最近，気になっている言葉がこれ！
　『ゴミを入れても，ゴミしか出てこない』
　『Garbage in Garbage out!』
　どんなに処理が良くても，データがゴミであれば，その処理結果はゴミでしかない．
　一時，『ビックデータ』の時代だと言われた頃，適切なデータでなければ，結果が悪くなりますよね？ と質問してきた方がいました．それで，この言葉で説明したことがある．
　もう少し言えば，コンピュータ処理では，
　　　【入力処理】⇒【データ処理】⇒【出力処理】
の手順を踏む．
　【データ処理】は，計算でなく，データ（情報）の保存・検索だと，青山学院大学の学長等の経歴を持つ『鵜沢昌和先生』から教えを受けたことがある．
　最近のマイナンバーカードでの不祥事の最大の問題は，【入力軽視】であろう！
　今回のトラブルでは，あたかも，入力処理は，他人事であり，自分達には関係ないと思っていたり，そこは重要ではないと指摘する有識者もいる．
　サイボウズの青野社長は（注），
　　　デジタル大臣は、「一連の事案の原因は事務処理の誤りなどで、
　　　マイナンバー制度そのものに起因しているわけではない」と述べた。
　　　マイナンバーシステムの問題ではなく、人的ミスだとの主張だ
　人的ミスが発生している多くは，【入力処理】部分であり，この部分が正しくできていなければ，システム全体はボロボロになるのは，上記の諺が示している．
　データ処理以降では，正しいデータを扱うので，よほどレベルの低いプログラマーでなければ，エラーになる可能性は低い（今回のコンビニ交付は，その例外かも知れないが），コンビニ交付を 出力処理 だと考えることもできる．
　入力処理も出力処理も適切にできていなかった．
　コンビニ交付 を ヒューマンエラー だと考えるかどうかは別にしても，もう少し対応が可能であった気がするのは，古いシステム屋のボヤキかも知れないが・・・

　マイナンバーシステムを考える場合，入力処理の部分の多くは，国民一人一人が関係する部分のはず．
　先日，韓国ツアーに参加したが，自治体が住民の「リテラシー教育」を行っていた．日本でも，ボランティア的にコンピュータ等に詳しい高齢者を講師にして，リテラシー教育（システムだけでなく，セキュリティも）を行うことができるはず．

　マイナンバーシステムが，重要な案件であればあるほど，入力処理をどの様に行うかを関係各所は，ぜひ真剣に考え，推進して欲しい．

　かつて，銀行のATMの普及で 銀行内のエラーを減らした．従来は，入出金用の用紙と通帳を窓口に持参し，窓口の行員が処理を行い，現金の出し入れなどを行った．
　ATMの導入により，預金者がATMを操作し，現金の出し入れを行う．ATMのトラブルを除いて，問題は【行員から預金者】に移った．窓口の行員によるエラーはなくなり，そのための対応も銀行では不要になった．
　マイナンバーシステム関連の処理では，健康保険証の問題だけでなく，今後とも色々発生してくるのであろう！
　金融機関のATM的対応ができるかを見守っていきたい・・・

注）
　思っていた通りの展開」…サイボウズ青野社長に聞く
　　　「マイナカード」トラブル解決の唯一の方法とは
　https://news.yahoo.co.jp/.../003bdbcc7448650e75f88f6ca5a7...
.

　1980年代の中頃に、4週間弱 米銀行の欧州オフィスで仕事をしていた時に感じたことは、ロンドンと欧州各都市の関係は、東京と日本国内の都市との関係、即ち、国内的だと感じた。遠く日本から見ていると、欧州各国は今でこそ EUという繋がりで、イギリスを含め、現在28カ国間は国境がないと考えることができる。

　#ISMS 等の認証システムは、品質管理の認証、ISO/IEC 9000であったが、これが話題になった時に言われたのは、欧州域内での取引を行う場合、ゼロから相手の納入品や企業の信頼を調べるのではなく、認証取得によって事前調査を省略/簡易化することが大きな目的としてあった。　当然ながら、#サプライチェーン を想定できる。

　最近の英国の「Brexit」（EU離脱）を考えると、従来、多くのグローバル企業がロンドン、イギリスにあったが、#Brexit が成立すると、これらの企業の英国離脱であろう。　これにより、ロンドンが欧州の中心でなくなり、衰退が明らかになるのではないだろうか？

　英国の衰退は、アメリカの繁栄があったが、それでも金融街「シティー」が輝いていたが、「Brexit」（EU離脱）で、英国の更なる衰退が始まるのだろうか？　それとも、「Brexit」（EU離脱）でも、英国は「永遠なり」だろうか？

　何となく、#地政学 的な話になってしまったが・・・

セキュリティの新しい風（2018年11月27日）

サイバーセキュリティにおける教育・訓練を考える

１.　教育・訓練とは：個人的には、教育・訓練は「グライダー」と同じ（「教育・訓練＝グライダー論」）と考えることがある。 最初は牽引して空に送りだすが、その後は、自分で操縦し、自由に空を飛びまわり、無事に戻ってくることが最良の教育・訓練だと考えている。
　(1) 教育： 日本語の語源はともかく、教育は「教える」と「育てる」という２つの言葉からなっている。 本来持っていないものを外部から教え授けるだけでなく、内部にあるものを育てることで始めて、教育であろう。
　(2) 訓練： 技能の訓練という意味で考えられてきており、技術的な知識の教育と考えられている。

２.　対象者：サイバーセキュリティでの教育・訓練対象者は、コンピュータ操作に適・不適（慣れ／不慣れ）があり、受講者に直接入力させることを避け、テキストファイル等を提供し、「コピー＆ペースト」等で入力処理を代替し、進行が遅れないようにする。
　(1) 初心者：初心者は各自持っているものが異なる。 全体のレベルを考えて教育・訓練を行うが、中位程度かやや下のレベルに合わせた教育・訓練を実施し、落ちこぼれをなくす。 但し、上位者が退屈／不満を持たない工夫も必要（上記、「コピー＆ペースト」もそのひとつ）。
　(2) 中級者：一方向的な教育・訓練だけでなく、参加者個人／グループで行う教育・訓練を行い、独り立ちや他者（初心者や部下）の指導ができることも教育・訓練の１つになる。
　(3) 上級者：課題を与え、個人／グループで課題解決できる工夫をし、一方向的な講義は可能な限り減らす。 教育・訓練内容により、個人／グループで環境を構築することも教育・訓練の一環として考える

３.　受講前提： セキュリティ教育・訓練では、受講者の持っている知識を考慮することがある。 受講者が事前に想定したレベル以下の場合、教育・訓練全体が成り立たなくなる可能性がある。
　(1) 前提知識あり： 前提知識がないのに「ある」と言う受講者もいる。キー操作等は、コピー＆ペースト」等で対応可能だが、コンピュータや業務の基礎知識が必要な場合、前提知識は具体的な項目を列挙する。
　(2) 前提知識なし： 中途半端な受入は、他の受講者の不評をかう可能性がある。 一人の受講者に講師が時間を取られ、予定通り進まないこともある。 また、教育・訓練を適切に進行させるため、教育・訓練補助者を付ける対応も考えること。　高価な教育・訓練費や時間を費やして参加する受講者を考え、また教育・訓練が不評であれば、企業全体の評価に影響することを、特に、マーケティング部門や経営層に理解を求める必要がある。

４.　教育・訓練方法：
　(1) 集合教育：教室などに集め、説明・解説を行うが、一方向的な説明・解説に終始せず、個人／グループで考える時間やグループであれば、各グループ発表／質問・コメントなどの時間を設け、各自が自分で考える機会を設ける。
　　① 定員: 満席になっても、空調等が機能しない環境に特に注意する。　特に、「クールビズ」等で業務遂行に適さない室温にならない配慮が必要
　　② 機器利用：色々な利用者がおり、講師のデータを受講者が壊さない配慮をし、万一、受講者が誤って講師のデータを壊しても簡単に復元できるようにする。 また、Cyber Rangeのような講義であれば、 攻撃側、防御側、プレゼンの３画面を考える。 セミナーなどで得意になって、１画面でやる講師がいるが、教育・訓練としては失格。攻撃側、防御側の区別だけでなく、文字（表示画面）が見えないものも数多くある。プレゼンの目的は、細かい画面を見せることではない。 攻撃・防御の仕組みを理解させることで、その理解がない講師が意外と多い。４K対応プロジェクタも安価になっており、今後更に価格が下がると思われる。
　もし、細かい画面を見せる場合でも、全体を表示するだけでなく、必要な部分は次の画面でみせるなりの工夫はスライドであれば可能。
　(2) オンライン教育（Webinar）： 集合教育では、物理的な場所が必要だが、テレコンファレンス機材があり、講師と機材を置く場所があれば対応できる。 但し、機材（ソフトウェア）も含め、受講者がそれらをどの程度利用できる能力を持っているかも確認する必要がある。
　　① 受講場所：受講者の場所で行う場合と、サテライトオフィスのような場所に集まって、受講する方法がある。オンライン教育（Webinar）受講者の人数や受講者の特性（遠隔地からの参加、夜間遅い時間帯の利用等）を考慮する必要がある。
　　② 利用機器：多数が受講でき、画像・音声の双方向やメッセージの質問が可能。　更に、自社所有でなく、時間貸（含無料試用：2週間程度）サービスもあり、使い勝手やテレコンファレンス等の利用も含め検討する。
　(3) 集合・オンライン教育： 集合教育とオンライン教育を兼ねたもの。 （参考： 最終ページ写真）
　(4) オンライン教育（E-Learning）：オンラインで個別学習を行う。「①集合教育」のビデオを作成し、視聴する方法もあるが、長時間（60分以上）の場合、20分程度に分割するか、途中視聴可能な仕組みも必要。 知識吸収型であり、いつでも視聴が可能なため使い勝手が良い。
　10分～20分程度に分割して、「講義＋クイズ」形式にし、正答率が一定以上であれば、次に進める方法もある。
更に、正答に対し、ポイントを与え、獲得ポイントにより、表彰やノベルティ等を与える方法、（「ゲーミフィケーション」）は、受講者の意欲も高く、高い教育効果もある。

　(5) オンライン教育（技術者向け教育・訓練）：基礎的なものは、じっくり受講でき、センター側の構築次第で、受講者の効率（主催者側の効率も）は、かなり高くなる。

５.　講師及びその関連について
　(1) 講師とは：はじめに述べた「教育・訓練＝グライダー論」で考えれば、受講者がうまく空に飛び出し、自由に滑空できるようにすることが、その役割と考えることができる。
　話し方やプレゼンテーション、機器の操作時の対応など非常に参考になる講師もいるが、全ての講師が尊敬に値するとも限らない。
　　① 自信がない： 自信がなさそうで、受講者を見ないでプロジェクタに表示された内容を見て説明（当然、受講者には背中しか見えない）している講師がいる。
　キーボード作業を講師がやる必要があるが、可能な限り受講者を見て、進捗状態を確認しながら講座を進める。 時々、受講者が操作に迷う、ＰＣがフリーズすることもある。 教育・訓練支援者がいても、追いつかないこともあり、適切な連携を行う。
　　② 自信過剰： 自信過剰でなく、自信がないかも知れない。 「自分は教える立場だから偉い」との態度や言葉遣いが悪い講師もいる。 丁寧すぎる言葉を使う必要はないが、「教えてやる」との考えは捨てる。 実際、教育・訓練により、新たな発見も数多くある。
更に、質問をすると怒った態度を取り、終了後等での名刺交換にも応じない講師もいた。 最悪は某有名大学の教員で、受講者をバカにし、多くの情報収集をしているだったが、質問も受け付けず、内容自体もいくつかの嘘があり、引用元も明確にしなかった。
　即答できない質問にも、「Good question」と言って、受講者を喜ばせ、回答する講師だと参考にしたいと思うことがある。
　　③ ポインター： パワーポイントなどのスライドを手元で操作できるポインター（プレゼンターとも）があるが、説明では必ず使う。リモート操作が可能であり、受講者をみてスライドの内容の説明が可能になる。
　　④ スライドファイル： パワーポイントの利用方法が悪いケースが多い。パワーポイントではプレゼンテーション形式（pptx）とスライド形式（ppsx）がある。スライド形式（ppsx）でファイルを作成し、ショートカットをクリックし、直ちに説明を始める。 特に、マウスを利用しない場合、説明を開始するまで受講者はダメ講師だとみていることを忘れないこと。
　また、動画もパワーポイントに組み込み、スライド内で、動かすことで迅速に対応できる。
　国内のプレゼンテーションは全体的に非常にレベルが低く、未だに、スライドを部下などに送ることをやっているICT業界人もいる。　YoutubeやTEDのプレゼン等も参考にし、低レベルのプレゼンに合わせる必要はない。

まだ、色々あるが、セキュリティの教育・訓練では、他の教育・訓練より遙かに多くの推進、高度化が可能と思われる。 教育・訓練を多方面から検討し、優秀なセキュリティ専門家を育成ことが重要であると思っている。

● 壁に耳あり、障子に目あり　 ～ サテライトオフィスを考える ～

１．はじめに
　この所、仕事改革の推進の一環として、サテライトオフィスやホームオフィス、テレコンファレンスが話題になっているが、富士ゼロックス社が、個人専用のサテライトオフィスを東京メトロなどに実証実験のため設置した。
　早速、地下鉄駅構内と新宿のオフィスビルに設置されたサテライトオフィスを利用してみた。　また、某SIer（システムインテグレーター）の仕事改革に伴うセミナーに参加する機会もあり、サテライトオフィスやテレコンファレンスについての話を聞いた。

　サテライトオフィス等には、興味があり、第三者のサテライトオフィスの利用や、国内外の先進的な組織への訪問や情報収集を行ってきた。
　独断と偏見のサテライトオフィスの考察・・・

２．サテライトオフィス
　(1) かつて、SOHO（Small Office Home Office）という言葉が流行った。　勤務先への通勤に長時間をかけるのではなく、住宅街に小さなオフィスを設けたり、自宅で勤務することで、過酷な通勤時間をなくし、通勤に利用する時間を有意義に利用するとの考え方であった。　残念ながら、必ずしも普及しなかった。
　このブログでは、自宅も「サテライトオフィス」の1つとして考えている。

　(2) 実際にどの様なサテライトオフィスがあるかを考えると、
　　① 社内サテライトオフィス： フリーアクセスや支店、営業所等の一部を利用する
　　② 第三者サテライトオフィス： 第三者が設置したものを利用するもので、会員組織、時間単位レンタル等のものがある。
　　③ 自宅： 自宅をホームオフィスとして利用するもの

３．サテライトオフィスで何を行うのか？
　(1) サテライトオフィスでどの様な業務を行うかを考えてみた。
　　① ウェブ閲覧： 外部ウェブのみを閲覧する
　　② ウェブ閲覧： 組織内のウェブの利用であるが、社員等だけが閲覧できるウェブ（含 社内SNS等）の閲覧
　　③ メール送受信： 社内業務（含 顧客との連絡等）を行うもの
　　④ 業務関連作業： 文書やプレゼン資料などの作成
　　⑤ テレコンファレンス： 組織内のテレコンファレンスを行う
　(2) 利用機器： 常識的に考えれば、以下の３種類が考えられる
　　① パソコン
　　② タブレット／スマホ
　　③ 電話

４．セキュリティリスクを考える
　　社内でもサテライトオフィスでも リスクがゼロになることはないが、場所や行う業務、利用機器により、リスクは変わる。
　(1) 社内サテライトでのリスク： 社内だから安全と考えないことが大切
　　顧客や取引先の社員がオフィスにいるような状況であれば、注意が必要であろう。
　　① テレコンファレンスであれば、関係者以外に音声が漏れないことが必要
　　② プロジェクタや大型TVに画面の表示する場合でも、関係者以外が容易に見えないような場所を考える必要がある。　取引先等の名前や発売前の商品・製品等、注意が必要になる。
　　サテライトオフィスではないが、大昔、オフィスに出入りしていた業者が、社員の外出先企業名を他社に流していたため、クロージング近くなると、競合他社が当該企業に出入りすることが多々あった。
　　社内のサテライトオフィスであると、セキュリティ上問題ないと考えず、出入り可能なのは誰かを確認し、業務を考える必要がある。

　(2) 第三者サテライトでのリスク： 環境を見極める必要がある
　　当然ながら、社内よりリスクは大きいと考える必要がある。
　　① 有償や実験的なサテライトオフィスを使ったが、かなり注意が必要になる。
　　② 室内にサテライトオフィスを設置してある場合でも、パーティションで区切られている程度であると、３.(1)⑤ テレコンファレンス等では、音声が外部に漏れる可能性が高い。
　　　 実験的サテライトオフィスでは、オープンな場所に設置してあり、防犯・防災のためと思われるが、監視カメラ（多分）が設置してあったが、目的の撮影のみかの心配があった。
　　③ WiFi設備を提供しているケースが多いが、WiFiのSSID／PWを知っている者が近くでログインできない（利用者の情報の監視を防止）ような工夫が必要ではないだろうか？

　(3) 自宅でのリスク： ISP等に接続がなくても、スマホの「テザリング」の利用も
　　自宅は、狭く、机もないため、利用し難いとの声があるが、それ以上の問題もある。
　　① 最近、あまり話題にならないが、自宅のＰＣでは、Ｐ２Ｐソフト（Winny等）が導入されていることもある。　当時は、それらを子どもがこっそり、導入しており、それを知らずに利用し、情報漏えいが発生したが、基本は同じ
　　② 自宅ＰＣのセキュリティ環境が悪く、マルウェア感染していることもあり、直接ＰＣを利用ぜず、ＵＳＢ等を使った仮想デスクトップの提供も考える必要がある。
　　③ 最近は、シェアハウスなどに住む社員もおり、パートナーだけでなく、住民に同業他社の社員もいることがある。
　　　 企業としてどの様な対応をするかを考えておく必要がある。

５．まとめ
　災害対策や子育て・介護に関係する社員への配慮も可能であり、サテライトオフィスを適切に利用することが、有意義だが、利用方法、特に、セキュリティ等を無視すると、逆にサテライトオフィスの利用のマイナスになり易い。

　また、サテライトオフィスの利用は、その環境や社員等を考える必要がある。
　ある組織では、子育て・介護で自宅勤務を募集したが、誰も手を挙げなかった。　管理職が、自宅勤務に消極的であったため、職員からの応募がなかったと聞いている。　こんな忖度は不要であるが、やはり、経営トップ・管理職が率先してやることも大切であろう・・・

注１）富士ゼロックスと東京メトロが「働き方改革」の推進で協業： https://www.fujixerox.co.jp/company/news/release/2018/001431
注２）ノルウェー ベルゲン市 ペーパーレスオフィスなど： http://www.uchidak.com/eGov/20100519_20Bergen.pdf
注３）韓国ＩＣＴ事情： http://www.uchidak.com/eGov/20130829_31Korea.pdf