特集は<今日から始めるSBOM>です。SBOMって何か知りませんでした。SBOM(Software Bill of Materials)、ソフトウェアの部品表。外部ライブラリー一覧とライセンス規約などのメタ情報で構成されるリストだそうです。
確かに作ったことはありません。最近流行りだしているそうです。
【編集長セレクト】(P.06) <ID登録だけで無料で読めます>
<富士通が欧州子会社を再編 中間持ち株会社のFujitsuServicesHoldingsは精算>
→欧州の事業会社17社を2024年10月から2025年4月で再編予定
<NECのCSOに元ICPOの中谷昇氏 サイバーセキュリティ事業を強化>
→警察庁→国際刑事警察機構(ICPO)→ヤフー役員と異色経歴
<OpenAI日本法人にAWSジャパンの長崎前社長が移籍 本店住所を尋ねたら・・・>
→ビルに表札すらなくまだ本店登記だけの模様
【今日から始めるSBOM トヨタにルネサスもソフト可視化へ加速する世界】(P.10)
SBOM(Software Bill of Materials)とはソフトウェアを構成する部品を管理する手法です。オープンソースのライセンス管理および脆弱性の管理のために導入が広がっています。
1.機運高まる欧米 日本企業も不可避に
2021年5月、バイデン米大統領が署名した大統領令で政府機関が調達するS/Wを対象にSBOMの作成や提供を求めました。
2022年9月、欧州委員会が「CyberResilienceAct(サイバーレジリエンス法)」の法案を公表、2023年11月30日に暫定合意し欧州域内で販売される製品を対象に、SBOMの作成を求めました
日本国内市場でも、2024年4月から医療機器のSBOM対応が必須になりました。
「NRI Secure Insight2023」の調査によると、SBOMを知らないという回答は、
米国:1.7%、オーストラリア:0.9%、日本:36.1%でした。
2.導入進めるトヨタ 供給網で統一書式
フォーマットには、「SPDX」と「CycloneDX」の2種類があり、、トヨタ自動車はSPDXから必要最低限の項目だけを含む「SPDX Lite」を作りました。この3種をどう使い分けるかも悩みどころのようです。
日本で導入が進んでいる4社の紹介
トヨタ自動車:グループ会社含めSPDX Liteを推進
ルネサス:半導体メーカー。3種フォーマットを使い分け
キャノン:医療機器の必須化に伴い有償ツール利用
野村総合研究所:Java自作フレームワークのSBOM提供
3.自社のレベルを知る フローチャート診断
SBOM作成者向けの診断とSBOM受領者向けの診断が書かれていましたが、残念ながらあまり参考になりません。
作成者向けフローの「Level5」になっていますが、自動でビルドとテストを実行するとその時点のSBOMを作成し脆弱性を自動検索してレポートしてくれるようにならないと広がらないだろうと感じました。
欧州に輸出するデジタル製品で必須になるならもっと自動化が進まないと問題だと思います。
【東京ガス、システム内製の全貌 エンジニアゼロからの挑戦】(P.24)
東京ガスが自らコーディングを手掛ける内製に成功したという報告です。
2021年4月:システム内製に向けた活動開始
→採用出来ていない状況で本番時期だけ決定
2022年5月:中途採用で中島氏が入社。後にテックリード
→これまで作られたコードを捨て再スタート
2023年11月:Web会員サービスの内製を完成
2024年1月:20人弱の内製開発チームに拡大
勘所1~6書かれていましたが勘所4だけ書きます。
勘所4:エンジニア文化の浸透
内製を成功させるには、すご腕エンジニアを採用するよりも、「エンジニア文化」を大企業に持ち込める熱量の方が重要だそうです。技術者は働きにくいと思うとすぐに会社を辞めます。
【インタビュー:MonotaRO社長 田村 咲那(さくや)氏】(P.38)
<データ活用、チラシ1枚単位で最適化 取引先含めSCM改善し収益改善>
ECサイトの取り扱い点数は2200万点を超えます。アルゴリズムを活用し顧客一人ひとりに合わせて商品を提案しています。郵送するチラシでも顧客ごとに内容を変えています。
当社の社員の6割はSQLを書けます。現場で効果を検証し、データサイエンス部門にフィードバックしてさらに改善しています。技術基盤を内製しているので、小さな改善を速く繰り返すことが可能になります。サプライチェーンマネジメント(SCM)にもデータサイエンスを取り入れています。どの倉庫に何を格納するかなどを計画する時に使っています。
社員に週報を書てもらい、私は毎週全てに目を通すことで現場でおきていることを理解しようとしています。最近の課題は会社規模が急拡大した結果、社員同士がお互いを知らない状況になりつつある点です。
2024年1月1日に社長が40代前半の女性に交代し、本社を大阪駅直結のJPタワーに移されてます。300万アイテムを扱うトラスコ中山と売上が並ぶほど急成長されています。新しい感覚でさらに大きな日本を代表する企業に成長して欲しいです。社員1200名ほど。半分の人数としても毎週週報を読むのは素晴らしいと思います。
【「iPhoneの独占」を立証する難路 米司法省がアップルを提訴】(P.55)
米司法省が米アップルを反トラスト法(日本の独占禁止法に相当)違反の疑いで提訴しました。問題視したのは次の2点
1.制限や手数料を課すことで開発者が利用できる機能を制限
2.サードパーティ製アプリによるOSへのアクセス制限
アップルは全面的に戦う方針です。司法省が違法性を立証する難易度は極めて高いです。特に次の2点
1.iPhoneが米国の高機能スマホ市場で70%のシェア
→世界市場だと20%に過ぎず独占を立証するのが困難
2.主張した囲い込みや機能制限はデジタル産業で一般的
→独占力を行使した反競争的行為を立証できるか
個人的にはアップル養護派です。自由なことを行いたければAndroidを使って欲しいと思います。とは言え昔アップルがマイクロソフトに助けてもらったお返しとしてマイクロソフトのスマホを技術支援する事も考えて欲しいです。
【国内外で目立つXの乗っ取り被害 強制変更された認証設定に注意】(P.58)
2024年に入り、SNS「X(旧Twitter)」のアカウントが乗っ取られています。
米マンディアント、米証券取引委員会、韓国現代自動車
講談社、BS朝日など
原因1:2023年に無料会員向けのSMS認証の提供を中止
→SMS認証が脆弱なため
原因2:スティーラー感染でブラウザーの認証情報を搾取される
→マルウエア広告で騙しの「ダウンロード」ボタンを表示
ネット広告が低迷しているため吟味せず掲載されやすいことが真因だそうです。
【サードパーティークッキーが廃止 MSが追随するも米業界団体は批判】(P.59)
米アップルやグーグルによるサードパーティクッキーの廃止に追随し、米マイクロソフトも2024年3月上旬に、Edgeで停止すると公表しました。代替策としてAPI「Ad Selection API」を公表しました。
このAPIはグーグルのプライバシーサンドボックスが提供するAPIと互換性のあります。ネット広告会社だけが個人の興味を知っており、別サイトを閲覧した時にオークションを実施し、落札した企業の広告を表示するという仕組みです。
米ネット広告技術の業界団体であるIABはこれではサードパーティクッキーの代わりにならないと批判しています。
【日経XTECH 2024年3月~4月の好評記事】(P.64)
<NTT系で情報流出相次ぐ>
→個人情報漏洩が何度も発覚し対策中
<複雑怪奇な「4万円減税」、業務システムの対応進むも企業の給与事務に募る不安>
→源泉徴収の業務処理変更をたった1年のためにやる事が問題
<NTTデータ、日本IBMと一線を画すBIPROGY、次世代勘定系システム開発へ>
→進化する前提の勘定系を提供。Azure,AWS,GCPいづれでも
<カリフォルニアの太陽光業界が大混乱>
→買取価格大幅引き下げで設置業者の破綻が相次ぐ
【ケーススタディ:明治ホールディングス】(P.66)
<30年来のメインフレーム完全撤退 「塩漬け」レガシーを自動変換で一掃>
明治製菓や明治乳業を傘下に持つ明治HDは、メインフレーム上に構築してきたシステムを順次オープン系に移行してきました。「塩漬け」されていた①原料や包材の調達システム②原価計算システム などを2024年6月に終える予定です。
塩漬け対象は14%。ジョブ数でいえば1万5千あるシステム群です。それを次の手順で棚卸して切り分けました。
1.SaaSなどクラウドやパッケージで代替するもの
2.ローコード/ノーコード開発で再構築するもの
3.それ以外をさらに精査しました
3-1.販売系基幹システム → 一からの再構築とする
3-2.原価計算など独自性が高い→ロジックを残す
ロジックを残すマイグレーションには、AWSの「Mainframe Modernization」を国内第1号ユーザとして適用しました。メインフレームのCOBOLやPL/Iのプログラムを「AWS Blu Age」を使ってJavaのプログラムに自動変換します。Mainframe Modernizationを利用すると他社サービスを使った場合とくらべて期間は半分、コストは10分の1で済みました。
初事例のため苦労もありました。
1.排他制御処理をJCL(ジョブ制御言語)で行っている処理で排他制御がかからなかった。
→AWSに同等の変換が出来る機能を実装してもらった
2.周辺システムとの連携に関する部分が自動変換出来なかった
→AWS Blu Ageに追加機能を自ら組み込んだ
3.文字コードを全てEBCDICのままとした
→UTF-8やSJISにすると数値の桁ずれが発生するため
PostgreSQLはUTF-8を仕様するため、プログラムとPostgreSQLの間にBlu Ageが入り、変換を実行することで処理を行います。バックアップデータもAmazonS3にEBCDICのまま保存しています。
文字コードをEBCDICのままとした判断のために他のツールやシステムからデータを参照することが難しくなります。近い将来、AIやIoTなどとの連携を考えると良くない判断だったかも知れません。
【動かないコンピュータ:法務省】(P.72)
本籍地以外で戸籍証明書などを取得できる戸籍の広域交付制度が始まりました。ところが施行初日の2024年3月1日から証明書が発行しにくいトラブルが発生しました。
2011年の東日本大震災で戸籍情報の喪失が発生したことを受けて、2013年から法務省が副本をバックアップとして管理するようになりました。当初は日次でデータ更新をしていましたがリアルタイム更新できるようになったため、副本記録情報の有効活用が開始されました。今回の広域交付が第一弾でした。
各市区町村職員が自組織の戸籍情報システムから、総合行政ネットワーク(LGWAN)経由で法務省の戸籍情報連携システムへアクセス。必要な情報を検索して取得する仕組みです。
原因は「多くが生年月日で検索してくれると想定したいたのに氏名で検索されたため想定以上の負荷がかかったため」でした。暫定処置として氏名検索を禁止しました。恒久対策として氏名の検索インデックスを作成しました。
2024年8月1日からマイナンバーによる情報連携の本格運用が始まる予定です。これにより児童扶養手当の申請などで戸籍謄抄本の提出を省略できるようになります。
負荷のトラブルは仕方がない場合も多いので気にせず推進して欲しいです。ただ、地方自治体の標準化対応を迫っていながらこういう機能追加を地方自治体に迫ることはどうかと思います。
【新連載:住友生命保険のデジタル人材育成塾 第1回】(P.86)
<DX成功に欠かせない5つの要素 生成AIを新規事業創出に生かす>
住友生命保険エグゼクティブ・フェローの岸 知良氏の連載です。
ユーザ企業が会社名をタイトルに載せてその会社の中の人が連載するというフォーマットが出来つつありますね。確か三越伊勢丹のDXについての連載が最初じゃないかと思います。コンサル会社なら広告宣伝の一環でしょうが、ユーザ企業ということは優秀な技術者の中途採用を狙っているのでしょう。
今回は初回ですのでDXのための5つの要素の説明です。
1.「何をするか」を決める(DXは手段)
2.消費者や事業モデルを理解する(顧客価値を高める)
3.「価値とは何か」を理解する(価値=ベネフィット/cost)
4.3つのプロセスでDXを考える
Step1:これがあったらいいなと思う事を考える
Step2:他との差異化と価格競争力を考える
Step3:ビジネスやサービスが成り立つ説明を考える
5.生成AIを新規業務に生かす
参考になると思います。次回は人材育成だそうです。
【社長の疑問に答える IT専門家の対話術 第264回】(P.90)
<Uber Eatsに攻めの新機能 技術で安全と信頼を担保>
ウーバーが「春のピクニックに向けてライブ位置情報共有が登場」という発表を行いました。これはライブ・ロケーション・シェアリング(ライブ位置情報共有)と呼ぶ機能です。
ライブ位置情報共有はUber Eatsへ注文を出した顧客が、今いる場所の情報を配達員が把握する機能です。公演やキャンプ場などにいる顧客が移動しても配達員は移動先まで届けることが出来ます。
個人の居場所はセンシティブな情報ですので次の自主規制があるそうです。
1.配達員が3分以内に到着するときのみ位置情報が共有される
2.お客様が配達場所から100m以内にいる場合のみ共有される
3.配達完了で共有は停止される
4.共有機能をオフにするオプションがある
また、安全対策の一環としてウーバーは機械学習を使い、Uber Eatsにおける不正注文の検知システムを開発しています。
日本の花見は電波干渉が大きすぎて最初は色々不具合があるでしょうが着実に改善されることが予測できます。
以上