「技術ネタ」カテゴリーアーカイブ

2010-04
01
22:55:41
SIMロック解除よりもアクセスポイントの解放こそが有効だ

技術ネタ, 時事ネタ, , , , , ,

Xperia発売やauの新スマート”ブック”(笑)発表の影響もあるのか、最近SIMロック論争がTwitterなどを中心に活発に行われている。
また明日総務省がSIMロックに関してキャリアやメーカー、消費者団体を招いてヒアリングを行うとのことなので、この話題はまだもう少し続くことになるだろう。

SIMロック解除だけでは不十分

これら一連の議論で「SIMロック解除がガラパゴス状態を改善する」との簡単な論理には幾分不安を感じる。消費者からすれば重要なことは「キャリアのガラパゴス政策が緩和されて、現在国境やキャリア観で分断されているサービスや機能が水平分業的に解放される」ことだと思っているのだが、先のSoftbank松本氏昨日行われたau説明会でのキャリア側の言い分からは、仮にSIMロックが解除されても(ロック完全禁止であろうと一部禁止であろうとも)キャリアの対応によって骨抜きにされてしまう可能性が高い。
キャリア側の言い分は、仮にSIMロックを解除してもそもそもiモードなどのサービスがキャリアごとに違うのでほとんど意味がない、というものだ。そしてこれは実はほぼ正しい。
先日書いたように端末ID(サブスクライバID、個体識別番号)の仕様もキャリア毎に異なるので恐らくサービスプロバイダーの対応も複雑になるだけであまりメリットが無く、そもそもSMSのキャリア間送受信もまだ行われておらずdocomoのようにそもそもMMSも持っていずiモードのように他社ではとても対応できないようなサービスを提供していたり、WAP(ブラウジング)のような国際標準に対応しない端末が大量に出回っていたり、SIMを抜いてしまうと端末自体が全く動作しなくなったり、はたまた例えば購入したコンテンツがSIMに紐付いているのにフォーマットが異なるので他社や他機器では再生できない、などなど。要するに「よもやSIMロックが解除される事態が来るとは思ってもいなかった」事態が多発することだろう。
もちろんこれは、「そうであればサービスを共通して使えるようにしろよ」という話でもあり、この10年囲い込みにしか情熱を燃やしてこなかったキャリア各社の怠慢であり責任としか言えないのだが、これを逆手にとって仮にSIMロックが解除されても「ほらサービスが使えなくなっただけでしょ。SIMロック解除なんて有害なだけだったでしょ」という開き直りとも言える施策を取る公算が大変高い。
つまりSIMロック解除という点だけに注力するとまんまとサービスの非互換性を逆手にとってSIMロック解除を骨抜きにしてくるだろうな、というのが僕の読みである。

であるならではサービスも共通化して解放せよ、というのがまっとうな意見ではあるのだが市場にこれだけ溢れているガラケーを考えると、単にそう主張するだけなのも実効的ではない。
そこで僕の意見は、SIMロック解除だけを主体にするのではなく(但し今後の端末を考えればこれも重要だ)、各キャリアのアクセスポイント(AP)解放要求を主体に置くべきではないかと考える。
恐らくこの「アクセスポイント」とは何のことか気付いている人は少ないと思うので少し説明しよう。

アクセスポイントは何故日本では故意に隠されているか

一言で言えばWiFiで言うところのSSDのようなものだと思えばいい。つまり端末が通信を行う上でアクセスするダイヤルアップ先のだ。
普段、特に日本ではほぼこれの存在に気付くことはまず無い。何故ならこれは日本特有の現象なのだが、日本ではキャリアがどんなアクセスポイントを用意して端末に利用させているか隠しているからだ。

例えば海外製のスマートフォン(以下ではWindows Mobileの例)では以下のように通話やブラウザ(WAP)またはMMS(メール)向け接続のためにどのアクセスポイントに接続するか設定する画面が用意されている。
(因みにSIMフリーのiPhoneなら同様の設定がある)

アクセスポイントであるので、通常そのアクセスポイント名とユーザー名/パスワードを設定することで利用が可能になる。
海外ではスマートフォンに限らず通常の携帯でもこうした設定は存在している。しかし日本の携帯ではそうした設定を見たことのある人はほとんどいないだろう。なので恐らくケータイ関係のライターでも知らない人は意外に多いと思う。何故か?それは携帯側で「決め打ちで」自動的に設定してしまっているからだ(あるいはSIMにその情報が書かれていて自動設定する場合もあるようだ)。
では何故日本のキャリアはアクセスポイントを隠すのか。実は明確な理由はキャリアからは公表されないので正式には分からない。しかしSIMロックと同じように、「自社の端末と回線の組み合わせだけを間違いなく利用者に使用させたいから」という意図であろうことは容易に想像できる。つまりガラパゴスと揶揄されるのと同じようなキャリアによる囲い込み施策の一環である。

アクセスポイントは世界的には公開されてしかるべき

以下のURLの資料を見て欲しい。これは各国におけるアクセスポイントの一覧だ。

Carrier APN Settings


APN Settings for iPhone 3G

海外キャリアではほぼ例外なくこれら自社アクセスポイントの情報を公開している。これはSIMロックを行っている国でも同様だ。つまりSIMロックでの議論で言われるように「世界的にはSIMロックを採用している国の方が多い」という話とは明確に異なる状況だ。日本のまさしく特異な「ガラパゴス状態」を端的に表している例だと言えるだろう。

またユーザー名/パスワードも同時に公開されており秘匿はされていない。資料を見ても分かるように、パスワードと言っても複雑な文字列を設定している例はほとんど無く実態的にはパスワードをかけていることに意味は無い。まさしく「公開」されているのである。

1つのキャリアでも複数のアクセスポイントを使い分けている場合もある。良くあるのはWAP(ブラウザ)とMMS(メール)が異なる場合や、プリペイドかポストペイドかや定額制と従量制の場合など契約形態毎にアクセスポイントを指定している場合などだ。
つまりキャリアからすると使用されたアクセスポイントによってユーザーの利用形態や課金単位を変えたり判別するのに使用していると思っていい。

一方日本ではどうかというと、公開されていないものの、一部アクセスポイントの存在が判明しており一部ユーザーにより情報が公開されてしまっている。
実は判明しているのは従前から海外とほぼ同じ仕様を使用しているSoftbank(旧Vodafone)だけなのだが、それによれば通常の携帯網用AP以外にXシリーズと呼ばれるスマートフォンの定額用AP(通称open)やiPhoneはまた別のAPを使用しているようだ。また従量制のAPについては設定がそもそも必要になるのでこれは公開されている。
docomoとauはガードが高いらしく、これまで携帯網用のAPは明らかになっていない。しかしスマートフォン用APは別に用意されているらしく、また例えばdocomoでは一部moperaと呼ばれる接続サービスでPCデータ通信用AP(スマートフォン用ではないことに注意)は公開している。

アクセスポイントをフリーアクセスにすることで新たなエコシステムの確立を

ではアクセスポイントが公開されることで何が変わり得るのか。
前提はアクセスポイント情報が公開された上で「契約ユーザーが自由に自身の携帯やスマートフォンを設定して利用するのを認める」という点だ。ここで各キャリアの端末に縛られず自由に他社端末であろうと接続できることがポイントになる。
これでも先に述べたように各社サービスの非互換性は担保されない。レイヤーが異なるからだ。しかし端末の自由化がSIMロック解除以上に進むため、よりバラエティに富む端末やサービスの流入を呼び込む可能性が非常に高い。 但しこれは従来の携帯網向けアクセスポイントを解放すべきという話ではない。恐らくそれでは個体識別番号の脆弱性が顕在化し、従来のビジネスへの影響が非常に高い。海外では個体識別番号というものは存在しないので携帯網も公開されているのだが(というかそもそも携帯網とスマートフォン系という違いが存在しない)、残念ながらこうした過去の負債があるので日本では行えないだろう。
しかし各社は既に主にスマートフォン向けのAPを構築しつつある。Softbankはopenと呼ばれるAPやiPhone用APを既に持っているし、docomoもmoperaというプロバイダー事業でスマートフォンAPを用意している。auはこれまで無かったはずだが先日のISシリーズの発表でIS-NETというプロバイダーを発表している。これは恐らくスマートフォン向けのAPを用意することになるはずだ。
そこでこれらスマートフォン用と同様のフリーアクセス(課金が、という意味ではない)アクセスポイントを別に準備してもらうこととする。
但し例えばdocomoなどは従量制のAPを差して「既に利用できる」と言い張るかも知れない。しかしこのAPは従量制であるので利用料金は青天井だ。そこで他にスマートフォンなどで定額制を導入しているのならば同様の金額による定額制の導入は義務化することとする。

こうすることで従来の携帯網(すなわち「ガラケー」)を中心にした垂直統合型ビジネスモデルと、新たなフリーアクセス・アクセスポイントおよびSIMフリー端末による新たなオープンモバイル網が共存し、新たな競争原理が導入されることになる。前者の担い手は従来通りキャリアであり、後者の場合キャリアは通信部分に専念することになり担い手は端末メーカーかも知れず課金や認証含めたサービスプロバイダーまたは海外勢含めた業界全体という立ち位置になる。

残念ながら既存の「ガラケー・ビジネスモデル」はすぐに無くなるものでもなければ、また一気に無くしてしまうのは既に多くのユーザーを抱えている以上不要な混乱を起こすわけにもいかないだろう。また現状これ以上キャリアとしての競争相手が増えることも予想できず、カルテルとも言えるほど各社料金などが横並びの状態では大きな変化をキャリア自ら生み出すことは難しい。
しかし新たな競争軸を生み出すことは可能なのだ。そして自由度(端末やコンテンツ、価格の自由さと競争原理、参入の容易さ)が担保されれば必ずマーケットは動く。そして競争に晒されれば「ガラケー・ビジネスモデル」側も必然的に変化に迫られるはずだ。
まずはぜひこうした「アクセスポイント」という故意に隠された論点があることを知って欲しい。そしてそれは日本でのみ特異な扱い方をされている。
繰り返すが何故隠すかと言えば隠すことでそこから何らかのメリットを享受する人々が存在しているからだ。そうした視点を消費者としては手に入れるべきだ。

2010-03
30
01:11:50
結局SIMロック論議もオープンプラットフォーム構想も端末IDの話に尽きるのかも知れないなぁ

技術ネタ, iPhone, 時事ネタ, , , , , ,

総務省がSIMロックの解除要請の方針を打ち出したと言うことで少し話題になっている。

携帯端末、全社対応型に 「SIMロック」解除要請へ

個人的な立ち位置を先に表明しておくと、僕は「SIMフリーも選択できるようにして欲しい」という立場。別にSIMロックを前提にしたビジネスモデルがあってもいいけど、ビジネスモデルを阻害するというキャリアの身勝手によって消費者がSIMフリーを選択できないのは問題だ、ということです。
「果たしてSIMロックがガラパゴスの元凶か」というのも論点になっているがそれは後として、 面白い論評をソフトバンクモバイル副社長の松本氏が述べているので先に簡単に触れておきたい。

携帯電話におけるSIMロック論争 – 松本徹三

皮肉なことにこの論評が述べているのが実は「キャリアがSIMフリーを排除したい」理由にもなっているという点だ。特に自身らのビジネスが如何にSIMロックを前提にしてしまっているか、気付いてか気付かずにか、大変に分かりやすく説明されている。

中段のさて、ここで問題の核心に入ります。というところまではいいだろう。ここまではまあまあ僕の上記の意見とも実は合致していて、「SIMロックもあればSIMフリーもある状況なら受け入れられる」という結論もまあ妥当だ。
しかしここから何故か「如何にSIMフリーは悪か」について説明が始まる。なお氏は「SIMロック解除がすべての端末で強制されれば」の前提で書かれているようだが本質的には「SIMフリー端末がキャリアに与えるインパクト」とも読み取れる。また先の読売の既報によれば契約から一定期間が経過した端末に限るとされている。
氏の論に依れば、日本のキャリアの端末・サービス・ 通信回線が三位一体で始めて現在のサービスが提供できるのだという。そしてそれが伴わなければ(1)各端末メーカーの互換テストが大変になる(2)キャリアにより使えないサービスが出てくる(3)3GよりWi-Fiを優先するなどの通信帯域を必要以上に使わない仕様に端末をしてもらう必要がある(4)端末助成金が無くなるので高くなる(5)(自由に使えると)不正に入手した端末の犯罪利用が増える のだそうだ。
しかし一読してもこれらを「SIMフリーが行えない」理由にするのは氏の立場を考えてもおかしいだろう。
まず(2)(4)は完全にキャリアの都合の話だ。キャリア間で互換性のないサービスを作り出してきたのはキャリア自身だ。また助成金はキャリア自身が生み出した仕組みだ。それをフリー化できない言い訳にすり替えるは厚顔無恥としか言いようがない。また(1)(3)も、では何故御社ではiPhoneを提供できているのだろう。そうであればAppleはiPhoneの計画段階からSoftbankにパートナーを決めていてテストを繰り返していたことになるが事実だろうか。決してそうではあるまい。更に言えばではこれらのことが他のSIMフリーを導入している国で問題になっているのだろうか。互換性と言うことで言えば、では何のために標準仕様(実装のためのノウハウも含む)が存在しているのだろうか。
こうした稚拙な論の最後に必ず持ち出されるのが(5)だ。「幸いにして」窃盗された端末が犯罪に使われた事例は当時大きく報道され問題化したので論としても張りやすい。しかし犯罪抑止というならそもそも携帯の存在自体が犯罪に使いやすい側面こそがあるわけで、それをSIMフリーのみに理由付けするのはおかしい。またであるなら、そもそも(PDCのような)「SIM脱却論」に発展させないのは何故なのか。つまりそこまではコストをかけたくない程度の問題意識でしかないということだ。であればSIMフリー論の足枷になるレベルでもないだろう。

ところでこの記事は「アゴラ」に投稿されている。池田信夫氏によればアゴラとは「Huffington Postのような「言論プラットフォーム」をつくる試み」であり「専門家が実名で発言することによって、政策担当者やジャーナリスト、あるいは一般市民との交流をはか」るのが目的とある。ある程度立場のある人々のあつまりであればある程度のポジショントークもやむを得ない面もあるだろう。しかしこうも露骨な「自社利益への誘導」を目的としたエントリーも許しているのだろうか。そうであればその言論プラットフォームとは何を目的としどこへ向かおうとしているのか、はなはだ疑問だ。

さてどうやらSIMフリーというのはキャリアにとっては随分嫌なもののようだ。恐らくその理由は「自らのビジネスモデルを阻害する」からだ。そして総務省が進めようとしているオープンプラットフォーム構想も随分とキャリアからの風当たりが強いようだ。これも同じく彼らのビジネスモデルを阻害するから、ということになるだろう。
ではそのビジネスモデルとは何なのか。その根本は何なのか。
そのためには少し日本のガラパゴスと呼ばれるビジネスモデルと技術的な背景の成り立ちについて考えてみる必要がある。

1999年にiモードが誕生した時1つの「発明」が生まれた。それが「端末ID」だ。サブスクライバIDや個体識別番号などとも呼ばれる。物理的にはSIMカードと紐付き論理的には契約単位や電話番号と紐付けられ、どの端末(または契約単位)からのアクセスであるかをWEBサーバー側へ知らせるために使用される。機能的にはただこれだけの単純なものだ。
しかしどの契約と紐付いているかは当然キャリアは把握できる。そして契約は当然口座やクレジットカードと紐付いている。そこで「端末ブラウザからのアクセスによる購買をキャリアが保証する」ビジネスモデルが生まれた。これが今日まで大成功と言わしめiモードの名を世に轟かせた「モバイルEC」の姿だ。その根本原理はその後10年間実は何も変わってきていない。発信された端末IDをキャリア(または公認され端末IDを受信できる公式サイト)がただ受け取り購買行為としてまとめられているだけだ。docomoに限らずその後現Softbank、現auまたイーモバイルも同様の仕組みを取り入れ公式サイトを中心に取り込んだ。
この仕組みは単純でHTTPやWEBアプリとの相性も良かったので簡単に広まった。またユーザーは4桁の暗証番号を入力するだけで(あるいは入力しなくても)購入が可能でまたキャリアの請求に合算されるのでECの付きものの敷居が低く受け入れられやすかった。
結果、日本は 世界で類を見ないほどの「モバイルEC大国」となった。
また購買に関わる以外でも端末IDは認証などに転用され、現在ではモバイルサービスを支える基盤となっている。

国際的にはこうした「端末ID」という考え方は(僕が知る限りでは)存在していない。キャリア回収モデルとしてはSMSで支払いをする、などのケースもあるようだが、多くの場合はモバイルECとはPCと同じように例えばクレジットカードを入力して行うもののようだ。
その点ではこの「端末ID型モバイルEC」のビジネスモデルは非常に優秀だったと言える。

しかし単純であると言うことは偽造も簡単だと言うことだ。例えば他人の端末IDを知り得てそれをECサイトに送り込めれば簡単に偽装可能となる。
そこでこの端末IDを完全なものにするには3つの条件が存在する。

(1) そのアクセスがそのキャリアの携帯網からのみであること。携帯網以外からのアクセスの場合には端末IDは偽装されている可能性がある。そのため各キャリアは端末がアクセスしてくるSRC IP(発信元IPアドレス)の一覧を公開している
(2) 携帯網は端末IDが偽装されていないことを保証しなくてはならない。すなわち端末IDはキャリア側ゲートウェイが付加すべきであり、例えば端末IDは通常HTTPメッセージ上に現れるがあらかじめ端末IDが付加されていた場合にはキャリア側ゲートウェイはこれを削除するか正す必要がある
(3)  端末の自由度が低いこと。例えば自由にユーザーがアプリを導入できる端末であれば端末IDの偽装を試みるアプリが開発されるかも知れない。(1)(2)を満たしていればほぼ偽装は出来ないと考えられるが、自由度を低くできればその危険性も低くできる

気付いて頂けるだろうか。この(1)から(3)を完全に満たすには、奇しくも松本氏の言うように「端末・サービス・ 通信回線が三位一体」でなければ不可能なのだ。
メーカー(端末)はキャリアの仕様に沿った端末のみを供給することで(3)を満たし、キャリア(通信回線)は(2)を満たし、プロバイダー(サービス)は(1)を保証する。
どれが欠けてもこの 「端末ID型モバイルEC」は成り立たない。

キャリア(や取り巻きのサービスプロバイダー)がもっとも恐れるのはこうした「単純な」技術に立脚したビジネスモデルが壊れることだ。これらは彼ら自身のエコシステム(必ずしも消費者中心のエコシステムでない点に注意)であり生命線だからだ。
そろそろ問題の正体が見えてきたようだ。
つまりSIMロックの議論とは純粋にSIMはロックされるべきか否かではない。キャリア側論者が問題をすり替える裏には必ず上記に繋がる何かがある。例えばSIMフリー端末が出回り、しかしキャリアの息がかからないことによって端末IDモデルを崩壊される足がかりにならないか、などの懸念だ。
また海外ではAppleに限らず端末メーカー主導でのビジネスモデルが盛んだ。これもやはり奇しくもiPhoneが日本型モデルによらずとも別のエコシステムを運用できてしまうことを実証してしまった。
キャリアからすれば「黒船携帯」はともかく、「ガラケー」だけは何としても死守したいに違いない。そのためにはSIMロック解除などと言う自分の島を荒らされる可能性のある行為は避けたいのが本音だろう。

では「ガラパゴスの本質とは何か」との問いには幾つか挙げられると思うのだけど(以前少しまとめたことはありますが)、もっとも端的にもっとも顕著に集約されているのがこの端末IDの仕様とそれへのビジネスモデルの寄りかかり方であろうと思う。
繰り返すが僕はただ自分の好きな端末を(多少の不便はあっても)自由に使いたいだけの消費者だ。キャリアやサービスプロバイダーの事情やましてやメーカーの世界進出なんてどうでもいい。しかしそうした当然享受できてもおかしくない「自由」がそれら関係各所の都合とやらで閉ざされているのであれば話は別だ。
こうした論議がオープンになされるのはこれまでの状況に比べれば全くもって健全な方向ではあるのだけど、得てして立場があったり何らかの「既得権者」との議論はまた得てして些細な各論に終始して不毛な議論に振り回されることがある。それは本質に触れられたくない人々も多いからだ。また特に気になるのは、成熟したマーケットに関わる議論だけにポジショントークが多いのは仕方がないのだけど、「消費者」という立場の人たちの声が少ないようにも感じる。
それだけに如何に議論を本質に近づけるか、そのために何を知るべきかの選択は非常に重要だと言える。そのためにもSIMロック議論だけに立ちとどまらずより広範囲な議論形成と論点整理が大切になるのだ。「賢い消費者」になるためにも。

2010-03
21
01:13:38
意外に知られていないけど香港では海底トンネルの中でも携帯が通じる

ガジェット, 技術ネタ, iPhone, 時事ネタ, , , ,

最初気付いていなくて僕もびっくりしたのだけど。
香港では地下鉄(MTR)の駅間のトンネルの中を走っている時でも海底トンネルの中でも(車での通行中も)携帯が完全に通じる。つまり基地局が地下でも完璧に整備されているのだ。
香港でも携帯キャリアは複数あるので会社によっては電波が弱いとかはあるかも知れないけど、周りで香港人がかなり頻繁に通話し続けているのを見ると(中華圏には「公共機関での携帯通話は他人の迷惑なのでしない」というマナーは存在しない)、あまり会社間の違いは無いみたいだ。
意識していなかったのであまり覚えていないのだけど、列車からそのままメールチェックしながら地上へ上がっていた覚えもあるので、恐らくカバー率はかなりのものなのだろう。
そもそも店でも携帯が通じないところは客が入らないそうなので(海外ではそういうニーズは非常に高いように思う)、さもありなんというところか。

もっとも東京都の半分の面積に700万人が暮らしている「都市国家」であるので、日本のようなより広大な国と単純には比べられないのだけど、もう少し地下での携帯網の整備は日本でも進められてもよいように思う。

地下鉄のトンネルで携帯電話やPHSを使える日は来るのかを各社に聞いた

イー・モバイル、東京メトロ全線・全駅をエリア化

翻って日本ではなんとか地下鉄の駅構内でなら使える程度。(ただし福岡地下鉄だけは地下トンネルでも整備されているらしい)
特に最近ではiPhoneユーザーで「地下鉄通勤中もニュース読みたい!情話収集や仕事したい!」って人は増えていることだろう。
通話は禁止という日本でのマナーはマナーとして守るとして、一方でデータ通信のために地下も含めてあらゆる場所をホットスポット化するというのはインフラ整備の一環からも非常に有効ではないだろうか。
すでに携帯電話というのは「通話」という機能を超えてデータ通信によるネットワーキング機器としての要素の方が重要になりつつある。生活の一部と化しつつあると言っても過言ではないだろう。そうした取り組みはキャリアにとっても決して無駄ではないはずだ。
特に土地の足りない日本では地下を開発せざるを得ないわけで、今後地下街なども含めてこうしたニーズは非常な高まりも予想される。

またもう一点見逃せないメリットとして、災害時のライフラインとしての役割がある。
近年山での遭難時などに携帯電話のGPS機能などで窮地を救われたという話をよく聞くようになった。

雪山で遭難した女性の顛末

参考: 雪山でiPhone通じねぇぞ!まとめ。

近年大きな地下鉄や地下街での事故や災害のニュースは聞いていないように思うが、もし万が一の場合、事故や地震などで乗客が閉じ込められても基地局さえ生きていれば外部と連絡が取れるというのはかなりの安心をもたらすはずだ。またA-GPSなどを活用できれば救助する側にしても現場の状況がGPSや乗客からの情報でいち早く把握でき、初期救助活動に役立つに違いない。

無駄な公共事業の見直しが話題になっているが、仮に公費や税金が新たに投入されるとしてもこうした基地局整備に使われるなら個人的には大歓迎だ。何のためなのか実感のない道路工事よりもよっぽどメリットが目に見える分かりやすい公共事業になるだろう。その上で利用するキャリアからは利用料で回収してもいい。
こうしたインフラの定義が大きく変わりつつあるということを理解し実現してくれる政治家はどこかにいるだろうか。

などということを地下鉄サリン事件から15年目となる昨日の夜、特別番組を見つつあの時のことを思い出しながらふと思った。

2010-03
09
21:31:05
docomo ID認証が怪しげすぎる件

技術ネタ, , ,

NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に

「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。
ポイントはこの3つ。

・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど
・iモードIDとUser-Agentを取得できる
・iモードID 取得はAXでもSREGでも無い独自仕様

つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにしておくと、iモードIDが続々と入手可能になると。ケータイ勝手サイトだけでなく、PCサイトでも堂々とiモードIDが収集できるようになったわけだ。

iモードIDの簡単ログインの問題が話題になっているのは「とある方法で何とかiモードIDを詐称できれば」簡単ログイン対応サイトで不正アクセスが出来てしまうから。なのだけどiモードIDをこうも簡単に取得できるのなら、この方法さえも要らなくて「他にiモードIDを簡単ログインに送り込める方法があれば」簡単ログインサイトの仕様によっては恒久的にセッションを乗っ取ることも可能だろう(セッションIDとしてiモードIDをそのまま使用していた場合など)。
またiモードIDは契約者ごとに固定なので、複数のサイトで「名寄せ」をして完全な個人情報をまとめ上げることも懸念されている。
更にiモードID取得をAXでもSREGでも無い独自プロトコルにしているのは何故だろう。ここは明快な理由が思いつかない。

ありがちなシナリオとしては、例えば僕のような個人でも、docomo ID対応のサイトを作ってブログのコメントやちょっとしたサービス登録をする上でPCのメールアドレスや生年月日、性別ぐらいは簡単に登録してもらえるだろう。ケータイサイト運営だけでは入手しにくい情報もPCサイトと組み合わせることで名寄せをしてより単価の高い個人情報が生成可能になる。なんと素晴らしい!
PCの世界でOpenIDと言えば、Yahoo!やmixiなどのID/パスワードが使える程度の印象しか一般ユーザーは持っていないはずだ。しかし使い方によっては自分のケータイ機種まで知られてケータイでの情報が筒抜けになる、あるいは可能性があることを伝えずに使わせることは、これはもうほとんど詐欺みたいなものだろう。
(因みにYahoo!のOpenIDではLocal Identifierしか取得できない。これは無意味なランダム文字列みたいなものだ。mixiはニックネームは取得できるが、もちろんメールアドレスなどは取得できない。なので名寄せに利用するには敷居が高い)

docomoからすれば、これだけ世に広まっているケータイ認証や決済をPCの世界にも広めたい意図なのだというのは容易に想像できる。しかしこれだけ脆弱性が心配されている「(日本の)ケータイ世界だけの常識」をPCにも広げようという「技術者としての良心」が理解できない。

OpenIDを活用するのならば、ケータイでのOpenIDが利用しにくいことが問題になっているのだから、docomoこそが率先してケータイ端末でのOpenID対応を推し進めるべきではなかったか。現在のiモード認証の限界を超えてよりセキュリティ的にもユーザーへのメリットにも大きな収穫があるはずだし、それが社会の公器として、業界の雄としての役割であろう。

願わくは、ケータイサイトしか知らない「ケータイ脳」の会社がケータイサイトのノリでとんでもないPCサイトを量産しないように、心から願う。

2009-12
17
02:58:39
過保護は主体性を腐らせる、のか

技術ネタ, 時事ネタ, , , ,

ちょっと唖然としたのでエントリーを上げてみる

まあぶっちゃけ
Amebaのセキュリティ対策について

そもそも脆弱性を意識しているエンジニアがいないから、第三者に頼ってるだけじゃん?ってのが大体の感想だろう。このアメーバのコメントでも「第三者検証まで導入している」というのが免罪符のように語られているのが印象的だ。
これには奥深い物も感じていて、そういう第三者検証を導入するからこそ、現場エンジニアの脆弱性に対する意識や主体性、責任感を欠如させている側面があるのでは?と感じる。

ちゃんと金を払って第三者検証を導入しているアメーバ自体は偉いと思う。上がそれなりには脆弱性に対してプレッシャーを感じている証ではあるだろう。
けれど得てしてそういうプロセスを入れることで現場での「どうせ第三者検証プロセスが入るし」「テストチームがチェックしてくれるし」という意識にも繋がりやすい。更に言えばマネージメント層においても「金を払って検証させているのだから問題が発生したら第三者検証業者の問題だ」とのエクスキューズにも繋がりやすい。

テスト全般では当然のことなのだけど、現場のプログラミングチームが主体性と責任を持てないとバグとか脆弱性は減らないんじゃないかな。だいたい、第三者がコードも見ずに脆弱性なんてまず評価できないと僕は思っている。ブラックボックス・テストでホワイトボックス・テストは兼ねられないはずだから。
はまちちゃんも言っているように、どこが悪いだとかどこを直すではなく全体として脆弱性対策が取られていないというのは、現場が全く意識していなくて、第三者検証部隊はブラックボックステストで分かる範囲しか試して無くて、マネージメントは金を払って責任転嫁できると安心している証左だろう。

この辺のモチベーション維持はまさしくマネージメントの範疇であって、いろいろな方法はあると思うけど例えば、バグや脆弱性などの問題は開発チームの責任であって理由は何であれそのチームが確実に対処すること、問題を少なくするのが開発チームの評価であること、一方テストチームの評価はバグ発見率で行うが一方でバグを見逃したとしても何ら責任を取らなくてよい、という体制でチーム運営したことがある。当たり前のことではあるんだけど、意外にここを明快に出来ていないチームも多い。
結果としてどうだったかはちゃんと効果検証できていない(難しい)ので何とも言えないのだけど、そうした主体性を持たせるチーム作りという発想がないんじゃないかな。
せっかく予算も十分にあるだろうに、もったいない。
方向性のない過保護は結局主体性を腐らせてしまうのだと思う。

一方で経営層とかは、テストチームや脆弱性専門業者も入れて金を使ってるのに何で??とか思って下に当たったりしてるんだろうね。ご愁傷様です。
そういう会社や組織を変えるにはどうするべきなんだろう?と以前考えたことがあるけど、今でもよくわからないです。