週間情報通信ニュースインデックスno.1185 2019/07/06


1.富士通ら大手4社の社内IT認定制度を徹底比較、見えた黄金のキャリアパス(7.5 日経XTECH)
 日本の大手SIerの多くは、社内の認定資格制度を持つ。富士通は「Fujitsu Certified Professional(FCP)」、NTTデータは「プロフェッショナルCDP」、日立製作所は「日立ITプロフェッショナル認定制度」、NECは「NECプロフェッショナル認定制度(NCP)」と呼ぶ。

 4社の社内認定資格は共通点が多い。4〜5段階にレベルを分け、分野ごとにITエンジニアを認定する。認定には、知識だけではなく業務経験が問われる。上位レベルになるにつれ、後進の育成や論文の対外発表などが重要視され、1年ごとに更新のための審査がある。

 共通点が多いのは経済産業省が公開しているITエンジニアの技術体系「ITSS(ITスキル標準)」に準拠しているためだ。富士通と日立は社内資格とITSSのレベルを明確に対応付けている。いわばITSSが各社の共通認識であり、ここで示した4社の図が、実態に即した「日本のITエンジニアのキャリアパス」というわけだ。

 4社の認定制度を見てみると、共通している分野は「プロジェクトマネジャー」と「ITアーキテクト」である。これが日本のITエンジニアの2大キャリアパスといえる。

 

2.「7pay」の不正アクセス事件、似た問題続発の危険性が大(7.5 日経XTECH)
 スマートフォン決済サービス「7pay」で事件が勃発した。2019年7月4日午前6時の時点で約900人分のアカウントが第三者による不正アクセスを受け、総額約5500万円の被害を受けた。だが、この不正アクセスは「セブン・ペイだけの問題ではない」と警鐘を鳴らすのが、メディアスケッチ代表取締役兼サイバー大学専任講師、AI/IoT評論家の伊本貴士氏だ。7payの問題点と日本企業のセキュリティー事業、そして防止策について同氏が語る。

 2019年7月1日に提供を開始したスマートフォン決済サービス「7pay」の不正アクセス事件が発生したことを受けて、セブン&アイ・ホールディングス傘下で同サービスを手掛けるセブン・ペイが2019年7月4日に記者会見を行った。

 7payが認証に利用している「7iD」では、「生年月日」と「登録電話番号」、「会員ID(メールアドレス)」でパスワードをリセットして再設定することができる。これら3項目では第三者に簡単にばれてしまい、このことが不正アクセスの原因なのではないかと、ネット上で噂されている。

 確かに、これらは第三者にばれやすい項目である。通常、インターネットサービスでは「秘密の質問」などの項目を設けるが、7iDでは執筆時点(2019年7月5日時点)でそのような項目はないため、本人確認としては弱い。

 さらに問題視されているのは、パスワード再設定ページのURLが記載されたメールの宛先のメールアドレスを、自由に入力できたことだ(7月5日時点では修正され、入力できないようになっている)。そのため、第三者がこの仕組みを悪用したとすれば、自分のメールアドレスを入力してパスワードを再設定することは容易に想像がつく。

 これらの項目は、セブン・ペイ側の説明では携帯キャリアのメールアドレスを設定していた人の利便性のために設けていたらしいが、その考えは一般的とはいえず、理由としてはかなり苦しい。通常であれば、「二段階認証」*1または「二要素認証」による念入りな本人確認を行うか、電話などで個別対応するだろう。

*1 二段階認証 パスワードに加えてSMSなどにワンタイムパスワードを送信して本人確認を行う仕組み。

 サーバー側のプログラムが変わっていないのだとすれば、項目を非表示にしても意味がない。このことから、問題発覚後も対応のまずさがあり、それを指摘できる人間がプロジェクト内に存在しないと思われる。だとすれば、プロジェクト内に高いスキルや知識を持つ技術者が不在であることが懸念される。

 ただ、一方で数々の「炎上案件」を支援した筆者に言わせると、プロジェクト内は相当混乱していると思われ、対応しているメンバーは心身ともに大変な状況に追い込まれていると想像できる。落ち着いて“交通整理”をする人が最も求められる状況だ。

 SNSを中心に話題になっているのは、会見上でセブン・ペイ社長の小林強氏が記者からの質問の中で登場する「二段階認証」という言葉を理解できなかったように思えることだ。

 とはいえ、やはりネットで問題視されるのは、経営者が二段階認証を実施していない理由について明確に答えられないのはリテラシーが低すぎるのではないかということだ。

 会見を見て筆者が最初に気になったのは、「原因は判明しているのか?」という記者の質問に対するセブン・ペイ側の回答が以下のようなものだったことだ。 「現在調査中であり、これからセキュリティーの専門家も入れて原因を追及して対応する」これは、それまでセキュリティーの専門家がいなかったとも受け取れる回答だ。

 少なくとも問題が発覚してから1日以上経っているが、会見全体を見ても原因についての明確な回答はなかった。

 日本の企業では、最高セキュリティー責任者(Chief Security Officer;CSO)という役職を置く企業は、ほとんど存在しない。CSOは企業全体のセキュリティーに責任を持つ役職であり、セキュリティーポリシーを定めて、開発に関して監査を行う人間だ。少なくとも大企業であれば、CSOは存在すべきであるし、その役職に就く人物はセキュリティーの専門家であるべきだ。

 会見の中では、「システムのセキュリティー審査では問題が発覚しなかった」と述べているが、これがまた問題である。これが事実だとすれば、実際に大規模に被害が発生している事実を踏まえると、セキュリティー審査そのものが機能しておらず、セキュリティーポリシーに抜けがある、もしくはセキュリティーポリシーそのものが存在しないという大きな問題がある。そうであれば、セキュリティー審査のあり方や基準から根本的に見直さなければならない。

 会見では、問題発覚後の対応もやり玉に挙がった。まず、行った対策として「海外からの通信を遮断した」と回答があった。だが、これは対策と言えるかどうかが分からない。確かに、海外からの不正アクセスが多かったのかもしれない。一方で日本からの不正利用がないと言い切れないのであれば、対策としては不完全だ。

 そもそも、セキュリティーにおいては問題が発生した場合、原因が明確になるまで発生箇所を完全に遮断するというのが基本だ。

 今回の事件を7payだけの問題と捉えてはいけない。日本の全ての企業が自社にも起こり得るものだという視点で、改めて対策を強化すべきだ。

 

3.IIJが国内初の個人向けeSIMサービス、iPhoneやSurfaceに対応(7.4 日経XTECH)
 インターネットイニシアティブ(IIJ)は2019年7月4日、記者説明会を開き、eSIMに対応した個人向けデータ通信サービスのベータ版を発表した。7月18日より提供を開始する。

 説明会にはIIJ MVNO事業部コンシューマサービス部長の亀井正浩氏が登壇。物理的なSIMカードと機器に組み込まれるeSIMの違いについて、「SIMカードには固有の番号である加入者識別子が記録されている。eSIMでは機器に組み込まれるハードの部分と、ダウンロードで追加できるデータの部分に分離される」と紹介した。

 eSIMを採用するメリットとして、物理的なカードの交換が不要になること、ナノやマイクロなどSIMの形状から解放されること、カードの配送が不要になりダウンロードによるサービス提供が可能なこと、カードの盗難リスクがなくなることを挙げた。

 IIJは2018年に始めたフルMVNOサービスの下でeSIMプラットフォームを構築し、検証を進めてきた。そして今回、個人向けのeSIMサービスとして発表したのが「IIJmioモバイルサービス ライトスタートプラン(eSIMベータ版)」になる。

 新サービスは月額利用料が1520円(税別)のポストペイド。データ容量は6ギガバイトのみで、翌月への繰り越しが可能だ。データ通信専用で音声通話やSMSには対応しない。容量のシェアやSIMカードの追加ができないなどIIJmioの一部機能に対応しないものの、通信サービス自体に既存SIMとの差はないという。

 利用までの手順はこうだ。ユーザーが新サービスの契約を申し込むと、IIJがQRコードを発行。PCの画面表示や紙に印刷したQRコードを対応端末で読み取り、Wi-Fi経由でプロファイルをダウンロードすることで有効になる。1台の端末にはIIJや海外キャリアを含む複数のeSIMサービスを追加できるという。

 動作確認済みの端末はiPhone XS、iPhone XS Max、iPhone XRのほか、iPadは11インチiPad Pro、第3世代12.9インチiPad Pro、第3世代iPad Air、第5世代iPad mini。Windows PCではSurface Pro LTE Advancedを挙げた。いずれもSIMロックが解除されていることが条件となる。Apple Watchには対応しない。

 法人向けの活用シナリオとして、モバイルデバイス管理(MDM)でeSIMのプロファイルを配布することによる社内タブレットやPCの資産管理、キャリアネットワークの障害時や非常時のバックアップ用途などの構想を示した。

 

4.KDDIとソフトバンク、5G基地局の共同整備・利用で合意(7.3 日経XTECH)
 KDDI(au)とソフトバンクは2019年7月3日、第5世代移動通信システム(5G)の基地局を相互利用することで合意したと発表した。主に地方においてそれぞれが設置した5G基地局を2社共同で利用可能にするほか、2社の共同出資で施工管理を担う会社を設立することも視野に入れる。通信大手同士が具体的に5G基地局の共同整備・利用について合意を発表するのは今回が初めて。

 2社は基地局の相互利用に向けた準備室を設置し、2019年秋から北海道旭川市、千葉県成田市、広島県福山市の3カ所で共同実証を始める。共同実証を通じて、基地局の設計から実際に工事を実施するまでの作業プロセスを効率化し、整備にかかる期間を短縮する。併せて各地の5G網における品質向上効果についても検証する。

 5Gでは既存の第4世代移動通信システム(4G)より高い3.7GHz帯や4.5GHz帯、28GHz帯などの周波数が各社に割り当てられている。一般に周波数が高くなると電波が建物の陰などに回り込みにくくなるほか、障害物による減衰も起きやすくなる特性があり、5Gで公衆サービスを展開するにはこれまで以上にきめ細かく基地局を設置する必要があるとされている。

 しかし各社が総務省に提出した5Gの開設計画によると、KDDIは約4万3000局、ソフトバンクは約1万1000局にとどまり、特に利用者の少ない地方では5G網の整備が進まない懸念があった。解決策として通信各社は総務省の研究会などの場で、5Gの基地局設備の共同整備・利用について検討してきた経緯があり、今回の合意はそれを具体化した初めてのケースとなる。

 「共同整備・利用の基地局が何局か、開設計画で示した基地局の枠内か枠外かなど具体的なことは決まっていない」(KDDI)とするが、「共同整備・利用により地方の5G基地局を早期に整備したりコストを抑えたりしていきたい」(同)と狙いを説明している。

 

5.AIがアイデア生み出す新サービス、TISと博報堂が異色タッグ(7.1 日経XTECH)
 TISと博報堂は2019年7月1日、AI(人工知能)を使ったアイデア作りの支援サービス「AIブレストスパーク」の提供を始めた。画面に任意のワードを入力すると、AIが関連する言葉を探して分類し、表示する。新企画を生み出したり、商品の課題を発見したりする際に役立つ。「博報堂のクリエーティブの打ち合わせ現場で実践している考え方をシステム化した」(博報堂の八幡功一エグゼクティブクリエイティブディレクター)。 

 新サービスは、博報堂のクリエーティブ担当者が実際に発想した例を教師データにし、TISが組み上げた。入力したワードに関連の高い言葉をAIが探す場合、インターネット上の様々なサイトをクローリングして関連ワードを拾い上げる。この際、あらゆるサイトを検索するが、「作詞家アタマ」「主婦アタマ」「ビジネスアタマ」といった表示の切り替えが可能。同機能は作詞家ならば歌詞、主婦ならば主婦ブログ、ビジネスはニュースなどのビジネス向けサイトをクローリングすることで実現した。 

 連続刺激モードと呼ぶ機能もあり、入力した言葉と組み合わせたら面白そうなワードやフレーズを示してくれる。例えばビールと入力すると、「パリピビール」「ビールうp」といったワードや「モチベーションからビール」「ビール×エコロジー」などのフレーズが表示される。「脈絡がないものもあるが、自分の発想できる範囲から飛躍するには必要」(八幡氏)という。 

 利用料は月額7500円(税別)。2019年度中に3万ユーザーの獲得を目指す。今後はスマホやAIスピーカーでも検索できるようにしていく。

     

 ホームページへ