« 2012年12月 | トップページ | 2013年2月 »

2013/01/27

世間で支持されていないことがなぜか続いている変な状況

リンク: 運動会で順番を付けないことをどう思いますか | キャリア | マイナビニュース.

私はこのことに関してはどうでも良いと思っている。
たかが運動会。年にたった一日のイベントである。
教育現場で子供や親御さんが良いようににやれば良いと思う。
問題なのはその是非では無くて一体どういう根拠でそうしているのか、ということである。

サンプルの「マイナビ会員」と一般の「親御さん」や「子供」の意見にどれだけの違いがあるのか、というところには疑問を挟むべきとは思うが、それにしてもずいぶんな数字が出ている。
特定のサンプルの人々だとしても、9割近くが否定的に思っていることがなぜか学校の現場で行われ続けている現実。
「マイナビ会員」にだって学校に通う子供を持つ親御さんはいるだろうし、昔は学校に通っていた経験があるだろう。
「変」と言いたいが為にログインして回答を書いた人もいるだろう。
だからある程度は偏りがあるのは自明ではある。

それにしても否定論が多すぎる。
現場の親御さんや子供やらが賛成多数で望んでいるとは思い難い。
学校、つまり教育現場では一体誰が決めて続けているのだろう。

昨今では体罰問題が取り出されており、それに対する対応も疑問の声が挙がっている。

2月以前の教師早期退職の問題も“現場の現実”感覚の想像が巡らされずに一部の人間達によって実施されてしまった。
実際はおおよそで9割は留まり、1割ほどが退職という数字らしいが、試行した側は「そんなに早期退職者が出るとは思わなかった」などと言っていた。
普通の損得勘定では早期退職するほうが得だ。
一般企業でこんなことをすれば当然のことながら早期退職者で100%となるのが当たり前といえる。
「まさか生徒を放ってやめる人はいないだろう」と高をくくって現場の教師に負担を押しつけていたわけだ。
まったく酷い話である。

都道府県によっては条例の制定が遅れて4月になるというところもあるそうだが、公には言わないがわざと遅らせて4月にしたところもあるのではなかろうか。
わずか2ヶ月の差であるから、気を利かせてわざと処理を遅延させれば余裕で可能なレベルである。
条例の制定だから形だけでも地方議会で紛糾させて遅延させれば問題なかったのだが、多分右から左へ機械的に議決されたのだろう。
そういう地方議会のあり方というのも本当は問題の一端であると言える。

当然のことながらマスコミはその辺は全部スルーして「教員」にばかり取材をして「モラルの問題」とか「そういう教師をどう思うか」等でセンセーショナルに騒ぎ立てているだけの低脳ぶりである。
こんなもんは「教師は事前でやめて当然」「悪いのはこういう制度を決めた連中」とするのが理論的に当然なのである。

ところで退職金引き下げは早々に決めてこのような現場に混乱を生じさせた一方で、肝心の給与引き下げの方はまだグダグダとやっている様子である。いやはやである。

| | コメント (0) | トラックバック (0)

2013/01/26

“パスワードシステムの不備”への対策を使用者に押しつけるな

リンク: “迷探偵”ハギーのテクノロジー裏話:繰り返します! 「あなたのパスワード管理は大丈夫ですか?」 (1/2) - ITmedia エンタープライズ.
この記事の筆者はしたり顔で書いているが、結局何を言いたいのか分かっただろうか。
私には理解できなかった。
現場での教育の不備、つまり説明力の無さを嘆いているくせに説明できていないのが滑稽ですらある。

このような記事の論調は別に特殊で珍しいものでも無いが、そもそもおかしい点がある。
それはパスワードを受け付けるシステム側が、理想的に高速であるという前提があるからだ。
いくらパスワード生成する側が高速であっても、受け付ける方が拒絶すれば良いだけの話だ。

“解析”と表現しているが、所詮は総当たりでログインシステムにパスワードを与えて“当たった”か“外れたか”を判定することを“当たる”まで繰り返すだけのことだ。
なぜなら当たり前だがログインシステムは成功か失敗かしか返さないからだ。
“惜しい”とか“何文字正解”とかは無いのだから(笑)“解析”なんて言う高等な言葉は不適当とすら思う。
多少頭が良いやり方として英単語(人名等)を辞書で持っていて優先させるとか、要は“当たる確率の高いパスワードから予想していく”程度である。

システム側で対応している好例としては銀行のATMの暗証番号。
たったの数字で4桁でこの記事の論理で言えば非常識なほどに弱い。
机上の論理では破られるのは数分オーダーであろう。
しかし実際には少なくとも社会問題化していない。
殆どの方がご存じのように、大概が三回連続して間違えるとロックがかかり、窓口で手続きが必要となるシステムだからだ。
一度カードを取り出すとその回数にリセットがかかるらしいが、それでも一日に何回かの制限があるらしい。
つまり一日に10回間違えられるとして、4桁だと1万通りだから総当たりで最大1000日(二年半ほど)かかる計算になる。
操作過程は記録されていて当然で、監視カメラ映像と併せて現場を確認されうる、と思えばその犯罪抑止効果は高いと言える。
番号の分からなくなった4桁のチェーンロックを外す方が遙かに容易な話だ。

PCでもWindowsVista辺りから導入されたBitLockerのPINと呼ばれるパスワードも8桁の数字である。
これも50回を超えるとロックがかかるらしい。しかも電源を入れ直しても回数はリセットされない。
全くの偶然で解除できるのはよほどの幸運だろう。

総当たりで破られるのは、Webサービスなどでのログインではなかろうか。
回数制限をしているものはごく僅かだ。
狙われて解析にかかられたらやばいのは確かな話だ。
100回間違える毎に登録したメールに発信するとかそういうシステムにして欲しいものだ。

良く情報漏洩でいわれる、FTPを外部からアクセスできるようにしているシステム、つまりFTPクラアイントもこういう制限システムがない(設定されていない)と思われる。(設定有無もあるがそもそも持っていないものも多いのではなかろうか。FTP自体が性善説の世界で作られたソフトだ。)

つまりはシステム側でもっとパスワードが簡単でも破られない工夫をすべきだ、ということである。
使用者側にややこしくて長いパスワード、しかも半年に一度の変更を強要したりのは、システム側の怠慢ではなかろうか。
例えば過去半年間で100回以上間違えたらロックを掛けてしまう。
解除には上長承認付きの申請が必要だとする。
例えば一度パスワードを間違えたら10秒以上は待たないと再入力できなくする。
それだけでも“パスワード解析”にかかる時間は跳ね上がる。

仮にロックを掛けられなくても一定の歯止めは容易だ。
ログインした人と正誤のログぐらいは取っているだろう。(それすらしていないとしたらそこをまず正すべきだ)
それを監視集計して例えば過去3日の累積誤りが50回以上で警告メールを打てばよい。
一日毎でもシステムが暇な深夜にでも解析すれば十分ではなかろうか。
本人にそういう自覚が無ければ「それはおかしい」と反応があるからだ。(もちろんメールの内容に「身に覚えが無ければ連絡するように」との文章を書いておく)
そんな簡単な“制約”をかけるだけでも“解析にかかる時間”は桁違いに跳ね上がる。

つまりは「記号や大文字小文字を混在させろ」などと強要したり「半年ごとに変えろ」などという前にシステムとしてやるべきことがあるはずだ、ということである。
システムでの対策の怠慢を使用者、ここでは一般会社員に押しつけるなど恥ずべき行為ではないのか。

したり顔で使用者が悪い、教育の徹底がなっていないなどと言うのを見ると心底腹が立つ。

ただ、この記事の中でその通りと言えるのは「ショルダーハッキング」である。
世の中にはキーボード入力の操作ぐらいはビデオカメラの様に記憶できる人がいてもおかしくは無い。
本当に隠し撮りされているかもしれない。
ケイタイのカメラで電話をしているふりをして撮っているかもしれないし、「ペンカメラ」や「ネクタイピンカメラ」「ボタンカメラ」なんか珍しくも無い。
社員だけの職場ならともかく、昨今は派遣社員が割と深部に入っていることも珍しくない。
キーボードを、見えないほどに高速で打てる人もさほどいない。
数字を必ずテンキー側で打つ人も珍しくない。
偉い人ほど人差し指だけでゆっくりしか打てないというのは珍しくも無いだろう。
これに関してはいくらシステムを強化しても対策はできない。
一発で盗まれた正解のパスワードでログインされたら、ログインシステム側でそれを見破ることは不可能だからだ。

パスワードを書いたメモをモニターに貼り付けている人など、会社では論外の筈だ。
(自宅ならむしろ難しいランダム文字列のパスワードにして貼り付けておいたほうがセキュリティとしては高いわけだが)

| | コメント (0) | トラックバック (0)

« 2012年12月 | トップページ | 2013年2月 »