その数4万人だそうで。何回読んでもよく分からないので、勝手に要件定義をしてみる。なのでエンジニア4万人が必要かどうかという話は措いておく。これ、きちんと突っ込んで聞かないインタビュアーにも問題あると思うんだけど。
なおこのエントリーは費用計算にインスパイアされました。
「五輪でボランティアで働いてくれるエンジニア4万人」の費用を計算してみたよ! - エルの楽園
- [ネタ]
- [セキュリティ]
そうですね
2015/10/16 15:03
真意を聞いたっていうけど考えていることがよく分からない
「五輪にはボランティアで働けるエンジニアが必要」発言の真意を聞く - ZDNet Japan
サイバー自警団ww。会社の社長なんだから自分のところでまず範を示せって。
2015/10/16 15:01
少し長いが引用する。
荻原氏は、10月9日に開催された「CEATEC JAPAN 2015」のパネルディスカッション「明日のIT政策とソフトウェア産業を考える」で「五輪そのものに対して、ボランティアで対応できるエンジニアが必要で、今後5年間で4万人のエンジニアを育てなくてはいけない」と発言。この発言を巡って、ソーシャルメディアなどで、ボランティアでソフトウェアエンジニアを働かせることに対する批判が上がる一方、ソフトウェア業界の“ブラック”ぶりを浮き彫りにする発言ではないか、といった声すら上がった。荻原氏にこの発言の意図を改めて聞いた。
――2020年の東京五輪でサイバー攻撃からの防衛組織として“サイバーディフェンスリーグ”で対応するなどの構想の中でソフトウェアエンジニアをボランティアで働かせるといった発言に多くの批判が集まっている。
その発言に対しては、まったくブレるものはない。前提として考えてもらいたいのは、これからのサイバー攻撃は、まさに戦争を仕掛けられているのと同じだという点だ。五輪委員会やオフィシャルスポンサーだけでなく、日本の電気やガス、交通といった社会インフラが狙われる可能性がある。国の重要インフラを破壊されるのは、戦争と言わずに何というのか。これは最悪のシナリオであることには違いないが、日本の政府や業界、企業は、それに対する危機意識が低すぎる。
そして、これを守るためのエンジニアが不足しているのは明らかだ。そのためには人材を育成しなければならない。それが4万人。今から教育をしなくては間に合わない。だが、国はそれに対して費用を出す計画がない。
新たに設立する日本IT団体連盟では、業界がひとつになり、大きな力で国に提言するという狙いがある。まずは、サイバーディフェンスを担うエンジニアを育成するための予算を獲得する。そこで育成されたエンジニアが2020年に開催される東京五輪の開催期間中の1カ月間でもいいから、ボランティアで働くという仕組みを提案した。
――なぜ、ボランティアで働かなくてはならないのか。
メリットがないものに国は予算をつけない。高齢化が進展する日本では、介護士の育成は急務であるのは周知の通り。だが、ここにも予算がついていない。介護士育成に予算がつかないのに、なぜIT産業のエンジニア育成に予算をつけなくてはならないのか。 それならば、1カ月間、国のサイバーディフェンスのために、ボランティアで働いてもらうことで恩返しをするというのがひとつの提案だ。2020年の東京五輪に役立つエンジニアたちは当然、五輪後もあらゆる企業で戦力として活用される人材になる。2020年をゴールに考えたものではなく、その先の時代に向けた人材育成という観点で議論していく必要がある。それならば、1カ月間、国のサイバーディフェンスのために、ボランティアで働いてもらうことで恩返しをするというのがひとつの提案だ。2020年の東京五輪に役立つエンジニアたちは当然、五輪後もあらゆる企業で戦力として活用される人材になる。2020年をゴールに考えたものではなく、その先の時代に向けた人材育成という観点で議論していく必要がある。
――ボランティア以外の選択肢はないのか。
国からIT人材育成のための予算を取るひとつの手段がボランティアであるが、当然、ほかにも考え得ることはあるだろう。ただ、ボランティアといっても、いくつかの手法がある。
先に触れたように、国の予算で育ててもらったことに対して、1カ月間のボランティア活動で恩返しをするというのもひとつの方法。あるいは、企業が給与を支払いながら、一定期間ボランティアを働くということも考えられる。
引用部分だけでなく、記事を最後まで何回読み返してみても4万人という数字の根拠も無いし、ボランティアで働く時の働き方もイメージできない。先に「インタビュアーにも問題がある」と書いたが、インタビューイの言いたいことをしゃべらせればいいってもんじゃないだろ。仮にボランティアで働く人が4万人確保できたとして、オリンピック期間の1ヶ月どう働けばいいの?
まず要件定義をする前に、『ボランティアで働くことを前提に国家予算を付けてもらう』という考え方に問題がある点は指摘しておく。なんのための業界団体なの。ボランティアという生贄(いけにえ)を差し出さないと、サイバーディフェンスに従事するエンジニアを育てる予算を獲得できないって、業界団体の存在意義が無いじゃん。
対比として『介護士の育成』を出しているけど、介護業界は福祉部会福祉人材確保専門委員会審議会資料 |厚生労働省の通り、厚生労働省や都道府県は動いている。事実誤認である。
要件定義
仮に国の予算で育ててもらった「サイバーディフェンス」エンジニアが、オリンピック期間にボランティアで働くとしよう。記事で「サイバーディフェンス」と書いているので、コンピュータセキュリティやネットワークセキュリティなどは「サイバーディフェンス」に統一しておく。
整理
4万人という数字は措いておくとして、まず6W2Hで整理してみる。
- (Who:誰が) 事業主体は誰?
- (Whom:誰に) 対象となる顧客は?
- (Where:どこに) 対象となる分野は?
- (What:何を) 提供するサービスは?
- (Why:なぜ) 必要となる理由は?
- (When:いつ) 期間は?
- (How to:どのように) どのように実施?
- (How much:どれだけ) 収支、資金は?
こうやって切り口を挙げてみると、先のインタビュー記事から読み取れないものが多いことが分かる。まず事業主体が無い。『オリンピック期間の1ヶ月ボランティアで』という話だが、どこに行って何をすればいいのだろう?仮置きしていく。
- (Who:誰が) IT業界団体が指揮
- (Whom:誰に) 国に
- (Where:どこに) サイバーディフェンス
- (What:何を) 監視とインシデントレスポンス
- (Why:なぜ) オリンピック期間にサイバー攻撃が集中するため
- (When:いつ) オリンピック期間
- (How to:どのように) CSIRTやSOC*1による監視と問題発生時の対応
- (How much:どれだけ) 無償で必要十分な人員を確保
初っ端から頓挫である。破綻しまくっている。
サイバー攻撃に対する監視とインシデントレスポンスを提供するとして、その対応の舞台であるCSIRTやSOCはオリンピック期間に人が集まったらできるというものではない。CSIRTやSOCでは、監視やインシデントレスポンスには専用のソフトウェアや機材が必要。ボランティアが在宅で監視をできるようにすると仮定しても、そういうソフトウェアを提供する必要があるし、攻撃者側にアクセスされてはいけないので厳密なID管理も必要。
ブックマークコメントで「サイバー自警団ww」と書いたのはこれである。自警団程度の巡回監視であれば、当番の人が巡回時間に集まって巡回すればいい。自警団程度のインシデント対応なら、なにか起きた時も駆けつけて対応するだけ。ところがサイバーディフェンスは、それを実施するだけでも装備や指揮者が必要。自警団みたいにはいかない。件の萩原社長、発想が貧困過ぎるのではないだろうか。
スコープ定義
このままではオリンピック期間に仮にボランティアで働く人がいるとしても、準備が全くないので何もできない。そこでまずオリンピック期間にボランティアでサイバーディフェンスすることができることを目標として、スコープ定義を行う。
スコープ定義は「目標実現に必要な成果物の明確化」である。
オリンピック期間に稼働できるCSIRTとSOCの確立をスコープとする。となると成果物の候補は下記のようなものが挙げられる。細かく全部挙げきれないので一例だが。
- CSIRT
- SOC
- CSIRTやSOCのファシリティ
- CSIRTやSOCの業務内容の定義、規定
- CSIRTやSOCで使用する機材、ソフトウェア、ネットワークの選定
- 必要なソフトウェアのmake or buy分析
- ソフトウェア開発
- 組織の編成と要員計画
- 関係する各機関との連絡体制やこのCSIRT/SOCの地位確立
ブレークダウンしていけばまだまだ出るが、こんなところで。自警団としても地域の人が自警団の存在を知っていればこそ味方だと認識できるが、存在を知らなければ武器を持ってわらわら集まってきた奴らを見ても、敵か味方か分からない。「こういう人たちがこういう活動をしますよ」という地位確立は割と重要。
東京でオリンピックを実施して人が集まる。このような要員を集めるための場所としては宿泊込で考えると東京は難しい。一方でインシデント発生の際にすぐに現場に行かなければいけないとすると、東京から離れることは移動時間の増大を招く。東京で問題が起きている時に東京の中からは対応ができず、外部から操作しなければならない事態も想定できる。それならSOCは東京以外にも複数で実施する必要があるかも。
問題はこれを実施するためのお金はどこから出てくるかである。要員を0円で使うとして、少なくともSOCはきちんとしたデータセンター内に複数のIX*2とつながるネットワークを持ちたい。
そうなるとSOCはオリンピックのために作るのではなく、SOCをサービス商品として提供している企業にお願いする方が安く済むはず。複数のSOCと契約すればIXのルートが一つ攻撃でダウンしても、生きているIXを使っているSOCは監視を続けられる。国が予算を付けないとすれば、業界団体が財団法人かNPO/NGOを作って寄付ベースでお金をプールするしかないだろう。そんなことをする意義を認めて、寄付する企業があるかどうかは分からないが。
人的資源とコミュニケーション
PMBOKに沿って全部やっていくと長くなるので省略して、人的資源マネジメントとコミュニケーションマネジメントについて考えてみる。
オリンピック期間に仮にボランティアで働く人がいるとして、組織と役割を決めないと動けない。まず人的資源マネジメントを考えてみる。
SOCはSOC運営企業に依頼するとして、CSIRTをボランティアで運営するとしよう。やっぱりオリンピック期間に、急に集まって何かやるというのは無理がある。CSIRTで行うインシデントレスポンスの作業そのものは、きちんとジョブディスクリプションを作ってボランティアにお願いするとして、その手前にいくつも問題がある。
- 指揮系統の確立
- 身分の保証
- 従事者間のコミュニケーション手段確立
- 監視先関係各所への連絡体制
一般にボランティア組織が何かするとしても、ボランティア組織側にも指揮命令系統はあるし、受け入れ側も自治体などの組織である。ボランティア組織が無く個人のボランティアを使う場合、受け入れ側の組織が指揮をすることになり、そのオーバーヘッドは考慮する必要がある。
今回の場合、オリンピック期間前にボランティア組織を作り、指揮命令系統を確立するほうが自然だろう。ボランティアによるサイバーディフェンスの恩恵を受けるのは、オリンピック関係の組織や国や都など多岐に渡る。一定の受け入れ組織が無いので受け入れ組織側で指揮をすることは難しい。
次は身分の保証。2つの意味がある。1つはきちんと責任をもって悪戯をせずに働く要員を確保するという意味。もう1つはなにかインシデントがあった場合、関係各所に連絡をしたり赴いたりする際、スムーズに受け入れてもらうための保証である。
ボランティアで働くとしても、従事者間のコミュニケーション手段を複数用意しておく必要があるだろう。オリンピック期間全員が詰めて働くならコロケーションの問題だが、24h体制は組めなくなる。交代しながら24h対応するなら何も起きなければ定常の人員だけ、インシデント発生時は増員するという形を採るはず。組織外からアクセスできないコミュニケーション手段も用意が必要。在宅で監視という形態を採るならなおのこと。
身分の保証にも書いたが、インシデント発生時に関係各所とインシデントレスポンスで協力することになる。サービスの停止、ユーザへのアナウンスなどは、被害を受けている側の協力というか行動が必要。前もって連絡体制を確立しておかないと、
「あなたの〇×が被害受けてますよ」
「あんた誰?忙しいんで後にしてください」
みたいなこともありうる。
長くなったので急にまとめ
まあ、専門家が目とか頭とか使わなければできない部分はどこまで行っても残るけど、4万人とか根拠を示さない数字を言い出す前に、機械でできることは機械でできるように自動化しろって話なんですけどね。
実際問題、オリンピックそのものだって準備期間を経て実際の大会期間を迎え、大会が終わったら後片付けする。ということはそれは全てプロジェクトとしてスケジュールを作り、実際に予算を獲得し動かしていく。その中にはガイドなどのボランティアもいたりするだろうが、オリンピック期間に急に湧いて出るわけではないし、ガイドする内容や方法についても統制が必要なので期間前から色々準備していく。
オリンピック期間にエンジニアのボランティアという話、そもそも現時点での萩原社長の発言内容の範囲では実現不可能である。何をどう考えているのか、だれかまともにインタビューしてくれないだろうか。
前提を付けまくっても実現不可能な話なのだが、 ボランティアってボランタリー(自発的)な活動であって、誰かに言われてやるようなもんじゃない。普通にボイコットでいいんじゃないですかね。それにしてわけがわからないよ。