8/28/2010

なんでZIPじゃだめなの?メール添付ファイルの暗号化について

米国でも日本でも、おそらく他の国でも、「社外からメールなどで受信した実行形式のファイルは開いてはならない」という条文を企業のセキュリティポリシとして定めるのはとても一般的だ。ご存じの通り、この条文はウィルス感染予防を目的としている。

日本の企業は特に情報漏洩に過敏で、セキュリティポリシには「Winny使用禁止」「社有PC持ち出し禁止」などが明確に書かれているところも多い。さらに細かくセキュリティポリシの運用規則を定めているところもあり、その中に「メールにファイルを添付するときは、会社指定の暗号化ソフトで暗号化すること」というのがある。というか、僕の知る限りでは、日本の大企業ではそれが常識になっているはずだ。

実際にファイルを暗号化するときには、儀式があるのをご存じだろうか。通常、暗号化ソフトで暗号化されたファイルは、ファイルを受け取った人が復号化するときに手間がかからないように、「自己復号形式」や「自己解凍形式」と呼ばれるWindows実行形式ファイル(拡張子が exe など)になっていることが多い。ただし、前述のとおりウィルス感染予防のために、例えばMicrosofto Outlookのインストール時初期設定では、添付ファイルの拡張子がWindows実行形式の場合に警告を表示してファイルが開けないようになっている。そのため送信者は、自己復号化形式や自己解凍形式のファイルをメールに添付する際に、拡張子を変更(exe → ex_ など)して添付するなどして、受信者に拡張子を元に戻してもらって復号化するのが慣例になっている。

さて、これらを踏まえると、次のようなことが起こる。断っておくが、これから書くことにはものすごく現実味があっても、あくまで例。フィクションだ。決して実際に起こったことではないので、信じないように。そういうこともあるよね〜、あっはっは〜っと笑っていただきたい。

日本の某大企業A社から米国の某スタートアップ企業B社に関係者外秘の技術情報が入ったファイルをメールで送ることになった。A社の担当者がいつものようにファイルを暗号化してメールに添付したところ、いろいろあって、最終的にB社にファイルを送ることができなかった。どういうことか。
第一に、B社のセキュリティポリシに「社外からメールなどで受信した実行形式のファイルは開いてはならない」という条文があった。ちょっと意外かもしれないが、米国では、ことセキュリティポリシに関しては真面目に運用しているようだ。日本では「大企業だから大丈夫だろう」「いつもの取引先」「慣例になっている」など、なおざりになっているのではないか。穿った見方をすれば、日本では現場の判断で臨機応変に対処しなければならないぐらいにセキュリティポリシの運用規則がガチガチに書かれていて、真面目に運用すると業務がまわらないのではないか。まあこれは推測。
第二に、B社にはLinuxとMacしかなかった。最近は安いネットブックがあるから買ってくればいいし、仮想化ソフトを使ってLinuxやMacにWindowsをインストールすることもできる。ということでB社には悪いが、Windowsを用意してもらった。
第三に、英語版WindowsではA社指定の暗号化ソフトの自己復号がうまく機能しなかった。B社に用意してもらったWindowsは当然英語版。まさか日本語版でしか動かないとは。
そしてB社からは「パスワード付ZIPファイルで送ってもらえないか」と提案された。まあ当然だよね。それをなんとA社は拒否。A社のセキュリティポリシの運用規則には「メールにファイルを添付するときは、会社指定の暗号化ソフトで暗号化すること」という条文があるのだが、これが守られないことが多いため、最近この規則がメールシステム上で強制されるようになった。つまり、会社指定の暗号化ソフトで暗号化していないと、メールにファイルを添付しても、A社のメールシステムではじかれてしまって送信できないのだ。ははは。デッドロック。

まあこういうときは、役割上、間に入った人が日本語版Windowsで復号化してあげて、パスワード付ZIPにして送るしかないよね。

ところで、なんでZIPじゃだめなんだろう?正しく使えば、わりと解きにくい暗号化が可能なんだけどなぁ。

8/15/2010

「非IT屋」が提供するクラウドサービス

今年2010年4月、Bank of AmericaがSaaSアプリケーションのマーケットプレイスの提供を始めた。Bank of Americaは銀行であり、いわゆる「IT屋」ではない。このような「非IT屋」が提供するSaaSやPaaSについて調べてみたので、3つほど例を紹介する。なお、彼らはこれらのサービスで直接利益を得る気はなく、顧客ロイヤリティ向上のためにサービスを提供しているようだ。

●Bank of Americaの「MyBusiness Center Solutions Store」
Bank of Americaは、今年2010年4月から「MyBusiness Center Solutions Store」と呼ばれるSaaSアプリケーションのマーケットプレイスを提供している。中身はSugerCRM、Google Apps、WordPress、Microsoft Hosted Exchangeなどの他社SaaSアプリの再販サイトで、直販に比べて特別な値引きなどはない。またこのマーケットプレイスを経由して他社SaaSと顧客との取引が成立したとしても、いわゆるアフィリエイト中間マージンなどを取らないため、Bank of Americaには金銭的な利益は全くない。ただしBank of Americaの顧客であれば各SaaSベンダと個別に契約をしなくても、ショッピングカートに入れて支払いを済ませれば、Bank of AmericaのオンラインバンキングのIDとパスワードを使って様々なSaaSアプリを利用することができる。顧客が便利になるため、Bank of Americaの顧客であることのロイヤリティが高まる、というわけだ。このアイデアはコンサルティング会社THINKstrategiesの提案で、システムはTHINKstrategiesのシステム開発パートナーRenovatrix SolutionsによってEtelosのPaaSを使って構築されたもの。なお、EtelosはSaaSアプリケーション開発のためのプラットフォームを提供するPaaSを開発・販売する中堅のソフトウェア開発の会社だ。
もともと2000年からBank of Americaは顧客向けに、会計管理のWebサービス(支払、融資、電信送金、購買など)を提供していた。これは当時スタートアップだったWeb系ソフト開発会社のAribaが構築したものだ。なおAribaは現在、企業向けSaaSアプリケーションプロバイダとして事業展開している。

[参考]
Bank of America Corporation - MyBusiness Center Solutions Store
http://www.mybusinesssolutionsstore.com/

THINKstrategies, LLC
http://www.thinkstrategies.com/

Etelos, Inc.
http://www.etelos.com/

Ariba, Inc.
http://www.ariba.com/

●米国公認会計士協会の「AICPA Store」
American Institute of Certified Public Accountants (AICPA; 米国公認会計士協会)は、現在約35万人の公認会計士が所属する巨大な組織だ。2009年4月、AICPAとその子会社CPA2Bizおよびオンライン会計アプリ開発のIntacctは、中小企業のための会計業務のパフォーマンス改善にクラウドコンピューティングを取り入れようと、公認会計士に特化したオンデマンド会計管理アプリおよび財務管理アプリの共同開発を行うことを発表した。AICPAはIntacctを推奨する会計アプリケーションプロバイダに指定し、同時にCPA2BizをIntacctの推奨販売店に指定。完成したSaaSアプリケーションは、「AICPA Store」と呼ばれるCPA2Bizの運営するWebマーケットプレイスで販売される。AICPAの会員になっている公認会計士は、AICPA Storeを通してIntacctの提供するSaaSアプリを会員特価で購入することができる。AICPAとCPA2Bizは販売中間マージンは受け取らず、このサービスによって直接利益を出すことは考えていない。公認会計士がAICPA会員であることのロイヤリティの向上が目的だ。一方Intacctも、AICPAおよびCPA2Bizの会計ベストプラクティスに関するノウハウを学ぶこと、および「AICPA公認アプリ」というお墨付きをもらうことを目的としている。

[参考]
AICPA - AICPA Store
http://www.cpa2biz.com/

Intacct, Inc.
http://www.intacct.com/

●FedExの「FedEx Web Services」
FedExは主にEコマースサイトの開発者向けに、無料で「FedEx Web Services」と呼ばれるPaaSを提供している。配送伝票の発行、トラッキング、送料計算、住所の実在確認、返品集荷手配、オンラインプリントなど、FedExのデータセンタでホスティングされているシステムの様々な機能が利用でき、公開されたWebサービスAPIを介して自由に自社開発のEコマースサイトなどに組み込むことができる。通常、中小企業のマーケティング部門が自社のEコマースサイトを立ち上げたところで、商品の配送は従来のままの仕組みを使うケースは多い。しかし受注、配送手配、到達確認や返品処理など、意外と煩雑な業務がそのまま残ってしまうことになる。顧客はFedEx Web Servicesを使えば、ほとんど追加投資をすることなく、それらの面倒な処理をほぼ自動でかたづけることが可能になる。FedExとしても既にあるものを公開しただけであり、ほとんど追加投資をすることなく顧客ロイヤリティを向上させ、競合のUSPSやUPSとの競争力を高めることができるのだ。なお、このFedEx Web Servicesを含め、FedExのシステムはほぼ全てが自社開発である。

[参考]
FedEx, Inc. - FedEx Web Service
http://www.fedex.com/us/webservices/index.html

8/06/2010

ラーメン屋とクラウドコンピューティング

日本にはラーメンという優れた食文化があります。日本で最初にラーメンを食べたのは水戸黄門だ、とか、ラーメンの起源は明治時代に横浜や神戸の中華街で出てきた南京そばにある、とか諸説ありますが、いずれにせよ、最初のラーメンの麺は自家製で、手延べや手打ちだったそうです。そのうち繁盛してきて手打ちでは対応できなくなり、均一な麺の生産と効率化を求めて製麺機が登場しました。収益=単価×客数。ラーメンひとすじで勝負するなら、単価は期待できませんので、客数を増やすしかありません。

さて、日本のIT業界を見てみると、ネットベンチャー、ソフトウェア開発、システムインテグレータ(SIer)など様々な業種業態がありますが、「収益=単価×客数」でいえば「単価」が大きく「客数」が少ない商売が多かったのではないでしょうか。先日は内閣官房国家戦略室が、国民IDシステムの開発コストは6100億円、と発表していました。このようなプロジェクトが進められることになれば、入札を経てどこかの大手ITゼネコンがシステム開発を受注し、下請け、孫請け、又孫請け、などを含めて何千億円というシステム開発を、何年もかけてシコシコとやっていくことになります。その後、そのシステムの保守という名目で、年間何百億円がシステム運用を受託した会社に流れることになります。これまで、こうやってやってきたのです。まるで超高級フレンチレストラン、というよりオーダーメイドスーツやビスポークシューズの仕立屋さんでしょうか。

一方、クラウドコンピューティングの商売は、「単価」が小さく、「客数」が多い商売です。クラウドコンピューティングで供給されるサービスでは、まるで電気料金や携帯電話料金のように、サービスやリソースを使用した時間・回数・量に対していくら、という商売をやっています。例えば、今日現在、Amazon Web Service EC2のNorth VirginiaデータセンタにあるWindowsの一番小さい仮想マシンを1時間利用すると、$0.12かかります。日本円にして、約10円です。1万人が同時に使ったとしても、1時間でたったの10万円です。これって本当に儲かっているのでしょうか? ある試算によると、Amazon Web Service EC2は、1時間に$25,000(約212万円)以上の売上があるとのこと。数字の信憑性はともかく、Amazon Web Service EC2というのは、「単価」がめちゃくちゃ小さくて、「客数」がとてつもなく多い商売だということはわかっていただけると思います。

ところで、儲かっているラーメン屋というのは、コモディティの原料で商品を完成させています。コモディティというのは、「十分に市場に浸透していて安定供給され、安価に入手できるもの」をいいます。そこらへんのスーパーとか量販店で売っているような、ごくフツーの材料を安価に仕入れて、神業で加工し、すばらしいラーメンに仕上げて、お客様の満足を得るのです。逆に「超高級ドコドコ産の肉」やら「入手困難なんたら珍味入りの麺」なんていうのを使っていると、安定した仕入れが難しかったり、加工が難しかったりと、客数を増やすことができずに儲けることは極端に難しくなります。

じゃあ、クラウドコンピューティングの原料ってなんでしょう?僕がまず思いつくのは、インターネットです。インターネットというのは、すごいおおざっぱに言うと、ネットワーク機器によってつながれたたくさんのデータセンタと膨大な数のPCの集まりです。データセンタの外には変電装置、冷却装置などがあって、データセンタの中には空調、電源制御、バッテリーなんかの基本設備とラックが並んでいます。最近では、コンテナ型のデータセンタもありますが、具はだいたい同じです。さらにラックの中には、サーバ、ネットワーク機器(スイッチ、ルータ、ファイアウォール、UTPケーブル、光ケーブル)、ストレージなんかが収まっている。他にもちろんソフトウェアも必要でしょう。そういうのを想像します。今まではこれらのものは、そのへんの量販店で売っているものではなかったと思います。でもこれからは、こんなのが具になるんじゃないかと思っています。




まあさすがに全部画面がついててもアレなんで、形としてはこんなのかもしれません。




学生時代を思い出しますね!

そんなことを言っても、客数はせいぜい60億人ぐらいが限界じゃないか、という人もいるかも知れません。クラウドコンピューティングの客は、人だけじゃないんです。一番大きな客は、たぶんセンサーだと思います。この分野は、センサーネットワーク(Sensor Network)やモノのインターネット(Internet of Things; IoT)などと呼ばれています。中国の无锡(WuXi)という街では、センサーネットワークというキーワードで集まった企業集団が、着々と研究を進めているそうです。

もしご興味があれば。
http://www.nacsa.com/archives/files/wuxi_event_20100526.pdf

あーやばい、一風堂のラーメンが食べたい。白丸バリカタで。