ブラックリストとホワイトリスト。

ルチアーノショー寄稿ブログ

こんな記事を見た。

将来のエンジニア不足を回避するための子ども向け小型コンピューター「Micro Bit」
http://gigazine.net/news/20150708-micro-bit/


大英帝国は、なかなか勢いづいておりますな。
日本は今のところ大した資源がないので、農業国に戻る決意がないのであれば、いっそ頭脳戦に持ち込みたいところ。

記事によると、2020年には140万人のプログラマーが必要で、今のままだと2020年のプログラマー人口は約40万人程度であり、アメリカだけでも約100万人のプログラマーが不足すると予測されているらしい。
※「Micro Bit」はイギリス国営放送BBCが開発中で、統計はアメリカのものが記載されている。

オバマ大統領は、アメリカ国民に向けて「コンピューターサイエンスを学ぶことはあなただけでなく国の将来にとって重要なこと」と語りかけ、
という点が印象深い。

これからのちびっ子は、とりあえずパイソン(Python)で入門し、小学生くらいでPHPSQLでWEBサービスが動かせるようになって、中学生でネットワークプロトコルを、高校で暗号学を、大学でシギントを学ぶという流れができれば、将来が明るいんじゃなかろうか。

“天才”にはギフテッド教育を取り入れ、より一層(上方向への)“振れ幅”を柔軟に吸収してあげられるとなお良い。

/*
与えられた能力は存分に発揮することこそが最大の感謝ではなかろうか。出し惜しみしたり押さえつけたりするのは、買うだけ買って使わずじまいの宝の持ち腐れに似ている。
そう考えたら頭脳しかり、足が速いとか、美人とかハンサムとか、スタイルがいいというのも与えられたギフトの1つだと思う。
*/

あとは英語さえできれば、国内で仕事がなくとも世界中のどこかで「日本人エンジニア」というだけで歓迎される。
※「日本人」ブランドは東南アジアだけじゃなく、東欧諸国でも名高い。

生粋のC言語ソフトウェアプログラマを目指すにしても、WEBサービスの運用は直接利用者(消費者)からのフィードバックが得られ勉強になるため、中学校・高校あたりでショッピングサイトやちょっとした掲示板の運用などを実習に取り込むと効果的だろう。
アメリカで言うと子供達に「経営ごっこ」をさせて相場や価値を学ばせる感じ。
料理人で言うならば、厨房で作り上げてホールスタッフが運ぶのと、カウンター越しにお客さんの目の前で仕上げ、自分の手で料理を提供する違いに似ている。態度が気に入らないとか、話がつまらないとか、もっとイケメンいないの?とか(笑)、キッチンの中にいれば言われなくて済むような専門外のことまで言われることもある。
最終的にどっちのスタイルにするかはその人の好みだが、プログラマーにおいてもナルシストエンジニアにならないように、一度は自らサービスを提供することが望ましい。そうすればお客さんだけでなく営業職が望むことも理解できるようになり、結果として自分自身も組織の中で仕事しやすくなるはずだ。
ってことを、中学校あたりから教えてもいいんじゃないかと私は思う。そうすれば、成績が良かったのに稼げない、IQが高いのに出世しないという人達も減るに違いない。

f0337316_14105283.jpg
自宅のフレンチ・マリーゴールド。

ちょっと話は飛んで、日本は憲法9条によって戦争は放棄し、永世中立国という立場をとっている。
サイバーアタックについてはどうだろう。
「サイバー戦争」という言葉もあるように、例えば米軍は国家を脅かすサイバーアタックは戦争と見なし、物理的報復(武力による)を行うことをほのめかしている。
「ネットワークに侵入したらミサイルが飛んできちゃった」は代償が高くつく。ある種の「抑止力」という考え方だろう。
ただしサイバーアタックはほとんどの場合、世界中のゾンビサーバーを経由して行われるため、単純に発信元IPアドレスの拠点にミサイルを撃ち込めばいいというものでもない。

日本も、永世中立国だからといって、国民の情報が根こそぎ持って行かれるのをただ指をくわえて眺めているわけにはいかない(はず)。
しかしサイバーアタックを「戦争」として見なすのならば、日本は反撃はできず、ひたすらに防御に徹するしかない。
この「防衛」を自衛隊の管轄にしてしまうと、より9条の適用を受けやすいので、日本においては警察庁(など自衛隊以外の組織)の管轄にし、サイバーアタックは戦争とは“別枠”として、必要に応じて反撃を許可する構えにした方が良いと思う。

※そもそも9条自体がどうなるのか不明だが。

/*
国外の敵と国内の敵の管轄をわける必要があるなら、FBI(米国内)とCIA(米国外)、MI5(英国内)とMI6(英国外)といったように、日本も外務省・内務省に諜報・シギント専門部署があってもいいんじゃなかろうか。
*/


なぜならネットワークの防衛には限界があり、相手が自主的にやめない限り、目的が達成されるまで機械的に永遠と繰り返されるから。従来の武力戦のように「体力の消耗」とか「燃料切れ」という終わりがないので、守っているだけでは守り切れない。
例え侵入されなかったとしても、その間ネットワークが麻痺し、メールやWEBサーバーの接続遅延などが生じ(例えば買い物ができないなど)、当事者以外にも多大な損失と迷惑がかかるため人ごとではない。

オバマ大統領の言う「国の将来にとって重要なこと」とは、その辺のことも含めてだろうと受け止めている。

だからこそ中学生くらいから徹底教育しておけば、“技術”で国防に貢献できるかもしれない。

f0337316_14105255.jpg
久しぶりに蝶ネクタイを締めた。

サイバーアタックがどのくらい手強いかと言うと、05月から騒がせている、日本年金機構から125万件の情報が漏えいしたというニュース。
ニュースを読んでいる限り、職員の不手際(うっかり変な添付ファイル開いちゃった)が全てだと私は思うが、一方でセキュリティ各社からは、近年もう「限界」の声も出始めている。

「アンチウイルスソフトは死んだ」とノートンで有名なシマンテック幹部が告白、半分以上の攻撃を検知できず
http://gigazine.net/news/20140507-antivirus-software-is-dead/


現在のアンチウイルスはブラックリスト方式だ。
基本は全員許可だけど、変な人を見つけたら拒否リストに入れるというやり方。
よって「変な人」は最低でも1回は変なことができる。
「変な人」と認定されるまでブラックリストには載らないし、載るまでは一般人であるという点が問題。
例えるならショッピングモールだ。
潜在的に「問題」(犯人)が潜伏しているということになる。
未知の問題を防ぐことはできず、サンプルを必要とするため、この方式によるアンチウイルスは1人以上の犠牲者・被害者・感染者がいなければならない。医療用ワクチンの開発に似ている

一方でホワイトリストとはその反対で、基本は全員拒否だけど、許可する人のリストを作るという考え方。
リストに載っていない人は最初から入れないので、問題が起きるとすれば「ホワイトリストの中に名前のある人」という絞り込みができる。
当然、他にも「 いい人」がいればホワイトリストに追加することができるし、削除することもできる。ある種「会員制クラブ」のようなもの。
外部で未知の問題が起きても、初めからリストに載っていないのでまさしく「蚊帳の外」だ。
よって「世界初のウイルス」が届いても、リストに名前がないので、無条件に却下される。

では、さっさとホワイトリスト方式にしたら?
と言いたいところ。

ファイヤーウォール(ネットワーク接続の許可・不許可をする装置、またはソフトウェア)の世界では、既にホワイトリスト方式は一般的だ。
基本的に外部(グローバル)からの接続は全拒否指定し、WEB(80)やSMTP(25)など必要なポートのみを解放する。データベースなど守るべき顧客情報は内部(ローカル=LAN側)からしかアクセスできないようにしているケースが多い。

ウイルス対策もそうすればいいじゃない。
確かにそうなんだけども、それがなかなか難しい。

メールの添付ファイルには主に写真やエクセル、ワード、PDFなどのファイルなどがある。
拡張子を見れば、.jpgや.xlsx、.docx、.pdfなどパッと見問題なくても、ウイルスとは拡張子を偽っているケースが多い。
そこでアンチウイルスの出番だ。メールが届いた時点で添付ファイルを自動スキャンし、ウイルス定義リスト(これがブラックリスト)に載っている形式であればウイルスとして断定し警告を表示(更には検疫、除染)する。
問題は、このブラックリストに載っていない未知のウイルスだった場合。

前述の「アンチウイルスソフトは死んだ」というのは、初めてのウイルスや攻撃手法に対応できないことを指している。

そこで、エンジニアを呼びつけ、「おい、エンジニア。このファイルは開いて大丈夫なのか」と聞いてみる。
「いや、そんなのわからないっすよ。何かで中身を覗いてみないことには。拡張子的にはJPEGっすけどね」
「理屈はいいから、早くやれ。クライアントが待ってる」
「あっ、はい」
的な。

エンジニアはマクロなのかバイナリ実行形式なのか、とりあえずは添付ファイルを実行(起動)させない方法で中身を覗き(爆弾処理班がまずはロボットとスコープで構造を覗くのに似ている)、怪しげだと判断すればそう伝えるだろう。
全員が素直に従えば最低限の水準は保てるが、今回の日本年金機構の問題でも同じく、「業務の都合」による合理化の中で、本来の確認手順が省略されてしまうということは、日常的によくあることだ。

※下記記事「3」に詳しい。

日本年金機構の情報漏えい事例から、我々が学ぶべきこと
http://blog.trendmicro.co.jp/archives/11682


未知の問題には、こうして人間の眼による判断が必要となり、例えホワイトリスト方式にしたとしても、リストに加える・加えないは担当エンジニアが判断することになる。

では、エンジニアが休みの日はどうだろう。
添付ファイルを開く・開かないの判断さえできない。
※ここでまさしく「業務の都合」による手順の省略が生じかねない。

ここ数年、私が懸念しているのはこの点だ。
情報の出入りの許可証を発行するのが、オーナーや役員、管理職ではなく、担当エンジニアであるという点。

ちょっと角度を変えた例え方をすると、「役員は金庫の開け方知らなくていいから、アンタ覚えて」的な。

もちろん技術に明るいオーナー、役員、管理職の会社は問題ないが、「俺が解らないからお前を雇ってんだ」的な会社だと、場合によっては全てを乗っ取られる可能性さえ秘めている。
何かあった時に、全責任を押しつけるのには都合がいいが、何もない時に何かが起きていることを判別・調査する方法(能力)がないまま先に進むのは危なくないだろうか。Wi-Fiのセキュリティのように、エンジニアは全部覗こうと思えば3分もあれば十分なのだし。

f0337316_14105188.jpg
黄色、オレンジ、フレーム(縁取りのあるもの)の3種を育てている。


ハッシュ値の有効性 ITに疎い裁判官が起こした問題 (1/2)
http://www.itmedia.co.jp/enterprise/articles/1109/10/news001.html


上記の記事は、裁判官も技術に疎いと有罪・無罪の判決さえ間違えかねないという事例。
もはや何を罰し、何を無実とするかをジャッジすべき能力を有していない印象だ。

物事の善悪を判断するにもそれなりの知識と頭脳が必要になった。
より複雑な時代になったなと思う今日この頃。

この15年、「優秀なプログラマー・エンジニアを雇いたいんですけど、優秀かどうか判断する能力がなくて。何かいいテストとかあります?」という話をよく聞いた。確かに自分が同等以上の能力を持っていなければ、相手の能力を評価するのは難しい。
最近では公の問題を公に解いてみせ、その得点をプロフィールに公表するという“検定n級”的な仕組みもあるようで、評価しやすさという意味ではずいぶん前進したが、それ以上に重要なのは、組織の基幹に入り込む職種なので、人間性や精神面での適性検査も整備した方が良いと私は思う。

軍人の士官テストにIQテストや精神鑑定を行うように。
例えば、戦争に行けばどんなに訓練を積んだ軍人でもPTSDになりうるが、特殊部隊員はPTSDにそもそもなり得ない精神の持ち主であると判定された結果選ばれると聞く。

Wi-Fiアンテナの設置1つ任せるにしても、もし目の前に、大金となりうる情報が転がり込んできた場合に、適切かつ道徳的・倫理的な判断ができるエンジニアかどうか。
結局のところ最後は人間性ですな。

f0337316_14125744.jpg
“サファリ”というシリーズ。これが一番好き。炎天下の中撮った。


そして、どれだけ規定を整備してもこんな人もいる(笑)。

ヒラリー・クリントン氏の電子メール問題、知っておくべき5項目
http://jp.wsj.com/articles/SB11167655035836774773204580497364140217380


NSAやCIAも頭が痛いでしょうな。
「どこから漏れたんだ!中国からのサイバーアタックか?内通者か?」と調査が始まると、「前国務長官の私的メールからでした!」「よし、わかった」黒マジックで塗りつぶし)的な。

パソコンも携帯電話もなかった年代の人なので、ついうっかりというところなのでしょうな。
「いいじゃない、これくらい」的な。


そんな本日のBGMは、Short Change Hero by The Heavy
英語ができない私は歌詞はわからないが「続・夕日のガンマン」を想わせる雰囲気のある曲だ。


次回はうって変わって『ダイエットってそんなに大変なんですか』をお届けしたい。

■本日のリンク
年金機構感染のウイルスは「バックドア型」 昨年、大手企業や衆院議員も標的に (1/2)
http://www.itmedia.co.jp/news/articles/1506/03/news058.html

年金情報流出:遮断遅れ感染拡大 新種ウイルス検知できず
http://mainichi.jp/shimen/news/20150602ddm002040077000c.html

東芝、理論上“盗聴が不可能”な量子暗号通信システムの実証実験を開始
http://pc.watch.impress.co.jp/docs/news/20150618_707679.html

「1兆の500乗」通りから瞬時に実用解を導く半導体コンピュータ、日立が開発 量子コンピュータに匹敵
http://www.itmedia.co.jp/news/articles/1502/23/news119.html?fb_action_ids=1877153995842571&fb_action_types=og.likes

従来の1000倍の処理速度を持つ新型メモリーをIntelとマイクロンが生産開始
http://gigazine.net/news/20150729-intel-micron-breakthrough-memory/?fb_action_ids=1876891772535460&fb_action_types=og.likes

IBMが10nm世代を飛び越えて7nmプロセスの半導体チップ試作に成功しムーアの法則が堅持される見込み
http://gigazine.net/news/20150710-ibm-7nm-chip/

Photographer&Engineer: Charlie

Homepage
Facebook
Twitter
Instagram
ルチアーノショーで働くスタッフのブログ
専属カメラマン☆チャーリーの寄稿ブログ(過去ログ)
専属カメラマン★チャーリーの部屋(過去ログ)

ルチアーノショー
TEL : 03-3531-4851

by charlie-ls | 2015-08-06 16:39 | 【赤坂】ルチアーノショー寄稿ブログ

カメラマン☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31