megamouthの葬列

長い旅路の終わり

プログラマと出世

就職することになって、つまりは私が職業プログラマになって、それを聞き知った叔父が私を訪ねてきた。

プログラマってのは、若いうちはいいが、長くはできないんだろう?」

リビングの炬燵に潜り込んだ叔父は寒そうに体を震わすと、最初にそう尋ねた。
当時、業界には「プログラマ35歳定年説」というのがあった。
郵便局員をしている叔父が知っていたというのだから、有名な話だったのだろう。
私は訳知り顔で微笑むと、業界1年目のひよっこなりに考えた、この話のカラクリを説明した。

―――プログラマというのは、システム開発に伴う仕事の中で、単価が最も安い。ようするに給料が一番安いんです。でも、35歳にもなれば、まさか20代と同じ給料というわけにはいかない。35歳相応の給与を貰うためには、プログラマより単価の高い仕事、つまり管理職に「出世」するしかない。つまりプログラマだった人もある時が来ると出世してどこかの管理職になってしまうという話で、35歳になると途端にプログラミング能力に落ちて仕事が出来なくなる、という話ではないんですよ。

そう答えると、叔父は、少し安堵した顔になった。
私は続けた。

―――それに今や、プログラミングの世界も急激に変化しています。プログラマの仕事も上からやってきた仕様書をそのままプログラムコードに翻訳するような単純作業ではなくなっていて、開発を主導して設計までやってしまうプログラマも珍しくありません。僕のいるWebなんかでは特にそうです。20代前半で、アーキテクトや運用まで全部やってる人だっています。だから、35歳になったからって、ビジネスサイドの経験も相応に積んだ彼らが安易にマネージャーになるかってのも、僕は疑問ですね。僕が35歳になる頃にはきっと、現場と経営をつなぐ、プレイイングマネージャー的なポジションが色々なところで生まれているんじゃないでしょうか?

私が自説を述べ終わると叔父は満足げに頷いた。途中からは理解できている様子がなかったが、叔父は、亡き兄の息子である私の行末を心配するのは自分の仕事だと考えている節があって、甥っ子がこれだけ自信たっぷり雄弁に物語るのだ、きっと大丈夫だろう、という印象を受けたようであった。

「ともあれ、就職祝いだ。乾杯しよう」

言って、叔父は持参したビニール袋に入った缶ビールを差し出した。それはまだ冷たくて水滴がついていた。
アルミ缶同士の鈍い音で乾杯をした。やがて母が湯気のたった鍋を炬燵の真ん中に据え置いた。

それから20年余りの年月が流れた。
こうして思い返すと、私の言ったことのほとんどは間違っていた。

こんな給料じゃ、所帯も持てないだろうから、出世させて管理職にしてやろう、なんてことを言ってくれる経営者はどこにもいなかった。35歳の熟練プログラマがやるべきポジションといえば、マネージャーとかリードテックといったものがあったが、それはたたき上げのプロパーが狙うポジションというよりは、LinkedInとか転職ドラフトとか、経営者仲間とか、そういういった伝手から立派な経歴を持った人たちを落下傘で降下させる場所だった。
会社は何歳になろうが、入社始めのプログラマと同じ仕事をプログラマに割り当てた。仕事の難度があがり、FTPとsakuraエディタで戦える戦場が少なくなっても、お構いなしに前線は前進を続けた。たまに利他的な性質をもったプログラマが、本来の業務の合間に、同僚や自分が気分よく生産的に仕事ができるような環境、CIとかレポジトリとかささやかなWiki、エディタの改善などを社内政治を駆使して導入してくれた。せいぜいがそれぐらいだったが、私たちはそういった装備を使ってギリギリの勝機をつかむ、ということを繰り返していた。

各個人の給料は入った時期によって大部分が決まっていて、滅多に上がることがなかった。ビジネスサイドに自分たちがやっていること、Web技術の進化、もっといえば他社の募集相場を説明すれば違ったかもしれない。だが、ほとんどの人がやらなかったし、実際やった者は、会議室から憤怒の表情で出てきて身支度を調えて早退し、その後帰ってくることはなかった。

そもそもプログラマーというのはその素養によって、明確に出来る者と出来ない者に分かれてしまうという現実がある。
出来ない者に対して会社からのフォローは何もなかった。会社は明らかに私たちに「全員が出来るようになること」を望んでいたが、予算的、時間的支援が多くの場合なかった。「出来るほう」ならぬ「何とか最後の自尊心を残している方」の私たちが出来ることは、爆発炎上した案件である豪華客船から投げ出された時、真っ暗な海に浮かぶ救命ボートに新人を乗せて、自分たちは立ち泳ぎをすることくらいだった。
憮然とした顔で救命ボードに乗った新人は恥辱と無力感によって自ら海に飛び込んで業界から去っていった。出来る者もそんな状態でさらに詰まれた仕事に押しつぶされて海底に沈んだ。唯一の幸運な人物である私が、真っ黒な海から新人の乗っていたボートに乗り移ることで会社に残ることが出来た。ボートに乗ってする仕事は、社内インフラの管理、メールアドレスの発行、サーバーの管理保守。そうやって私はいつのまにか35歳になった。

その頃、同期の大半はもう退職していたので、同僚は急遽かき集められた新人たちだったが、彼らとはあまり話す気にならなかった。技術的なことはともかく、この会社で生き残る方法を尋ねられても「今すぐ辞める」という以上にベストな方法がなかったし、彼らからGitHub Enterpriseだの CircleCIだの AWS EKSだのの話をされたところで、宮内庁の宝物庫から皇室ゆかりの品を一般の博物館に出すような努力を要してまですることなのか?としか言いようがなかったからだった。

35歳の私は、無気力で、全てを諦めていて、まるで幽霊のようにそこにいるだけの存在になろうとしていた。だから人事部が開発部のオフィスを見まわして、マネージャーに足る適任者を探そうとしても、誰も見つけることができなかった。多分、その時私はロッカーの陰にでも溶け込んでいたのだろう。

自然の成り行きで、外部からヘッドハントしてきた、総務畑出身の高学歴のマネージャーが開発部長を兼任することになった。

彼は優秀な人間だった、その手の教科書にあるセオリーどおり、私たちが実際にやっていることと、私たちが直面している問題について根堀はほり尋ねてきた。
私は、試しに、彼に自分たちが抱える本質的な問題についてこれ以上なくわかりやすく説明して、意見を求めた。

どうして私たちの人員は減らされていく一方なのか
どうして私たちの仕事の難度と求められる業務範囲が再現なく広がっていくのに、それに対する支援がないのか
どうして私たちが困っているという現実を誰もが見て見ぬふりをするのか

具体的な事も言った。例えば、営業がサーバー運用予算をとらなかったせいで、自前でサーバーの運用保守していたのだが、担当の新人が来月辞めることになっていて、その補充が来る様子もないのだが、どうすればよいだろうか、といった話だ。

マネージャーは微笑みだけを浮かべて返事をしなかった。代わりに、概念的な工数管理の話をした。つまり今ある仕事の工数が10として、それが納期どおりに出来ないなら、各人の工数を+2すれば良い。それが難しいのであれば人を増やせば良い。彼にとって、同じ利益を生む仕事は2000年でも2020年でも10のままで、プログラマの+2の工数はだれがやっても+2なのだった。あとプログラマは無尽蔵に採用できるという前提も含まれていた。マクロの視点ではそうかもしれない。だが、開発部はたかだか5名の小所帯で、応募してくるのはスクール育ちの未経験だけだ。

結局、マネージャーは目標管理シート.xlsと工数管理システムの信じがたいUIを置いて、マイホームである総務部の財務部門に帰っていった。

私は年長者らしく、工数管理システムの厳密な入力を求め、大半のプログラマが要素技術の調査に一日の半分の時間を割いていることに感心し、正直にそれを報告したが、それによって、全開発部の査定は1段階下げられた。案件関与率が低い、という評価だった。つまりは流れている製品を加工するロボットアームが日の半分も止まっているようでは話にならんよ。ということのようだった。


あまりにも私たちの常識から外れているものだから、逆に、出世して見える景色とはどのようなものだろうと考えることがある。どうすれば一番合理的にプログラマーという人種を上手く扱えるだろうか。

会社にとって、システムは納期が来ればなんなく出来るものだった、もし出来なかったとしても、他のベンダーをのんびり探す以外に、彼らが取る手段もなかったから、いずれにせよそんなリスクを想定することは無意味だ。システムを絶対に完成させなければならないし、そのためにプログラマーを雇っているのだ。
プログラマは会社のデスクとウォーターサーバーを往復する不機嫌な機械と変わりなかった。彼らに残業を命じる。完成は義務で、他に手段はない。時々、限界を迎えた一人が徹夜明けに、オフィスのアルミ製のゴミ箱を蹴っ飛ばすが、大きな音がするだけだし、使い物にならなくなったゴミ箱は買い直せばよかった。

あるプログラマが怒って、あなた方は私たちの経験を過小評価している、少しは給料を上げてくれても、労働環境を良くしてくれてもいいじゃないか、と訴える。
管理者はさも意外な顔で、不満なら独立すればいいじゃないか、そのスキルがあるなら、それだけでよほどいい暮らしが出来るんじゃないのかね?と言って、業務委託の直接契約に変更して会社に残ることを勧める。確かにそうすれば希望の年収は手に入るし、仕事の内容は同じだし。本当のフリーランスのように営業をする必要もない。

リーマンショックとか、今回のようなコロナみたいな不況が来ると、正社員でなくなった彼らの多くは一斉に契約を延長できずに会社を去ることになる。放たれた不景気の荒野に他に仕事はなかったから、多くのものが、SESや人材派遣のような非正規職についた。

やがて嵐が去って、景気が戻ると、生き残りのプログラマたちを、経営者がニコニコ顔で迎え入れる。「やはり安定が一番だろう?」
砂漠の10年で顔に深い皺を刻み込まれた35歳のプログラマは黙ってうなづく。彼らが再び正社員としてコードを書き始める。最初と違うのは、彼らは一様におとなしくなって、待遇に不満をもつこともないし、もし不平があったとしても、それは聞くのは同じ深い皺のあるWebディレクターになったということだ。職場のゴミ箱はもう壊れなくなった。

うん。申し分のない眺めだ。


思うに、私たちのどこかが、きっと致命的に悪いのだろう。ビジネスサイドでもテックサイドでも、みんなきっと間違えた事をしてしまったのだと思う。TOEICで満点を取ったことのない人間に不平を言う資格はないということなのかもしれない。

だからちゃんとTOEICのしけんがさいかいされたら、しけんをうけにいこうとおもうのです。


35歳のチェックリスト (光文社新書)

35歳のチェックリスト (光文社新書)

電通のビジネスはなぜ嫌われるのか

久しぶりなので、どうでもいい話をする。
大昔、たまたまつけたTVに『ですよ。』という芸人が映っていて、漫談というのかコントというのか、お笑い番組だったから、とにかくひょうきんなことをやっていた。
どういうものだったか、書くのも面倒なので、Wikipediaを引用する。

「『ですよ。』この前〜階段の途中で座り込んでるおばあちゃんがいたから、上まではこんであげたんで・す・YO!」
「そしたら〜SO!おばあちゃん下におりたかったみた〜い。上にもどっちゃった〜」
「あ〜い、とぅいまてぇ〜ん!」

お笑い評論家じみた人というのが私は大嫌いなのだけど、まじまじと、この芸というのか、彼の一連の行動を目の当たりにして、しばし、絶句してしまった。
おもしろい、とか、おもしろくない、とか、洗練されている、そうでない、とか、なんかそういう問題ですらなくて、何か奇妙な、としかいいようのないストレンジなことが行われて、それが自然に、問題もなく、現実世界で放送されていることが、どうしても納得いかなかったのだ。

翌日、大学の部室で後輩にこの衝撃的な体験について話した。
「昨日、TVで『ですよ。』を見たんだよ」
「ああ、なんかいますね」
と、後輩は松本大洋の漫画を読みながら、落ち着いた声で言った。
「あれ、何?」
「何?ってどういうことですか。エンタ芸人でしょう」
と後輩は一瞬視線をこちらによこした。

私はエンタ芸人という言葉を知らなかったが、昨日の体験と合わせて、ようするに一般的な芸人ではない、という意味だと解釈した。
「あれっておもしろいの?」
「僕はおもしろいとは思いませんが・・・・・・」
「俺ねこれ、実験なんだと思うのよ。電通の」
と本題を早口で切り出した。

後輩はまったく興味を示さずに、漫画を読み続けている。私は構わずに続けた。
ーーTVで絶対におもしろくないネタを放送する。ウケる必要はなくて、笑い声はSEで後から合成できる。こうして、TVによって「この芸で笑っている人がたくさんいる=この芸人はおもしろい」というイメージを作り上げる。もし、『ですよ。』に人気が出たとしたら、これは完全にTV放送の効果であることが実証される。これによってTVメディアの価値が確かめられ、電通はこのスキームを色々な企業に売り込むことで利益を得るーー

「『ですよ。』という芸名がさ、ポイントなんだよ。わかる?」
と、私はさらに熱を込めて言った。後輩は諦めたのか、漫画本を開いたままテーブルに乗せると、変わり者を自称する同級生のライブペインティングを見つめるような視線を私に合わせていた。

「『ですよ。』ってさ、名詞じゃないでしょ?いろんな文章の最後にでてくるじゃない?だからGoogleで検索してもひっかからないんだよ」
「はあ」
「つまりさ、この実験はTVの実験なんだからさ、ネットの影響力はできるだけ排除して計測したいわけ。だから『ですよ。』なんて芸名でやってるんだよ!そもそも芸人かどうかもわかんないよねっ!劇団員か、なんかにやらせてんのかもしれないよねっ!」
と私は自説を締めくくった。
後輩はようやく私が黙ったので、諭すように以下のような意味のことを言った。

  • 電通はそんなに暇ではありません
  • 芸人志望者なんて山ほどいるんだから、わざわざ劇団員におもしろくもない芸をさせる必要もありません
  • TVの影響力を統計的に測る良い方法があります。視聴率っていうんです。知ってます?
  • ところで授業には行かないんですか?

そして、後輩は松本大洋の青春物語に戻っていき、私はというと、なんだか惨めな気持ちになって、古き良き2ちゃんねるのスレッドへの帰り道を探しはじめて、デッカちゃんは見渡す限りの草原の真ん中で元気良く太鼓を打ち鳴らした、というわけである。

念のため、『ですよ。』本人と、そのファンの名誉のためにフォローしておきたいのだが、家に帰って『ですよ。』を検索したら普通にGoogleでヒットしたし、当時の小学生の間では「あ〜い、とぅいまてぇ〜ん!」は結構流行っていた(らしい)。ついでに、最近になって、Twitterで、和室に『ですよ。』のファンが集まって、みんなで「あ〜い、とぅいまてぇ〜ん!」をやる、というよくわからない動画を見た時はなんだかじんわりと暖かい気持ちになったので、今となっては、私の論説は完全な間違いであるし、『ですよ。』が一時代を築いた偉大な芸人であることに疑問の余地はない。


で、そんな話とは何の関係もない「サービスデザイン推進協議会」を巡る一連の話をしたいのだが、とりあえず、なぜかこの問題を血眼になって調べている東京新聞の記事がよくまとまっているので紹介したい。

www.tokyo-np.co.jp

とはいえ、ここで挙げられている論点は、当ブログで扱う範囲を超えているし、別に私の意見など誰も聞きたくないだろう。だから、

現時点でサ協や電通は4次下請け以降の詳細を明らかにしておらず、給付金業務に全部で何社が関わっているのか分からない。経産省は「末端の企業まで国が知る必要はない」(担当課長)として把握に消極的だったが、野党議員の再三の求めを受け、6月23日に「把握したい」と修正。少なくとも63社が関わっていると国会で説明した。

この「少なくとも63社」の話をしたいと思っている。いわゆる「商流の頂点が電通」である様々な会社のことである。

まず、電通というのはどんな会社か、ということなのだが、端的に言うと、「顧客が○○したいと言えば、絶対に○○させてくれる会社」である。
「日本でオリンピックを開きたい」でも「サッカーのプロリーグを作りたい」でも「ワニが死ぬタイミングでグッズ展開したい」でも、何でも、である。(あくまで例え)

何でそんなことが出来るのだろうか?明日私が、あなたの会社に訪問して、アタッシュケースから札束を取りだしながら「これで押井守に女子攻兵のアニメ映画を作らせろ!」と言ったとして、あなたの会社は対応できるだろうか?できないだろう。出来るわけがない。あなたの会社と押井守には何の関係もない。

だが電通なら出来るのである。私の石油王のコスプレにすっかり騙された彼らはすぐに社内に押井守と強力なコネクションを持った人間がいないか探し始める。多分すぐ見つかるだろうが、万が一いなくても問題ない。押井守と一緒に映画を作ったことのあるプロデューサーが昔世話になった映画会社の社長の息子などがほぼ確実に電通にいるからである。

世の中のコネクションの中で「昔世話になった人が頼んでくる」ほど強力なものはない。私のような無縁仏ですらそうなのだ、いやむしろ多方面に過去も今も継続的に迷惑をかけ続けている私なら、そんな存在は山ほどいる。高校の時に告白してきた女子で、なんか曖昧に返事をしてしまい、付き合うとも付き合わないともよくわからない状態ではぐらかしていたら、どんどん恥ずかしさが増していって必要以上に冷たくなってしまい、まったく口をきかなくてなってしまったあの子が現れて「あの時の仕打ちを許してやるからZoomみたいなアプリを10万で作れ」と言ってきたら命を賭してやるしかないではないか。

つまりは電通とはそういうコネクションの糸の大本である。金持ちの息子が電通にコネ入社するのではなくて、コネが電通に入社してくるのである。

そして、実務については東大、京大卒の実力入社組がいる。ただでさえ頭の良い彼らが鬼十則の勢いで、人権を無視されながらコネの束をぶん回してくるのである。普通に考えて勝てるわけがない。


で、その糸の先に様々な会社がいる。「少なくとも63社」のことである。電通の子会社を除くと、これは俗に言う「電通にアカウントのある会社」のことである。
このアカウントとは原義の通り「口座」のことである。つまり電通の支払先口座として自社の預金口座を登録している会社のことを指している。

なんのこっちゃ、と思うだろう。そんなの取引を開始する時に事務的に登録するだけの話だろう、と思うだろう。
違うのだ。電通経理部に取引口座を登録するには、先ほどの電通に入る社員とまったく同じ要求がある。
つまり電通は取引先に対しても電通が利用可能なコネあるいは、並外れた実力を要求するのだ。電通のビジネスを拡大するのに必要な社会的資本、あるいは東大エリート部隊と同等のパワーがなければ、アカウントを作ることはできない。
電通の案件を数多くこなした、そのへんの広告デザイナが独立して、馴染みの電通社員に挨拶に行っても、冷たくあしらわれるだけである。アカウントがないからだ。作れる余地もないからだ。そして彼らはだいたい元いた会社の下請けとして生きていく事になる。

この冷酷なシステムを維持するため、電通は取引先に相場以上の利益を約束する。社員の平均年収が法外であるのと同様、電通の取引先も、大変にうま味のある案件を貰えるようになっている。

世の中の一般的な感覚では中抜きを経由しないクライアントとの直接取引(プライム案件)が最も利益率が高いと思われがちなのだが、実際はそうではない。
プライム案件は意外と渋いのだ。担当者が発注先の業界に通じていれば(近年の人材流動化の高まりで、クライアント企業に業界経験者が多数潜り込んでいる関係で、そうである可能性は高くなるばかりだ)原価ギリギリまで値切られることも珍しいことではない。

一方で、前述のとおり電通や代理店案件は利益を積んでも積んでも受注できるシステムを持っている。コネとパワーで何でも実行でき、しくじっても丸々補填できるだけの資本を武器に、臆病な官僚や企業担当者から、利益を確保することができる。この一連の世界が「少なくとも63社」の世界である。


得意になって書いてきたが、こんなことは電通に関連する商流に身をおいていれば誰でも知っていることだ。一般にあまり知られていないのは、単に当事者たちが一切喋らなかったからである。関係する皆が利益の共有者で、その輪にどうやっても入れない者には、語っても無意味だったからである。ただの自慢話になってしまうからである。

しかし、今、「サービスデザイン推進協議会」の話題が、これほど人口に膾炙しているのを私は驚きを持って見ている。マスコミが平然とそれを報じ始めていることを意外に見ている。それは裏返せば、電通が分配してきた富が不足してきたことを意味している。ようするにこれじゃ足りないもっと寄越せと中の人間が言い始めているということだからだ。

思えば、ここ10年、あらゆる諍いは、分配する原資がなくなってきたことに起因している。年金が底をつき、社会保険料がうなぎ上りに上がっていくのも、それによって社会の閉塞感が増していくのも、全ては分配の元が減ってしまったことにある。

だからもう、これをどうにかするには、紙幣を刷るしかないのである。刷って刷って刷りまくって、公的なコネ的な実力主義的なあらゆる分配を行って皆を満足させるしかないのである。
もし、明日のパンの値段が1000万円になってしまったら、その時は、私たちは高らかにこう叫べば良い。「あ〜い、とぅいまてぇ〜ん!」と。



女子攻兵 1巻 (バンチコミックス)

女子攻兵 1巻 (バンチコミックス)

オレオレ証明書を使い続ける上場企業をまとめてみた

あるいは私たちがPKIについて説明し続けなければいけない理由

Web屋のなくならない仕事の一つに「SSL証明書PKIについて説明する」というのがある。
世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる)
証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。

エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのものの価格は一定なので、高い証明書を買わせるインセンティブもまるでない。(強いて言えば、DV証明書でファイル認証できれば発行手続きが楽でいいなあ、と思うぐらいである)

証明書の価格が違うから、クライアントはさぞ違うのだろうと思っている。もちろん本当に違いはある。発行手続きの煩雑さや更新運用をどうするかという下世話なレベルで言うとかなり違う。それはそうなんだけど、例えばchromefirefoxが緑色の社名表示をなくしたご時世に、EV証明書である必要があるのか、と問われると、どうでもいいかもしんないですね、と思うし、互換性の見地で言っても、ガラケー時代ならともかく、最近なら証明書間に違いはないので、やっぱりどうでもいいと思う。もっと言うと、もうWebサイトなんてどうでもいいんじゃないですか?とも思うけど、それは言わないようにしてる。

たまに、ロードバランサーにインストールできる証明書はこれ、とか、うちのサーバーならこれ、とかホスティング業者に指定されることもある。あれ、どういう理屈なのかよくわからない。ビジネスの話なのか、技術的な話なのかもわからない。多分、業者の担当者もわかってない。
議論する元気もないから、はあ、そうですか、とだけ答えて言うとおりにしている。高額な証明書の意味合いが曖昧なのに加えて、技術要件かどうかまで曖昧である。いつもだいたいで証明書を選んでいる。

真面目にやろうとすればするほど、根源的な話をする羽目になる。SSL/TLS証明書とは何か?公開鍵暗号とは何か?PKIとは何か?DV、OV、EVの違いは何か?ユーザーがセキュアな接続を確認するようにするには?そこまで説明してゼイゼイしてると、最終的には「ふーん。じゃあ3万ぐらいのやつで」みたいな話で終わってしまう。むなしい。

みなさん○○を使ってらっしゃいますよ

と言えたら楽だなあ、と思った。
もちろん、みんなが使っているからセキュアというわけではない、のだけど、多くの場合「みんなやってるんなら、それがいいんじゃない?」という論理のほうが強いのである。残念ながら。

なので、上場企業のコーポレートページの証明書を全部調べればいいのではないか、と思った。
上場企業のHPを全部調べるのは過去、

www.megamouth.info

でやったことがある。

今回はEDINETから法人データをCSVでダウンロードしてきて、なぜか糸井重里が入っているのに笑ったあと、証券コードがあるものだけを引っ張ってきた。
EDINETのCSVにはコーポーレートページのURLが含まれていないので、そちらは証券コードを元にみん株からゴニョゴニョした。
で、URLにあるfqdnで、「公式サイトがSSL化されていないURL」も含めて、https接続を行い、証明書を取得した。
つまり、この結果にはhttps接続を想定していないコーポレートサイトのサーバー証明書」も含まれている。

以下が結果になります。

docs.google.com

DVかOVか?それともEV?

f:id:megamouth:20200116220811p:plain

証明書がDVなのかOVなのかEVなのかは、X509v3のExtensionにあるcertificatePolicies(CP)を見ればわかる。正確にはoidを見ればわかる。DVなら"2.23.140.1.2.1"だし、OVなら"2.23.140.1.2.2"である。
EVの場合は各社バラバラの複数のoidがある。どのoidがEVのCPなのかはwikipediaに一覧表がある。だが、『ソースはwikipedia(笑』と言われるのも嫌だったので、chromiumのソースからoidの一覧を生成して判別している。(あまり変わらなかった気もする)

で、結果としてEV証明書は上場企業の9.1%しか使ってない。わりとびっくりした。上場企業ってそういう見栄えにこだわるイメージがあった。逆にそういうところにコストをかけない、かける必要がないという選択ができるのも大企業なのかもしれない。

VeriSignの証明書はやっぱ違うよね

f:id:megamouth:20200116221409p:plain

昔、自社サービスをSSL化することになって証明書をどうするか、という話になって、当時はGeoTrustが安くて3万ぐらいだったろうか。だいたいそのへんが最安だったのだけど、社長が証明書つったたらVeriSignっしょ!って言って、15万ぐらい払って買って、もったいないので、せめてこれぐらいはと、ピカピカのサイトシールをサイトに貼った記憶がある。ありましたね、サイトシール。今でも貼ってるとこあるのかな。

X509証明書のissuerの項目を見れば、どこの証明書かはだいたいわかる。わかるけど、ブランド名まで特定できるわけではないので、なんとなく雰囲気で判別して集計した。よって、あんまり正確な結果ではない。
GeoTrustは今ではDigiCert(旧Symantecさらに旧VeriSign)なので、合わせるとDigiCert社の証明書が一番多いようだ。まあ、あれだけ買収してりゃあねえ。と思う。
個人的にはJPRSがそんなに流行ってないのが意外だった。あとLet's Encryptも5.8%ある。頑張れ超頑張れ。

オレオレ証明書を使ってるのは誰だ

で、ここまで真面目に読んだ方はタイトルが釣りだと気づいていると思う。ごめん。
ようするに、ここで言う「オレオレ証明書を使っている上場企業」というのは、正確には「コーポレートサイトにhttpsで接続されることを想定してないけど、ポート443をListenしていて、かつ、オレオレ証明書が入っている」上場企業のことである。issuerを見る限り、65社ぐらいあるようだった。
詳しくはスプレッドシートを見て、適当にhttps://でアクセスしてもらえばいいけど、警告を押し切って閲覧すると普通にhttpと同じコンテンツが見れたりする。あと、pleskとかcPanelの証明書が飛び出てくるとかもよくある(そちらはオレオレ証明書とは数えていない)
とはいえ、公式にhttps://のリンクがあるわけでなし、「警告が出てますが安全です」と公言しているわけでもないので、別に罪深いことでもない、と個人的には思っている。(かっこうは悪いし、そんなにお金ないの?とは思うけど)


今回は、某特任准教授(懲戒解雇)の言う、「90%安全な上場企業サイト」は9.1%しかない、ということを明らかにしました。
ではまた。


暗号技術入門 第3版

暗号技術入門 第3版