職場に馴染めてないと思ったら読む本ー『要領が良くないと思い込んでいる人のための仕事術大全』『なぜか「段取り」のウマい人、ヘタな人』
F太さんの『要領が良くないと思い込んでいる人のための仕事術大全』、中島孝志さんの『なぜか「段取り」のウマい人、ヘタな人』を再読しました。
本書に記載されている先延ばし癖の克服法、「段取り」の仕方、職場に馴染むためのコミュニケーションがとても役に立ったので紹介したいと思います。
段取りは手順書を作ってとにかく繰り返す
仕事には2種類あって、何をすべきかを考える「プランニング」とタスクを実行する「オペレーション」があります。ともすると日々の業務に追われてしまうと、長期的に何をすべきなのかを考える時間を確保できなくなりがちです。そこで、とにかくプランニングもオペレーションも手順書を作ってしまい、決まった時間内で取り組めるように工夫することが必要です。
プランニングも実は手順書を作れる
「どのような案件に注力すべきか」「どのようなソリューションを提案すべきか」と言ったプランニングは抽象的な思考であり、考え方が明文化されていません。
だからこそ後回しになってしまい、結局考える時間が取れないような事態になりがちです。しかしながら、例えば読書猿さんの『アイデア大全』で紹介されている「バーチャル賢人会議」などを使って、賢人の名言集などランダムな刺激を足がかりにすると「賢人だったらどうするか」を考えることができ、自分の中にはなかった考え方ができるようになります。しかもたった30分でできてしまうので、毎日よりよく仕事をするためのアイデア出しができます。
このようにプランニングという重要な仕事に関しても手順化さえしてしまえば短時間で取り組めるようになります。
オペレーションの標準工数を縮める工夫
製造業に限らず、標準工数の考え方は仕事の品質を管理するために重要です。標準工数の考え方を仕事に適用することで「なんかうまくいかない」という感覚を具体的なプロセスの問題として落とし込むことができます。
時間当たりの処理件数を計測し、そこからプラスマイナス5%は許容するとすれば変に落ち込んでしまうこともありません。また許容範囲を超過してしまう場合は体調が悪いとか、そもそもPCのレスポンスが遅くなっているといった場合など、問題が発生するプロセスを見直すことで「そもそも対処すべき問題なのか」がわかります。
プロセス管理の方法としては読書猿さんの『問題解決大全』に記載されていた「特性要因図(フィッシュボーン・ダイアグラム)」が参考になります。
WindowsやOutlookなどの各種オフィス製品を使いこなすことも、オペレーション時間の短縮のために効果的です。自動起動設定やフォルダ分けのルールなど、意外と知らない時短術というのがまだまだあるので、今更と言わずに一度読んでみる価値はあると思います。
職場での距離の縮めかた
職場での距離の縮め方に悩まされる人は多いのではないでしょうか。
私自身、打ち合わせに参加しているのであれば話題は提供したいし、できれば気軽に相談ができるような間柄になりたい…とはいえ、あくまで仕事をするためのお付き合いなので、プライベートの話題はあまりしたくない気持ちがあり、なかなか職場での距離を縮められずにいます。
そこでお勧めなのが「プチ自己開示」。
人は共有されると嬉しくなるもの。そこで、以下のようなことを共有してみるのがおすすめです。打ち合わせで発言する時、喋り出しを決めておくとスムーズに喋れます。特にリモート会議だと発言タイミングが難しく、モゴモゴして聞き返されてテンパる…みたいなことがありがちなので、例文もテンプレートとして覚えてしまいましょう。
仕事の進捗報告
「今度@@者の案件を担当することになりました!」
仕事のトラブルの相談
「納期の件で、相談に乗って欲しいです」
トラブルが解決した時の報告
「このあいだの納期の件、無事解決しました!」
関係者の紹介
「@@社の営業さん、紹介しましょうか?」
まとめ
仕事は全て手順書にする
プランニングも実は手順書を作れる
標準工数を設定して、タイムを縮める工夫を欠かさない
職場で距離を縮めるには「共有」する
案件状況、トラブルの相談、調査結果や解決の報告、紹介を自分からすると相手は嬉しくなる
「さよならVPN」とは言うもののー『すべてわかるゼロトラスト大全』を読んで
『すべてわかるゼロトラスト大全』を読みました。こちらの記事では同書の内容や、類書との比較を簡単にご紹介します。(内容については追記予定)
私が感じた本書の立ち位置
本書の構成について
本書は前半部分でゼロトラストセキュリティについての教科書的な知識を掲載し、後半では「現実解」としての実践方法や事例が掲載されています。本のタイトルに「大全」と銘打ってある通り、ゼロトラスト にまつわる以下の情報が1冊にまとまっていました。
- ゼロトラストの基本的な考え方
- ゼロトラストの考え方が提唱された背景
- リモートワーク対応のためゼロトラスト製品を導入した7社の事例
とはいうものの、「過去のゼロトラスト特集を集めました!」という感じの構成なのが否めません。各種ゼロトラスト製品用語の説明や使用例が記載されているような「辞典」のような使い方もできず、具体的に事例から概念を理解するような「事典」のような使い方もできない…というちょっと惜しい感じの本でした。
教科書としては最近出版された以下の本の方が技術背景が時系列で紹介されていて、わかりやすいと感じました。
![ゼロトラストネットワーク[実践]入門](https://m.media-amazon.com/images/I/51OcKREe2oL._SL500_.jpg "ゼロトラストネットワーク[実践]入門")
本書がお勧めな人
ゼロトラストセキュリティの基本的な考え方や背景を理解したい人、とりあえず事例が欲しい人
本書がお勧めでない人
顧客提案などの資料のためにゼロトラスト関連製品の比較がしたい人
本書に記載されていないこと、追加で調べる必要があること
ゼロトラストを実現するための製品の網羅
本書を読む限り、ゼロトラストが提唱される場面としてはテレワーク環境を新たに構築する場面が主なようでした。しかしながら、そういった場合は「テレワーク環境構築」の名目で調達が走ります。そこに「ゼロトラしましょう!」と提案すると、「コイツわかってないなー」と思われそうな気がします。
当たり前の話ですが、セキュリティ要件はビジネス要件やシステム要件が少しでも異なっている顧客には同じ内容を提案できません。
「リモートワークをするための環境を短期間で構築したい」のか
「パケットを監視してセキュリティ事故を予測、通信遮断ができるように運用を自動化したい」のかで全く提案内容が変わってきます。
各概念を実現する製品については「@@(みんなが知っている有名企業)は@@を導入した」と言った事例紹介の形でされていたのですが、各社製品の仕様比較がされているわけでは特になかったので、結局のところ個別で製品資料を集める必要があります。
早い話、ゼロトラストって「エンドポイントごとにネットワーク監視と認証しましょうね」って話として認識しているのですが、大体とりあえず(エンドポイント)セキュリテイ対策としてSEPって入れるじゃないですか。
その上で「ライセンス費が高い!」「更新が面倒!」と言っているので、そもそも顧客の非機能要件を分解せずにセキュリティ対策ソフトを導入していることが問題だと認識しています。
また本書ではゼロトラストセキュリティに関して、費用対効果が最も見込めるというIAMによるアカウント管理から始めることを提唱していますが、
結局のところ、これってActiveDirectoryやAWSのIAMと何が違うのでしょう?
アカウント管理が適切にできていればIAMはできていることになるんですかね?
製品についての説明が足りなさすぎて、理解が追いついてないです。
そもそもなんでVPNだと駄目なのか
そもそも認証の話であれば、VPNで安全なネットワークを確立してVDIで仮想基盤を構築すれば特に問題はないですよね。
ゼロトラストって「社内のネットワークも信頼できないからメールもWEBブラウザ、ファイルサーバも無害化しましょう」「パケットフィルタリングして変な挙動は監視して通信遮断しましょう」と言う話なのですが、利用者からするとデスクトップ転送型のVDIでもめちゃくちゃ動作が遅いので、それを解消したいって要望の方が多くないでしょうか。でもそれならコア数上げようね、と言う話のような気がしてしまって「そもそもなぜ脱VPNしないといけないのか」はよくわかりません。
業界ごとのビジネス要件の特徴
金融業界や医療業界などデータの取り扱いについて各種ガイドラインを定めている業界については、ガイドラインに沿った内容の提案が案件受注の大前提になります。
例えば、金融システムであれば「FISC」。
FISC 金融情報システムセンター:ガイドライン検索システム
医療情報システムであれば「医療情報システムの安全管理に関するガイドライン」。
医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)|厚生労働省
しかしながら、本書では各業界が定めるガイドラインについての言及はされていません。情報提供や提案書作成する際にこの辺りの前提を無視してしまうと厄介です。
担当者の方の言葉を重視してしまって、その裏(?)にいる審議会や決裁者が首を傾げてしまうような事態になりかねないな、と思いました。
世界的インフレで起きていること(テーパリングとマイナス金利)
今起きていること
世界的なインフレ(物価が上がっている。アメリカではインフレ率が5-6%)が起きており、各国でテーパリング(量的緩和の縮小)が実施されている。
そもそも金融緩和とは?テーパリングとは?
中央銀行が証券会社などの金融機関から国債の買い入れを行い、市場を潤沢にさせるのが金融緩和。一方、テーパリングでは国債の定期的な買い入れ額を徐々に少なくすることで金融の引き締めを行う。
海外の中央銀行の動向
米連邦公開市場委員会(FOMC)にてテーパリングを加速することを表明。年内に利上げを3回程度実施予定。
FRBは金利を上げ下げしたり、マネーの供給量を調節したりすることで、雇用の最大化と物価の安定という使命の達成を目指す。FRBの金融政策の方針を決定する会合が、米連邦公開市場委員会(FOMC)。
政策金利0.25%利上げを実施。
- 欧州中央銀行(ECB)
テーパリング開始。
統一通貨ユーロ導入に伴い、ユーロ圏の金融政策は各国の中央銀行に代わってECBの政策理事会が決定し、各国の中央銀行はその指図にしたがって金融調節を行います。ECBの行う金融政策は、アメリカのFRB(連邦準備制度理事会)同様、世界的に注目度の高いものとなっています。
日銀はどうなる?
やや引き締め傾向。日銀はコロナ前(アベノミクス)から大幅な金融緩和を行っており、コロナ禍においても追加で特別に金融緩和処置をとっているものの、徐々に特別預金制度や買付額の見直しが進められている。
▼特別当座預金制度の見直し
日銀が特別当座預金制度を見直し | 2021年 | 木内登英のGlobal Economy & Policy Insight | 野村総合研究所(NRI)
▼2022年1月18日、日銀はETFとJ-REITの追加購入を見送り
日銀、18日のETFとJ―REITの購入はなし | ロイター
三菱UFJ銀行が日銀に預けている当座預金について一部にマイナス金利を適用することを発表した。企業の余剰資金増加や政府による家計への給付金などで、円預金が貸し出しを上回るスピードで増加したという。
大手銀行にマイナス金利が適用されるのはほぼ6年ぶりで、三菱UFJ銀の21年12月中旬から22年1月中旬までの当座預金が適用条件に触れたとみられると報じていた。
三菱UFJ銀が日銀に預けている当座預金、一部にマイナス金利(Bloomberg) - Yahoo!ニュース
これまでは、銀行に預金すると利子がついて増えていくというのが普通でしたが、「マイナス金利付き量的・質的金融緩和」(以下マイナス金利政策)の場合、逆に利子分を銀行へ支払わなければならなくなります。
しかし、この「マイナス金利」の話は、あくまで日本銀行と民間金融機関との話であり、我々の預金に付く利子とは直接関係はありません。よって、今回のマイナス金利政策で、すぐに我々が銀行にお金を支払うようになるということではありません。
これまでとは違い、超過準備預金があると逆に金利を支払うことになるため、金融機関はお金を使おうという動きになります。
つまり、マイナス金利の導入により超過準備預金を解消し、その分を企業や個人への融資に回させようというのが一つ目の狙いです。市中により多くの資金を流すことで企業の設備投資や賃上げを後押し、景気の刺激になるものと期待されています。
もう一つの狙いは、マイナス金利を導入することで金利低下圧力を強め、金利全般の低下を促すのが狙いです。他の全ての金利に影響を与える金利の大本がマイナスということになれば、銀行に預けるより使おうという意思が働きやすくなり、市中に資金を流入させる効果があると考えられます。
しかし、低金利になり利ザヤが縮小となれば儲けは少なくなります。そこで金利は低くリスクは高いままの「融資」にお金を簡単に回すかという疑問もあります。逆に、融資審査がより慎重になってしまうことも考えられます。
市中にお金を回す方法
日銀が国債を購入すれば世の中にお金は回るのか?というとそうでもない。
日銀が買いとったお金は銀行の口座預金に入るだけで、直接一般市民にはお金が回ってこないからだ。
通貨は流通している場所によってマネタリーベースとマネーストックに分けられる。
マネタリーベースは「日銀が供給する通貨の総量」を指す。
具体的には、市中に出回っている流通現金(日本 銀行券発行高と貨幣流通高、つまりお札と硬貨)と、日銀当座預金(民間銀行が日銀に保有している当座 預金)の合計値だ。
一方、マネーストックとは、「日銀を含む金融部門全体が供給する通貨の総量」。
具体的には、企業や家計などの経済主体が保有する現金や預金の残高を指す。
マネーストックのマネタリーベースに対する比率を「信用乗数」といい、これらの関係を「マネーストック=信用乗数×マネタリーベース」という式で表すことができる。
この式を踏まえ「日銀がマネタリーベースを増やせば、その信用乗数倍マネーストックが増える」、すなわち「日銀が銀行に対し資金供給を増やせば、銀行から企業への融資 も増える」という考え方がある。
しかしながら、実際はマネタリーベースが急増しても信用乗数が低下し、マネーストックはそれほど増えなかった。
https://www.smd-am.co.jp/market/ichikawa/2018/05/irepo180511.pdf
一方で10万円を給付したことでマネタリーベースとストックベースの増加率が改善されている。
グリーン水素は化石燃料よりコスト安になるのか?南米やアフリカでの投資動向は?
チリのファン・カルロス・ジェベット・エネルギー相は日本経済新聞の取材に対し、再生可能エネルギー由来のグリーン水素について、10年以来に化石燃料より安価になるとの見解を示した。
現在、チリでのグリーン水素は1キログラム当たり製造コストが4~5ドル(約450〜570円)程度。ジョベット氏は「今後10年で1.5ドルまで下がり、原油や天然ガス、石炭よりも(価格面で)競争力を持つ」と話した。また化石燃料に比べ、価格の変動が少ないこともメリットとして挙げている。
世界で流通する水素は天然ガスなど化石燃料由来の「グレー水素」が大半を占める。製造技術が確立されており、1キロあたり1~2ドルで生産することができるが、COP26で議論された通り、今後炭素の価格が上昇するにつれてグレー水素についても価格が上昇する可能性が考えられる。
仏・独王手は南米プラントに投資
欧州企業が南米やアフリカで再生可能エネルギー由来の「グリーン水素」の製造に動き始めている。グリーン水素は水を電気分解して酸素と水素に分離し、その過程を再生可能エネルギーで賄うことで、汚れた副産物を出さずにガスを生成する。
太陽光・風力発電の適地が多く、製造コストが低いことから南米やアフリカのプロジェクトが始動しているようだ。チリ中部から北部の砂漠地帯は太陽光発電の適地で、南極に近い南部では風力発電が盛んなんだそうだ。チリ政府はこれらの地域でグリーン水素やグリーンアンモニアの製造プラントを建設し、世界中に輸出する計画を立てている。
フランスの電力大手エンジーは南米チリのグリーン水素プロジェクトに20億ドル以上の投資を検討している。2025年までに北部の砂漠地帯で太陽光パネルから水素を製造するプラントを稼働する計画を皮切りに、施設の大型化を目指している。
水から水素を製造する水電解装置で世界大手の独・シーメンスエナジーはポルシェなどと共同で水素と二酸化炭素から作る合成燃料のプラント建設プロジェクトをチリ南部で始動した。通常のガソリンと同じように利用でき、CO2の排出量を9割減らすことができる。プライスウォーターハウスパース(PwC)と世界エネルギー会議によると、20年地点でチリのグリーンエネルギー水素製造コストは1キログラム当たり3.5~3.75ドルで世界最安のレベルとなっており、日本よりも4割程度安く製造できるそうだ。
クリーンエネルギー関係の投資先として商社では三井物産、メーカーでは岩谷産業などが思いつくが、日本企業におけるクリーンエネルギーに関する投資は小規模なため、新しいニュースが発表されてもあまり株価には反映されない、というのが個人的な所感。BPなんかは割安だし、個人的にはオススメ。
BPはイギリス大手の石油・ガス企業。BPグループの親会社で、子会社を通じ、原油と天然ガスの探査、生産、精製、販売、流通、輸送に従事。また、石油化学製品を製造、販売する。欧州、米国、カナダ、ロシア、南米、オーストラリア、アフリカで事業を展開。天然ガスを利用する太陽光発電や風力発電などの代替エネルギー事業も手掛ける。本社所在地はロンドン。
アラブ勢の動向
こうしたクリーンエネルギーへのシフトを石油産出国であるアラブ諸国はどう考えているのだろう。基本的にはクリーンエネルギーへの投資戦略を明らかにしているが、現在の石油の貯蓄量や輸出量との比重などについては方針が明らかにしていない(少なくとも私がアクセスできる資料では確認できなかった)。
アラブ首長国連邦(UAE)は2017年に「UAEエネルギー戦略2050」を発表している。
現在、UAEは世界の水素燃料市場の25%のシェア獲得を目指しており、7つ以上の野心的なプロジェクトを実施しているという。ターゲットとする主要な輸出先には日本や韓国、ドイツ、インドなどが含まれており、再生可能エネルギー分野に6000億ディルハム(=約1630億ドル)を投資する計画の監督を予定しているそうだ。
(個人的に「計画の監督の予定」って何なんだ、「計画している」でいいだろうと思うけど、何かしら意図があるのかもしれない)
また実際に「中東初のグリーン水素製造プラント」の建設が始動しており、現在試験が行われているという。
しかしながら、UAEの目標はかなり野心的なものだと私は感じている。
「UAEエネルギー戦略2050」では国内発電におけるクリーンエネルギー(エネルギーミックス)の寄与度を25%から50%に上げること、発電のCO2排出量を70%削減すること、そして個人や企業の消費効率を40%向上すること。これらを2050年までに達成するという目標が掲げられているが、現在の進捗状況について具体的な数値は上がってきていない。
エネルギー価格の高騰を抑えるために非常用の石油備蓄を放出するという米国の計画について問われたマズルーイ大臣は、現段階でUAEが世界市場に対して貢献度合いを高める「合理的な理由が見いだせない」と答えた。
大臣は、12月に開催されるOPECプラス会議に向けて収集された技術データにおいて、2022年第1四半期には石油の供給余剰が発生することが指摘されていると述べた。また2022年第2四半期においても供給への懸念は不要であると大臣は付言する。
イスラエルの対アラブ方針の転換
イスラエルのベネット首相は2021年12月13日にアラブ首長国連邦を訪問し、UAEの事実上の最高指導者でアブダビ首長国のムハンマド皇太子と会談している。経済関係の拡大を確認したほか、ともに安全保障上の脅威とみなすイランへの対応を協議したもよう。
イスラエルは20年、トランプ全米政権の仲介によりUAE、バーレーン、スーダン、モロッコと相次いで国交正常化に合意している。ネタニエフ前首相が2021年3月にUAEの公式訪問を計画していたが、隣国のヨルダンが搭載機の領空通過を認めなかったことにより、中止となった。
英仏独中露がイランとの核合意の再建協議を11月末に再開したことに対し、イランを警戒するイスラエルとアラブ諸国の結束を強調する意図が見られる。
引用・参考
アフリカ、「グリーン水素」事業相次ぐ 欧州市場目指す: 日本経済新聞
グリーン水素で世界を牽引する国家となるか(チリ) | ビジネス短信 - ジェトロ
UAEエネルギー相「UAEが『中東初のグリーン水素製造プラント』を建設している」|ARAB NEWS
石油備蓄放出での各国協調と原油高の経済効果 | 2021年 | 木内登英のGlobal Economy & Policy Insight | 野村総合研究所(NRI)
※当記事の内容は個人利用の範囲でお願いいたします。
PM業務で学んだこと
・設計、設定、運用で設計に一番工数がかかる
→業務設計とパラメータ設計の分担。
業務設計から各種AWSサービスへの置換をやる。設計では業務設計からパラメータへ起こす作業を依頼。設定ではパラメータ通りに設定されていることを確認する。
→設定では確認方式(チェックリスト、スクショ格納)を周知する。結果をもとに品質見解書を作成し、報告する。
・各サービスのパラメータについては感知しない
→デフォルトの設定が何なのかを知っておく必要がある
・「そのサービス、使ったことないのでできません」と言われたら
→(業務設計をパラメータへ反映のために外注しているので元からこの意見を聞く必要はない。そもそも発注書には記載されているサービスであることを確認。協力会社の監視監督者に「じゃあできる人をアサインしてください」と伝える OR 勉強の時間を設ける)
・とはいえ追加で作業が発生する場合は管理責任者に追加見積もりを依頼する
・スケジュール通りの進捗ではない場合、遅延回復策を必ず聞く
HTTPの認証機能…Basic認証、ダイジェスト認証(平成21年秋期 午後問4)
HTTPの認証機能にはBasic認証、ダイジェスト認証がある。
IDとパスワードを「:」でつなぎ、Base64エンコーディングを行う
利用者から端末に入力された利用者IDとパスワードが、サーバにそのまま送信されるので、盗聴した利用者IDとパスワードを端末に入力することで不正ログインが可能になってしまいます。(
基本情報技術者過去問題 平成21年秋期 午後問4(情報セキュリティ)|基本情報技術者試験.com
)
・ダイジェスト認証
認証に「チャレンジレスポンス方式」を使う。
端末とサーバ間に流れる情報は、利用者ID、およびサーバから送信されたチャレンジと利用者が入力したパスワードから計算されたハッシュ値(レスポンス)の二つです。
チャレンジレスポンス方式では、端末に正規の利用者IDとパスワードを入力することで、認証が可能になりますが、盗聴されたレスポンスからハッシュ化前のパスワードを逆計算することは、ほぼ不可能※1ので、不正ログインはできないことになります(
基本情報技術者過去問題 平成21年秋期 午後問4(情報セキュリティ)|基本情報技術者試験.com
)
盗まれたデータでも端末に入力された利用者IDとパスワードが正しいものならば、サーバのチャレンジとパスワードによって計算されるレスポンスも正しいものとなるので不正ログインが可能になります。
(
基本情報技術者過去問題 平成21年秋期 午後問4(情報セキュリティ)|基本情報技術者試験.com
)
手順は以下の通り。
1.サーバ側でランダムな文字列を生成する
2.ユーザにログインIDとパスワードを入力させる
3.パスワードにランダムな文字列を付与し、ハッシュデータを送信
4.送信されたデータが正しいか確認する
(バックエンド側(サーバ側)は、送信された「ログインID」「パスワード」「ランダムな文字列」が正しいデータであるか確認し、正しいデータであれば認証OK、間違っているデータであれば認証NGと判断し、結果を返却します。)
Digest認証(ダイジェスト認証)とは、HTTPで定義される認証方式の一つです。Basic認証の平文で「ユーザーID」と「パスワード」を送信してしまう欠点を改善した認証方式で、「ユーザーID」と「パスワード」をハッシュ化して送信します。
→
SSL(HTTPS)を使用すればBasic認証の平文でパスワードを送信する欠点を改善できるため、Digest認証は、HTTPS通信ができない環境で使われるHTTP認証方式
情報セキュリティ分野(暗号と認証1/2)
▼出題傾向
情報セキュリティ分野では「暗号と認証」「情報セキュリティ対策」「ネットワークセキュリティ」「サイバー攻撃」が混ざって、満遍なく出題される
▼暗号と認証
暗号では盗聴を防ぎ、認証ではなりすましを防ぐ。
-暗号と復号で別々の鍵(公開鍵と秘密鍵)を使う。
-RSA…公開鍵暗号方式の代表格の暗号技術。非常に大きな数の素因数分解が困難なことを利用している。
-公開鍵を使って平文を暗号化した暗号文はペアである秘密鍵でしか復号できない。これを「暗号化」と呼ぶ
-秘密鍵を使って平文を暗号化した暗号文はペアである公開鍵でしか復号できない。これを「ディジタル署名」と呼ぶ
-暗号化によって「盗聴なし」を確かめられる
→万が一、送信途中の暗号文が攻撃者にみられれても「受信者の秘密鍵」がなければ解読できず、盗聴できない。
・ハイブリッド暗号
-平文を暗号化するのではなく、平文を暗号化した共通鍵で暗号化し、その共通鍵を公開鍵で暗号化する。共通鍵は平文よりもファイルサイズが小さいため、平文全てを暗号化するよりも共通鍵を暗号化した方が処理速度を減らすことができる。
-「暗号化、復号かの処理負荷が少ない」
-「改ざんなし」を確かめるために使う計算方法。ディジタル署名の中で使われる。
-平文をハッシュ関数で計算し、メッセージダイジェストを作る。これを「ハッシュ化」と呼ぶ。
-平文からダイジェストは作れるが、ダイジェストから平文は作れない。
→レインボー攻撃では攻撃者が予想したパスワードをもとに求められたハッシュ値と利用者のパスワードのハッシュ値を照合し、パスワードを見破る。
パスワードは通常、そのまま保存されずパスワードをもとにハッシュ関数によって計算されたハッシュ値が保存されている。予想したパスワードのハッシュ値の一覧表(レインボーテーブル)と利用者のパスワードのハッシュ値を比較することで、パスワードを特定する。(
情報処理教科書 出るとこだけ! 基本情報技術者[午後]第2版
p266)
→レインボー攻撃の対策として「ソルト」がある。パスワードとハッシュ関数をもとにハッシュ値を求める際、パスワードに付け加える文字列。
パスワードにソルトを付け加えた文字列をもとに、ハッシュ値を求めることにより、元のパスワードが同じであっても、ハッシュ値は利用者ごとに別々になる。このため元のパスワードを見破ることが難しくなる。
(
情報処理教科書 出るとこだけ! 基本情報技術者[午後]第2版
p299)
→パスワードを見破るまでの時間を増やす対策として「ストレッチング」がある。パスワードをもとにハッシュ関数で計算して求めたハッシュ値に対し、さらにハッシュ値をもとにハッシュ関数で計算してハッシュ値を求める作業を繰り返す。
→ハッシュ値のポイントは「固定長のハッシュ値を出力する」「ハッシュ値からの元データ推測が困難」「衝突発見困難性(ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる、探索の困難性のこと)」
SHA-256とは、任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数(要約関数)の一つ。どんな長さの原文からも256ビットのハッシュ値を算出することができる。
