投稿日:2007年10月31日 作成者:yasunaka
セキュリティの話、第2弾です。昨日は自由を奪うように思えるセキュリティも、実は場合によっては逆に新しい自由を作り出す場合もある、という話をしました。今日はそのケーススタディです。お題は「crossnote」のケースです。(なんだ結局それか、という声が聞こえてきますが :grin:、具体例で考えるならば一番手っ取り早い教材なので、ご了承ください)
crossnoteについてマーケッティングしてみると、セキュリティ面についてのメリットに反応する人が多いのですが、しかし一方で、どのような場面でそれが有効になるのかが、いまいちピンとこない人も多いようです。そもそもプロジェクト開発において、どんな場合にセキュリティを向上させていいことがあるのかわからない、という意見です。
ではこれを能動的(アクティブ)なセキュリティの考え方をしてみると、こんなことが言えるのではないでしょうか? 例えば、次のような例はどうでしょうか?
1.持ち帰り開発が可能になるセキュリティ
日本でシステムの受託開発をしている場合、持ち帰り開発が許されていないケースというのも多いのではないでしょうか? つまり発注元が用意したシステム開発ルームでの作業を強制されるケースです。持ち帰り開発が許されていないというのは、セキュリティ上の問題が絡んでいると思います。
でも実はこのやり方は、委託側にとっても受託側にとっても不経済な方法です。委託側はシステム開発のためのスペースや環境を用意しなければなりません。また出入りする人が大量に増えることにも気を配らなければなりません。受託側にしても、人員を機動的・効率的に配置する上で持ち帰り開発を望むところは多いはずです。
もしセキュリティを向上させる仕組みにより、この持ち帰り開発ができるようになったなら、これはすばらしいことではないでしょうか?
2.在宅勤務を可能とするセキュリティ
これも1と同じような話ですね。セキュリティ的な問題をクリアしておかないと、在宅勤務というのは認めにくいと思います。
もしセキュリティを向上されることにより、在宅勤務が可能になったら、すばらしいことではないでしょうか?
他にもあるかもしれませんが、こういった、今まではセキュリティ上の理由から出来なかったことが、セキュリティを高めることによってできるようになる、という能動的(アクティブ)なセキュリティの考え方がこれからは重要だと考えます。
投稿日:2007年10月30日 作成者:yasunaka
秋ですね。今日もいい天気です。
投稿日:2007年10月30日 作成者:yasunaka
セキュリティは重要だ、ということはみなさん頭ではわかっていると思います。でも実際にセキュリティに縛られる立場になると、あれはだめ、これもだめと、窮屈で、自由をうばられるもの、というイメージがありませんか?
一般にセキュリティを高めると自由度が奪われる方向にあるのは事実だと思います。ただし、場合によってはセキュリティを高めることによって逆に、いままで出来なかったことが出来るようになる場合もあるのではないかと最近気づきました。つまり、セキュリティ上の理由からあることが出来なかった場合、そのリスクを払拭するセキュリティの仕組みを実現できれば、今まで出来なかったことが出来るようになる、という話です。
例えば、ノートPCを持ち歩くことができるのは、セキュリティの仕組みをきちんと備えているから、とは考えられないでしょうか? いいや、昔はハードディスク・パスワードも掛けずにノートPCを持ち歩いていたよ、という意見もあると思いますが、それは本来認識すべきリスクに対して目をつぶっていた、というだけだと思います。
裸の王様は、一度自分が裸であるということを知ってしまった後は、もう裸のまま外を歩けませんよね。でもちゃんと着衣という一種のセキュリティを身にまとうことによって、また外出できるようになるのです。
セキュリティというと、どうも窮屈なイメージでしか捉えられない場合には、ぜひこのように、セキュリティによって逆に出来ないことが出来るようになっているのだ、と考えてみると良いのではないでしょうか? 受身(パッシブ)のセキュリティではなく、能動的(アクティブ)なセキュリティの考え方が、世の中を変えていくのだと私は思います。
投稿日:2007年10月29日 作成者:yasunaka
先日、会社と社員の関係ってどんなものなんだろう、と考えさせられる体験をしました。あまり詳しくは述べませんが、ある商品を買う際に感じたことです。
個人用のある商品を購入した際、その商品の営業マンの不手際のために、ちょっとしたドタバタがあったんです。その営業マンの方自身は良くやってくださっていたのですが、如何せん、手際が悪かったのですね。その上、基本的な部分で間違いをしていて、そのために何度も契約しなおす羽目になったり、あちこちに確認の電話を入れる羽目になったり、時間を食われたり、となってしまったのです。
ちなみにその営業マンはまだ新人さんのようでした。
結果としてはその営業マンを責める話かもしれないのですが、そこでふと思ったのは、そういう事態をその会社は、会社として予めリスクとして認識し、うまくコントロールすべきだったのではないか? ということです。
その営業マンの人は自分のミスをなんとか自分の中だけで処理しようとしていたようなのです。しかし、やっぱりミスは個人の責任ではなく、会社の責任として処理するような仕組みにしておかなければならないはずです。
つまり、こういう事態が発生したら必ずエスカレーションすること、などといった規則を予め決めておいて、問題が発生したら必ず上司に連絡を入れ、皆で問題をシェアし、解決策を確認する。非常に当たり前のことなのですが、この教育がきちんと出来ていないことが問題だと思ったのです。
昔はビジネスマンになったら最初に「ホウレンソウ(報告、連絡、相談)」の原則を習ったと思うのですが、今はどうなんでしょうか? 今一度、噛み締めてみると良い言葉ではないでしょうか?
投稿日:2007年10月26日 作成者:yasunaka
いまや誰でも当たり前のようにネットでお買い物する時代になってきました。Webでお買い物をする場合、個人情報やクレジットカード番号などの重要な情報をやり取りする場面ではSSLの仕組みを使って暗号化していますが、この仕組みが利用しているサーバ証明書ってどの程度信用できるものなのでしょうか?
つまり、Webブラウザ上でお金を振り込もうとしている相手が、本当に自分が想定している相手と同一であるということが、果たしてサーバ証明書で証明できるものなのでしょうか?
サーバ証明書を発行する場合でもいろいろとやり方があるようで、厳格に審査を経た上で発行されるものもあるようですが、あまり厳格なチェックを経ずに発行されるやり方もあるようです。商法が改正されて商号が比較的自由になった現在、相手を認証するための仕組みとしてはあまり信用してはいけない情報になっているように思えます。
一方で、一般のユーザは、とりあえずURLがhttps://で始まっていれば安心と思い込んでいる人が多いのではないでしょうか? https://で始まっているということは、通信がSSLにより暗号化されているため、第3者に盗み見されないということは言えます。でも通信している相手が本当に想定している相手かどうかを保障しているとは言い難い、というわけです。でも、このことを理解しているユーザは少ないのではないでしょうか?
どの会社の発行した、どのようなタイプの証明書だから信頼できる、なんてことを一般のユーザは理解していないと思いますし、インフラなのにも関わらず、いちいちそんなことをチェックしないと使えない仕組みというのも何か変です。
こういった部分にこそ、公的機関が監査できるような法整備がなされるべきだと思うのですが… 皆さんどう思いますか?
投稿日:2007年10月25日 作成者:yasunaka
私のもっとも嫌いなものの1つ、それがこの「権威主義」です。なぜならば、私自身が今まで、だいぶこれでいやな思いをしてきたからです。
権威主義の元では、ベンチャーは活躍する場がありません。(権威のあるベンチャーがいれば話は別ですが) どんなに技術的な、もしくは専門的な能力では負けないと自負があったとしても、この権威主義の前では何のアドバンテージにもならないからです。
でも世の中には意外と権威主義的な人って多いですよね。例えば、超有名メーカーから派遣されてきた人達のいうことはホイホイ聞くのに、そうでない立場の人に対してはやたら懐疑的・否定的な人。私はいままでそういう経験をしたことが何度かあります。ちなみにそういうケースに限って、その超有名メーカーから派遣されてきた人達が明らかに勉強不足で、トンチンカンなことを言っていたりする場合があって、あぜんとすることがありました。
私自身が以前は大手企業(?)側で働いていた人間だったのですが、そこから逆にベンチャー側に移ったときに、ああ、こういう風に人のことを見ている人がいるんだ、と強く感じたものです。
権威主義の人というは、中の人を見ずに看板を見て判断していることが問題なのですが、当の本人からすると、それで「自分はリスク回避できた」つもりでいます。つまり何の疑いもなく、「○○という看板を背負った人達が判断した結果」だから正しいとすることによって、自分自身に降りかかるリスクを回避しているつもりになっている、ということです。
でも、それって、単に思考を停止しているだけなのに気づいていないんです。その結果、被害を受けるのは、実は自分の所属している組織自身だってことは忘れないで欲しいものです。
投稿日:2007年10月24日 作成者:yasunaka
レイト・マジョリティとはマーケティングの世界で有名なイノベーター理論の中に出てくる分類の1つです。これは1962年に米のスタンフォード大のロジャース教授が発表した理論で、知っている人も多いのではないでしょうか? イノベーター理論とは新商品購入に対する態度を、購入の早い順に分類すると、以下のようになるよ、という理論です。
1.イノベーター 目新しい物好き。全体の2.5%
2.アーリーアダプター 新しい価値を見出す人々。オピニオンリーダー。全体の13.5%
3.アーリーマジョリティ 慎重だけど、皆よりは取り入れるのが早い人々。全体の34.0%
4.レイトマジョリティ 懐疑的な人。皆がやっていないと取り入れない。全体の34.0%
5.ラガード 最も保守的で、伝統になるまでは動かない。全体の16.0%
企業間取引のケースで考えた場合、企業のサイズが変わってもこの割合って変わらないのでしょうか? なんとなくですが、経験的に、大きな企業になるに従って下のほうの割合が増えてくるように思えます。つまり大企業になるほど、レイトマジョリティの割合が増すのではないかと。
同じような話で、プロジェクトにおいても、そのヒエラルキー構造の中で上の立場になるほど、上記の分類におけるレイトマジョリティ側の人が増えるように思えます。
つまり、大きな企業とか、偉い立場になるほど、一般的に新しいものに対して慎重になる傾向があるのではないかと。あくまで私の主観的な話なのですが。
私自身は、仕事においてはアーリーアダプターでありたいと思っています。(仕事以外の部分は結構レイト・マジョリティの部分が多いかもしれませんが)
皆さんはどうですか?
投稿日:2007年10月23日 作成者:yasunaka
物事はシンプルなほうが良い。これは昔から、いろいろなことに対して言われていることだと思います。システムにしてもそうです。同じことを実現するのであれば複雑であるよりはシンプルなほうが良い。そのほうがバグを減らしやすいし、メンテナンスも楽です。なぜならば、理解しやすいから、です。
文章にしてもそうです。シンプルな文章のほうがわかりやすいですし、相手に伝わります。
シンプルさは、コミュニケーションや相互理解のための基本原則といえるのかもしれません。
しかし、シンプルであるというのは、実に難しい。本当にそう思います。何が難しいのかというと、「何を残し、何を削るべきか」という判断です。シンプルにするためには、余計なものを一切そぎ落とし、中の一番重要な、本質的なことだけを残すようにしなければなりません。
つまり、雑多な物事の中で本質的な部分とそうでない部分を分類する能力が問われるのだと思います。物事をシンプルにする能力というのは、この分類する能力と非常に近いのかもしれません。
投稿日:2007年10月22日 作成者:yasunaka
crossnoteを使うとドキュメントを修正後、コミットするだけで、どこをどう変えたのかをプロジェクト関係者に通知することができます。この仕組みはオフショア開発に非常に向いていることがわかりました。(まあ、前からわかっていたことではあるのですが、いろいろな方にヒアリングを重ねるにつれ、その思いを強くした次第です)
実際、crossnoteのセキュリティ管理の仕組みも、まさにオフショア開発向きだといえると思います。まあ、正確には分散拠点開発向きで、国内でも同じことで、複数に分かれて開発している場合には非常に威力を発揮すると思います。
このブログを見ている方で、ご自身のところでオフショア開発を手がけていて、興味のある方はぜひご連絡いただけないでしょうか? まずはマーケティングといいますか、今現在オフショア開発をしているところではどのようなことをしていて、どんなニーズがあるのかをもっと良く知りたいのです。
ご希望であれば、その場で実物のデモをお見せいたします。
(とはいっても、私としてはオフショア開発以外の部分でもぜひ使ってもらいたいと思っています。オフショア開発はやっていないけど、実物のデモを見てみたいという方がいらっしゃいましたら、ぜひご連絡ください。)
連絡先はinfoまで。(後ろに @updateit.co.jp を付けてください)
よろしくお願いします。
投稿日:2007年10月19日 作成者:yasunaka
crossnoteはコンカレント性(同じドキュメントを複数人で同時に編集することが出来るようにすること)を確保するために、内部のデータ形式として独自フォーマット(というか、正確には独自データ形式)を採用しています。ところが正直なところ、セールス的な観点でいえばこの独自フォーマットであることはマイナス要因になります。
つまり独自フォーマットの場合、通常のワープロソフトではそのままではドキュメントを編集できないことがネックになる場合がある、ということです。例えば委託者側から、納品物を別のベンダーにメンテナンスさせる可能性を考えて、編集可能なドキュメント形式での納品を要求される場合があります。現在crossnoteについて、ヒアリングを進めているのですが、実際にそういう意見を頂きました。
これについては内部フォーマットは変えようがないのですが、通常のワープロソフトなどで編集できる形式で出力できるようにコンバータを用意しようと考えています。
皆さんもご存知かもしれませんが、WordやExcelにはファイルの中に履歴データが含まれています。それに気付かずにユーザに渡してしまい、隠しておいたはずのデータがユーザに見えてしまい、大変なことになった、という話を聞いたことがあるのではないでしょうか。お客様にWordやExcelの形式でデータを出す場合には、たとえ元のドキュメントと同じ形式であれ、クレンジングというか、中の見られてはまずいデータを削除する作業が必要です。crossnoteの場合にはコンバートして出力するので、そのようなデータが裏に入る危険性がない分、実はこのやり方のほうが望ましいのではないかと考えています。
残念ながら最初のバージョンでは間に合わないのですが、遅くとも来年の3月末までには、製品に組み込む予定です。
これとは別に、今までのプロジェクトのドキュメント類はどうしたらよいのか、という話もいろいろなところから頂いております。例えば通常のWordやExcelなどで作成された、既存資産です。
これらについてはバイナリデータとして、セキュアに、かつ履歴管理を行いつつやり取りするための仕組みとして、crossnote上でやり取りできるように機能追加していく予定です。ただしバイナリデータについては残念ながらコンカレント性はありません。(誰かが編集中の場合には他の人は編集できなくなります) またバイナリとしての塊の単位で変更履歴管理を行いますので、中身について、どこをどのように変更したのかまでは追えません。
このように制約事項はありますが、できるだけ既存資産についてもシームレスに扱っていけるよう、サービスを改善していきたいと考えております。