構築中。

名古屋のITインフラお守り係です。ITイベントへの参加記録などを残していきます。

そういえば、最近ネット通販してない

Amazonの当日便遅配が(また、というか以前より酷い状態で)最近問題になっていますが、そういえば、自分自身は(Amazonの当日配達地域外ですが)最近、自分自身がネット通販などで注文する形で宅配便を使うことが激減していることに気づきました。

今年に入って、数えたら3回だけ。

その全てで、営業所留め置きまたはコンビニ受け取りにして、自分で取りに行ってます。

宅配業者の不在配達問題を気にして、というよりは自分の都合でそうしているだけですが(事業者側従業員の負担云々をいうのならコンビニ受け取りも避けるべきかも。コンビニ店員さん、やるべき仕事の種類が多すぎて大変そうですし)。

ただ、Amazon Dash Buttonが流行って、「デキる人ほどこういうものに飛びついて活用するものだ」という風潮が出てきたときには、「その通りだと思うが、他人の多大な犠牲を前提にしてまでデキる人にはなりたくない」(いや、それ以前に「デキる人」自体になりたいわけでもない)と思ったものですが。

 

ただ、この営業所留め置き、特にある特定の配送事業者では「発送者への確認」を条件にしていてなかなかうまく話がつかないことが多いのが困りものです。

先日、Developers.IOに行くときにも、ある程度のメモリ容量があって軽いPCに新調すべく、Amazon以外の通販事業者に発注したのですが、(発注時の営業所止め不可はわかっていたので)配達直前に営業所に連絡して留め置きに変更する際に、やっぱりちょっと揉めました。

配送履歴を後から見たところ、ちょっとトリッキーなことをしてくれたようで、無事に営業所で受け取ることができたのですが。

「営業所止め不可」「事後変更での留め置きも不可」(正確には前者と後者は別物ですが混同することも多い)という事情が(いくつかの理由で)あることはわかるのですが、ね。

「営業所止め」なら発送側に住所を知られなくて済む、という点を悪用するのを避ける意図で、とか。

ただ、理由の1つ(というより2つか?)として挙げられる、「正規の荷物を他人が詐取する」「悪意のある者が最初から他人を騙って発注する」ことを防止する意図での「留め置き不可」については、正直なところ「実際に(記入された住所に)配送に行ったところであまり差がない」のでそれほど意味がない、と言えそうです。

というのも、これまで、偶然(帰ってきたところに配達が来た、など)の場合も意図的(重いカー用品の受け取りゆえ、駐車場の前で受け取りたかった、など)な場合も、敷地内(部屋の外)で配達員にこちらから声を掛けた場合、その場で荷物を受け取れなかったことが一度もないからです。

どの事業者の配達員が、ということではなく、今までそういう状況に遭遇した全ての事業者の配達員で、です。

しかも、通常、営業所で受け取る場合は免許証などの身分(身元)証明を提示することになりますが、敷地内で声を掛けた場合、室内で受け取る場合と同様、サインを求められるだけでした。

つまり、「配達時間帯が分かっていれば他人の荷物を詐取できる」し、「他人の住居を(さも自分が住んでいるかのように装って)受け取り場所に指定することも可能」なわけです。

「もうちょっとまともな本人確認をしろよ」と言いたくもなりますが(実際、配達員に求められなかったのにこちらから身分証を見せたこともあるし、「部屋のドアのところに行きましょうか?」と確認したこともあるが、「は?」という反応だった)、不在配達問題でこれだけ配達員の皆さんが疲弊している状況で、「部屋まで行かなくても受け取ってもらえるならラッキー」となる気持ちも分からなくもありません。

仮に「部屋(玄関)まで行っていない場合は身分証の提示を求めるように」というルールを定めたとしても、どこで受け渡しをしたかは配達員と受け取った人にしかわからないので、多忙すぎて1秒でも早く配達したいシチュエーションでは意味がないわけで…(監視用のヘッドカメラの装着を義務付ければ話は別ですが、そこまでするか?ということで)。

リスクを下げるために決めたルールがかえってリスクを増大する原因になっていることもある、ということで…その時の社会情勢等、状況に応じてうまく線引きを変えてもらえたほうがいいのかな、と。

 

もっとも、私自身は、これから当面ネット通販をあまり使う予定がないのですが。

日用品も本(電子書籍を除く)も、ほぼリアル店舗でしか買いません。

店内の様子を見ることも一つの楽しみですので。

 

そういえば、昔、某社のPCを直販で購入した際、手違いで事業者向けの配送業者経由で配達されてしまい、「配達は平日昼間のみ」「営業所はないから取りに行くこともできない」(仮に、取りに行けたとしても夜間・休日は無理だけど)という状況になって困ったことがありました。

昼間に(聞き慣れない名前の)配送業者に電話したら、ようやく繋がったところでそういう事情が発覚するとともに、「受け取る側が受け取る努力をしてくれ」と言い放たれましたが…現在の「Amazon デリバリープロバイダ問題」に引っかかった方々も、似たような状況かもしれません。

CROSS 2017の参加受付が始まってた

いつもは1~2月に開催されているCROSS、今年は9月なのか…と思って公式サイトを見ても何の変化もないままになっていますが、Facebookを見たら、すでにチケット販売が始まっていました。

2017.cross-party.com

https://www.facebook.com/engineersupportCROSS

eventregist.com

以前書いたとおり、翌日9/9(土)は地元のセキュリティ勉強会に参加予定(かつ、会社の重要業務のスケジュール次第でキャンセルになりうる状態)で、しかも翌々日の9/10(日)には大学時代の恩師を囲む会がある(私の同級生は10名以上いたのに「必要単位が取れた」からといって大半が卒論を書かずに途中でゼミを去ったので、多分出席しないでしょうが…あ、参加申し込みの前に同窓会費払わなきゃ)、加えて家族の病気や自分自身の入院手術、耳鳴りや難聴(つい先日も急にひどくなった)などで有休を使い切る寸前…ということで、参加に踏み切るかどうか躊躇している状況です。

今年は事前登録で無料参加も可能ですが、せっかく参加するなら個人スポンサー枠で…と思っているところなのですが(行けなければ本当にただの「スポンサー」になってしまう…事前キャンセルはできそうだけど)。

ところで、この個人スポンサー、「16ビット」(1万円)・「32ビット」(3万円)・「64ビット」(5万円)と3コースあるのですが、さすがに「8ビット」コースはありませんね…あと、せっかくなら、金額は「2の○乗」のほうが…いや、そうすると16ビットでもう6万円を超えてしまうし、32ビット以上はとても払えないか。

 

因みに、JTF2017のチケットは既に買ってありますが、こちらも今年は変則的な時期(8月下旬)の開催で…CROSSの開催日に近くなってしまいました。

2017.techfesta.jp

8月下旬からの週末が、JTF→重要業務(今のところ9月最初の週末の予定)→CROSS+名古屋情報セキュリティ勉強会+恩師を囲む会の3連荘、となると、かなりキツそうです。

Developers.IO 2017(7/1)

先月、耳鳴りと難聴のため残念ながらAWS Summit 2017に行けなかったので、そのかわりに(というわけでもないですが)参加してきました。

※耳鳴りは良くなりましたが、右耳の聞こえづらさは治りません…あきらめました。

dev.classmethod.jp

本家サイトのほうに登壇者ご自身のブログ記事とスライドが掲載されているので(私がこれを書いている時点で、一部のセッションについては記事が無かったりスライド自体もSlideShareやSpeaker Deckなどに上がっていなかったりしますが)、とりあえず参加したセッションなどの感想や気になったポイントだけ書きます。

 

会場に入ったとき

お馴染みの「クラメソおみくじ」を引いたのですが、カプセルを開けるのにてこずって、中身(ボトルホルダー)を取り出すときに肝心のおみくじが行方不明に…。

結局、運勢や開運○○が何だったのか、分からず。

 

K-1History of AWS, Still Halfway through(佐々木大輔さん)

AWS以前の、初期のAmazonの画面を見て、「ああ、あの頃のWebサイトってこんな感じだったなあ」と懐かしくなりました(当時、「ブロードバンド」(もう死語か?)なんてものは日本にもアメリカにもほぼ存在しなかった…)。

また、現在、日本では大規模サイトを含めてAWS移行が盛んですが、首都圏と関西圏以外でも、私の地元の(世界的な)大企業が移行を始めたので、そろそろ地方でも本格的な移行が進むでしょうね。

因みに、私は会社のある層の人たちに「4年に1度だけ本気で働く男」という間違った認識を持たれているらしいです(これまで機器のリプレースを安全を見て寿命が来る前にきちんと実施するポリシーで進めてきたため)が、実際、レイヤ1(機器は製造しないので正確には1.5ぐらい?)からレイヤ7までの色々な「移行」に関わってきています(ITの引っ越し屋?)。

ところで、最近、サーバーワークスのロゴが変わったので、クラスメソッドも変えるかも…と勝手に推測していたのですが、今月から本当に変わってました。

ただ、めそ子さんは2代目にチェンジしましたが、サーバーワークスの高木さんはそのままですね。

 

L-1】 ランチセッション

クラスメソッドはこれから「音声」に本腰を入れるらしい、です。

プレスリリースは読んでいましたが、実際に社長の言葉を直に聞くと、意図が良く伝わってきます。

「幼い子からお年寄りまで(幅広い世代に)親和性が高いのは音声」とのことですが、それであればぜひ、聴覚に障害がある人や声帯を失った人が困らないような「明瞭ではない声でも認識できる音声認識技術」も目指して取り組んでもらえるとありがたいです(技術自体はAWSなどが開発したものを使うスタンスだと思いますが)。

 

【A-1】 クラメソの請求を支える技術(サーバーレス編)〜40歳中年エンジニアの生存戦略〜(植木和樹さん)

同世代としては「40歳中年エンジニアの」というワードに反応せざるをえませんでした(正確には、こちらは四捨五入すると次のステージになってしまいますが)。

クラウドを活用すると「開発が『糊付け』部分だけになる」というのはわかりやすい例えですが、周囲の同世代以上の人たちにはなかなか理解してもらえません…。

「業務フローをパッケージに合わせる」って大事です。「開発上の制約」でパッケージの機能が使いづらい場合は別として、パッケージ化されて販売されるということは、ある程度「標準」を意識しているわけで。

特に「自社の強みの源泉」でないものであれば、従来の業務フローを維持することはかえって害悪になりかねず、いたずらに「業務に合わせてカスタマイズする」ことにこだわるよりも、パッケージに合わせたほうが幸せになれることのほうが多いと思います。

 

【A-2】 基礎からの OAuth 2.0 〜 認証と認可の概念、認可コードとアクセストークンの意味 〜(都元ダイスケ)

「皆さん、本当に聞きたかったのはOAuthではなくてOpen ID Connectの話ですよね?」というのが、なかなか核心をついていて面白かったです。

多分、4種類の中では、一番安直な実装を採用しているケースが多いのではないか?と思います。

実際、「認可」向けの機能を(結果的に)「認証」向けの処理に「代用」してしまうような「まずい実装」をしているサービスが世の中に存在しているような気がするようなしないような…。

 

【E-3】 AWS Security Best Practices Whitepaperをガッツリ読み解く会(森永大志さん)

「上級者向け」タグが付いていることにビビりながら参加申し込みしたので、恐る恐るの参加、です。

結果、内容は大体理解できましたが、まだ本格導入ではなくシステム移行を進めている最中なので、そもそも複数アカウントを使うかどうかを考えるケースがもう少し先の話だったり等、「経験から考える」ことができない議題がいくつかありました。

「サービスを提供する立場なら、顧客との間で責任共有モデルを作って契約に含めておいたほうが良いよ」という話は、契約の文言(大抵、サービス提供側が「無保証」という文言を入れているはず)を考えると「面倒なだけで無意味」と思いがちですが、実際に契約条項が全て有効なものと認められるとは限らないので(不公平な条項は無効扱いになることもある)、参考になる話です。

認証情報の扱い等、「テストだから」ということでつい雑な方法でやってしまいがちですが、「テストで使う」ときこそしっかり管理しないと漏洩⇒悪用リスクが大きそうだな、と反省すべき点にいくつか気づくことができたのが大きな収穫でした。

Qiitaの記事などにも安易にアクセスキー/シークレットキー形式でコードを書いて上げてしまっていたりするので、もう少し配慮が必要ですね…。

自社のサービスのユーザがS3等にウイルス付きのファイルをアップロードしてしまい、AWSから届いたメールを放置してアカウントがロックされてサービスが停止してしまう「事故」は起こりそうですね…。

ところで、ルート認証情報を使わないとできないことの1つに、「CroudFrontキーペアの作成(と更新)」(署名付きURL/Cookie生成用)がありますが、これ、AWSが「90日以内での更新」を推奨しているので、結果としてルート認証情報を頻繁に使わないといけなくて困ります。

おそらく、複数のキーペアを同時に使い分けることができるようになって、1組のキーペアの適用範囲を限定できれば、もっと更新頻度を下げてもいいのだと思いますが。

 

【B-4】 AWSネットワークのL4以下の話(大瀧隆太さん)

しっかり認識していなかったのですが、1AZで6DCというケースもあるんですね(といっても2014年の話なので、今ではもっと増えてるかも?)。

GCPネタもありましたが、きちんと追従・状況把握しておきたいところです。

Multipath TCPは面白そうです…最初はトラブルも多そうですが。

 

【F-1】 Festivals.IO

今回は懇親会まで参加してきました。

最近、老眼が進んで、薄暗い場所で受け取った名刺の字が読めずに困る、というトラブルが…。

そもそも、名刺を差し出されていることを認識するまで1~2秒掛かったので、画像認識の精度が著しく衰えている模様です(音声認識も)。

 

規模が違うため、自分の中ではJAWS DAYSほどのインパクトはありませんでしたが、それでも結構有益な話を聞くことができたと思います。

これだけの内容をたったの1,000円で聞くことができるのはすごいことです(私の場合は交通費がその20倍掛かりましたが)。

主催のクラスメソッドさんをはじめ、スポンサーや関係者・スタッフの皆さま、ありがとうございます。