Photo by Alexander Shatov on Unsplash 10月15日の午後、ツイッターの二要素認証のための携帯の番号を変更したらログインできなくなってしまった。 メールアドレス、電話番号、ユーザーID、パスワードを入力するところまでは通過するものの、ここでスマホのSMSに届くはずの認証コードが来ない。 これは困ったことである。 「ツイッター 二要素認証 できない」でググってみると、解決策を解説したいくつかのサイトが表示された。 一例として、KDDIのサイトでは以下のような原因が列挙されている。 電話番号を誤って入力した その可能性は否定できないが、今となってはどうにもならない。 キャリアでエラーが発生している 他のサービスの二要素認証は通るので、これは大丈夫でしょう。 Twitterで問題が発生している これはユーザー側ではどうしようもない。 国際SMSとナンバーポータビリティーの相性問題が起きている 他のサービスでも「+81」で始まる番号を登録しているのに、問題は発生していない。 電波状況が悪い 4GもWifiもバリバリ繋がっているので、あり得ない。 そして、同じサイトで、対処法もガイドしてくれているのだが、 携帯電話番号やスマートフォンの状態を確認する ツイッター以外はまったく問題ありません。 受信拒否設定をチェックして解除する チェックしたところ、特に着許否設定はしておらず。 とりあえず待ってみる 30分待ってもダメでした。 バックアップコードを使う 二要素認証を設定する際に、バックアップコードをメモ書きしておかなかった。 これは私の大失態。 認証アプリを活用する 認証アプリとの連携も、二要素認証の設定時にやっておく必要があったので、今更どうにもならない。 そうなると、もはやツイッターのサポートに解決を依頼するしかない。 サポートへ連絡を送ると、30分くらいで、次のようなメールが着た。 早さは中々である。 しかし、ここからは英語。 Your phone number (+8180xxxxxxxx) has been added to your account @JH1LPZ_DXCC. 番号を追加してくれたので、解消するはずである。 しかし、引き続き認証コードは飛んでこない。 そして、追加のメールが来た。 When you enrolled in login verification from your device, did you generate a backup code? すみません。バックアップコードを記録してなかったんです。 同じメールで、 If you’ve tried the above options and still need help accessing your account, please reply to this email for further assistance. とのことなので、 I've changed my phone for two-factor authentication と、状況を整理して送信。 数日経った後、18日の朝、進展があった。 ツイッターから次のようなメールが着たのである Let’s try turning off login verification to help you regain access to your account. 「いったん二要所認証を解除しよう。本人確認がしたいから、ログインのプロセスを実効してみてくれ。こちらに認証コードが飛んでくれば、あんたが本人であることが証明される。」といったところか。 早速、ログインの手順を一通り流して、その旨を知らせたことろ、1時間半くらいで「二要素認証を外したから、ログインして再設定してみてくれ」との連絡があり、無事ログイン可能になった。 私自身、グローバルなサポートセンターのマネジメントの仕事をしたことがあるので、無償サービスで3日目に解決して、チケットをクローズできたのは、一般に早いほうだと評価することができる。
願わくば、凍結やロックに対する異議申し立てのプロセスも、もう少し迅速に対応してもらえないだろうか。
0 コメント
Photo by FLY:D on Unsplash
9月14日、米国在住のジャーナリストであるスティーヴン・モナッセリ氏が、極右サイトのホスティングやレジストラとして悪名高い Epik 社から、大量のデータが流出していたことをすっぱ抜いた。
ワシントン州サマミッシュに本社をおく Epik は、ドメイン・レジストラとウェブ・ホスティングを事業の柱としている。
2009年に現 CEO であるロブ・モンスター(ちなみに実名である)が創業した企業である。 これだけであれば、よくある所謂「IT企業」の一つに過ぎないが、実は Parler、Gab、The Storm Front、prolifewhistleblower、8Chan、BitChute、Patriot.winなどの極右サイトにプラットフォームを提供していることが、半ば公然の秘密であった。 今回流出したデータは、こうしたサイトが10年間にわたって蓄積してきたもので、実に180GBもの容量に及ぶとみられている。 このデータのなかには、レジストラ間でドメイン名を移管するために必要な認証コードやパスワード、50万を超える秘密鍵、支払い履歴、メールのアーカイブなどが含まれており、しかも、それらがすべて暗号化されていない平文で保管されていたと言われている。 Epikの悪名が知れ渡るようになったのは、2018年10月27日に、ピッツバーグのシナゴークでユダヤ教徒11人が虐殺された事件であった。 この虐殺の犯人であるロバート・グレゴリー・バウアーは、Twitter を追い出された極右やレイシストが集まる代替手段 Gab に、虐殺の計画を投稿していた。 この事件の直後、Gab のドメイン・レジストラであった GoDaddy は Gab に対するサービスを打ち切って追放したが、その Gab へ新たにプラットフォームを提供したのがEpikだった。 Epik は、2019年8月から、Qアノンや人種差別主義者の温床となっている 8chan もホスティングしてきた。 8chan は、AWS のホスティングや PayPal の決済サービスを拒否されてきたが、Epik は PayPal に代わる決済サービスまで提供していたのだった。 (なお最終的に、8chan は Epik からも追放されている。) 2021年1月6日に発生した、トランプ支持の白人至上主義者たちによるホワイトハウス襲撃テロをきっかけに、極右が集まる SNS として知られる Parler が AWS から追放された。 そして、またしても Parler に代替のプラットフォームを提供したのが、Epik だった。 Epik は、ネオナチのブログである Daily Stormer にまでプラットフォームを提供している。 2021年9月にテキサス州で中絶禁止法が施行されたが、妊娠中絶を求める女性を当局に密告するためのサイトも、Epikが一時的にホスティングしていたことが判明している。 Epik は、共和党右派、宗教的原理主義者、フェイク情報サイト、ヘイター、白人至上主義者らの「たまり場」として機能してきたが、間抜けなことに、こうした連中の情報を暗号化もせず運営していたのである。 データ流出直後、こうした状況をモナッセリ氏に指摘された CEO のロブ・モンスターは「何もないハンバーガー (nothingburger)」と嘲笑っていた。
しかし実際は、ロブ・モンスターが強がるほど甘いものではなかったのだ。
Epik は9月19日の深夜、データ漏洩を認める謝罪メールを顧客へ送信している。 メールの内容は、極めて深刻な事態が発生したことを伝えていた。 緊急のセキュリティ通知のためにご連絡いたします。
今回流出したデータは、既に ddossecrets.com などからダウンロードできるようになってしまった。
そして凶悪な極右サイトやヘイト・サイトが、実際に誰によって運営されていたのか、明るみにするための解析作業が始まっている。
Photo by Barefoot Communications on Unsplash
トランプによる暴力扇動やヘイトスピーチの取り扱いに正面から取り組もうとしない Facebook に対して、広告出稿を停止するキャンペーンが拡大している。
当初はパタゴニアやREI、エディー・バウアーといった小売業から始まった動きが瞬く間に広がり、6月末になるとユニリーバやコカ・コーラのような巨大ブランドまでがキャンペーン参加を表明し始めた。 ここでは、この数日間に発表のあった各社のステートメントについて、抜粋・翻訳して紹介してみたい。
6月26日、イギリスとオランダを本拠地とする巨大な消費財メーカーのユニリーバが、FacebookやInstagramのみならず、Twitterも含めた広告出稿停止を、2020年の年末まで継続するとのプレスリリースを発表した。 当社の責任のフレームワークと米国における分断された情勢を鑑み、当社はこれから少なくとも年末まで、ソーシャルメディア・ニュースフィード・プラットフォームである Facebook、Instagram および Twitter でのブランド広告を掲載しないことを決定した。 誤情報やヘイトスピーチの拡大を終了させ、有権者を抑圧する政治的な広告やコンテンツへの対応を改善するために、意義のある進展を見たいと考えている。 世界のどこにも人種差別の場所はないし、ソーシャルメディアにも人種差別の場所はない。
ホンダのアメリカ法人は6月27日、Facebookでの広告出稿を停止するとのツイートを公開した。 7月の間、アメリカ・ホンダは Facebook と Instagram での広告を停止する。
ブルームバーグによると、ユニリーバのプレスリリース公開の直後、Facebook と Twitterの株価が急落し、いずれも8%以上の下げ幅となったとのことだ。
プラットフォーム企業がヘイトを放置することは、もはや社会も市場も許さないのである。 Photo by Christopher Burns on Unsplash 2019年12月、AI研究者による差別を廻る事件が注目を浴びた。 まずその概要について、ハフィントン・ポスト紙の記事を引用しておきたい。 東京大学大学院情報学環・学際情報学府で特任准教授を務める大澤昇平さんが12月1日、Twitterで「当職による行き過ぎた言動が、皆様方にご迷惑、不快感を与えた点について、深く陳謝します」と謝罪した。 彼が東京大学で担当していた「情報経済AIソリューション寄付講座」は、その名称通り寄付で運営されていたが、このツイートのような差別は許されるはずもなく、寄付元のすべての企業が寄付を停止する結果となった。 さらに彼がCEOを務めるDaisy社の提携先であるSteamr社(スイス)も、直ちに提携解消を発表している。 この一件は、産学共同のあり方、理系学部・学科における歴史や倫理などの教養科目の重要性、労働関連法などの企業コンプライアンスといった様々な問題を提起するものであるが、ここでは「AIと差別」に焦点を当てて考えてみたい。 AIと差別については2016年3月、マイクロソフトのAI「Tay」がヘイトを「学習」してしまい、ナチス賛美や反ユダヤなどの発言を始めたため、リリース後わずか16時間で停止に追い込まれた事件が知られている。 この事件によって、AIと倫理に関する問題が広く認識されるようになった。 とりわけヨーロッパにおいては、欧州委員会で「信頼できるAIのための倫理ガイドライン」が検討され、2019年4月8日に「7つの要件」が制定・発表された。 1. 人間の活動と監視 特にその要件の一つが、多様性・非差別・公平性に関するものとなっていることに注目したい。 多様性、差別の禁止、公平性:不公平なバイアスは避けなければならない。 欧州委員会の「信頼できるAIのための倫理ガイドライン」の検討には、多くの企業や機関、学術関係者、市民団体などが協力した。 その中の一つが、2016年にAIのプロジェクトで失敗を経験したマイクロソフトである。 マイクロソフトは2019年4月9日、「AIに関するEUでの諸問題」担当のシニア・ディレクターである Cornelia Kutterer氏の名前で、次のような声明を発表した。 特定のシナリオに対するガイドラインのストレス・テストや日々の運用に関する視点を持って、今年欧州委員会がラウンチ予定のパイロット・フェーズに参加することを、私たちは楽しみにしています。 さらにマイクロソフトは「Microsoft の AI の基本原則」を制定し、「公平性:AI システムはすべての人を公平に扱う必要があります」と明言している。 また「信頼できるAIのための倫理ガイドライン」発表に先立つ2019年1月17日、企業向けAI「ワトソン」で知られるIBMも、AI倫理グローバル・リーダーの Francesca Rossi氏による次のようなコメントを発表している。 私たちはEUの「信頼できるAIのための倫理ガイドライン」を策定するための取り組みを大きく支持しており、現在完成に近づいています。 欧州委員会の発表に続けて2019年5月22日、経済協力開発機構(OECD)加盟の42か国が「AIの開発・利用に関するガイドライン」を採択した。 ガイドラインは人権と民主的価値を尊重する内容となっており、「人権・多様性・公平性」を含む5原則が制定されている。 AIは、包摂的成長と持続可能な発展、暮らし良さを促進することで、人々と地球環境に利益をもたらすものでなければならない。 さらに2019年6月10日、英国政府がガイダンス「AIの倫理と安全性の理解」を発表した。 こちらでも「AIプロジェクトが確認すべき4つの目標」が明示され、差別禁止がはっきりと謳われている。 公平と差別の禁止 - 個人や社会的グループに対する差別的な影響の可能性を考慮し、モデルの結果に影響を与える可能性のあるバイアスを緩和し、設計と実装のライフサイクルを通じて公平性の問題を認識する。 このように、AIプロジェクトでの公平性確保や差別排除は、既に国際的な規範になっているのである。 日本の企業や大学においても、AIの研究者や開発者は、公平性や差別について、いくら配慮しても配慮し過ぎることはない。 またAIプロジェクトを進めるにあたっては、要件定義から設計、製造、運用と保守に至るすべてのシステム開発フェーズにおいて、公平性確保や差別排除が確認されるべきである。 とりわけ2016年のマイクロソフトの事件のように、開発者が明確な差別の意図を持っていない場合ですら、運用段階でAIが「差別主義者」になってしまう危険性が十分にあり得るのだ。 だからこそ、AIによる出力結果に対して絶え間のない内容確認を行うと共に、修正の必要があれば人間による介入も求められることを自覚しておきたい。 最後に、IT最大手の一社であるインテルの「人権原則」における「多様性と反差別」の項目を確認しておく。 人種、肌の色、宗教、宗教的信条、性別、国籍、祖先、年齢、身体的または精神的障碍、健康状態、遺伝情報、軍役および退役の状況、婚姻状況、妊娠、性別、性別表現、性同一性、性的指向、または地域の法律・規制・条例によって保護されているその他の特性に基づく差別は行いません。 追記 (21:30 15/01/2020)
東京大学は当該教職員の懲戒解雇を発表した。 大澤昇平特任准教授に対する懲戒処分について Regarding Disciplinary Dismissal of Project Associate Professor Shohei Osawa
Photo by CMDR Shane on Unsplash
昨年末あたりから、楽天やアマゾンなど実際のサービスを装った偽装メールが蔓延しており、内閣サイバーセキュリティセンターや警視庁が注意を呼び掛ける事態になっている。
また現実には、さらに多くの英語スパム・メールが飛び交っていると思われる。 幸い、そのほとんどがスパム・フィルターによって隔離されているため、目にすることは少ない。 試しに隔離されたものからサンプルを拾ってみたところ、メールのタイトルがパスワードになっており、差出人は受信者のものを偽装していたものがあった。 あたかも「お前のメールアドレスもパスワードも知っているぞ」と脅さんばかりである。 Hello!
これをざっくり翻訳すると、こんなところだろう。
お前のメールアドレスをハッキングした。
なんとも効率の悪い犯罪である。
スパム・フィルターを通り抜けたとしても、日本人の多くは見知らぬ相手からの長文の英語メールなんかそのままゴミ箱行きにするだろうし、ビットコインで送金できる人も限られているだろう。 なお、私のPCはデスクトップなので、そもそもWebカメラは付いていない。アホか。 しかしメールアドレスとパスワードの組み合わせが漏洩している事態は看過できない。 例えば、ビジネスSNSとして日本でもユーザーの多いLinkedInは、2012年にハッキングされ、1億6,000万以上ものメールアドレスとパスワードの組み合わせが窃取されている。 もしこの組み合わせをLineやAmazonなど他のサービスでも使いまわしをしていたなら、簡単にアカウントを乗っ取られてしまうだろう。 では、どのサイトからメールアドレスが流出し、その中に自分のものが含まれているかどうか、チェックするにはどうすればいいのだろうか。 こうした情報を、マイクロソフトのTroy Hunt氏が "have i been pwned?" というサイトで提供してくれている。 このサイトによると、情報漏洩を起したサイト数は398、漏洩したアカウントは延べ84億にも及んでいる。 最大の漏洩は2019年1月に発生した Collection #1 からのもので、実に7億7,000万ものメールアドレスとパスワードが窃取されている。 また、メールアドレスやパスワードが漏洩したものに含まれているかどうか、簡単にチェックすることもできる。 メールアドレスが漏洩している場合は、このような結果が表示される。
漏洩していないメールアドレスの場合は、グリーンになる。
パスワードについては、こちらのURLで同様に確認できる。
メールアドレスの漏洩が確認できた場合、それをIDとしているすべてのサービスで別のアドレスに変更、もしくはパスワードを直ちに変更すべきだ。
またパスワードを変更する場合は、英数小文字だけのシンプルなものは避けなければならない。 また単純な英単語を使うと辞書攻撃で突破されるリスクが高いが、単語の中のいくつかの文字を特殊文字に置き換えればリスクは大きく低減する。 例えば "beatles123" や "be@tles" だけではなく、"be@tle$_123" くらいにはしておきたい。 さらに各サービスごとに多要素認証の設定もしておくべきであろう。 Photo by Jacob Miller on Unsplash
セキュリティ・インシデントが発生した場合には、様々なログの解析が必要となる。 例えば標的型攻撃の被害を受けた場合、マルウェアを含むメールを開封してしまったPCのログに加え、FireWallやIDS/IPSといったゲートのログ、サーバのOSやDBMSのログなどが多面的に解析される。 しかし複数かつ大量のログを収集し、それらの相関を解析することになるため、もはや人手では困難であり、そのためのテクノロジーを導入せざるを得ない。 それが昨今、SIEM (Security Information and Event Management)と呼ばれる、ログの一元管理のソリューションである。 何はともあれインシデントに備えるには、ある程度の期間にわたってログを保管していなければ話にならない。 そういうわけで、こんな個人のちっぽけなブログであってもサーバを管理運営する以上、最低限数か月分のアクセス・ログを保管することにしている。 なお、このサイトにはWAFも導入しているので、HTMLを書き換えられるような攻撃はまず起こらないだろう。(第一、そこまでするようなサイトでもない。) そんなことよりもっと簡単なのは、コメント欄に嫌がらせの書き込みを残すことである。 この週末、ちょっと時間ができたので、久しぶりにログを追いかけてみたところ、ヘイトまとめサイトへ誘導を促す書き込みが残っていた。 「コレお前の?」とのコメントで、「めら速」の「放射脳」なる記事のURLが書かれていたのである。子供かよ。しょうもない。 そして、さらに同一人物から複数の書き込みを確認したので、この際だから晒すことにした。
しかしエスカレートしてきた場合には、プロバイダ責任制限法に基づき該当ユーザの情報について開示請求をかけることは可能である。 またこの人物に呼応する形で書き込みを残している連中も、So-net や K-Opticomから来ていることが判明している。 個人のブログとはいえ、誰もが目にすることができる形で情報や考えを発信している以上、批判や批評を受けるのは当然であり、またコメントとして是非残していただきたいところだ。 しかしヘイトまとめサイトを引用するような、しょうもないことは全く別の次元の話である。 Photo by rawpixel on Unsplash 6月29日、参議院本会議でいわゆる「働き方改革関連法」が成立した。 これによって、残業や休日出勤に対する割増賃金が支払われない「高度プロフェッショナル制度」が合法化されてしまった。 「高度プロフェッショナル制度」の対象となる年収基準や職種の定義は、国会に諮らず厚生省令で変更できるため、タガの外れた「働かせ放題」制度になってしまう懸念を残したままである。 政府は「さまざまな働き方」などと口当たりのよい言葉を使っているが、既に労働者派遣法が修正されてから、正規雇用という働き方の破壊は進行している。 正規雇用の破壊で生み出される非正規労働、特にフリーランスは、収入の不安定さに加え、取引先に対して圧倒的に立場が弱いことも忘れてはなるまい。 ここでは、特に見落としがちなケースをいくつか挙げてみたい。 空発注 案件が確定していないにも関わらずフリーランスを集めて、案件が取れなかった時には即日打ち切りとする手口である。 会社対会社、組織対組織の取引でこんな話は耳にしたことがないので、立場の弱いフリーランスに狙いを定めてバッファーにしているのだろう。まったく卑劣である。 一例だが、某IT機器販社が、見込み客との間で契約が締結されていないうちから、フリーのエンジニアを囲い込んだことがあった。 二日目あたりから周囲の営業たちから「あの案件はヤバいかもしれない」という声が聞こえてくる。 そして三日目、結局契約に至らないことが判明し、「申し訳ないけど明日から来ないでいい」と通告されるのである。 こうした事例は契約前のトラブルとしても散見される。案件が取れそうだと餌を見せながら、ずるずると何週間も引っ張った挙句、結局契約に至らない。 その期間は当然ながら、フリーランス側の収入はゼロになる。 案件が固まっていない話には、安易に乗るべきではない。 契約無視 正規雇用の立場にいると信じがたい事態であるが、契約上の条件を無視した要求を受けることさえある。 全てのビジネスは契約に則って履行されるのが当たり前であるにも関わらずだ。 ソフトウェア・ビジネスであればライセンス数以上の使用は違反になるし、ミュージシャンが司会の仕事を契約したのであれば決して演奏することはない。それが契約である。 ところが大手企業の中で「ビジネスは契約に基づく」ことを理解していない人物を時折見かけるのはどうしたことだろう。 ところで民法上の委託契約は、納品物を確約する「請負」と、納品物を伴わない業務委託の「準委任」のどちらかになる。 フリーランスの現場常駐型の契約は「準委任」が基本で、さらに支払い条件によって、一か月の稼働時間の上限と下限を定めるケースと、時給払いのケースがある。 前者のケースでは、上限時間を超えれば追加の支払いが発生し、下限を切れば減額される。 さてここで、某システム・インテグレータの案件で、「準委任」による時給払いのケースを例に挙げてみたい。 契約上は、稼働した時間に時給を掛けた分が支払われる。精算をする上で、それ以上でも以下でもない。 ところが業務開始後、このシステム・インテグレータが「組織と組織の約束なので、月に160時間は稼働してもらわないと困る」と、追加条件を言い出したのである。 そんなことは契約上に書いてないし、現場の状況を勘案したうえで已む無く受けいれるとしても、少なくとも稼働開始前に確認しておくべき事項であろう。 そもそも「組織と組織の約束」とは何なのか。クライアントとシステム・インテグレータの間でそのような話があったとしても、その組織の外から契約しているフリーランスに求めるのは筋違いだ。 ところが契約の文言に無いことを指摘したところ、突如システム・インテグレータの現場責任者がキレて暴言を吐き散らし始める事態となった。 再度確認するが、ビジネスとは当事者双方ともに契約に則っていなければならないものである。 契約以外の条件を口頭でのませようとするのは、ビジネスの基本が判っていない、或いは判っていながら自分が負うべき負担を立場の弱い者へ押し付けようとしているのだろう。 以上、いくつかの事例で示したように、正規雇用でない、特にフリーランスの場合、立場の不安定さだけでなく、目に見えない様々な差別的扱いを受けることが多い。
基本中の基本である契約すら顧みられないのであれば、いったいどうすればいいのか。 非正規労働に対する不当な扱いが蔓延したまま、これ以上の雇用破壊を許したら、社会は修復不能なまでに壊れてしまうだろう。 ゴールデンウィークの谷間の4月28日に公認情報システム監査人(以下、CISA)の資格試験を受験し、無事合格することができた。 また5月25日には正式に資格が認定されたとの連絡をいただいた。 そこで、まだ記憶に新しいうちに、一連のプロセスをブログとして記録に残しておきたいと思う。 公認情報システム監査人(CISA)とは、アメリカの情報システムコントロール協会(以下、ISACA)が提供している資格の一つである。 経産省が実施しているシステム監査技術者試験のような国家試験ではないが、国際的に広く認知されているものだ。 また資格を保持するためには年間一定時間以上の教育を受けて承認される必要があるので(大学の単位のようなものだ)、常に最新の知識でアップデートされている証にもなる。 このため、今では外資系企業だけではなく、日本の行政機関や企業の間でもCISA取得が注目されつつある。 一例だが、数か月前、日本年金機構の内部統制に関する職種の中途採用の応募要件でも、CISA所持が謳われていた。 この試験を受けるにあたって年齢などの前提条件はないが、合格後に資格所持者として認定されるためには一定の業務経験を要求されるため、学生が受験しても事実上意味がない。 また試験の範囲は次の五項目にわたっており、実務経験がないと判断のつけようがない出題も多いので、前提条件がないとは言え、日常業務での何等かの接点が必要となる。
試験勉強のための教材は、ISACAが発行している「公認情報システム監査人(CISA)レビューマニュアル」(以下、「レビューマニュアル」)と「CISA試験サンプル問題&解答・解説集」(以下、「問題集」)である。 いずれも日本語版が提供されているが、両方合わせて296ドルもかかる。ISACAの会員価格は225ドルだ。 ISACAの会費は年間で200ドルを超えるが、CISAの資格を維持するためにもメンバーシップは必要なので、これは受験を思い立った時点で入会するしかない。 また受験料もISACAの会員で575ドル、非会員なら760ドルとなっている。 日本円に換算すると、あれやこれやで10万円以上もの費用が必要となるため、金銭的な面でもけっこうハードルが高い。 言い方を変えると、何回も受けるような金額ではないのだ。これでは一発合格するしかないではないか。 なお試験勉強を開始するにあたって、CISA対策専門の学校のコース受講も検討してみた。 無料の説明会に参加させていただき、なかなかいい感じではあったのだが、こちらも受講費が20万円前後にもなってしまう。 仕方ないので、ISACAの教材のみで自習する決心をした。 なお、次のような観点から考えていただければ、コース受講も悪くないと思われる。
さて肝心の試験勉強の教材だが、前述したISACA発行以外のものは市販されていない。 まずは教科書である「レビューマニュアル」を一通り読んだ後は、ひたすら「問題集」を繰り返した。 「問題集」で間違えた箇所にチェックを付け、解説を読み、二周目、三周目と繰り返すうちにチェックの数が少なくなるよう絞り込むスタイルである。 残念ながら「レビューマニュアル」のほうは内容が分かりにくいため、「問題集」で理解できない用語などについては、Googleで検索して把握するように努めた。 これでおよそ一年近くの時間を要することになった。 そしていよいよ試験の申込である。 ISACAの本部のサイトからアクセスするしかないので、これまた英語との格闘だ。 最寄りの試験会場や日程などの検索も当然英語である。 私の場合、最初に某会場での日曜の日程で申し込んだのだが、実は後日この日程で営業していないことが判明し、申込し直すはめになった。 申し込む際の画面にはチャットによるオンライン・ヘルプの機能が実装されているため、何か判らないことがあればリアルタイムでサポートしてもらうことが可能なのだが、このチャットも英語しかない。 申込の段階でも英語が大きな壁となる。 試験は150問4択に4時間かけて取り組むというトライアスロンのようなものだ。 以前はペーパーテストだったが、数年前からPCで受験するComputer Based Test(CBT)となっている。 知識だけではなく、気力と体力の勝負になるので、適切な時間配分も求められる。 私自身は戦術のひとつとして、まず50問ごとに5分間の休息を挟むように決めていた。これは結構効果があった。 また問題数が大量なので、一箇所で停まってしまうことを避けるため、よく判らない問題はとりあえず回答しておいてチェックを付け、後から見直すようにした。 これで正味三時間くらいで終了することができた。 なお、試験を受けるにあたっては、顔写真入りの公的な身分証明書が必要となる。 試験用のPCにはスキャナーが備え付けられており、スキャンした証明書をネットの向こうにいる監督官が確認を行う。 とにかく英語だらけだったので、念のため英語で記載されているパスポートを持っていったが、最近では日本の運転免許証でも構わないようだ。 またカメラもPCに備え付けられており、受験中は常時監視されている。 私の場合、肘をついて顎を乗せていたところ、顔がはっきり見えないと叱られてしまった。 こうしたメッセージはすべて画面上のチャットで飛んでくる。 定型的なメッセージは日本語になっているものの、恐らく監督官は国外にいると思われる。 試験終了後の挨拶などカジュアルなメッセージを英語で送ったところ、返事もカジュアルな英語で戻ってきたのである。 またペーパーテストと異なり、CBTの場合は受験終了と同時に合否がわかってしまう。 したがって最後の提出ボタンを押す時にたいへん緊張するが、その場で結果がわかるのは非常に有難いものだ。 そして正式な合否は、一週間ほど経ってからメールで送られてきた。 合格のメールが来た後は認定を受けるための申請手続きになるのだが、これまた英語の山である。 最大の山場は、資格と関連する職務経歴にチェックボックスを付けて、それらが正しいことを証明するために、上司もしくはクライアントのサインを貰うところだろう。 サインを頼む以上は、何が書いてあるのか説明しなければいけないわけで、これだけの英語の書面を読み込んで腹落ちさせる必要があるのだ。 また職務経歴の証明のための項目が6つあるのだが、これが「引っ掛け問題」のようになっているのには驚いた。 1. Have you functioned in a supervisory position to the applicant or other related position and can verify the experience as listed on page A-2? このように、項目1から5までのチェックボックスは全て「Yes」になる。 ところが最後の6項目目がこうなっているのだ。 6. Is there any reason you believe this applicant SHOULD NOT be certified as an information systems auditor? ここだけは「No」にチェックしなければならない。
いやはや、もはや書面自体がTOEICかと言いたくなる状態だ。 さらに大学や大学院卒業の経歴を以って職務経歴の一部に替える場合は、卒業証明書も英語版で準備する必要もある。 これらの書面をスキャンしてPDF化し、メール添付でISACA本部へ送ると、3日くらいで一次審査を通過した旨のメールが届き、さらに2週間ほどで無事認定されたとのメールも届いた。極めて速い。 しかし、しつこいようだが、これらのメールもすべて英語である。 こうして一年がかりで何とか独学で資格を取得することができたが、最後まで英語との闘いであった。 再三の繰り返しになるが、英語が苦手な方には、独学にこだわらず、対策校によるサポートをお勧めするしかない。 Photo by Dylan Gillis on Unsplash ビジネスシーンにおける日本人の英語について、いつかブログに書こうと考えていたが、ちょうどいい機会が訪れた。 ツイッターで次のような投稿を発見したのである。 投稿者の氏名は控えるが、ある大手予備校の英語講師とのことであった。 授業では「ミーナサァン コニチワ」と片言の聞き取りづらい日本語を話して「ほら、イライラするでしょ? 私たちの母語である日本語をわざわざ勉強してくれて、片言とはいえ日常で使用する努力を怠らない外国人を見下して嘲笑う態度。 典型的な人種差別の一形態であり、人として到底許されるものではない。 こうした人物が若い人たちに対する教育に従事していることに戦慄する。 また、この人物は英語の講師でありながら、国際的な場での英語の使われ方に接した経験がないのだろうとの疑念を抱かざるを得ない。 発音が完璧であるに越したことはないが、日本人がLとRを使い分けられないのはどうにもならない。 似たような例だが、フランス語では ”H” を子音として発音されることがないため、フランス語圏の人にとって「ホテル」の発音が難しく、どうしても「オテル」になってしまう。 ”~nation” と表記される単語の発音も簡単ではないようで、「~ネイション」ではなく「~ナスィオン」とフランス語風に発音される場面も何度か目撃した。 母音や子音の発音だけではない。日本人が英語を話す際には、どうしても日本語風味のイントネーションになってしまう。 インド人はヒンズー語、中国人は中国語のイントネーションを引きずる。 当たり前のことだ。 仕事柄、世界各国からマーケティングや営業の責任者が集まっての喧々諤々の会議に数多く参加してきたが、それぞれがそれぞれの英語を話すし、それを取り立てて指摘するような場面に遭遇したこともない。 そもそも言うまでもなくイギリスとアメリカでは英語とは言え大幅に異なるし、オーストラリアとニュージーランドの間でも母音の発音が微妙に違う。 アメリカ国内でもニューヨークの連中の機関銃のような速度の英語は、西海岸のベイエリアの住人は聞き取れないことがあると言う。 日本語は一方言であった江戸弁を「標準語」として定めているが、英語に「標準語」はないのだ。 余談であるが、日本人が文法上間違いやすい点は、ヨーロッパの人たちも同様に間違えるということも、多くの例で見てきた。 例えば “looking forwards to“ の後は名詞になるため、動詞であれば “looking forwards to meet” ではなく “looking forwards to meeting” としなければならないが、ヨーロッパからのメールで前者のような表記になっているのは珍しいことではない。 また ”discuss” は他動詞であるため ”about” を付けないというのもTOEICなどの試験での頻出問題であるが、これも同様である。 ビジネスメールで文法が正確であることは大切であるが、完璧である必要もない。 社会人として30年以上にわたり外資系IT業界で働いてきたが、カントリーマネージャー・クラスの人たちの英語が案外べたべたな「日本人英語」であったのが事実だ。
また極端な例ではあるが、本社からのレビューの場で “prospect list” というべきところを「案件リスト」で押し通した強者の営業本部長もいた。 いろいろな人が何度も指摘してきたことであるが、実際に英語を使う場面において最も重要なことは細かい発音や文法よりも「何を話すか」に尽きる。 ましてや差別意識を織り込むことなど論外だ。 Photo by Igor Ovsyannykov on Unsplash 2017年は日産自動車やSUBARUの無資格検査、三菱マテリアルや東レの子会社、神戸製鋼所のデータ改ざんといった大手製造業での不祥事が相次いで発覚した。 年が明けて2018年、中小企業のプロジェクトでも性能を満たさない問題が国際的に取り上げられる事態になってしまった。 いわゆる「下町ボブスレー」と呼ばれる下町ボブスレーネットワークプロジェクトである。 もっとも下町ボブスレーネットワークプロジェクトは、東京都大田区の中小企業が中心になっているとはいえ、中小企業庁の「JAPANブランド育成支援事業」の一環であり、またボブスレー本体の殆どが東レカーボンマジックだ。 さらに多くの大企業のスポンサーシップを得ての事業であることを考えると、単純に中小企業のプロジェクトとみなすにはかなり無理がある。 むしろ国策プロジェクトのひとつであり、「下町の工場」という主観的な物語を貼り付けた「日本すごい」プロパガンダと考えるべきだろう。 「下町ボブスレー」と冬季オリンピック、もしくはジャマイカ・チームとの関係などは、既に多くの報道で取り上げられているので、詳細は割愛する。 ここでは中小企業庁が毎年発行している「中小企業白書」の2017年度版のデータを使って、中小製造業の実態が「日本すごい」に当たるのか確認してみたい。 まず、倒産と休廃業・解散の状況を見てみよう。 倒産は2008年の15,646件をピークに、2016年の8446件まで低下している。 しかし休廃業・解散の件数は継続して増加しており、2016年度には29,583件に達した。倒産件数の低下だけを見て、景況が改善していると判断するのは拙速である。 次に休廃業・解散に追い込まれた企業の業績に触れておく。 休廃業・解散となった企業の50.5%、すなわち過半数で経常利益がプラスであった。黒字であったにもかかわらず事業を畳んだのだ。 しかも経常利益率が10%以上の企業は13.6%、20%以上の企業も6.1%の率で存在しており、好業績の中で休廃業・解散の意思決定をしている。 なぜ好業績でありながら休廃業・解散の道を選んだのか、その理由については中小企業白書の中でも「不明」とされているが、こうした中小企業の経営者の年齢が高いことなどを考慮すると、後継者難などであろうことが推定される。 たとえ業績がよくても事業を取りやめざるを得ない実態。これが現在の日本の中小企業の姿である。 さらに、中小企業の労働生産性に注目してみたい。 労働生産性を、従業員一人あたりの付加価値額と定義した場合、大企業はリーマンショック直後を底にして回復基調にあるが、中小企業は10年以上にわたって殆ど変わっていない。 また中小企業の労働生産性は大企業の半分以下であり、さらに中小の製造業は非製造業より若干ではあるが低くなっている。 なお労働生産性は、付加価値額を従業員数で割った値であるため、数値を上げるためには付加価値額を増加させるか、従業員数を減らすことになる。 中小企業の製造業では付加価値額が減少しており、また従業員数も減少している。新たな付加価値が生み出されることなく、人減らしで辛うじて数字上の労働生産性を保っているのが実態だった。 最後に、労働生産性の国際的な比較を見てみたい。 OECD加盟国35カ国のうち、日本の労働生産性は22位に過ぎない。しかも上昇率はわずか0.6%であり、順位は28位となってしまう。 以上、データで見てきたように、日本の中小の製造業は「日本すごい」という状態からかけ離れているというしかない。
こうした現状を直視し、現場の取り組みから国の政策まで総動員で対応しない限り、衰退する一方であろう。 まやかしの「日本すごい」で自慰行為に浸っている余裕はもはや残されていない。 |