーズな人が気圧されます。「ああ、自分のせいで遅れてるな」この感覚を参加者全員に持たせることが重要です。

 

期限を勝手に伸ばさないこと

私のプロジェクトにおいて、スレッドの期限が来た時に勝手に何の理由もなく、もしくは勝手な理由で期限を延ばす人がいます。めちゃ怒ります。理由は何だと。なぜ期限までに終わらないのかと。また事前に調整はできなかったのかと。

期限というのは「信頼」です。クレジットカードにおける支払日です。口座にお金がないからといって来月払う、ではクレジットカードは使えなくなります。

そうすると、期限をゆったり設定する癖が付きます。それで十分ですし、揉めたくないのでクローズしたい欲が生まれてきます。

 

一件一スレッドにすること

たまに議事録的に、たくさんの問題を一スレッドに書く人がいます。これは悪い使い方です。複数の問題を書くと、因果関係が生まれなかなかクローズできないスレッドになります。

期限管理も難しくなります。複数の問題の最遅の解決が「期限日」になってしまうので、期限日を迎えても延長することになってしまいます。

また、一件ずつにすると、完了までのプロセスが明確になりますし、距離が短くなるのでクローズの件数が物理的に増えます。

たくさんクローズすると仕事している感が出るので、いいことづくめです。

 

毎日見て、モラルハザードを防ぐこと

毎日見ること。見ただけではだめです。

・期限日過ぎそう
・担当者が入ってないスレッドがある
・スレッドの内容がややこしい

こんなモラルハザードの元になるスレッドをチェックすることが重要です。この仕事、これこそ「新人向き」なのです。

仕事の内容がわからなくても、上記はわかります。そして、オーナー(スレッドの担当者)が社長でもお客様でも指摘ができます。そして、プロセスを全部読むことになるので自然と何の仕事をしているのかわかってきます。

プロジェクトそのものがBacklogになるので、全部読んで理解することが副次的に働き、ベストプラクティスが身に付くのです。

 

引き続き、Backlogをお勧めします

私のBacklog好きは、実は過去のプロジェクトでお客様のプロジェクトマネージャーに教えてもらって学習したものです。きちんと管理されてみて感動したんですね。ああこうやってプロジェクト管理するのかと。また、そのとき多少ルーズな管理があったので、自分がやるときは宇宙一厳しくしようと思ったのです。

 

backlog.com

 

Redmineなど類似のツールはありますが、私はSaaSで使えるBacklogを愛用しています。ご検討ください。

 

WordPressへのサプライチェーン攻撃が相当に深刻な状況だ

f:id:orangeitems:20190418075757j:plain

 

WordPressが狙われている

私の担当は基本的にOSから下、ITインフラ基盤なのです。しかし、その上物であるミドルウェア・アプリケーションがセキュリティーリスクにさらされると、お客様が不幸になるので、セキュリティーについては後半に情報を収集しています。

下記の記事、驚きました。

 

piyolog.hatenadiary.jp

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

 

WordPressとプラグイン

WordPressはCMS(コンテンツマネジメントシステム)では日本でダントツの採用実績です。CMSの登場のおかげで、高度なスキルが無くとも複雑なWEBサイトが表現できるようになりました。下記は最新の情報ですが、WebサイトにおけるCMSの利用はますます増え、その中でもWordPressの利用がとても多いというデータです。

個人ブログも自分でサーバーをクラウド等に借りて、WordPressを構築し運用されている方もいらっしゃると思います。

 

news.mynavi.jp

Q-Successから2019年4月のWebサイト向けCMS (Content Management System)のシェアが発表された。2019年4月はCMSを使っていないサイトの割合が減少し、逆にWordPressの割合が増加した。それ以外に大きな変動は見られない。インターネットで配信されるコンテンツはWordPressを使って配信される傾向がますます高まっている。

 

特に日本ではWordPressの話ばっかり・・。

私の身の回りでは、企業のホームページすらWordPressが多く。Webサイト構築ベンダーは結局はWordPressを入れてCMS上でサイト構築して納品するケースが本当に多いです。

それぐらい大変に便利なWordPressですが、プラグインという機能があり、標準機能を拡張できるのも特徴の一つです。様々なプラグインが公開されていて、おそらくプラグイン無しで運用しているWordPressなど存在しないのではないかと思うほどです。ところが、このプラグインがセキュリティーリスクになっている、という話です。

 

攻撃の手法

このWordPressのプラグインへの攻撃ですが、以下のタイプがあると思います。

(1)プラグインそのものに脆弱性がある場合。
(2)WordPress本体の脆弱性を通じてプラグインに攻撃をする場合。
(3)プラグインの製作者が放置したまま本体が残り、その運用を第三者が乗っ取りリンク先を書き換える場合。

どれもこれも頭の痛い話です。

(1)は、とにかく最新版にアップデートしていくしかないです。プラグイン自動更新の機能がWordPressに備わっているのでこれを有効にするのが良いのですが、更新するとWebサイトに不具合が出る可能性もあります。また、プラグインの更新が止まってしまうケースもあります。ゼロデイと言って、更新前の脆弱性が見つかる場合もあります。

(2)は、いくらプラグインに脆弱性がなくても、WordPress本体に脆弱性がありプラグインが書き換えられてしまう攻撃です。WordPressやそのミドルウェア(PHPやApache、OS等)の更新が必要です。

(3)は、特に気を付けなければいけないケースです。WordPress導入時には有名なプラグインでも、5年後10年後に更新し続けているかは保証されません。そのリンク先のドメインを乗っ取ったりして、見知らぬWEBサイトにリダイレクトされるかもしれません。

なお、ソフトウェア本体やつながりのあるモジュールへの攻撃を、広範にサプライチェーン攻撃と呼んでいます。Chromeの拡張機能や、スマホのアプリなど、最近はソフトウェア単体ではなく複数の企業のモジュールをアドオンして使うことが増えているため、IPAの情報セキュリティー10大脅威にも登場しているほどです。

 

www.orangeitems.com

 

運用が重要

ベンダーがWebサイトを導入し、脆弱性試験をしてクリアしたら納品。あとは自社で運用・・なんてWebサイトは無数にあるのではないでしょうか。

導入当初は問題ないのです。しかし日が経つにつれてどんどん脅威は高まっていきます。その脅威を体系的に整理し効率よく攻撃するシステムも日々進化しています。

・サイト書き換えなどへの検知機構の導入
・WAFやIPSと言った外部セキュリティー防御の導入
・定期的な脆弱性検査実施
・OS、ミドルウェア(apache / PHP / MySQLなど)の定期バージョンアップ
・WordPress、プラグインの定期バージョンアップ

これだけやればいいのですが、そこまで運用でやっているサイトがどれだけあるか・・。

最近だと、WordPressを使わない宣言が話題となりました。

 

ics.media

ICS MEDIAは2019年4月にリニューアルしました。シンプルでモダンなデザインへと見栄えは変わり、フロントエンドの最新技術によって爆速なサイトへと生まれ変わっています。

技術的におもしろいポイントは、WordPressを廃止したことです。

この記事では、オウンドメディアとしてWordPressをやめた理由、代用技術の選定で苦労したことを紹介します。

 

ITインフラ担当者としては、できればこういった動きが活発化してほしいと思います。セキュリティインシデントがないのは、使い勝手以上に「価値」ですから。

 

進捗会議も議事録も使わずプロジェクト管理をする方法

f:id:orangeitems:20190417234818j:plain

 

会議なし、BackLogあり

私の仕事スタイルは独特で、極力、会議をしません。

仕事のほとんどを、BackLogという課題管理ツールで過ごしています。

 

backlog.com

 

お客様にはメールも電話もしないで、全部BackLogでお願いしますと言っています。

一つの課題につき一スレッド、というお約束をして、期限を決めてタスク管理します。

もう、これだけです。これをやればすべての仕事は期限通り、もしくはそれ以前に終わります。

 

議事録が大事か?

今日、議事録が大事、と言う記事を見まして・・。

 

headlines.yahoo.co.jp

4月。新卒社員を受け入れ、各所で新人研修が行われている。しかし、先輩が後輩に伝えるものが「一般論」なのか「ローカルルール」なのか「我流」なのかは見分けづらい。「我流&局所最適型」も多い。「議事録作成」はそうした指導の代表だ。というわけで、今回は「新人の議事録作成指導」について考えてみたい。

 

プロジェクトマネジメントの基本は議事録とのことですが・・。

私は、例え会議をしても、議事録を新人に取らせないし、私も取らないんですね。

 

まず基本的に、会議で要求事項が出てきても、わかりましたけどBackLogに起票してくださいとお願いします。

だって、言った言わないで揉めるじゃないですか。だから議事録を書くんでしょうけど、議事録上での言った言わないチェックをまたやらなければいけない。

無駄。

会議は、あくまでも共通認識を育て共感を得るために行います。

遠距離恋愛で、たまに会うみたいなものです。ずっと合わないでLINEや電話ばかりしてると、愛が薄まっていきますよね。

だから、会議、会議って「会う儀」なんです。会うことが大事。

会議で「こんなことを頼みますね。具体的にはBackLogに書きます。」これが正解です。

昔、あるお客様に、「BackLog先生」と呼ばれたことがあります。それぐらい徹底しています。議事録なんていらないんです。

本当に重要で必要なら、その場でノートパソコンで、BackLogに課題作成を自分で行っておけばいいくらいです。

 

新人に議事録作成は向いてない

あと、新人に議事録を取らせるのはダメです。

BackLogのスレを立てるのだって、新人にはやらせません。なぜかというと、わかっていないからです。わかっていないのに、課題を書けるわけがない。混乱して終いです。

すし職人で弟子入りしたら、3年酢飯も触れない、ずっと職人の仕事を後ろで見ている。私は新人にはそういう風に接していますが、3年もかからないです。わかったことを確認したら、わかったなりの仕事をお任せするようにしています。

例え議事録を書くとしても、結構いろんなことをわかってからじゃないと正確に書けないですし、正確に書けないなら議事録なんて書く意味ないと思います。

できないことをやらせたら自信を失うだけです。

 

そもそも会議によるプロジェクトマネジメントが嫌い

そもそも進捗会議が嫌いなんですよね。

BackLogだったら最新の進捗が見える化しているのに、なぜ会議参加者一人一人に進捗を聴いていって、時間を浪費させるのか・・。

A氏、B氏、C氏、D氏の4名がプロジェクトメンバーだとすると、仕事の種類は、

・A、B、C、D
・A+B、A+C、A+D、B+C、B+D、C+D
・A+B+C、A+B+D、B+C+D
・A+B+C+D

最大でこんな仕事の組み合わせができて、例えばBさんは、A+CとかC+Dには関係ないわけです。

しかも、議事録を書こうとすると、上記を並列に書くので、何をやるんだか全員で混乱するということになります。

私はこういう会議でいつもストレスをためていたので、イニシアティブを取った今はそもそも会議を消しています。BackLogで交通整理すれば、自分のタスクだけが見えるようになりますし、必要に応じて人のプロセスも確認できます。

 

BackLog管理は宇宙一厳しく

ということで、そこまでBackLogにすべてを委ねるので、BackLogでオープンしているスレッドは相当神経質に厳しく管理しています。動きがあったらメールを自動通知し、スマートフォンで通知するようにして迅速に対応します。期限越えなんてもってのほか。仕事放棄です。また、勝手に期限を延ばすのも無し。すべてがスマートに物事を進めれば、だんだんオープンしているスレッドが減り、最後は全て完了です。

そして、物事のプロセスが全部見える化し、検索ができるのでナレッジマネジメントにもなります。言った言わないも一切起きません。

メールも電話も会議も減り・・。私の生産性の源泉になっています。

もし、大小のプロジェクトマネジメントでお悩みであれば、BackLogを使ってみてください。素敵なツールです。

 

追記

具体的な利用方法を補足しました。

www.orangeitems.com

 

Oracle JDKのライセンスは【Java 8も含め】2019年4月16日にリリースされる新元号対応新バージョンより変更されます

f:id:orangeitems:20190417104001j:plain

 

Oracle JDK 8のライセンスが変わった!

Oracle JDKのライセンス問題、新しい動きです。

US Oracleのページにこんな文言が。

 

f:id:orangeitems:20190417102210p:plainhttps://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

 

訳します。

重要なOracle JDKライセンスアップデート

2019年4月16日以降のリリースでは、Oracle JDKライセンスが変更されました。

Oracle Java SE用の新しいOracle Technology Networkライセンス契約は、以前のOracle JDKライセンスとは大きく異なります。新しいライセンスでは、個人使用や開発使用などの特定の使用が無料で許可されています。ただし、以前のOracle JDKライセンスで許可されている他の使用は使用できなくなる可能性があります。この製品をダウンロードして使用する前に、条件をよくお読みください。 FAQがここにあります。

低価格のJava SE Subscriptionで商用ライセンスとサポートを利用できます。

オラクルはまた、jdk.java.netでオープンソースGPLライセンスの下で最新のOpenJDKリリースを提供します。

 

この新しい、「Oracle Technology Network License Agreement for Oracle Java SE」って、以前下記でお話ししました。

 

www.orangeitems.com

 

11から変わったと思いきや、2019/4/16にリリースされたOracle Java 8u211から適用とのこと。

こちら、ダウンロードして使うのは「個人利用や開発利用のみ」ですよ。

 

絶妙なタイミング

今回のアップデート、普通のセキュリティーアップデートではありません。

 

blogs.oracle.com

After the new era name is released, with the next update release (planned for April 16, 2019), all supported JDK releases: 7, 8, 11 LTS, and 12 will be updated to handle the new era.

 

令和への元号対応です。

既存の商用システムで、このアップデートを実施して完了としようとしたプロジェクトはありませんか?

Java SEサブスクリプションを契約しないと、明確な契約違反です。

 

www.orangeitems.com

 

まとめ

このOracleのJavaに対するライセンス変更は、去年からさんざん言われていたことです。

 

www.orangeitems.com

 

有償アップデート化の切れ目が、元号変更と重なってしまいましたね。

アップデートを当てないならばライセンス違反にはなりませんが、セキュリティーホールとはなりますし元号対応もできません。

さて、これまで放置されていたシステムがどうするのか‥見ものです。

 

システムエンジニア正社員の残業は生産性が高い(釣りタイトル)

f:id:orangeitems:20190416233501j:plain

 

※この記事のタイトルについては

「女々しくて」の著作権者は鬼龍院翔氏ではありません(釣りタイトル)(栗原潔) - 個人 - Yahoo!ニュース

から触発されたもので、「(釣りタイトル)」というキーワードを使って記事を書いてみたくなりました。

 

システムエンジニア正社員の給与と残業代

さて、システムエンジニア正社員。平均給与はおいくらぐらいかと思いますか?

 

www.creativevillage.ne.jp

統計データによると、SEの平均年収は550.8万円となっています。
全体の平均年収が454.5万円なので、SEの年収は比較的高い水準にあります。

過去5年間の推移を見ても、500万円を超える高い水準をキープしていることが分かります。

 

ということで550万円だそうです。ちなみに残業代込みかと思いますので、残業代を仮に60万としましょうか。月5万円です。

さて、そうすると基本給は490万円ぐらいでしょうか。ボーナスが4か月とすると月給は16で割って・・30万6千円くらいになります。

手取り計算とはなりますが、月30万ちょっとが基本給、残業が月5万くらい、ボーナスが夏・冬合わせて122万4千円くらい・・、これがごくごく平均的なシステムエンジニアのお給料となります。※手当は面倒なので省いてあります。

 

時給換算すると

さて、この平均的なお給料を頂いているシステムエンジニアの残業代の「時給」っておいくらだと思いますか?

 

enjin-classaction.com

基本給 300,000円 ----->>>時給2,344円

 

なんと、時給2,344円なんです。月5万とすると、21時間分の残業。残業時間もなんとなく「普通」という感じ。

 

東京の最低時給は985円。なのに、システムエンジニアは2,344円もらえるんです。

私、まだ残業代がまだもらえていたころに、この違和感を強ーく感じたことがあります。「なんと残業とはお金がもらえるんだろう!?」と。あのバイトやあのバイトと比べてもコスパ良すぎ!。

極論言えば、少し怠けて30分や1時間くらい残って仕事すると、すごく給料が増えるということです。社会人になって、その残業代の価値に驚いた記憶が十数年ほど前にあります。特に長時間労働に巻き込まれたときの給与の伸びがすごかった。翌年に、名ばかり管理職待遇になって残業なくなって、手取り減ったけどね!。

 

ということで、正社員の残業というのは正社員本人にとっては生産性が高い、ということです。会社全体からすれば生産性を下げる要因だと思います。昔、尊敬していた顧客の方に「30分残業するぐらいの仕事なら、明日定時間内にやれるだろう!」と言われたことがあって、なるほどなあと思ったことがありました。確かに、仕事の効率を工夫すれば、8時間30分を8時間に収めることはできそうな気がしました。15分や30分の残業は、甘え。確かにそうかも。もしかしたら小銭稼ぎをしているかもしれない。

でも、残業を減らすと会社の生産性は高くなるけど、私個人としては残業したほうが、より多く生産でできるんだよなあ(給料をもらえる)と。

特に、SES契約で超過時間分は時給換算で顧客からお金がもっともらえたので、会社も損しない。

結論、システムエンジニア正社員は、残業するほうが(自分にとって)生産性が高くなる、でした。

※顧客の生産性は低下するので、釣りタイトルですね。

※残業代の出ない管理職待遇になると、もはや1秒も残業したくなくなるし、しない。

 

企業が残業させない方向に舵を切ったのは、法律が原因

ちなみに、企業が残業をさせない方向に動き始めたのは、残業時間の割増率改正案が2015年に発表されたことが変わり目だと思っています。

 

worklifefun.net

平成22年の労働基準法改正では、この1.5倍の残業代について、中小企業は免除されていました。

(中略)

今回の労働基準法改正では、この規定を削除することで、中小企業も大企業と同じように、1か月60時間を超えた時間外労働があった場合は、1.5倍以上で残業代の計算をしなければならないということです。

残業代1.5倍になるのはいつから?

今回発表された方針によると、施行は「平成31年4月から」となっています。

つまり4年後です。4年後というと随分先のように感じるかもしれませんが、それまでに月60時間以上の残業を行っている中小企業は、時間をかけて残業時間を減らしておかないと、残業代が増えることになりますよとメッセージを送っているとも見えますね。

 

あら、平成31年4月って今じゃないですか。ということですね。中小企業は正社員の残業時間のコスパが良くなりすぎて、「そんな残業してもらったらまわらんやろ」ということで、時短ハラスメントが発生したということ・・。

そして、その足りなくなった工数を、受入れ外国人を含む非正規雇用で補うという絵は、本当にうまくいくのかなあ・・。

まあ、後は、こんなに金のかかる正社員は減る方向に行く・・これも自明の理。しかも、年功序列で給与が上がってしまった45歳以上も残業代高いし・・ということでリストラ開始。

 

働き方改革、というより働かせ方改革、と言う言葉の方がふさわしいかもしれませんね。

 

ブラック企業が中高年引きこもりを引き起こしたという説の現場を見たことがある

f:id:orangeitems:20190416125448j:plain

 

中高年引きこもりは、ブラック企業が引き起こした

中高年引きこもりが社会問題化していますが、その原因はブラック企業にあったのではないかという説です。

 

news.yahoo.co.jp

長時間労働・低賃金の働き方が蔓延する日本社会では、たとえそれらが違法な水準であったとしても、多くの人びとが未払い残業代の請求などの正当な権利を行使することができず、「我慢」して働いている。

 その結果、過酷な働き方が「標準」になってしてしまっているのだ。それどころか、異常な「標準」に耐えることが正しいこととされ、心身の健康を損なうまで働き続けてしまう人が後を絶たない。

 そして過酷な労働に耐えられなかった人たちに対して、「異常者」/「障害者」/「病気」などのレッテルが貼られる。

 こうして、自分は「社会不適格者」なのではないか、「どこにいっても上手くいかないのではないか」と自分を責め続け、社会に戻ることが難しくなっていく。

 

この話、実際に同様の状況を見たことがあるので、かなりの説得力を感じました。私の体験をシェアします。

 

私の経験から

今はブラック企業という言葉も一般化し、異常な勤務環境であると気が付きやすくなっていると思います。

しかし、2000年~2010年くらいまでのIT業界は本当にひどいものでした。

ブラック企業、なんてわかりやすい構造ではなく、ブラック偽装請負がはびこっていました。キーワードはSES(SEサポート)という契約形態です。

顧客のオフィスに常駐するのですが、派遣契約と違い顧客と直接の指揮系統は結びません。技術をサービスとして提供する、の体を取るので、顧客は常駐しているSEの勤怠を管理しなくてもよいのです。

ただ、しなくてもよい、のであって都合よく顧客は勤務時間を報告させていました。少しでも勤怠が優れないようだとすぐに自社の営業を呼びつけて長時間の説教です。直接指示はできない前提なので、遠まわしにクレームを入れているつもりでしょうが、かなりのプレッシャーを受けることになります。

この体系で数十人が顧客のオフィスに常駐していたのですが、 あるメンバーの勤務表を見て驚きました。残業が200時間を超えているのです。勤務時間ではありません。残業時間です。

・毎日6時間残業(終電ダッシュ)
・土曜あるいは日曜に休日出勤15時間

平日が22日、土日が8日だとして、22 x 6 + 4 x 15 = 132 + 60 = 192時間。

これでも200時間いかないのに、彼は超えていたのです。

こんな激務、誰が責任を取るのでしょうか。彼は実は自社の社員ではなく、自社の下請けでした。自社と下請けの会社もSES契約であったので、もはや自社の営業も顧客からクレームは受けても200時間の彼には直接指導できません。下請けの営業に伝えるだけです。

これが多重請負・偽装請負と言われる問題の本質で、実際に誰も責任を取らない野戦場と傭兵の集まりでした。しかもITの最先端であるデータセンターの中で起こっていたのです。

私と200時間の彼はそれぞれ顧客の別部署に配置されていたので直接手を出せず、どうにかならんのかと彼に直接会話してみたものの、どうにもならんと。また、大変じゃないのかと聞いたけれども、大変だけど大丈夫ですと。自分の会社は何も言ってこないのかと聞くと、そもそも残業代が出ませんと言われました。

もう、すべてがめちゃくちゃであり、200時間の彼はおそらく悩む時間も与えられなかったと思います。私はリーマンショック絡みで早めに撤退したので彼はどうなったのかわからないのですが、まだその時彼は若かった。若さで乗り切っていたようにしか見えません。彼は非常に素直で、従順な戦士でした。

しかもSES契約、顧客とは月間労働時間の超過分は別途精算することになっていました。だから、200時間分の残業代はそのまま支払われ、自社や下請けの売上に加算されるのです。しかし、末端の彼の会社からは残業代は支払われない。

同じ現場で、ある朝出勤してみると、救急車が止まっていました。存じ上げないSEが通路で横になっていて、人だかりができていて、救急隊員が担架で運び出すところでした。朝、顧客の社員が出社したらもう倒れていたそうです。

命には別条はなかったと聞いているのですが、救急隊員が去った後、何事もなかったかのように皆、いつ終わるかわからない仕事を始めたのが印象的でした。

そんな狂った現場が、たくさん、たくさんあったんです。まだ仕事に就けるだけありがたいだろう、と。

その時流行した言葉が「自己責任」でした。現場を選んだのは自分。その現場から逃げないのも自分。その現場を楽にできないのも自分。・・。

顧客が悪だとは言いますが、顧客の社員も同じような勤務状況でした。みんな、みんな狂っていたと思います。

 

長時間労働は人を狂わせる

昨日書いた記事でも指摘しました。

 

www.orangeitems.com

 

かの中国ですら、996.ICUです。毎日午前9時~午後9時、週6日勤務を続けると、ICU行きになる、と。もっとひどい状態だった2000~2010年のころに、ぼろ雑巾のように使われたSES戦士たちは、たくさん働けない状態になっているのではないかと直感的に思いました。

たまたま私に被弾しなかっただけだな・・と思った次第です。

 

追記

続編です。

www.orangeitems.com

 

RPAソフトウェアのUiPathには公式無料eラーニングがある

f:id:orangeitems:20190416001509j:plain

 

UiPathを身に着けるためのショートカットパス

先日、RPAの勉強としてUiPathを試用し始めたという記事を書きました。

 

www.orangeitems.com

 

繰り返しになりますが、Community Editionなら無償で利用できます。Windowsにスルっとインストールできすぐ勉強が始められます。

ただ、勉強するには本を買うしかないかなーと思っていた矢先、UiPath Japanのテクニカルサポート部の公式ツイッターからコメントを頂きました。

 

 

そりゃいいなあ、ということで、オンライン学習サイトが利用できるまでをまとめておきます。

 

UiPath Academy登録方法

1)Webブラウザで下記URLを開く

https://academy.uipath.com/learn

 

2)右上の言語を「Japanese」に変更し、日本語化する。

f:id:orangeitems:20190415234922p:plain

 

3)画面中央のログイン画面にて、下部の「登録する」をクリックする。

f:id:orangeitems:20190415235113p:plain

 

4)登録画面に移ります。ユーザー名、姓名、メールアドレス、パスワード、言語(Japanese)を入力してください。またチェックボックスにチェックを付けてください。

f:id:orangeitems:20190415235421p:plain

 

5)スクロールし、下部の「次へ」をクリックします。

f:id:orangeitems:20190415235553j:plain

 

6)最後のステップです。

・「Coutry」は「JAPAN」
・「雇用形態」は該当する選択肢。
・「Company」は会社名
・「言語を選択」は「日本語」
・「If you are interested in recieving notifications~」は「はい」(新しくオンライン研修が追加されたら、お知らせを受け取りますか?、と言う意味です)

そこまで入力したら「登録する」をクリックしてください。

f:id:orangeitems:20190415235804p:plain

 

7)確認メールが送付されます。

f:id:orangeitems:20190416000147p:plain

 

8)メールが届きます。「こちら」をクリックしましょう。

f:id:orangeitems:20190416000339j:plain

 

9)登録完了です。WEBブラウザが開き、褒められます。

f:id:orangeitems:20190416000423j:plain

あとは、作成したアカウントでサインインし、勉強を始めましょう。

 

良さそう

まだ始めてませんが・・、

f:id:orangeitems:20190416000835j:plain

基礎、を見るだけでも十分勉強になる気がします。

無料で上級までトレーニング開放しているとは恐れ入ります。

ある程度進めたらまたレポートしたいと思います。

とにかく先に知っておくが勝ち、という気がします。