全児童にパソコンを行き渡らせる事が決定しているが、今更に教科書の電子化を議論しているらしい。電子教科書と紙の教科書を併用させるつもりでいるようだ。結論を言おう。パソコンを持たせるなら、教科書を電子化する以外に選択肢など存在しない。
数年前から登校する児童の荷物の多さが国政の場でも問題視されている(国も動き出した「重すぎるランドセル問題」)。時には体重の50%を超え、中には健康被害を受けている児童までいるというのだから、何故ここまで放置してしまったのか憤りさえ覚える。
健康被害を受けずに習慣的に運ぶことの出来る荷物の量として体重の20%程度が限度と言われている。仮に体重の20%としたときに、小学校低学年女子だと4Kg強程度が限界となる。
・ランドセル 1200g
・水筒(1リットル) 1200g
・パソコン(含むACアダプタ) 1200g
・筆箱 200g
・鉛筆(5本) 25g
・ノート(5冊)750g
これだけでも合計4575g。あっという間に重量オーバーである。
教科書の重量は1冊200~300g。結構重たい。パソコンを持たせたら、教科書を持たせる余裕など、そもそも残らないのだ。
たった1日の利用で750万円をGoogleから請求された企業
上記リンク先の企業は750万円の請求を受けたようだが、私自身も似た良いな経験はある。個人的に勉強がてらMicrosoftのAzule MLで遊んでいた。無料枠でリミットがかかるつもりで居たが、突き抜けて十数万円の請求金額が表示されていたのだ。あわててMicrosoftのサポート窓口に連絡して、請求を取り下げていただき事なきを得た。
IaaSやPaaSの使い方を試しながら学習する上で、この手のリスクは常に発生し、避けようがない。実験的に動かす場合にも、本番環境と同様に従量課金で料金が発生する。最初から完璧に習熟していて、絶対に間違えない人など居ない。いくら気をつけていたところで、見落としや設定ミスによる重課金が発生するリスクは常にあるのだ。
うっかり数百万円溶かしても「あほぅ」の一言で済ませてくれる組織でもない限り、実のところエンジニアは業務でPaaSを安心して使えない。「この機能を使えばこんなことが出来るはず・・・」と知識で知っていても、ミスを許容してくれる組織でない限り怖くて新しいことにチャレンジ出来なくなる。
クラウドへの移行を考えている・・あるいは既に実施している企業の役員の方には、この事を知っていて欲しいのだ。
ちなみに、色々と検索した限りでは、速やかに連絡すれば請求を取り下げてくれる事が少なくないようである。
PPAP(パスワード付きZIPファイルと、そのパスワードを別送する)が無意味どころか、むしろ危険を増している事がようやく認識されるにいたった。だが、もう一つの問題、そもそもZIP2.0暗号方式を使って暗号化することの無意味さが知れ渡っていないようだ。
ZIP2.0暗号方式には計算量的脆弱性があり、比較的少ない計算量で総当たり攻撃をおこなえることが知られています。ハイエンドGPU(RTX 2080Ti 価格20万円程度)を4枚搭載したパソコンを使用すれば、15桁のパスワードでも15時間程度で解読できてしまう事が報告されています。ということは文字数を増やして16文字にすれば56日となるかというと、これ以上パスワードの文字数を増やしても解読に変わる時間は延びません。内部的に96bit(15文字程度)の状態しか持てないため、これ以上パスワードを長くしても意味が無いのです。
ZIP形式のファイルはこの問題を解決するために、今ではAES方式暗号に対応しています。ですが、Windowsが標準ではAES方式のZIPファイルに対応していないために、利便性を優先してZIP2.0を使用する事が常態化しています。セキュリティは利便性とのトレードオフになる事が度々ありますが、利便性を優先して実効性のない暗号方式を採用し、そのために無駄な作業や別の危険を増やすのは本末転倒でしょう。
暗号化したファイルのパスワードをメール以外・・・例えば電話で伝えるのは進歩です。でもZIP2.0形式を使い続けるなら、そこに実効性はありません。利便性と実効性を考えたなら、素直に暗号化などせずに添付して送るのが一番良いでしょう。
ではどうすれば良いのでしょうか?私がお勧めするのはメールを使用しない事です。メールの根本的なセキュリティ問題は認証機能が無い事にあります。そこで認証機能のしっかりしているSNSなり、Google Drive等のストレージサービスなりを経由して送るわけです。この時使用するサービスは、出来ればデータを受け取る側に用意して貰うことが重要です。アップロードする場所を指定するやりとりの中で、重要なデータを送る前に相互に認証を行う事ができます。
テレワーク手当に新たな問題、JISAは「税金取らないで」と要望
通勤手当が課税取得とならないように求めているらしい。実際に問題となり得るのはそれだけでは済まないので、テレワークを想定した税制改革を早急に進めて欲しい。
テレワークに伴う税制上、法律上の問題には以下のようなものがある。
・標準報酬月額が減る。
年金や産休手当、療養手当などの算出につかわれる標準報酬月額は通勤手当を含む賃金で算出される。したがって通勤手当が減れば、負担額も減るし、給付額も減る事になる。必ずしも損をするわけでは無いが、人生設計への影響は大きい。
・在宅勤務にかかる経費の控除が認められていない。
自宅の労働環境整備に伴う費用負担は本来ならば経費として控除される。自営業者なら家賃や光熱費を事業経費と生活費とに按分して経費控除することが行われている。給与所得者の場合には特定支出控除として通勤費、転居費、研修費、資格取得費、帰宅旅費、図書費、衣服費、交際費について条件を満たした場合に認められている。実勢に家賃や光熱費、通信費を按分して計上したなら、在宅勤務のために年間数十万の経費負担が発生しているはずだが、これらを控除することは認められていない。
・労働環境の整備にかかる経費
労働安全衛生法上、労働環境の整備は事業者の義務となる。PCで作業するにしても作業環境を整える義務が事業者側にあるのだが、では家庭の労働環境の整備の支出を経費控除出来るかというとできず、従業員への給与となってしまう。
・償却資産税の申告先
償却資産税は地方税となっており本来であれば設置場所の自治体(市区町村)に申告する。もし機材が従業員の自宅に設置されているなら、本来ならば従業員の自宅を設置場所として償却資産税の申告を行う必要がある。経理担当者に取っては結構な手間のはずだ。
暴論のようで一理ある。
今のシステムは希望者のみ数千万人に配布し、希望者のみが活用する事を前提に作られている。人口のほぼ全て1億2千万人に配布して、様々な手続きに活用し、その他の公的証明書類の機能を統合しようとするなら、そこに求められる要件は大幅に異なるものになる。発行時には運転免許証や健康保険証に頼らずに本人確認を行う事を求められるし、再発行に一ヶ月もかかっていては許されないし、様々な場所に端末を置くなら閲覧者の認可システムも見直しだ。
業務上使用しているメールサーバーのセキュリティについて考慮したことがあるだろうか?実態として問題なく利用できるメールサービスは限られている。
セキュリティ上、パスワード漏洩等のインシデント発生時に被害の程度や範囲を特定する必要がある。このためには最低限でもPOP/IMAP/SMTP/WebMailの認証ログを閲覧し不正な接続の有無や接続元を特定する必要がある。だが実態として認証ログを閲覧出来る事が明記されているメールサービスは少ない。
サービスを提供する事業者は第三者間の電気通信を中継している都合、電気通信事業者とてし法律の制約を受ける。そこには通信の秘密を守る義務が含まれており、通信相手の接続元などの情報を提供することが出来ないためだ。
自社でメールサーバーを運用するのであれば、電気通信事業法上の制約を受けることなくログを閲覧出来る。かといってメールサーバーの運用には多くのノウハウがあり、中小企業でメールサーバーを運用できる技術者を確保する事は難しい。
以下にセキュリティ上の認証ログを閲覧出来るメールサービスを例示しておく。色々と探したのだが、三つしか見つけることが出来なかった。
・Google Workspace
・Microsoft 365
・カゴヤ・ジャパン株式会社 メール専用サーバ
番外として下記も紹介しておく。認証ログを閲覧する事は出来ないが、代わりに接続元IPアドレスを制限する事が出来る。境界型セキュリティで安全を担保する前提であれば、接続元IPアドレスを制限したり、代理サーバーを介在させたりすることで、同様の要件を満たす事はできる。
・WebArenaメールホスティング
Active Directory環境でDHCPを使用する場合には、DHCPサーバとADサーバとの間で信頼関係を結び、ADサーバ上のDNSに登録されているクライアントPCのIPアドレスを更新する必要があります。
ADサーバーとの間で認証する都合上、必然的に使用できるDHCPサーバーは限られます。LinuxとSMBを使っても出来るはずですが、実際に構築したという情報も少なく面倒そうです。
DHCP自体は負荷の高いサービスでは無いので、ADサーバーとDHCPサーバーを兼ねるのが良さそうです。各ネットワークセグメントにDHCP Relayサーバーを配置して、中央のADサーバにDHCPの問合せを送ります。
運転免許証とマイナンバーカード 早ければ2026年一本化の方針
運転免許証と健康保険証がマイナンバーカードに統合されることになりそうなので思考実験などして遊んでいた。マイナンバーカードの再発行手続きが一番の問題になりそうに思う。
運転免許証の再発行は各都道府県の免許センターに行けば即日再発行できる。仮に警察署で手続きしたとしても7~14日程度で再発行できる。
健康保険証や国民健康保険証の再発行は郵送による手続きで7~10営業日かかる。「健康保険被保険者資格証明書」の発行なら窓口にいけば即日、郵送でも3営業日程度で発行できる。急を要する場合には「健康保険証」と「健康保険被保険者資格証明書」の両方の再発行手続きを行えば良い。
現状のマイナンバーカードの再発行は1ヵ月ほどかかる。マイナンバーカードの現行の利用目的を考えた場合、カードが無かったとしても窓口で直接手続きするなり、マイナンバーカードにかわる本人確認書類として自動車運転免許証を使えば特に問題は無い。だからこそ再発行に1ヵ月を要しても容認できる。
マイナンバーカードを運転免許証や健康保険証と統合するのであれば理想は即日再発行する。即日が無理としても7営業日程度に短縮して、即日に仮マイナンバーカードを発行するといった対応が必要になるだろう。発行にかかる期間を1/30とか1/4にするのは業務フローの大幅な見直しが必須となるので中々にハードルが高い。
運転免許証の再発行時に必要とする本人確認書類は、マイナンバーカード、健康保険証、パスポート、官公庁が発行した郵便物等。
国民健康保険の再発行時に必要とする本人確認書類は、運転免許証、マイナンバーカード、パスポート等の写真付きの本人確認書類。写真付きの本人確認書類が無い場合には自宅へ郵送することで本人確認。
マイナンバーカードの再発行に必要とする本人確認書類は多岐に渡るが主だったところは、パスポート、運転免許証、写真付きの公的書類がない場合には郵送物など複数の書類で本人を確認したあと、郵送で交付することで本人を確認。
殆どの場合は自動車運転免許証、マイナンバーカード、健康保険証、パスポートの何れかを本人確認のために求められる。自動車運転免許証と健康保険証をマイナンバーカードに統合した場合、再発行をしようにも容易には窓口での本人確認を行えなくなる。顔写真のある本人確認書類が無い状態で本人確認をするには、地方公共団体情報システム機構のデータベースに指紋や虹彩といった生態情報を保存するしかないように思う。これも政治的に中々ハードルが高そうだ。
便利になるのは良いことなので、是非とも頑張って貰いたい。
間違っても・・・紛失時に備えてパスポートを所有、紛失時には役所でマイナンバーカードの再発行手続きをして、免許センターで自動車運転資格証明書の交付をうけ、健康保険事務所で健康保険被保険者資格証明書の交付を受け、マイナンバーカードが届いたら警察署と健康保険事務所に更新手続きをする・・・なんて、間抜けな事になりませんように。
Windows Server 2003やWindows Server 2008の環境でP2Vツールを使用して物理サーバーから仮想環境(Hyper-V等)に移行した場合に、OSの起動時にブルスクリーンが発生して0x0000007Bのエラーが発生する場合がある。これは元の物理サーバーの環境でRAIDやSCSIを使用していたために、標準のSATA関係のドライバが組み込まれていないことに原因があります。
C:\Windows\System32\に以下のドライバが無い場合には、正常な環境から複製してください。
C:\windows\system32\drivers\intelide.sys C:\windows\system32\drivers\pciide.sys C:\windows\system32\drivers\atapi.sys
ドライバを読み込ませるために、以下のレジストリエントリが無い場合には作成してください。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7111 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7110&cc_0601 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\primary_ide_channel HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\secondary_ide_channel HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IntelIde HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCIIde HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi
設定すべき値は以下を参照してください。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7111]
"Service"="intelide"
"ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7110&cc_0601]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"
"Service"="isapnp"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\primary_ide_channel]
"Service"="atapi"
"ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\secondary_ide_channel]
"Service"="atapi"
"ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IntelIde]
"ErrorControl"=dword:00000001
"Group"="System Bus Extender"
"Start"=dword:00000000
"Tag"=dword:00000004
"Type"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6e,00,74,00,65,00,6c,00,69,\
00,64,00,65,00,2e,00,73,00,79,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IntelIde]
"ErrorControl"=dword:00000001
"Group"="System Bus Extender"
"Start"=dword:00000000
"Tag"=dword:00000004
"Type"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6e,00,74,00,65,00,6c,00,69,\
00,64,00,65,00,2e,00,73,00,79,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
"ErrorControl"=dword:00000001
"Group"="SCSI miniport"
"Start"=dword:00000000
"Tag"=dword:00000019
"Type"=dword:00000001
"DisplayName"="標準 IDE/ESDI ハード ディスク コントローラ"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,61,00,74,00,61,00,70,00,69,00,2e,\
00,73,00,79,00,73,00,00,00
P2Vで仮想化する前の元の環境で設定を変更できれば良いのですが、それが出来ない場合には仮想ディスクファイル(*.VHD)をマウントして編集します。レジストリを編集するにはレジストリエディタを起動し”ファイル→ハイプの読み込み”から、マウントした仮想ディスクの”\windows\system32\config\system”を開きます。
「対象のパスが長すぎます」のエラーが出てエクスプーラー上からファイルを削除する事が出来なくなったとき、コマンドプロンプトからファイル名の先頭に\\?\を付けてDELコマンドで削除すると良い。
DEL \\.\C:\Users\hogehoge\Desktop\abc長いファイル名xyz.txt
Windowsは本来なら32768文字までのファイル名を扱うことが出来る。しかし古いアプリケーションとの互換性を維持するために、普段使用できるファイル名は260文字までに制限している。先頭の\\.\は互換性のための制限を解除する指示に当たる。