わさっきhb

大学(教育研究)とか ,親馬鹿とか,和歌山とか,とか,とか.

床はざらざら,TLSは1.3

 いきなりですが問題です.

 私達のいる建物の1階ホールには当初,全面つるつるの床(タイル)がありまして,美観はいいのですが,雨天時などに転倒がよく発生しました.
 あるとき,ざらざらにするよう改修が行われ,転倒は激減しました.
f:id:takehikom:20190628195852j:plain
 この事例を参考にして,自分の身の回りの改善事例を,紹介してください.

 セキュリティの授業開始前の小テストです.「正解」は,いくらでも作れそうですが,解答にあたってはいくつか注意点があります.
 限られた時間とはいえ,答えには「単語」ではなく「文章(ストーリー)」を期待したいところです.例えば「定期入れ」だけ書かれても,どう改善したのかは読み取れません.「以前に使っていた定期入れは,出し入れがスムーズにできたけど,思わぬときにポロッと定期券が出てしまうことがよくあった.そこでアルバイトの給料をもらったときに,奮発して高い定期入れを購入したら,不用意に落ちることがなくなった.」と書いていれば,次回の授業で取り上げたくなるのです.
 解答にあたっては,何の話で,そこにどんな課題(改善すべき事情)があって,それをどうすることで,問題点が解消されたのかを,手短に書くといいでしょう.
 このとき有用なのが,「起承転結」です.実のところ,起承転結は,セキュリティに関する具体的な課題と解法を述べるのに,非常によい形式なのです.
 次に注意したいのは,「改善を誰が行ったのか」です.もっぱら自分が関わった出来事であり,改善を図ったのも自分であれば,全体において「私は/が」や「自分は/が」といった語句は,書かないほうがすっきりします.
 しかし上記のざらざら化は,出題者である私が実施したわけでは(提案したわけでも)ありません.自分ではないけれど,誰が実施したのかを明示しない場合には,「改修が行われ」のように受け身を使うと,無難にまとまります.
 ところでこの回の授業の内容は「通信を暗号化するソフトウェア」であり,具体的にはSSL/TLSSSHです(メールやファイルを暗号化するソフトウェアであるPGP (GnuPG)は,一つ前の回で解説しました).TLS 1.3が昨年,正式に承認され,授業スライドを改訂しないといけないなと思いながら,情報収集していると,このバージョンは「引き算のデザイン」をしていることに気づきました.https://www.ipa.go.jp/files/000066775.pdf#page=22とその次のスライドが分かりやすいと思います.ここのデザインは,「意匠」ではなく,「(問題解決のための)設計」を意味します.
 プロトコルでもソフトウェアでも,バージョンが上げるとなると,これまでのバージョンの不具合(セキュリティなら脆弱性を含みます)を解消する必要があり,ときにはその解消のためだけのルールやコードを追加するという,「足し算のデザイン」をしてしまいがちです.
 TLS 1.3はそうではなく,ハンドシェイクプロトコルを設計し直すことで簡略化し,暗号スイートも大幅に減らして,鍵交換や署名を別扱いしていることが見てとれます.
 冒頭の「ざらざら化」も,引き算のデザインと見なせます.この話で,足し算のデザインにするなら,タイルを取り替えることです.ざらざら化の改修は,取り替えよりも少ない時間とコストにより,雨の日でも我々は安心して,ホールを行き来できるようになったというわけです.