インシデント管理とCSIRTとCISOについて考える。
ITの光と陰
企業活動にとってITの利用は必須だ。ITを利用することで企業の競争力を高めることもできるが、一方的でトラブルに遭遇することもある。後者のことは最近はインシデントと呼ぶことが多い。
ITIL
インシデント管理を調べるとITILで定めるサービスサポートの中の概念だった。ITILとは、Information Technology Infrastructure Libraryの略で、欧米ではITサービスマネジメントの業界標準として広く認知されているが、国内ではまだまだ知られていない。少し説明すると、ITILでは3つのPという概念を重視している。3つのPとは、プロセス(process)、人(people)そして、成果物(products)だ。プロセスだけでもダメ、IT担当のスキルだけでもダメ、この3つのPがバランス良く配置されることが重要だと説いている。最近では、協力会社(partners)を含めた4つのPということもある。
サービスサポート
大好きなWikiはやはり良く整理されている。ITILのサービスサポートは下の表に示すように、5つのプロセスと1つの機能(サービスデスク)で構成する。
出典:Wiki
インシデント管理
今回のメインテーマであるインシデント管理がやっと出てきた。ITILの定義によればインシデント管理とは、解決プロセス群の一つだ。インシデントとは、提供するサービスの中断(事故)を意味する。インシデント管理とは、発生したインシデントに対して対策し、解決するまでの一連の流れを管理することだ。なお、インシデント管理はあくまで暫定対応までを対象としており、根本的な恒久対策は問題管理プロセスの対象だ。このあたりの考え方はITILとして非常によく整理されている。インシデント管理の目的はあくまで業務復旧だ。下の図はこの流れをうまくまとめている。
出典:senju family(参考1)
CSIRT
CSIRT(Computer Security Incident Response Team)については、この前のブログでも少し説明したが、最近は企業内にCSIRTを設置する会社が増えている。それだけITのインシデントが増えているということだ。社員の不注意で発生するインシデントもあれば、悪意のある外部からのサイバー攻撃を受けることもある。これまではファイアーウォールを設置して、入口管理を強化することが求められていたが、現在はもうそれだけでは不十分だ。常にインシデントを管理し、発生したインシデントにいち早く適切な対応をすることが求められている。CSIRTの役割としては次の3つがある。
1) 社内対応:セキュリティ情報の提供や指示・命令系統の整備・管理
2) 社外対応:社外からの問い合わせやインシデント情報についての統一した対外窓口
3) 情報連携:外部のセキュリティ組織や他社のCSIRTと連携し、セキュリティに関する情報を共有
CSIRTの3つのタイプ
NRIの調査によると、社内CSIRTの形態は自社完結型と一部委託型と複合型に分類できるという。そして、自社完結型が43.8%、一部委託型が27.1%、複合型が22.9%だという。
・自社完結型は、CSIRT機能のほぼ全てを自社内に持つ体制で、金融やIT業界に多いという。
・一部委託型は、CSIRT機能の多く自社内に持ちつつ部分的な機能を外部に委託する体制だ。
・複合型は持ち株会社が情報連携のハブ役を担いつつ各種対応をグループ内の情報システム会社が担う体制だ。
少し残念なのは、同じくNRIの調査によるとCSIRTを構築済みなのはわずか7.3%であり、そのうちCSIRT活動が予算化され十分な活動ができているのは27%だという。つまり、調査したうちのわずか2%のみが十分な活動ができていて、残り98%はまだまだだ(涙)。
出典:NRI(参考2)
CSIRTの責任者=CISO
CEOとかCIOとかCTOなら聞いたことはあっても、CISOを知っている人は少ないのではないだろうか。CEOとはchief executive officerの略で経営最高責任者だ。CTOはchief technical officerの略で、最高技術責任者だ。IT系の企業にはCTOを任命している企業が多い。CIOは最高情報責任者でchief information officerの略だ。そして、CISOとはChief information security officerの略で、最高情報セキュリティ責任者だ。CISOは、CIOとセキュリティ責任者を合わせたものだ。下の図はCISOの位置付けをわかりやすく描いている。IIJの資料なので、右上にIIJのアドバイザーがついている。
出典:IIJ資料(参考3)
知らぬが仏
社内でどれだけのインシデントが起きているのかを理解していないのが現状かもしれない。知らぬが仏とは良く言ったものだ。知らなければ余計な仕事をしなくても済む。しかし、軽微なインシデントはそれでも良いのかもしれないが、重大なインシデントが発生して、経営が行き詰まるような事態になるのは避けなければならない。そのためには、やはりインシデントの見える化がとても重要だ。インシデント管理の最初はやはり下の図のようにインシデントの可視化が重要だ。
出典:日経BP(参考4)
インシデントの種類の整理
インシデントを分類すると、下の図のように、サイバー攻撃と事故がある。サイバー攻撃には標的型攻撃的やマルウェア感染、不正アクセスなどがあり、事故には盗難・紛失、誤送信、情報漏洩などがある。インシデントは本当に日常的に発生しているという認識が重要だ。この辺りはヒヤリハットの法則が通じそうな感じがする。
出典:NEC(参考5)
まとめ
パソコンをなくしたり、USBをなくしたり、メールの誤送信をしたりといった事故が発生するたびに社内では原因と対策が議論されて、社内の情報システムはどんどん厳しくなる。まあそれはそれでやむをえないが、情報機器の利用方法を制限して、ファイアーウォールを厳しくしてもインシデントはなくならない。これはまるで、頭髪の色を決め、スカートの長さを決め、爪の長さを決めるなど校則を厳しくしても生徒のいじめやトラブルは無くならないのと構図が良く似ている。大切なことは見守ることだ。傍観者というと、マイナスのイメージがあるが、傍で良く観てあげて、できれば声をかけてあげれば悲惨な事故は防止できるのではないかと感じることが多い。サイバーの世界のインシデントも同じだ。インシデントが発生したことを責めるのではなく、この程度のインシデントで治ってラッキーだったというぐらいの謙虚な姿勢が必要だ。そして、インシデントを解決する=暫定対処で終わるのではなくて、その元原因を究明して、抜本的な対策=問題管理を行うことでインシデントを減らすのが本道だと思う。技術士の試験では、このインシデント管理とか、CSIRTに必要性を問う問題は出そうな気がする。まあ、その時には余計なことは書かないようにして、必要なことだけを分かりやすく回答しましょう。
以上
最後まで読んで頂いてありがとうございました。
参考1:https://senjufamily.nri.co.jp/ssm/incident_control.html
参考2:http://www.itmedia.co.jp/enterprise/articles/1502/23/news015_2.html
参考3:https://scan.netsecurity.ne.jp/article/2016/08/23/38857.html
参考4:http://tech.nikkeibp.co.jp/it/atclact/active/14/415101/102400534/
参考5:https://jpn.nec.com/cybersecurity/journal/02/discussion02.html
デジタルフォレンジックは正義のツールか
デジタルフォレンジックとは
デジタルフォレンジックという用語を聞いたことがありますか?恥ずかしながら私はまったく知りませんでした。大好きなWikiで調べると、コンピュータ・フォレンジクスが出てきて、コンピュータやデジタル記録媒体に残された法的な証拠に関するデジタル的な法科学の分野だという。
法科学とは
法科学を調べると、英語ではForensic Scienceといい、「自然科学と社会科学の原理と技術を用い、現在残されている状況を調べ、何が起こったのかを証拠に基づいて確定させる手法のことである。」という。また、法科学には、このような犯罪の究明だけでなあく、天文学や考古学、生物学、地質学においても、大昔の遺物から真実を調査することも含まれているらしい。
フォーラムの語源と共通
法科学(Forensic sciences)の“Forensic”は、ラテン語の“forēnsis”に由来する。つまり、フォーラムという言葉の語源でもある。ローマ帝国時代には、ローマ市街のフォロ・ロマーノで被告と原告が主張しあい、より広く受け入れられた方を判決として下したからだ。なぜ急にデジタルフォレンジックスを調べたのかといえば、平成27年度の情報工学の試験に出題されていたからだ。しかし、なぜか設問ではデジタルフォレンジック手法とある。辞書で調べるとforensicsは「法医学の」と形容詞であり、forensicが「法医学」と名詞だった。まあ、どちらでも大差はないが、解答では設問の用語を使おう。
デジタルフォレンジック手法の手順
警察は犯罪を立証するためにこのデジタルフォレンジック手法を活用している。特に、裁判員制度においては法律や技術の専門家ではない裁判員が判定するために、より具体的で客観的な証拠の収集が必要という背景もある。しかし、電磁的な証拠も破壊されていたり、消去されていたり、改竄されていたりするので、正しい情報の抽出・解析には高度な技術が求められる。下の図はその手順だ。
出典:警察庁(参考1)
Chain of Custody(CoC)
日本語でいえば保管庫となる。物理的もしくは電子的な証拠を保管し、管理し、移転し、分析し、処分する順番を記録した文書や証拠のことだ。裁判所が犯罪者を告発する際に使われる証拠が改ざんされることを防ぐためのルールと言える。冤罪を防ぐためには特に重要だ。
証拠保全
犯罪者は証拠隠滅のためデータを削除しようとする。しかし、削除を指示しても、OS上で処理されるだけで、HDDにはデータが残る。犯罪者のためではないが、情報漏洩を防ぐ意味でも注意が必要だ。しかし、HDDの記憶エリアに別のデータが上書きされると、これはもう解読できない。従って、証拠隠滅したければ、大量のデータでHDDになんども上書きした方がいいかもしれない。まあ、その前に悪いことをしないことだ(笑)。証拠を保全する立場からいうと、下の図のように、押収したHDDから物理的なコピーを二重に実施する。そして、ハッシュ値が同一であることを確認する。コピー①からはイメージファイルを作成してさらに解析するが、コピー②は大切な証拠として保管しておく。慎重にも慎重な対応が求められる。
出典:マイナビ(参考2)
デバイスの相関分析
例えば悪意を持つ攻撃者からサイバー攻撃を受けたときには、攻撃元と攻撃先を特定し、攻撃手法を分析し、被害を最小限に抑えるとともに、解決に向けてCSIRTやセキュリティ担当に情報提供すべきだ。このような場合には、改竄されたHDDだけを調べるのではなく、その機器が通信した複数のサーバーや機器のログを分析し、相関分析を行うことが一般的だ。
出典:サイバーアタック(参考3)
CSIRTとは
前項でCSIRT(シーサートと呼ぶ)が出た。ご存知の方も多いと思うけど、少し補足すると、これは「Computer Security Incident Response Team」の略で、セキュリティー専門家から構成されるインシデント対応を行うための組織だ。その先駆者は1988年に米国カーネギーメロン大学に設置されたCERT/CCだ。世界各地にCERTが設置されたが、CERTはカーネギーメロン大学の登録商標のために別の呼称として、CSIRTが使われるようになったという経緯がある。セキュリティの世界ではカーネギーメロン大学はトップランナーだ。
デジタルフォレンジックの課題
情報工学の試験では、証拠保全において考慮すべき技術的事項と配慮すべき非技術的事項を一つずつ挙げて具体例を示しながら説明せよとある。技術士試験で非技術的事項について質問するのは珍しい。色々と調べてみると、京都大学の上原哲太郎(京都大学NPO情報セキュリティ研究所)さんが作成した資料が整理されていた。下の図のように、技術的な課題と法曹分野の課題を示している。この中から一つ選ぶとすれば、どれが良いのだろう。法曹分野の課題もなかなか書きにくいが、トライするしかない。
出典:京都大学(参考4)
証拠保全の技術
技術的な課題の一つとして証拠保全の技術が指摘されている。また、これには事前対策と事後対策があるので、何と無く体型的に書きやすい。事前対策には、ログの確実な保全、改竄防止、ネットワークへの侵入検知システムの導入などか。事後対策にはメモリーや磁気媒体の確実な複製だが、最近の磁気媒体は容量が大きいので大変だ。また、複製するときには「真正性」をいかに維持するかが重要だ。そのためには、作業記録を取ること、複数の立会人のもとで行うこと、外部による証明を得ることなどが重要だ。
日本の大学でのデジタルフォレンジック教育の遅れ
米国の大学生では、80を超える大学でデジタルフォレンジックに関する講座を実施している。米国の研究会には、FBIや米軍や米国の警察も参加する。日本でも情報セキュリティ大学院大学がデジタルフォレンジック 入門講座等を開始しているが、まだまだ遅れている。
第16回情報科学技術フォーラム(FIT2017)
昨年9月には東京大学本郷キャンパスで二日間に渡って情報科学の専門家によるフォーラムが開催された。このFIT2017では、22件のイベントセッション、469件の講演が行われた。その中でデジタルフォレンジックで検索すると新潟大学の須川賢洋先生と茨城大学の岡田忠先生が専門家だった。可能であれば、IT21の定例会の講師をお願いしてみようかなあ。
まとめ
デジタルフォレンジックを調べてみた。結構マニアックな題材だ。こんな題材を問題として選ぶということは情報セキュリティの専門家が試験委員にいるということであり、今後もマニアックな問題が出る可能性がある。7月16日には一体どんな問題が出題されるのだろう。
参考1:https://www.npa.go.jp/hakusyo/h21/honbun/html/le300000.html
参考2:https://news.mynavi.jp/article/20160930-forensic/3
参考3:https://www.cyber-attack.net/cyber-security-dictionary/CyberAttack674.html
参考4:https://www.slideshare.net/tetsutalow/ss-2481944
三幕構成をご存知ですか?
セキュリティの調べ物をしていたら、なぜか三幕構成という単語が気になり、調べると、映画の脚本とかを作るときの基本的な構成だという。
セキュリティと全然関係ないけど、面白そうだと感じた。
小学生4年生の時に、文化祭で催しをすることになり、担任の先生から生徒にアイデアの募集があった。しかし、小学生4年生だ。みんな下を向いて誰も答えられない。
小学校の頃の自分は、決して優等生ではなかったし、成績も中の上ぐらいだったけど、誰も答えらない難問があると、なぜか先生は私を見て、それに鮮やかに解答したりするともう気持ち良いこと最高です。特に得意な算数などは、誰も解けないとなると、急にスイッチが入るという妙な生徒だった。
このため、演劇の脚本を書くなんて、した事もないし、考えた事もないけど、その前の週に同級生が誰も飛べない段数の跳び箱に成功して、担任の先生とハグして喜び合っていたのを思い出した。素直にすごいなあと感心したけど、それをベースに脚本を書いてみようと手をあげてしまった。
周りの生徒は、え! 脚本かけるの? 国語あんまり得意じゃないのに。。なんて視線を感じながらも先生は話を聞いて、やってみようとなった。
でも、脚本なんて書いたことがない。結論としては、挫折して、全然別のシュプレヒコールになるのだけど、自分なりに奮闘した。
もし、その時の自分に声をかけられるとしたら、三幕構成を教えてあげたいと思う。
日本では、よく起承転結というけど、映画の世界はどうもこの三幕構成がパターンのようだ。
(出典:wiki)
つまり、三幕構成とは、ストーリーを3つのパートに分けて考える。
第一幕:最初は登場人物が登場する。さっきの跳び箱でいえば、体育の授業で生徒が跳び箱の練習をしているシーンだ。みんな上手だ。練習を続けると少しずつ高い段数の跳び箱に飛べるようになる。
第二幕:うまく飛べる生徒がいる一方で、なかなか飛べない生徒がいる。後者は自分だ。何度やってもうまくいかない。うまく飛べる生徒にコツを教えてもらうけどダメだ。みんなからあいつは運動音痴だとばかにされる。
第三幕:でも、踏切の練習や、手をつく場所とか、エイ!と勇気を持って、体重を腕にかけて、エイ!と振り抜く。そうすると今まで飛べなかった段数を飛べるようになった。先生もびっくりして、すごいねえとハグしてくれる。
当時、自分の頭にあったのはこんな感じだ。三幕構成というセオリーを知っていれば、自信を持って、こんなざっくりとしてシナリオを作成して、先生や同級生に見てもらって、どんどん良くして、みんなで演じることができたかもしれない。
ただ、今から考えても、この程度のアイデアで手をあげてしまった自分は、子供の頃から妙にチャレンジングな性格だったのだと思う。
三つ子の魂百までというが、実力もないのに、どうも誰も成し遂げていないようなチャレンジングな目標を見せられるとスイッチが入ってしまうので、これはもう自分の性(さが)かもしれない。
三幕構成をもう一度復習すると、視聴者や観客をストーリーに首っきりにさせる仕組みだ。つまり、第一幕で主人公の欲求をしっかり設定し、観客もこれに感情移入し、主人公の願いが叶って欲しいと思わせる。第二幕では、主人公が幾多の困難に直面しても諦めず色々と葛藤する姿を見て、なんとか頑張って欲しいと応援する。そして第三幕ではストーリーが思いもかけない展開に進み、どんでん返しを起きて驚くような結論になる。
技術士の記述問題も、三幕構成で論ぜよという問題が多い。つまり、あるキーワードやある状況の概要を説明し、その課題を説明し、その課題の解決策を求める。これはまるで三幕構成ではないか。
来週はとうとう技術士二次試験(情報工学)の筆記試験だ。まだまだ実力は足らないけど、なんとか最後の最後まで粘って、できればこの三幕構成の技を活用して、見事に栄冠を勝ち取りたいと思います。あと、ひと頑張りしよう。
以上
サイバーセキュリティ対策について考える
サイバー攻撃に対してどのようにサイバーセキュリティ対策を実施するかは多くの企業にとって課題だ。
平成28年度の情報工学(情報ネットワーク)の課題IIIでは、ズバリ多層防御の考え方や対策を問う問題が出題されている。キーワードは、多層防御、APT攻撃、3つの対策だろう。
また、全方位型マルウェアと標的型マルウェアの違いや入口対策・出口対策・内部対策の概要、近年注目されているOODAサイクルなどについても触れてみたい。
1. 全方位マルウェアと標的型マルウェア
2. 標的型マルウェアの脅威
3. APT攻撃の進化
4. 多層防御とOODAサイクル
5. 3つの対策
6. まとめ
1. 全方位型マルウェアと標的型マルウェア
全方位型はいわゆる八方美人型だ。八方美人は誰にでも笑顔を見せて誤解を生んでしまうのが問題かもしれないが、可愛いものだ。全方位型のマルウェアは誰彼を問わず一気に感染が広がるので脅威だが、多数の症例が一気に発生するために結果的にはセキュリティ対策方法を早期に確立して、対策を進めることができる。この全方位型に対しては、常にソフトウェアのアップデートを行うことが基本的な対策になる。
一方の標的型マルウェアは、いわばストーカー的なウィルスだ。ストーカーのように特定の人間をターゲットとすると、長時間かけて計画を練って作戦を立てて執拗にターゲットを攻撃する。本当に困ったものだ。標的型マルウェアも同じだ。しかも、ターゲットとして狙われても、被害者事例がないため、企業側では適切な対策を打つことができず、その間隙を縫ってマルウェアが企業内に侵入して、さらに被害を広げるという最悪のパターンに陥る可能性がある。
下の図は、左が全方位型マルウェアで右が標的型マルウェアだ。@ITからの引用だ。
出典:@IT(参考1)
2. 標的型マルウェアの脅威
標的型攻撃は、執拗で陰険で危険だ。マイクロソフトのHPにはこの標的型マルウェアの危険性をわかりやすく図示しているので、引用したい。ここでは4つの課題を指摘している。まず課題1はマルウェアが検知されないことを攻撃者が確認の上攻撃すること、課題2は暗号化されたファイルもPCには復号されたものが保存されており、PCに保存されているデータが狙われること、課題3はマイクロソフトの言い訳か悩みか(笑)、MSで対策機能を実装してもそれがオンにされていないことがあること、課題4は攻撃者は時間をかけてマルウェアの感染者からディレクトリーサービスにアクセスし、必要な情報をゲットすることに成功することなどが説明されている。マイクロソフトの立場もすけて見える。マイクロソフトも頑張っているのだろう。
出典:マイクロソフト(参考2)
3. APT攻撃の進化
APTとはAdvanced Persistent Threatの略だ。つまり、高度に進化し、執拗な脅威だ。独立行政法人情報通信研究機構(NICT)のCYREC(サイバー攻撃的対策総合研究センター)ではAPTを次のように定義している。APTとは、「特定の相手に狙いを定め、その相手に適合した方法・手段を適時用いて侵入・潜伏し、数カ月から数年に渡って継続するサイバー攻撃だ」という。例えば、日本の情報通信企業で官公庁や企業に対して、セキュリティソリューションサービスとシステムインテグレーションサービスを提供する株式会社ラック(LAC Co., Ltd.)では、次のようなAPT攻撃耐性診断サービスを提供している。これは、お客様のネットワークにマルウェアが侵入したと想定して、感染拡大や権限昇格、重要情報の搾取などの攻撃に対する耐性レベルをチェックするという調査だ。まるで企業のネットワークの人間ドックだ。健康で大丈夫と太鼓判を抑えれるように企業は少なく、何らかの脆弱性が見つかるので、これに対してはしっかりと対策しないとヤバイですよと脅かせば、セキュリティ対策サービスが売れる。これは不謹慎だけど美味しいサービスでかつ、お客さまも喜ぶ。セキュリティ系の産業構造と医療系の産業構造が類似しているように感じるのは気のせいだろうか。。
出典:LAC(参考3)
4. 多層防御とOODAサイクル
多層防御とは、もともとは軍事用語だ。つまり、相手の攻撃を止めることが難しいのであれば、相手の攻撃を遅らせることで必要な対策を行う。ワールドカップで日本がベルギーに2−0でリードした時に、この多層防御が成功していたら、ブラジルとベスト4を争うという夢のような世界を見れたのかもしれない。また、セキュリティの世界ではPDCAは古いという。ネットワンによると、セキュリティの世界で大切なことはOODAサイクルを回すことだという。OODAとは、Observe + Orient + Decide + Actの略だ。つまり、どんなサイバー攻撃を受けているのかを常時モニタリングする。攻撃の意図を識別した上で影響を把握するなどの状況判断を行う。そして、サイバー攻撃に対する的確な措置を迅速に意思決定する。さらには、問題解決やリスク要因の排除などの根本対策を実施する。このOODAサイクルは総務省の有識者会議「情報セキュリティアドバイザリーボード」でも提唱している考え方なので、今年の試験に出るかもしれない(笑)。
出典:ネットワン(参考4)
5. 3つの対策
このようなAPT攻撃に対する多層防御の対策は入口対策と出口対策と内部対策の3つだ。
1) 入口対策:攻撃者の侵入を防ぐ対策だ。いわゆるファイアーウオールやUTMの設置だ。この入口対策が厳格だと、攻撃者が攻撃を諦める抑止力となる。核の抑止力が核爆弾かどうかは議論のあるところだが、APT攻撃にはまず入口対策を強化するのが鉄則だ。
2) 出口対策:しかし、攻撃者がなんらかの形で入口をすり抜けたとするとどう対策すべきなのか。攻撃者の立場で考えると、ターゲットの企業の内部に侵入したら、宝の山を探すだろう。そして、攻撃者の司令塔と密接に情報交換を行う。この司令塔をC&Cと読んでいる。C&Cといえば、NECのキャッチフレーズだったが、セキュリティの世界でC&Cというと、コミュニケーション&コントロールサーバー(C&Cサーバ)を意味し、攻撃者が設置するサーバだ。したがって、出口対策としては、このC&Cの特定や照合とブロックが重要だ。
3)内部対策:ウイルスをばらまかれたり、アカウントを乗っ取られたりしないような対策が重要だが、これに加えて、ネットワークを区画化して、侵入経路に壁を作ることも有効だ。多層防御においては、ネットワークの設計とアカウントの定期的な監視が非常に重要な鍵となる。
6. まとめ
サイバーセキュリティの世界をキャッチアップするのは大変だ。米国防総省では1000人を超えるサイバーコマンドを擁する。英国ではサイバー攻撃に対して約800億円を投じると発表している。サイバーセキュリティの世界では米国カーネギーメロン大学が先行していることは有名だ。そのカーネギーメロン大学の修士課程を兵庫県立大学大学院応用情報科学研究科博士前期課程に入学すると合計2年間で両大学の学位を同時に取得できるという。神戸の学生はチャレンジして、世界屈指のセキュリティの専門家になれば、大金を稼ぐで切ることもできるかもしれない。セキュリティの世界では日本人の存在感が低いと指摘されているが、世界を目指すセキュリティのプロを日本からも排出することが遠回りかもしれないが、日本でのセキュリティを高める王道だろう。
以上
参考1:http://www.atmarkit.co.jp/fsecurity/rensai/appsec04/appsec01.html
参考2:https://www.microsoft.com/ja-jp/business/enterprise-security/solution/multiple.aspx
参考3:https://www.lac.co.jp/service/consulting/aptpreemptive.html
参考4:https://www.netone.co.jp/biz/solution/multi-layered-defense.html
情報工学の試験は奥が深く幅が広い(涙)
はじめに
技術士情報工学部門の平成29年度の試験問題はなんとか回答できたので、次は平成28年度の問題にトライしようとした。しかし、ムズイ。全然分からない。仕方ないのでネットで関連情報を調べて理解を深めようとしたら、知らない言葉や分からない概念が次々に出てくる。
情報工学部門の合格率は、他の部門の合格率よりも低く難関だ。昨年受験した経営工学の生産マネジメントでは結果的にはなんと4割の合格率だったが、情報工学はわずか7%だ。
まあ愚痴っていても仕方ないので、少しこのブログを活用して頭の整理をしたいと思います。皆様の参考になれば幸いです。
1. 設問の内容
かいつまんで言えば、「VXLANについて、規格の概要や規格化された背景とVLANやTRILLと比べた時の特徴を述べよ」である。600字1枚の問題なので、内容的には妥当だけど、そもそも単語の意味が分からない。VLANは流石に知っているけど、VXLANとは?TRILLとは?
2. VXLANの概要
(1) VXLANの概要
VXLAN(Virtual eXtensible Local Area Network)の略だ。VLANを拡張した技術だ。具体的には、L3ネットワーク上に論理的なL2ネットワークを構築するトンネリングプロトコルだという。わかったような分からないような(笑)。VXLANでは、VXLAN IDを使用してイーサネットフレームをカプセル化することでトンネリングを実現する。VXLANの概要を理解するには、VLANを復習しておく必要がありそうだ。
(2) VLANの概要
大好きなWikiで調べると、「Virtual Local Area Network(VLAN)は、スイッチなどのネットワーク機器の機能により、物理的な接続形態とは別に仮想的なネットワークを構成することである。スイッチの接続ポートやMACアドレス、プロトコルなどに応じて、端末のグループ化を実現する。」とある。まだ抽象的で分かりにくい。
(3) VLANの種類
LANの用途も方式も様々なものが使われている。もっとも普及しているVLANはレイヤ3のスイッチをルータとしてネットワーク構成するものだ。大企業では部門毎にVLANを設けてネットワークを分割し、アクセスを制限するようなセキュリティ対策としても活用している。
VLANの方式は主要なものだけでも次のようなものがある。
1) ポートベースVLAN : スイッチの接続ポート番号により識別する方式
2) MACベースVLAN : 端末のMACアドレスにより識別する方式
3) サブネットベースVLAN : 端末のIPアドレスにより識別する方式
4) プロトコルベースVLAN : IP、IPX等のネットワークプロトコルで識別する方式
(4) VLANの仕組み
下の図は、@ITの解説で使われていた図でVLANの仕組みを示している。物理的は共通のL2ネットワークを仮想的なLANであるVLAN10、VLAN11、VLAN12が共存している。そして、これらのVLANの識別にはVLAN IDと呼ばれる識別子を用いるが、この長さが12ビットだ。なので、0から4095までの4096のID を使えるはずだが、0と4095は予約されているので、実際に使えるのは4094個、まあ約4千個もあるのでこれまでは十分だった。なお、図の中でVRFとあるのはVirtual Routing and Forwardingの略でこれは事項で説明する。
出典:@it(参考1)
(5) VRF
VRF(Virtual Routing and Forwarding)は、ルーティングテーブルの複数インスタンスが同じルータ内に同時に存在することを可能にするテクノロジだ。ルーティングインスタンスは独立しているため、同じまたは重複するIPアドレスを互いに競合することなく使用することができ、複数のルータを必要とせずにネットワークパスをセグメント化できるため、ネットワーク機能が向上する。分かったような分からないような。そもそもインスタンスとは何だ。
出典:アライドテレシス(参考2)
(6) インスタンス
Weblioで調べると、「インスタンスとは、英語において「事実」「実例」「実態」といった意味を示す名詞である。」という。どうも、オブジェクト指向言語で好んで使われる用語の一つのようだ。例えば、オブジェクト指向の世界では、設計図のことをクラスといい、実際に作ったものをインスタンスといい、これらを総称したモノをオブジェクトと呼ぶ。まだあまり知られていないが、オープンソースで開発されたSNS「マストドン」では、サーバー単位で設置されるクラスタをインスタンスと呼ぶ。
3. VXLANが規格化された背景
VXLANの概要を理解しようとしたが、分かったような分からないような。まあ、なんとなく、VLANの拡張技術らしいということは理解した。しかし、VLANでは何が問題だったのだろうか。調べてみると、次の3点に集約されるようだ。
1) VLAN ID(約4000)の数が足りない
2) 一般的なL2冗長手段であるSTPは、マルチパスに対応していない
3) ToRスイッチのMACアドレステーブルのスケーラビリティが足りない
つまり、従来のWANは帯域も狭く、速度も遅く、でも価格は高かったのでそれほど多くの機器を接続することはなかったが近年ではインターネットを活用したSD-WANが普及し、広帯域で高速、値段も安いということで非常に広範囲な拠点とその設備を接続するようになってきた。このために従来なら十分と思われていた約4千という数ではもはや収まりきれないということだ。さらに、STPとはSpanning Tree Protocolでパケットが無駄に往復しないように規制する技術だが、その副作用として冗長性を活用しきれないと側面がある。機器の故障時には短時間で設定を切り替えるようになっているが、リアルタイムではない。また、ToRは悪名高いダークウェブを使うための技術の方が有名になりつつあるが、この文脈のToRとはTop or Rackの略だ。簡単にいえばラック内の機器を接続する方式にはTop of RackとEnd of Rackの二方式があり、前者はラック内の機器をラック内のスイッチで集約する方法で、後者はラック内にはスイッチは置かずにラック外のスイッチとラック内の機器をそれぞれ接続する方法だ。
出典:@it(参考1)
4. VLANやTRILLと比較したVXLANの特徴
(1) ファブリックとオーバーレイ
個々の方式の比較をする前に少し抽象度を高めるとファブリック方式とオーバーレイ方式の比較となる。下の表で示すように、ファブリックにはSPB(いわゆるVLAN)やTRILLがある。そして、オーバーレイにはVXLANがある。
出典:@it(参考3)
(2) ファブリック方式とは
ファブリックとは布とか織物の意味だ。網のトポロジーとしてツリー型、ループ型、バス型、メッシュ型と区分していた。メッシュは個々のノードが繋がる方式だが、イメージ的には粗い。ファブリックはもっと大量のノードがそれぞれ密に繋がるイメージだ。なお、技術士試験の設問にはVLAN(IEEE 802.1Q)と規格名が明記されていた。実はこれがこの設問のミソだ。つまり、VLANといえば、SPB(Shortest Path Bridging)となるが、このSPB方式も下の表のように年々進化している。つまり、IEEE 802.1Qなら識別子の数が約4千という制限があることを訴求できるが、これの進化版であるIEEE 802.1adや同802.1ah、同802.1aqでは1600万に拡張されている。Q in QとかMac in Macという用語もキーだが、VLANの進化の技術を指している。今年はこの辺りをついてくるのかもしれない。
出典:SideShare(参考4)
(3) オーバーレイ方式とは
オーバーレイは既存のネットワークをベースとして、その上に論理的な仮想網を構築する方法だ。これを実現する代表的な方法がVXLANであり、L2のパケットをカプセリング化して、最大約1600万の論理ネットワークを構築するモノだ。従来のVLANでは、仮想マシン(VM)が通信するたびに物理ネットワークのMACアドレステーブルに仮想マシンのMACアドレスを登録する必要があった。このため、前述のように、VMの数が増えると、MACアドレステーブルが逼迫するという懸念があった。しかし、VXLANでは、VTEP(VXLAN Tunnel End Point)のMACアドレスをVMの代表MACアドレスとして物理ネットワークのMACアドレステーブルに登録するので、MACアドレスが逼迫することはない。
(4) VXLANの課題
VXLANはVLANやTRILLが直面する課題を解決し、大規模のSD-WANなどにも活用できそうだ。しかし、欠点のない方式はない。VXLANの課題は何か?それをどのように解決するのかという着想と理解力を試される可能性がある。VXLANの課題は何かと調べると、次のような点が見えてきた。
1) 仮想ホストサーバーのリソースの消費
仮想ネットワーク上のパケット処理は、仮想ホストサーバーのリソースを消費する。このため、大規模な仮想環境ではパケット転送時のパフォーマンスが懸念される。
2) 仮想ネットと物理ネットの個別管理
オーバーレイ方式の場合には、物理ネットワーク側の管理ポイントが分かれている。このため、仮想と物理ネットワークを別々に管理する必要も出てくる。
3) コストの問題と信頼できるインテグレータが少ない
オーバーレイ型の機器は販売されているが、まだライセンスが高価である。また、提案や構築ができるシステムインテグレーターがまだ少ない。
5. TRILLの課題とVXLANとの比較
(1) TRILLとは
前項ではTRILLについても言及すべきだったが、なかなかTRILLに関する情報が少なく、難解だ。f5のウェブ(参考5)をみると比較的平易にTRILLを説明してくれていた。少し引用する。
L2でルーティングするTRILL
TRILLも前回のSPBと同様に、物理的なネットワーク上でイーサネットフレームの経路を動的に設定して論理的なネットワーク構造を作る、マルチパスイーサネット技術だ。イーサネット上をトンネリングしてデータを遅るというのも、TRILLとSPBで共通している。なお、TRILLはIETFで標準化され、RFC 6325ほかで仕様が定められている。
(2) TRILLとは(続)
TRILLの理解は前項の説明ではまだ不十分だ。大好きなWikiで調べると日本語版にはなかったけど英語版には解説があった。キーワードはIS-ISとTLVとECMPかなあ(汗)。まず、TRILLは、RBridgeと呼ばれるデバイスによって実装されるIETF標準だと定義している。TRILLはリンクステートルーティングをVLAN対応の顧客ブリッジ問題に適用する。RBridgeは、IEEE 802.1ブリッジと互換性があので、段階的に置き換えることができる。RBridgeはブリッジスパニングツリープロトコルを終了する。TRILLスイッチ(RBridge)はリンクステートプロトコルを実行する。使用されるリンクステートルーティングプロトコルはIS-ISだ。レイヤ2上で直接実行されるため、IPアドレスを割り当てる必要はない。TRILL情報を運ぶための新しいTLVでデータ要素とサブ要素を定義する。ループ問題を緩和するために、RBはホップカウントを持つヘッダーに基づいて転送する。代替配信ツリールートによるマルチデスティネーションフレームのマルチパスとユニキャストフレームのECMP(Equal Cost MultiPath)がサポートされる。メッシュ状のネットワークは、TRILLのマルチパス機能にメリットがあるようだ。
(3) SPBとTRILL
SPBではイーサネットフレームをVLANでまるごとカプセル化する。これに対してTRILLでは、イーサネットフレームのヘッダを拡張することで元のイーサネットフレームをカプセル化する。SPBでは一般的な種類のフレームを活用するが、TRILLでは専用の種類のフレームを活用する。このため、SPBではノードごとに最短経路を確認してしてデータを転送する。一方、TRILLは、途中のノードでヘッダを書き替えて次のノードに伝送する。
出典:f5(参考5)
もう少し調べていると、クラウドウオッチ(参考6)が次のように解説していた。
新しい「フラットなL2ネットワーク」を実現するための技術としては、主にSPB(Shortest Path Bridging)とTRILL(Transparent Interconnection of Lots of Links)の2つがネットワークベンダーに採用され、標準化が進められている。SPBもTRILLも、イーサネットの1つのネットワーク上で複数の経路を許容する「マルチパス」の技術だ。伝統的なL2ネットワークでは、2点間に複数の経路がある物理構造は、ループとなり障害を起こしてしまうため作れない。しかし、サーバーやスイッチの台数が増える中では、ループを作ってしまう危険性も増えるほか、経路を冗長化する必要性もある。最近ではループを避けるスパニングツリー(STP)技術が使われる。例えば、2つの経路があるときに片方の経路のポートを自動的に切断しておく(ブロッキングポート)ことで、ループを防ぐものだ。これにより、ループ回避と冗長化が実現できる。ただし、スパニングツリーでは2つの経路の片方だけを使うために、単純計算で帯域が半分しか使えないことになる。
それに対し、SPBやTRILLでは、物理的なL2ネットワーク構成の上で、それぞれの2点間の最短経路を自動的に決めて、それに基づいて各スイッチがデータを流す先を決める。そのため、複数の物理的な経路があっても(マルチパス)、実際の経路は一意に決まる。いわば、物理的なネットワーク構造の上に、全体が1つのスイッチであるように論理的なネットワーク構造が作られるわけだ。
6. まとめ
ネットで色々調べてなんとなくは理解できただろうか。要は従来のWANに対して、現在のWANは非常に広範囲で大量の機器を接続するために、既存のVLANでは懸念事項が増えてきた。このため、VLANの思想をベースにして機能を拡張するファブリック方式と、既存のネットワークの上に新たにアプリケーション層のネットワークを構築するオーバーレイ方式が競いでいる。それぞれに長短はあるが、本命はVXLANを中心とするオーバーレイ方式かもしれない。今後は、これら2つの方式を比較して、VXLANの課題やその対応策を述べよといったむずい問題が出るかもしれない。もしくは、既存のVLANから新しいネットワークに移行するときの方法とその留意点を示せといった問題が出るかもしれない。VLANだけではないが、通信技術の革新の速度が早い。専門分野であれば日常の業務の中で自然に情報も入ってくるのでなんとなく勘が働くが、そうでないと、調べても調べても知らないことが出てくる。Mac in Macは、マクドナルドでマッキントッシュを使う訳ではない。知らない用語が一杯出てくるが、あと2週間なんとかラストスパートを頑張ろう(汗)。
追加
Smart Gridフォーラム(参考7)には次のような解説が載っていた。
802.1ah(拡張サービス・タグ付きフレーム方式)は、いわゆるMAC-in-MACと呼ばれるカプセル化方式(MACフレームの中にMACフレームを挿入する方式)を用いて、高い信頼性をもち、かつ大規模なレイヤ2接続サービス(広域イーサネット・サービス)を提供するための方式を規定する規格で、「ダブル・タグ方式」(短い固定長のタグを2個使用する)と呼ばれる802.1ad(※1)と同様に、イーサネットを用いてポイント・ツー・マルチポイントの接続サービスを実現する。802.1adとの違いは、MAC-in-MACの技術を活用して、より高信頼かつ大規模な網を実現することが可能な点であり、次世代広域イーサネットのコア技術として注目されている。
参考1:http://www.atmarkit.co.jp/ait/articles/1412/03/news009.html
参考2:https://www.allied-telesis.co.jp/support/list/switch/x900_sb900/doc/docs/docs/overview-101.html
参考3:http://www.atmarkit.co.jp/ait/articles/1412/03/news009_2.html
参考4:https://www.slideshare.net/MottyBenAtia/shortest-path-bridging-8021-aq
参考5:https://f5.com/glossary/glossary092-21573
参考6:https://cloud.watch.impress.co.jp/docs/special/505011.html
参考7:https://sgforum.impress.co.jp/article/835
ヘルスケアとIoMT
はじめに
平成29年度の技術士二次試験(情報工学部門)の課題IIIの問題にトライしようと思ったら、ヘルスケア機器をIoT化する場合の利用者の価値と提供会社のビジネス的な利点を述べよとあった。さらにクラウド活用の場合のシステム構成とか、セキュリティのリスク等も複数の視点から分析して対策とともに述べよとある。流石に技術資格の最高峰と言われるだけある。これらについて600字の原稿用紙3枚にまとめる。キーワードを盛り込んで、ロジックも明確にして、分かりやすく論ずるのはなかなか大変だ。ただ、このヘルスケアとかIoTというキーワードを調べていると色々と面白い気づきがあり、とても600字×3では収まりそうにない(笑)。そのため、技術士を目指す人との情報共有の意味を込めて、このブログで少し論点を整理して見たいと思った。
ヘルスケアとは
ヘルスケアは、特に和製英語ではなかった。英語でも、そのままでhealth careという。つまり、健康の維持・増進の行為や健康管理のことだ。東洋医学では養生や未病と言って普段からの健康を管理する概念があるのに対して、西洋医学は病人を治す治療を主眼にしたものだった。しかし、近年では西洋でも普段からの健康の維持や病気の予防に注意が払われるようになっている。
ヘルスケア機器
ヘルスケア機器にはどのようなものがあるのか。Small Start.bizではこれを、予防、診断・治療、予後・介護、健康増進の4つに分類している。狭義のヘルスケアは健康増進と予防を目的とする下半分だろう。
出典:Small Start.biz(参考1)
IoMTとは
IoMTとは、さまざまな医療機器やデバイスをインターネットでヘルスケアのシステムとつなぎ、リアルタイムでの医療データ収集や解析を可能にする技術や概念のこと。つまり、医療・ヘルスケア領域のIoTのことをIoMT(Internet of Medical Things)と呼ぶ。先進諸国のGDPにおける医療費支出の比率は、日本は約12%、米国では約18%に達しているという。医療サービスの品質を下げずに、医療費を下げるには、IoMTのテクノロジーを活用し、予防医療にシフトすることが求められている。
ヘルスケアの市場予測
平成28年度の情報通信白書によれば、ヘルスケア市場は2015年の209億ドルから2020年には626億ドルまで3倍以上に増加するという。その中でも情報機器は2015年の68億ドルから2020年の323億ドルへと5倍近くに増大するという。本当だろうか。
出典:情報通信白書(参考2)
ヘルスケア市場
サクサホールディングスの資料では、下の図のように、ヘルスケアの機器がネットに繋がり、そこから各種データを分析することで様々なサービスがヘルスケアの分野で創造され、社会インフラ、オフィス、介護、医療の各分野で市場が拡大すると論説している。ここで重要なことはヘルスケア機器から生じるビッグデータの価値や知見を活用できる企業が他社との競争に勝ち抜くことができるという厳しい世界に突入しているということだ。
出典:サクサホールディングス資料(参考3)
ビッグデータは誰のものか
日立コンサルティングは、予防と診断・治療と予後・介護という3つのフェーズにおいて発生する各種データが連携して活用されるべきと解いている。しかし、予防レベルのデータは医療データではないためヘルスケア機器メーカーが提供するクラウドサービス等に保存される。医療費データは病院の医療システムとして管理される。介護のデータは自治体が管理するのだろうか。これらデータは連携されず、それぞれのシステム内でクローズドな状態で使われるのが実態ではないだろうか。
出典:日立コンサルティング(参考4)
医療と非医療の連携
宮崎には、医療の力と運動の力を総合的に活用するメディカルフィットネスフィオーレが運用されている。素晴らしい。ここでは、医療従事者とトレーナーが連携する。医師、理学療法士、保健師、看護師、管理栄養士、トレーナー、健康運動指導士、健康運動実践指導者が連携して治療や指導に当たる。宮崎駅からは徒歩3分と言う至近距離にあり、有名なフェニックスカントリークラブまでも車で20分ほどだ。こんな恵まれた施設で人生最後を過ごす人は幸せかもしれない。
出典:メディカルフィットネスフィオーレ(参考5)
AIヘルスケアサービス
まだコンセプトレベルだが、ヘルスケアの情報も医療の情報も個人の健康データとして統合的に管理して、日々の健康管理情報として本人や家族、病院で共有し、精度の高い治療に役立てることが検討されている。これは理想の姿だが、これを実現するにはハードルも多いだろう。
出典:ウイズアス(参考6)
セキュリティリスク
ヘルスケアデータを利活用する遠隔医療モニタリングを想定する場合には、下の図のようにIotとクラウドとBig Dataの掛け合わせという構造になる。そして、それぞれがセキュリティリスクに直面する。リスクの範囲には、盗難や改竄に留まらず、ヘルスケア機器が乗っ取られたり、不適切な動作をすると生命を脅かす事態まで想定される。しかし、セキュリティリスクを複数の視点から分析せよという問題には、このようなIoTの側面、クラウドの側面、ビッグデータの側面からのリスクと対応策を述べれると分かり易い(=合格)かもしれない。
出典:Cloud Security Alliance(参考7)
クラウド利用が進む医療系ネットワーク
日医総研の調査によると医療系ネットワークは全国309か所で構築され、うち270か所が調査に応じた。うち42%では公開WEBサイトがあるが、58%はクローズドな運営だ。まだまだ、情報公開は遅れているが、下の図のようにクラウドを活用した事例は急速に拡大している。医療系データも非医療系のデータも統合的に取り扱うようなクラウドサービスが登場して浸透すると統合的な利用が可能となるのかもしれない。
出典:メディウォち(参考8)
最後に
医療と非医療の連携は簡単ではないだろう。少なくともデータをシームレスに連携するような仕組みは必要だ。また、データはあくまで本人に帰属するという整理をしない限り、各種データの統合的な利用は難しいのではないだろうか。クラウドサービスの利用によってシームレスな運用や統合的な活用が可能となるとしたらそれは歓迎すべきことだろう。しかし、そのようなサービスを提供する事業者がアップルだったり、アマゾンだったりした場合には、日本人の大切な情報が全て国外で処理されるという非常に危うい状況になることも危惧される。日本人の安全と安心を高めるのは難問だ。
以上
参考1:http://smallstart.biz/it・iot/iotでビジネス価値を生み出す-企業における10の活用
参考2:総務省|平成28年版 情報通信白書|ウェアラブル
参考3:https://prtimes.jp/main/html/rd/p/000000016.000029473.html
参考4:http://www.hitachiconsulting.co.jp/business/healthcare/index.html?p=top_b
参考5:http://www.mf-fiore.com/about.php
参考6:http://www.withus-group.com/service/
参考7:https://www.slideshare.net/esasahara/ss-69325550
参考8:http://www.medwatch.jp/?p=15503
テレワークを考える。
最近、ブログの更新をサボっている。これはこの3月までと異なって9時ー17時の普通の勤務に戻ったため、可処分時間が減ったことと、7月16日の技術士試験の受験勉強を優先しているためだ(言い訳)。
昨年度の情報工学部門の記述問題に取り組もうと思ったら「テレワーク」をテーマにしたものが出題されていた。600字の原稿用紙3枚にまとめよという問題だが、テーマが面白いので、久しぶりのブログのテーマにすることにした(笑)。
1. テレワークの定義
wikiを見ると、「テレワークあるいはテレコミューティングとは、勤労形態の一種でインターネット等を介して時間や場所の制約を受けずに、柔軟に働く形態をいう。また、テレワークで働く人をテレワーカーと呼ぶ。」とある。つまり、会社に出社して、事務所にある業務用のPCを用いて仕事をするのではなく、それと同じことを自宅とか、サテライトオフィスとか、通勤中とか、喫茶店とかで行うことだ。
2. テレワークの分類
ベネフィットワンが提供するBowglのサイトに分かりやすく解説があった。テレワークのワークスタイルには下の図のように4つに分類できるという。つまり、上が雇用型で下が自営型、右が在宅型で左がモバイル型だ。営業担当が出先で仕事をするのは左上だ。スタバでお仕事をしている人たちは左下だ。同じ在宅でも、雇用形態で右上と右下に分かれる。でも、自宅がオフィスの自営業の場合に在宅ワークがテレワークになるのだろうか?まあ、そんな細かいことを横においておこう。
出典1) https://bowgl.com/2017/12/14/telework/
3. テレワークのメリット
テレワークを導入するとどんな効果があるのだろう。もちろん従業員にもメリットがあるが、テレワークの導入を決定するのは会社なので、会社にとってのメリットが重要だ。大きくいえば、優秀な人材の確保や生産性の向上など、人材の有効活用の効果が大きいのではないだろうか。また、東日本大震災の時には、テレワークの効果は絶大だった。上司からリモートデスクトップのためのUSBを渡されて、個人所有のPCに接続したら、なんと会社のデスクトップにアクセスできる!正直初めてなのでびっくりした。災害時対応として、やるべきことは山積していたので、リモートデスクトップの効果を実感した。
出典2) 出典1と同じ
4. テレワークの方式
リモートデスクトップ方式とは、テレワーク端末から会社のPCにアクセスして、会社のPCのデスクトップをテレワーク端末に表示して操作できるもの。一種のなりすましだ。これの利点はデータはすべて会社のPCのハードディスクやサーバーに保存される点だ。問題は印刷指示したら会社のプリンターに印刷することだ(涙)。にて非なるものが仮想デスクトップ方式だ。会社のPCのデータをすべてサーバーに格納する方法だ。テレワーク端末には基本データを保存しないので、廉価なPCやタブレット、スマホでも可能だ。問題はネット環境がない場合には使えないことだ。飛行機内で仕事をしようと思っても厳しい(涙)。また、クラウドを活用するのがクラウド型アプリ方式だ。処理したデータはサーバーにも保存できるし、テレワーク端末にも保存できる。利用者からいえばこれが最も使いやすい。もっといえば、同じクラウドをPCでもタブレットでもスマホでもシームレスに使えるのが嬉しい。ただ、問題はリモート端末内部に保存できるため情報流出などのセキュリティの問題が懸念されることだ。アプリケーションラッピング方式はリモート端末内部にデータを保存できないように規制する方法だ。個人的には余計なお世話だが、セキュリティを高めるには止むを得ない(涙)。
出典3) 総務省のテレワークセキュリティガイドライン
http://www.soumu.go.jp/main_content/000545372.pdf
5. 東京オリンピック&パラリンピック
2012年にロンドンで開催されたオリンピック&パラリンピックでは、期間中の交通混雑を緩和するためにテレワークを実施した。ロンドン市長によるとテレワークはオリンピックの社会的な遺産(レガシー)として定着しているという。こんな話が大好きな小池都知事は2020年の東京オリンピック&パラリンピックで二匹目のドジョウを狙っている。夏の暑い時に会社に出社しなくても、自宅や近くの喫茶店などでお仕事ができればそれはそれで嬉しい。でも、近所のスタバがさらに混むので、営業時間の開始時には行列ができたりするかもしれない。
6. テレワークのリスク
テレワークは万能ではない。メリットがあればやはりデメリットもある。これは仕方がない。総務省のガイドラインでは、下の図のように分かりやすく、テレワークの脅威と脆弱性について説明している。悪意を持った悪い人はいる。最近ではランサムウェアと言って、他人のPCにウイルスを感染させ、データをすべて暗号化し、復号キーを教えて欲しかったらお金を払えと迫ってくる。その代金も銀行口座振込みとかだと犯人がすぐ見つかるので、ダークウェブにアクセスする方法を説明して、痕跡が残らない仕組みのなかで仮想通貨を買わせるのだという。これは賢い方法かもしれないが、賢い人がそんな悪いことをしてはいけない。
出典4) 出典3と同じ
7. テレワークの留意点
テレワークを活用しようと決めたとする。その場合にはどんなことに留意すべきなのだろう。先の技術士の試験でも当然ここをついている。総務省のガイドラインでは、下の図のように、ルールと人と技術のバランスを保つことが大切だと説明している。ルールを決めてもそれを守らなければ意味がない。そのルールを守っていても、セキュリティの甘いシステムでは感染してしまう。この3つのバランスをとると言った主旨で回答すれば合格点は貰えるだろうか(笑)。
出典5) 出典3と同じ
8. テレワーク導入の手順
情報システムを担当する立場で、テレワークの導入が決まった。あなたはそのマネージャだ。どのような手順で進めるかを述べよ。こんな問題は出そうだ(笑)。BowglのHPには下の図のような分かりやすい流れが記載されていた。この中で特に大切なことは、目的を明確にすることだ。PDCAを回すにしても、その判断基準となるのは目的を達成したのかどうかであるべきだ。そして、テレワークに限らないが、情報システムの導入や利用で重要なことは改善を繰り返すことだ。最初は多少問題があっても、課題を明確にして、その課題を解決して行く。そんな繰り返しを継続することが何より大切だ。
出典5) https://bowgl.com/2017/12/14/telework/
9. まとめ
働き方改革と言いながら実態は残業カット政策にとどまることが多く残念に感じることがある。2020年の東京オリンピック&パラリンピックに向けて、東京都が主導する形で、テレワークの導入や活用が進むならそれはそれで嬉しい。労働時間ではなく、仕事の成果で評価することは難しいことだが、それを可能にすることが働き方改革の本命だと思う。
以上
