ホンモノのエンジニアになりたい

ITやビジネス、テクノロジーの話を中心とした雑記ブログです。

【ITニュース】行政手続きをアプリで一括でやりましょう

こんちわ。

2018/01/15のニュースで行政手続きをアプリで一括で行えるようにするというものがありました。これについて考えてみます。

目次

 

ニュースの概要

 

www.nikkei.com

 

政府は2018年度にも暮らしに関わる行政サービスの手続きをスマホで可能にする。

転居の場合は自治体窓口で転入届を提出しスマホで本人認証すれば民間のアプリを通じて電気やガス事業者への住所変更も一度にできる。

企業に対してマイナンバーでの個人認証を認める仕組みとなる。

対象の行政手続きは転居、介護、死亡・相続の3つ。

スマホマイナンバーカードの2次元バーコードを読み取るとアプリが行政システムに接続して本人からの申請と確認する。

6月までに転居に関する計画をつくる。介護は18年度、死亡・相続は19年度からアプリ運用をめざす。

 

 

ようは国・自治体が持つ公的なデータを使ってワンストップで行政や社会インフラ企業への利用手続きができるようにしますという話です。転入届の場合は自治体にも、電気ガス水道の各社にも同じようなデータを提出するわけですから、一元化しましょうと。

 

なぜ ”民間の” アプリが仲介する?

このニュースの中でここだけは理解できなかったです。

全体の流れは、以下です。

①個人が行政機関に転入届を提出

②個人が民間企業のアプリで個人認証操作

③アプリが行政機関に対して認証取得

④アプリが電気ガス水道や健康保険などの各管轄に情報を流す

 

何で民間のアプリを仲介させるんでしょうか?転入届は出さないといけないみたいなので、そこで意思表明すれば全部裏で処理が進む方が利便性が高いと思います。あとはバッチでデータ流すでもいいですし、社会インフラを支える企業や各お役所向けにAPIでも公開すればいいのではないかと。

 

 

何でアプリなの?

これは本人確認のためにマイナンバーカードの2次元バーコードを読み取ることから、ネイティブアプリである必要性があるということでしょうかね。ちょっと微妙な感じ。

 

マイナンバー/マイナンバーカードって何かイマイチ感があるんですよね。国民にマイナンバーを付与することでどんな便利で素敵な未来が到来するのかっていうUX的な考えに基づく広報が弱いからですかね。総背番号制の議論から国による「管理」の面にみんなの視線が行っちゃっている気がしています。

指紋や口座情報なんかは選択制であるべきだと思いますが、全体としてはマイナンバーで一元管理するというのは合理的なので素晴らしい未来をアピールして、国民の期待を超えるサービスを提供する方向に進んでほしいと思っています。 

 

 

マイナポータル

マイナンバーを使った認証で本人確認をするんなら、本家マイナンバーシステムであるマイナポータルをなぜ使わないんでしょうか。認証機能もあるわけだから、全てをマイナポータルから申請できるようにすればいいじゃない。

 

関連ニュースを見てみると、

転居手続き、ネットで一括=行政電子化へ実行計画―政府 (時事通信) - Yahoo!ニュース

こちらには、

住所変更などの届け出がなくても問題のない手続きを洗い出し、不要とするよう各府省に求めた。残る手続きも原則オンライン化し、「マイナンバー」も活用して他の行政機関や民間事業者のシステムと連動させることを提案している。

とある。「マイナンバーを活用して・・・提案している」、じゃなくて最初からマイナンバーと連携することが前提になっているべきじゃないのかと思います。実現に向けた色々な壁があるんだとは思いますが、技術的な壁があるとは思えないので、利用者の利便性や利益を最大化する施策になってほしいなと思います。

 

ちなみにマイナポータルについて初めて調べてみたんですが、PCで使う場合はマイナンバーカードを読むこむためのICカードリーダーが必要、スマホで使う場合は、Android6.0以降の環境が必要みたいです。iOSについては案内が無いので使えないんですかね。Androidにしたって6.0以降のOSシェアはAndroidユーザの70%程度のようだし、何しろ国内でキャリアと契約するとOSサポートは持って2年程度です。つまり政府としては数年ごとに高額なスマホの買い替えをしていかないとマイナポータルを使わせない方針とすると、穿った解釈をするとそうなる。

あとおまけにAndroidの対応機種一覧がこちら。少なくないか。。。

https://www.jpki.go.jp/prepare/pdf/nfclist.pdf

 

この辺がイマイチなんだよなぁ、と思うんですが大きな変化の過程でスピードを優先して不都合が発生することはままあるので、しょうがないと言えばしょうがない気もします。

 

マイナポータルが本当に国民に必要とされるようになった時に、実態としてどのくらいの人が使えるのか、使うためにスマホの買い替えはどのくらいの頻度で必要になるのか、っていうかもっとちゃんとAndroidのバージョンアップ対応しろよ、という話が本格的に議論されるようになるのでしょう。

 

 

最後に所感

文句ばっかり垂れてますが、行政手続きや社会インフラの利用手続きの電子化・一元化は利用者の目線から見ると非常に有益な取り組みだと思います。あっちこっちに申請書出さないといけないのはやっぱり面倒ですからね。

 

今はネットで調べれば「引越の手続きはこれだ」ってまとめページが簡単に探せますが、昔はどうしていたんだろう、とふと疑問に思いました。まぁザルだったんでしょう。

 

最後にもう一つこれだけは書きたい。

行政に関連した電子化は主に仕組みのハード面に手を入れた形なんだと思います。システムをつなげたり一元化したり、自動化したりですね。そうすると次はソフト面が気になってきます。何を言いたいのかと言うと楽になる分、人が浮くわけですから一般企業勤めの考えで言うと人員整理が必要ということです。ちゃんとやってくれよと。

 

おわり。

2018年の目標的なものを深堀する(後半)

こんちわ。

昨日のエントリでは今年の目標に掲げた13個のテーマの内、6テーマについて深堀してみました。今回は後半です。

目次

 

概要

 

kwnflog.hatenablog.com

 

  1. Webアプリを作ろう
  2. Pythonをそれなりに使えるレベルにしよう
  3. AWSか何かのIaaSを使おう
  4. Gitを使ってみよう
  5. DBMSをちゃんと理解しよう
  6. コンテナを触ってみよう
  7. 機械学習ディープラーニング、AIとかそのあたりの領域に手を出そう
  8. 統計学をやり直そう
  9. ラズパイかArduinoでIoT的なことをしよう
  10. ハッカソンかモノづくり的なコンテストにでよう
  11. 英語でコミュニケーションがとれるようになろう
  12. CTFで一人でもそれなりに戦えるレベルになろう
  13. ブログを頑張ろう

 

個別にみてみましょう(つづき) 

 

7.機械学習ディープラーニング、AIとかそのあたりの領域に手を出そう

SIerの仕事としては全くもって関係ない目標です。これは趣味に近い目標になるかもしれません。ディープラーニングで文書生成とかしてみたい。

ちょっとやってみたレベルでどのくらいのエンジンが出来上がるのかとか、チューニングがどのくらい大変なのかということを実際に動かしてやってみたいです。AIはエンジニアリングの話だけではなく、世間一般にどういう風に理解されているかも知りたいので、一般向けの書籍も何冊か読んでおきたいですね。

  

8.統計学をやり直そう

私は学生の時に確率・統計学、経済学を駆使して研究してました。で専攻していた分野に未来を感じなかったため畑違いのIT業界に入りました。というわけでデータサイエンスには興味があるんですよね。でももう10年前の知識なので復習しないとと。

学生の頃は国内で走り始めたRを使っていて、Rjpwikiにも書き込んでいました。その頃はITのことは全然わからなかったけど、ネット上であーでもないこーでもないと言いながら試行錯誤していた時はすごく楽しかったです。

あの時のピュアな心を取り戻したい w

偉そうに且つ推測で書きますが、世間一般で言われているデータサイエンスのレベルが当時私が大学院で学んでいたレベルほど高くは無いとタカをくくっています。たぶんビジネス向けに特化しているか、理論無視でこの数字がいくつならおkとかそれくらいのレベルなんだろうと思い込んでいます。これを確認しようじゃないかと。

ということで統計学の復習と世間一般から求められているレベルを知ることを目標に定めます。

 

9.ラズパイかArduinoでIoT的なことをしよう

これは機械学習と同じ理由です。やってみたい。

センサーからのデータ取得やモーター動かしたりですね。簡単に書いていますが、たぶん実際にやってみようとなったら相当の苦労があると思うのです。センサーの感度調節だとか、モーター制御、タイミング、重心とかそういうの。で、これってやってみないとうまくいかない難しいポイントってわからないんですよ。

何でそんなポイント知りたいのかと言うと、1つはガチ勢に会った時に聞けるからです。専門家と話すチャンスに巡り合った時にググればわかる内容を聞くのは勿体ない。ググってもわからない話を聞き出すのが有益です。

もう1つは、初歩的な部分でもやってみたのと、やってないのとじゃ全然違うからですね。特にIT系には多いと思いますが、インストールして基本的な使い方で動かしてみれば半分はクリアというモノが多いです。動かすだけなんだけどたいていの人がやらないから、やった人が優遇されるという場面は割に多い。

いつか部屋の害虫を駆除するキラーマシンを作るのが夢。

 

10.ハッカソンかモノづくり的なコンテストにでよう

やっぱりITの本質は、それを生かして無駄をなくすことだったり、新しい価値を見出すことにあると思います。でもそれってSIerでサーバオジサンやっているだけでは為しえないとも思っています。

じゃあどうするか?

作れる場所に出ていかないといけない気がしています。SIerの中の仕事で新規事業を一から百までやり切れるものは殆ど聞かないですので、外の世界に出ていく必要があると思います。色んな意味で怖いですが。。。

というわけで目標は「モノづくり系のイベントに参加する」としました。これは個人的にハードルが高い。見る前に飛べる人にとってはとりあえず行けばいいでしょと思うかもしれませんが、石橋をたたき割って安心するタイプの私にはなかなかきつい。

こうやって明文化してゴールのある方向を意識するだけでも意義があるはず。うん。

 

11.英語でコミュニケーションがとれるようになろう

これは今年の非技術テーマの中で最大の目標です。技術文書やコミュニティの書き込みを読むことくらいは出来ますが、ボチボチ英語でお話出来るレベルになりたい。

実践的な取り組みが一番なのかもしれないですが、変に崩れた英語を身に着けるより基礎からじっくりとやり直したいので文法と単語から始めます。とりあえず年明けてから単語はちょろちょろ始めているので継続してやっていきたいと思います。

こういう継続力がモノを言うテーマは指標が無いと辛いので、TOEICを何回か受験しようと思います。当面は3月開催のテストで600点を目標にします。

 

12.CTFで一人でもそれなりに戦えるレベルになろう

CTFは分野が多岐に渡るため、あれもこれもとやっていると目に見える成果が出づらいです。去年がそうでした・・・

今年はWEBを中心にやっていこうと思います。英語で書かれたwriteupのまとめみたいなエントリを上げれば英語学習、Python学習と合わせて一石三鳥計画。

具体的な目標は今年のSECCONでWEB分野のミドルレンジの問題くらいまでを戦えるようにしたい。

 

13.ブログを頑張ろう

ブログは具体的な目標設定をしません。書きたい時に書ける内容を書くのがいい。

このブログは開始してから2か月弱で、閲覧してくれる人も少ないですがアクセス数が少しずつ増えているのは純粋にうれしいし、SEOの勉強にもなっています。

私はSEOとか広告っていうのはなんかこう邪なモノというイメージがあったのですが、印象はだいぶ変わりました。そんなに不埒なものではなさそうだと。

今年は当面、SIerへの文句・愚痴・批判を書いたり、ITニュースを深堀して調べてみたり、動かしてみたり作ったものをまとめていくエントリを書いていきたいと思います。

 

という方向で1年間がんばっていきたいと思います。

 

目標なんてのはなぁ、進む方向決めたら細かい事なんか考えないで全力疾走して、たまに進んだ道を振り返ればいいんだよ!

とか書いてたのに、いざ考え出すと真面目に考えてしまうこの性格どうにかしたい
(´・ω・`)

 

おわり。

 

2018年の目標的なものを深堀する(前半)

こんちわ。

昨日のエントリで2018年の目標的なものについて列挙してみました。

 

今日はもうちょっと深堀して何でこういう目標を立てたのかを整理していきたいと思います。ただの1年の決意表明なので、クソザコSEの目標なんて見るかボケっ!という方は、そっ閉じしてください。

 

私は某中堅規模のSIerに勤める主にサーバインフラやセキュリティを仕事にしているクソザコSEです。そんな属性のKZSEがどんな事を考えて目標を立てたのか興味のある方は最後までお付き合いくださいませ。

 

目次

 

概要

 まず昨日のエントリです。

kwnflog.hatenablog.com

 

このエントリで目標的なことを13個列挙しました。

  1. Webアプリを作ろう
  2. Pythonをそれなりに使えるレベルにしよう
  3. AWSか何かのIaaSを使おう
  4. Gitを使ってみよう
  5. DBMSをちゃんと理解しよう
  6. コンテナを触ってみよう
  7. 機械学習ディープラーニング、AIとかそのあたりの領域に手を出そう
  8. 統計学をやり直そう
  9. ラズパイかArduinoでIoT的なことをしよう
  10. ハッカソンかモノづくり的なコンテストにでよう
  11. 英語でコミュニケーションがとれるようになろう
  12. CTFで一人でもそれなりに戦えるレベルになろう
  13. ブログを頑張ろう

 

個別にみていく

 

1.Webアプリを作ろう

 なんでサーバ屋、セキュリティ屋がWebアプリを作るんじゃいと思う方もいるかもしれません。これはまぁ一種の危機感からですね。ぶっちゃけサーバ構築ってOSの設定が主なので作業内容としては単純なんですよ。厳密に最高の性能を出すといった厳しい要件があれば難しいですが、今は昔と違ってサーバに積んでいるリソース量が多いので、よっぽど変な設定を組んでいない限り、普通に満足の性能が出ます。芸術的なレベルで高速性能を実現できるSEをアサインするとか、並みのSEに試行錯誤させて高性能を実現するより、CPUとメモリをもう少し積みましょうかで終わるので。

 

WEB・ゲーム業界やフロントエンドサーバはまた違うのでしょうけど、SIerの主な仕事である社内システムではカネをかけて、もっと性能を、というより納期までにまともに動く性能であれば問題ないよで終わるのです。

サーバ性能について突き詰めて学んでいくことも重要だと思いますが、優先度で考えるとサーバで動作するアプリケーションについての理解を深めるという方向に力をいれたいと思いました。というわけでまずはWebアプリを作ろうという目標でした。

 

2.Pythonをそれなりに使えるレベルにしよう

エンジニアたるものプログラムの1つくらいは出来るべきである。という思い込みからの目標です。別に使えなくても仕事で困ったりはしないですが、やっぱり出来ると仕事の枠は広がります。海外製品のマニュアルを見ると、APIのexampleがPythonってことがよくあるので、システム構築時にさらっとAPIを叩くスクリプトが作れると作業効率が上がるなぁと思う場面が割とあります。モノづくりのためにというよりは、ツールの1つとして今より使いこなせるようになりたいですね。

あとCTFでは大会後にwriteupという解法が公開されることが多いのですが、その多くはPythonで書かれています。この辺りを通じてレベルアップしたい。

 

3.AWSか何かのIaaSを使おう

SIerの中の人も何かとIaaSの選択肢を考えることが増えてきました。私の周りではここ最近ようやくIaaSが市民権を得てきた印象です。私は金融系システムを担当することが多いので「ようやく」と見えるだけかもしれませんが、そんな見え方をしている私でも、インフラ屋としてはもうIaaS全くわかりませんは通用しないのではないかと思う次第です。

私は不幸にもIaaSを使ったシステムの導入経験はありません。使う時に勉強すればいっか、と思いここまで来ましたが、気が付いたら世の中AWSが当たり前の世界になっていて、出遅れています。というかSIerの外の世界の人たちと話すと「俺終わってんな」と思います。もう仕事や案件がうんたらではなくて、とりあえずAWSを使ってみようと思います。

 

4.Gitを使ってみよう

サーバ屋にとっては構築対象にはなるものの、利用対象にはならないバージョン管理システムです。私が今まで入ったプロジェクトでサーバ屋がバージョン管理システムを使うのはhostsファイルの管理くらいでしたので、あまり使う機会がありませんでした。一時期バッチ屋をやっていた時にCVSを使っていましたが、その時にバージョン管理システム恐怖症に罹患してしまい今までなるべく触らないようにしてきました。

バージョン管理システム恐怖症は別エントリで書きたいと思います。何の話かはだいたいわかりますよね)

しかしながら落ち着いて世間を見回してみれば、右を見てもGit、左を見てもGit、ギットギットギットの世の中なのでもう見ないふりはできないなと。Webアプリをつくろう、Pythonをやろう、とか言っているわけですから、ついにやるべき時が来たなと思っています。(遅ぇ)

ちなみにSIerが出入りしている大手顧客のプロジェクトで私はGitを使っている現場を見たことはありません。だいたいCVSSVNあたりですね。

 

5.DBMSをちゃんと理解しよう

サーバ屋にとってはインストール、インスタンス作成あたりが作業内容です。私はDB構築は仕事ではあまりやったことないですが、ちょっと経緯がありDBMS恐怖症に罹患しています。Webアプリやろうとか言っているわけですから、そろそろちゃんとやろうと。ちなみに昔、Oracle Bronze認定取得指令を受け勉強していたことはあります。その時は案件に急に火がついて、取得指令自体が無かったことになったのですが、ブロンズのSQLを合格水準までは勉強してましたのでこれは今でもかなり役に立っています。

でもインフラ屋の真髄はSQLではなく、あくまでDBMSやストレージという枠になると思うんです。今年はこの恐怖症に打ち克ち、世間一般以上のDBMS使いになろうと思います。

 

6.コンテナを触ってみよう

私は手を動かすまでに時間がかかるクソザコSEの部類に入るのですが、アンテナはしっかりと張っています。なのでDockerが日本で注目され始めた時はいち早くキャッチアップして「これは来るぜ」と確信した記憶があります。あれから数年、確信はしていましたが、ここまで何もせずに時を重ねてきてしまいました。

最近はセキュリティ関連の案件を担当することが多いからかもしれませんが、SIerの仕事をやっている中で、コンテナが絡む仕事はまだ聞こえてきません。

ただ仕組みはどう考えても合理的なので、セキュリティ周りの信用が得られれば仮想化が普及した時と同じような形で一気に普及すると思っています。

コンテナは勉強するというよりは何となく使ってみて、出来ること・出来ないことを肌感覚で理解しておくレベルで十分かと思っています。仮想化の時もそんな感じでしたし。

 

長くなってしまったので、7個目以降は別のエントリで書きます。

 

おわり。

 

今更感があるけど2018年の目標的なことを表明する

こんちわ。

今日は2018年1月13日です。年が明けてからまもなく2週間が経ち、今更感が満載ですが今年の目標的なことを書こうと思います。

 

目標的?

”的”って何やねんこのクソSEがっ!

 

と思われた方は以前のエントリをご参照ください。

 

kwnflog.hatenablog.com

 

このエントリを要約すると、こんな感じです。

SIerのSEは状況によって業務内容や扱う技術が変わるので目標なんて立ててもしょうがないのよ

・方向性と距離感を掴んだら後はひたすら走る

・走りながらそれまでに進んできた道やこれから進む道を見通す

 

というわけで2018年で何をやるか。やりたいか。

思いついた順に書き出してみました。

 

・Webアプリを作ろう

Pythonをそれなりに使えるレベルにしよう

AWSか何かのIaaSを使おう

・Gitを使ってみよう

DBMSをちゃんと理解しよう

・コンテナを触ってみよう

機械学習ディープラーニング、AIとかそのあたりの領域に手を出そう

統計学をやり直そう

・ラズパイかArduinoでIoT的なことをしよう

ハッカソンかモノづくり的なコンテストにでよう

・英語でコミュニケーションがとれるようになろう

・CTFで一人でもそれなりに戦えるレベルになろう

・ブログを頑張ろう

 

これ全部を1人前のレベルまで持っていければ、「ホンモノのエンジニア」に近づけるんじゃないでしょうか。

 

「言うは易しwww わろす」

 

と思うでしょう。その通り。

エンジニアなんてのは死ぬか諦めるまでエンジニアなんですよ。

 

その時までにどういうスキルを身に着けられるかがハッピーエンジニアライフを送れるかの肝になるわけです。別に全てが100%にならなくてもいいし、来年になってもいいし、自分の価値を高める方向に自分のペースで進めたらそれでいいと思うのです。

 

列挙した目標的なものについてはもう少し書きたいこともあるんですが、このエントリは「目標という名の方向性の表明」に留めたいので深堀はしないことにします。

 

今年は仕事の面で大きな変化があり、マジでガチの勝負の年なので、全力疾走していきたいと思います。

 

おわり

 

金融庁が金融機関のIT戦略に対する監視を強化

こんちわ。

2018/01/09のニュースで金融庁の監視強化の記事があったので、情報整理と思ったことを書こうと思います。

 

もくじ

 

ニュースの概要


www.nikkei.com

 

金融庁は金融機関のIT戦略に対する監視を強化する。

フィンテックの拡大を受けて、社内の管理体制や業務効率化への反映などを点検して健全な普及につなげる考え。

2018年春をめどに点検項目を作り、7月からの金融機関への検査に反映する。

点検項目は経営陣のITの重要性理解度、システム管理体制の整備。

モニタリング対象はITガバナンス、システムの安定稼働、セキュリティ、仮想通貨への取り組み。

金融庁は業態ごとの規制を改め、送金・決済・融資などの機能ごとに法律を再編する方針。

 

 

金融検査マニュアル

金融庁の監視と言えば「金融検査マニュアル」です。

私は勤めている会社でセキュリティ製品の販売とそれに付随するSI事業をやることがあります。提案活動に技術者として同行する時に聞いたのですが、金融検査マニュアルを引き合いに出してアピールする営業も中にはいます。

 

このエントリのニュースは金融検査マニュアルのことかなぁと思い、金融庁の発表資料など漁ってみましたところ、金融検査マニュアルは廃止となるようです。

 

以下のような点が懸念されるに至っており、現時点では実際の検査には用いられていない。

・・・・

以上に鑑み、検査マニュアルは、別表も含め、廃止することとする。

金融検査・監督の考え方と進め方
http://www.fsa.go.jp/news/29/wp/supervisory_approaches.pdf

 

しかも現時点では実際の検査に用いられていない、とまで書いてあった。これは知らなかった。平成30年度いっぱいを目途に廃止とするらしい。

「金融検査マニュアル+対応」でググると製品やソリューションの宣伝ページがあるので、金融系システムの顧客を狙うIT業界にも変化が出てくるでしょう。

 

金融庁の資料を読むと、別にマニュアルが古くなって使い物にならなくなったという訳ではないみたいです。今までは重箱の隅を突くような検査だったり、マニュアルに記載されている内容に対応するだけの最低基準をクリアすることが目的になっていました。これを是正していきましょうと。

 

個人的な意見を書くと、

「てめーらが重箱の隅を突くから最低基準クリアに力を入れてんだよ!」

というのが本音。私は金融屋ではないですが、管轄するお役所のお役所仕事にはだいぶやられてきたので、役所は全て敵とみなしている。

  

銀行の人員削減

このエントリのニュースからまず頭をよぎったのは昨年発表された銀行の人員削減のニュース。このあたり。

メガバンク3行が大リストラ。銀行業界は「構造不況業種」になってしまった

 

みずほが19,000人、UFJが9,500人、三井住友が4,000人の人員削減を発表したやつです。システム屋の私は銀行業の実態なんかは分かりませんが、マイナス金利や市場の飽和、金余りあたりが原因なのでしょう。

 

合わせて店舗数も縮小させていくようです。せっかくなので国内にどのくらい銀行の店舗があるか調べてみました。全銀協のデータです。

平成28年度決算 - 全国銀行協会

銀行の国内店舗数
  みずほ UFJ 三井住友 りそな
平成24年 423 672 505 273
平成25年 462 681 505 273
平成26年 467 685 507 273
平成27年 472 685 506 276
平成28年 471 685 506 275

 

今までおかしいと思ったことはなかったですが、銀行の店舗って一般個人ユーザからすると、ほとんど利用しないのにものすごく良い立地に立てられていることが多いです。(あ、東京の話です。)

 

私の住んでいる場所ではJR某線が走っているんですが、1駅は歩きで15分くらい、電車で2,3分の距離にも関わらず各駅に銀行の支店がありますからね。そんないらねーだろ店舗半分にして手数料も半分にしろ、と言いたいですが、各行出店しているから自分とこだけ抜けられないジレンマなんかもあるのでしょう。

 

人員削減は商品や業務の整理・単純化で何とかなるかもしれませんが、店舗はどうするんでしょうか。ちょっとこれはどう対応していくか興味があります。

 

まとめてみる

 

銀行

・マイナス金利や今までの銀行業務では経営が辛くなってきた

・人員と店舗を削減する

 

金融庁

・検査マニュアルはもう使わないけど、検査に合格する最低基準レベルじゃ許さないよ

・2018年度から監視強化するよ。仮想通貨とかもモニターするし、法律改正もするよ☆

 

内容らしい内容はこれだけですね。

金融業界は不安と忙しさが入り混じる1年間となるのではないでしょうか。

 

所感

今回のニュースは、ユーザ目線では今までよりかはマシな企業になると期待できるのでポジティブに受け取っています。

SIerの人という目線で見ると、新金融検査マニュアル対応という案件が発生しそうなので、ポジティブに受け取れます。

SE目線で見ると、嫌な予感しかしません。幸い私は今現在、金融系システムにドップリ浸かる仕事ではないので巻き込まれることはなさそうですが、金融庁が明確に「これやってればOK」という指針を出さなそうなので、金融系SEはゴールの見えないマラソンをやらされるのではないかと想像します。

 

世の中のほとんどの方がそうであるように私も銀行口座を持っていて、資産の大半を預けています。ここ数年Fintechが盛り上がる前はあまり考えなかったですが、金融屋は遅れている印象があります。遅れているというか、うーん、他業界と比較して進んでいない印象でしょうか。

厳密に技術的には進化しているのでしょうし、様々なサービスが開始されてアンテナをきちんと張っていれば大きな恩恵を得られるものもあるのでしょう。

 

ただそれが根付いていないように見えます。

私の周りはIT業界で働いている人が多いですし、年代も20,30代が中心で、ITリテラシーが高い層だと思います。しかしネット口座を持っている人はほんの一部の人だけです。私は「必要だと思う状況が思いつかない」からネット口座を持ちません。

 

ジョブズの言を借りると、

「人は形にしてみせてもらうまで、自分は何が欲しいのかわからないものだ」

ということなんじゃないでしょうか。

 

ユーザが使ってみたくなるサービスとか、欲しがるモノを作り出せていない上に、金融屋は細かい文字がビッシリ書いてある契約書にハンコを押させたり複雑な金融商品を扱っていたりもします。

全然ユーザフレンドリーじゃないんですよね。

 

世の中を見ると、Appleの製品を愛している人がいたり、国内だとSONYなんかも多くのファンがいます。アパレル、食品、小売り、ホテルなんかも特定の企業やブランドにファンがいて、高いお金を払って良いサービスを受けたい・良いモノが欲しいと思う人がいる。

 

金融業はどうか?

 ー 〇〇銀行のファンです。

 ー 保険は△△保険以外考えられない

 ー 資産を任せられるのは□□証券だけ

 

こういうの無いですよね。証券会社は殆ど利用したことないので想像で書いていますが大きく外してはいないと思います。

 

形は全然想像もつかないですが、「使ってみたいと心から思う金融サービス」というのが今後のFintechの領域では重要になるのではないかと思いました。

 

だーっと書いてみましたが、本当は

「監視強化も仮想通貨も好きにやってくれ。但しユーザの利益になるようにしてくれよ」

と書きたかっただけなんですが、ダラダラとまとまりのないエントリになってしまいました。金融検査マニュアル廃止と銀行の店舗数を知れたことは有益でした。

 

おわり。

 

情報通信研究機構が耐量子コンピュータ暗号を開発

こんちわ。

また新聞ニュースからのエントリです。耐量子コンピュータ向けの次世代暗号方式の候補に日本の情報通信研究機構が提案した方式が選ばれたというニュースです。IT何でも屋SIerに勤める私はセキュリティ屋の顔も持つため少し深堀して調べてみた内容です。

もくじ

 

 

ニュース記事の概要

 

www.nikkei.com

 

総務省所管の情報通信研究機構量子コンピュータでも解読することが難しい暗号方式を開発した。暗号技術の次世代標準の候補に選ばれた。現在の暗号技術は素因数分解などの数学的に解くことが難しい問題を利用する暗号方式が使われているが、処理速度が速い量子コンピュータでは解読される危険性が指摘されている。

情報通信研究機構の開発した技術は現在のスーパーコンピュータでも10^50年かかる。

アメリカの国立標準技術研究所(NIST)は量子コンピュータでも解読不可能な暗号技術の標準化を進めていて情報通信研究機構の技術も候補に選ばれている。

最終的に採用されれば国際的に普及する可能性がある。

 

ちょっと解説

一般経済紙なので、専門用語無しで書いてあるため、若干わかりにくい部分もありますので情報を整理します。

 

暗号化方式

この記事で対象にしている暗号方式ですが、素因数分解と書いてあるので公開鍵暗号方式RSAのことでしょう。記事の原文には ”素因数分解など” という言葉が使われているので、恐らく楕円曲線暗号を含む公開鍵暗号方式のことを指していると思われます。

 

なぜアメリカの国立標準技術研究所?

事実上アメリカの国立標準技術研究所(NIST)で標準化の決定がされると、世界標準の扱いを受けるためです。AESという共通鍵暗号方式のアルゴリズムもNISTから標準規格の認定を受けて、事実上の標準扱いとなりました。という内容を何年か前に↓の書籍で読みました。 

暗号技術入門 第3版

暗号技術入門 第3版

 

サブタイトルの「秘密の国のアリス」からアリス本と言われたりします。

昔の暗号から最近の暗号までわかりやすく書いてある良い本です。セスペ試験の副読本として推奨されていたりもしますが、試験対策としては完全にオーバースペックです。読み物として面白いので気が向いたら手に取ってみていただければ。

 

現在のスパコンで解読に10^50年

なぜ耐量子コンピュータに向けた次世代方式の話で現在のスパコンを比較に出すか不明。とてつもない期間がかかりますよ、という事が言いたいのか・・・

 

調べてみた

情報通信研究機構NICT

まずは日本の情報通信研究機構NICT)のWEBサイトを徘徊して情報収集。

 

・・・何もない

 

おかしいなぁ、ニュースリリースや新聞掲載の情報が本家のNICTのWEBサイト内に無いなんて。ちょっとこれは本当に謎です。候補に残っただけだから大々的にYeah!ってしていないだけかしら。国立の研究開発法人なのだから、官の日本代表の位置づけだと思うんですが。

 

アメリカの国立標準技術研究所(NIST)

探すのに時間がかかりましたが、↓のページが次世代暗号アルゴリズム決定プロジェクトのページと思われます。

Post-Quantum Cryptography | CSRC

 

ポスト量子暗号、Post Quantum Cryptography

WEBサイト内ではPQCと頭文字を取って表現されています。

 

ページ内にRound1に向けて提出された69個の暗号化方式一覧がありました。

Round 1 Submissions - Post-Quantum Cryptography | CSRC

で第一回の標準化カンファレンスが18年4月に行われるようです。

 

NICTアルゴリズム

Round1で提出された暗号化方式の一覧からNICTの方式を探してみました。

NICTはLOTUSという名前のアルゴリズムで登録しているようです。

 

Learning with errOrs based encryption with chosen ciphertexT secUrity for poSt quantum era

 

斬新すぎるネーミング手法。詳細は↓

www2.nict.go.jp

 

概要を読む限り、NICTのLotusは格子暗号を使った方式らしい。確かにこのエントリ向けにNICTのWEBページを徘徊していた時に、以下の記事が見つかってちょっと気になってました。

 

格子暗号の実用化に向けて

https://www.nict.go.jp/publication/NICT-News/1303/02.html

 

格子暗号をわかりにくく解説しているページです。私の頭が弱いだけかもしれませんが、やっぱり理解できないです。まぁ格子暗号の理解は前から避けてた部分もありますが。。。

 

次世代型の暗号方式には他にもいくつかの実現案があるみたいです。

japan.zdnet.com

このサイトを見ると、以下のように書かれている箇所があります。

数学的アプローチを用いれば、量子コンピュータの処理を困難にすることができる可能性があり、研究者はさまざまな難しい名前の暗号を模索している。NISTは、この種の暗号には、格子暗号、符合ベース暗号、多変数暗号、ハッシュ暗号などがあり、その他の提案には、超特異楕円曲線の同種写像の評価や、共役元探索問題、組み紐群に関する問題などに基づく暗号があると述べている。

 

色々あるんだ、ということがわかりました。

今回はこれくらいにしてやる。覚えてやがれ。

 

 

最後に所感

今回この記事が気になったのは、セキュリティ屋の顔で仕事をすることがあるので次世代暗号の動向を抑えておきたいという考えからでした。

あとCTF屋としてRSAの解法については世間一般よりか理解があるので、その延長線上の遥か彼方にある耐量子の世界に興味が湧いたからでした。

 

たぶんこれから先、数年をかけて方式を選定していくので、一般のIT屋である私が次世代方式を触るのは5年10年先になると思いますが、現時点の最新情報を整理できたことは有意義でした。

 

おわり。

JCB手のひら支払いに思う事

こんちわ。

またニュースからのエントリです。JCBが発表した手のひらだけで支払いが完了する新しい認証基盤、決済基盤についてです。

f:id:kwnflog:20180106184651p:plain

私はSIerに勤めていて主にサーバ屋の仕事をしていますが、SIerという会社の特性上、色んなことをやらされます やっています。

新事業提案、マーケティング、セキュリティ、プリセールスなどなど。

その中で認証屋としての顔も持っているため、このニュースはビビビっときました。

 

もくじ

 

ニュースの概要

 

www.nikkei.com

クレジットカード大手のJCBは、手のひらをかざすだけで本人確認やクレジット払いができる仕組みを開発した。

スマホのカメラであらかじめ手のひらを撮影し登録しておけば支払い時に手をかざすだけで本人確認と決済が可能。スマホのカメラを使うので専用装置は不要。

今年の2月からJCB社員を対象とする実験を行う。

ユニバーサルロボット社の手相と静脈認証の仕組みを使う。

他人の手のひらを本人と誤る確率は1000億分の1。

 

調べてみた

判別技術

可視光による撮影(普通のスマホのカメラ)で静脈を判別できるわけねーだろ、と思っていたんですが、世の中の技術は進んでいるもので既に開発されているみたいです。今回のニュース記事とは異なりますが、日立がやっているニュースが別に見つかったので合わせて紹介します。

 

日立、スマホカメラを使った指静脈認証技術を開発 - PC Watch

この記事は技術概要に触れているので今回の記事よりわかりやすいです。特殊な処理で静脈を判別しているのではなくて、普通に頑張って画像解析して、指の静脈である青っぽいところを判別するもののようです。

 

恐らくですが、JCBの技術も似たようなものなのだと思います。可視光から静脈パターンを取得するのに、これ以外の方法があるとは思えないので。

 

他人受入率

情報処理試験で聞いたことのある方もいると思います。本当は自分でなければ認証されないはずが、他人の情報で認証突破されてしまう確率のことです。

今回のJCBとユニバーサルロボット社(以降、UR社と記載)の記事は他人受入率が理論値1000億分の1のようです。

 

UR社のニュースリリースに他人受入率と記載がありました。

一部引用します。

(注)他人受入率 1000 億分の 1 は、掌静脈認証技術(0.0003%)と、掌紋検索技術(0.0003%)を「and 融合」した場合の計算上の最高性能を現しています。

 http://www.urobot.co.jp/content/files/news20180105.pdf 

 

掌静脈認証としては0.0003%みたいですね。100万人に3人だけうまく認証できないと。

掌紋は手相みたいなものですが、こちらも同じく100万人に3人が失敗すると。

 

調べてもわからなかったですが、掌紋と静脈の相関係数が0であれば確かに1000億分の1になりそうですね。仮に掌紋と静脈の相関が高ければ最大で100万人に3人が誤認証によって何かが起こると。国内のカード発行枚数は2億7000万枚ほどなので、国内では

2億7000万×(3÷100万)=810人

810人に何かが起こる計算。大胆かつ最も悲観的な仮定を置いた場合の理論値ですが。

 

 

考えてみた

スキミングのやり方が変わる

今まではカードを持っていることや、カードに刻印された情報を知っていることが本人確認の方法でした。そのためスキミングはカード自体を盗んだり、専用装置に通して情報を抜くやり方が多かったようです。

しかし今後は如何にターゲットの高精細な手のひら画像を手に入れるかという方向にスキミング屋のトレンドが変わるかもしれません。今はスマホの写真で指紋窃取できる時代なので好条件下で撮影した手のひら写真はもう危なくなるかもしれない。

怪しいオンライン手相屋が増えてきたら危ないですね。

 

個人端末を使う場合

お店で店員さんと対面状態にいるときに手をかざすなら怪しいことはできませんが、自宅でオンライン決済をするにはリスクが増えるかもしれません。

自宅で自分のスマホを使って手のひらをカメラに写す時に、その端末が裏でクラッキングされていればカメラ取得情報を転送することは可能です。

 

最後に所感

手のひらをかざすだけで支払いが完了するというのはかなり便利そうです。

また応用範囲も広く、認証装置が汎用機器である点も普及につながる利点です。ある時は認証屋としても仕事をしている私から見ると、装置が汎用的である点はすごくいいです。ワンタイムパスワードトークンを持たせるとか、装置が特殊で目ん玉飛び出るくらい高額なとか、そういった普及の足止めになる物理的な要素がないですから。

 

ただ今回のニュースはJCB社の決済で使うという話でした。IT業界の人という立場で言うと、人が死ぬシステムと金融系はガチガチに固く作らないといけないので、サービスリリースまでには時間がかかりそうな予感がします。

 

また私個人としては、まだ一企業に生体情報を渡したいと思えないので、サービスが始まってもしばらくの間、利用することはないでしょう。

 

おわり