蕎麦屋の暗号というと、例えば落語に出てくる蕎麦屋は必ず勘定が16文なのだけれども、それは二八蕎麦から2×8=16で16文というシャレの符牒である。
というハナシではないことを予めお断りしておく<なんだよ
山下洋輔氏の本で紹介された松本のお蕎麦屋さん
ジャズピアニストの山下洋輔氏は無類の蕎麦好きだそうで、蕎麦が好きであることと、馴染みの蕎麦屋についてうんちくを語れることを日本人の条件とした方が良いというようなことをネタとしておっしゃられたりする方である。
そんなわけで各界のそうそうたる面々に蕎麦について語ってもらったものをまとめた「蕎麦処 山下庵」という本を出しておられたりする。おなじみの筒井康隆氏、椎名誠氏、タモリ氏はじめ、いろんな方々が蕎麦について語っておられており、意外と日本には蕎麦の周辺文化 (蕎麦のうまいまずいだけではない) が浸透していない中、一石を投じられた名著ではないかと思う。
さて、「蕎麦といえば信州」と長野県に住む自分は思うのであるが、この本で紹介されている、松本市の「そば屋 五兵衛」というお店にお邪魔したことがある。
とても真面目な印象のお店とお蕎麦で、松本城から旧開智学校の方へ、まちなかの湧水井戸を見ながらぽてぽて歩いて行ってみるのものんきな感じでとても楽しかった。個人的にはオススメコースである。
情強すぎるとTwitterで話題に
さて、そのお蕎麦屋さんが、昨年末に Twitter で話題になっていた。あれ?そんな派手なお蕎麦屋さんじゃなかったハズだけれどなと思ったところ、こういうことなんだそうだ。
参考リンク:情強すぎるそば屋のサイトが発見されたようです。
抜粋するとこういうこと。
- 30行以上にわたり、サイトで使用している暗号化技術について解説
- 解説の最後で「セキュリティには万全を期しているが絶対ではない」と念押し
- ここまでやって暗号化している内容は「蕎麦屋への問い合わせ」
- しかもHTML5で書いてる
そば屋 五兵衛の解説ページを拝読すると、つまりこういうことのようだ。
そば屋五兵衛 WEB サイトにて使用されている暗号化技術に関して
お問い合せや通販のフォームでは、JavaScriptでクライアント (Webブラウザ) ←→サーバー間の通信データを暗号化している。よって、一般的に使われている SSL/TLS による暗号化は行なっていない。
やっていることが非常にめずらしく、また、一見あまり情報技術と関係なさそうな「お蕎麦やさん」のサイトがそこまでやっているということが非常に楽しい。
この暗号化は有効なのか?
ただし、実際問題、この方法は本当にセキュアなのか?という点については、否定的な意見が多く出された。曰く、
- サーバー証明はできない
- 秘密鍵偽装による中間攻撃に対応できない
よって、「ナイストライではあるけれども、効果的とはいえない」と。しかし、その問題はたぶんこれを作ったであろうご本人も上記解説ページで言及されていることである。
「ウチのサイトは絶対大丈夫」ではなく、問題点も開示されているのは技術者としても非常に好感がもてる。そして、それがわかっていて、そこまで真摯であるにも関わらず、SSL/TLS ではなく今の方式を採用したのには、なにか理由があるはずだと私は思った。
着眼点が違った
そんなことを Facebook で言っていたら、松本経済新聞 いうサイトが五兵衛を取り上げてくださった。
パネェそば屋-松本城近くのそば店「五兵衛」、ネット上で話題に
ご店主のご子息は元プログラマーであり、ご店主もプログラミング経験はおありとのこと。実は意外とお蕎麦屋さんには理系出身の方が多かったりするのだけれどもそれはそれとして閑話休題。
取材をされた山口敦子さん がこんな取材裏話を教えてくださった。
ご主人は「暗号化したものが届くんで、いったん変換しないと分からないんですよ。でもまあ、情報の取り扱いは慎重にしないといけない時代ですからね…」とおっしゃってました。
なるほど。つまりこういうことなんじゃないだろうか。下記は以上の情報から町田が勝手に推測したもので、事実とは異なるかもしれないことを予めご承知おきいただきたい。
世の多くの Web サイトは、昨今厳しくなった個人情報保護の観点から、お問い合わせフォームや通信販売フォームでは SSL/TLS による Web 通信を暗号化している。しかし、中小レベルの企業、特に個人商店などでは、常にパソコンを開いて受注状況を見ているわけにもいかないので、メールでその内容を受取っている方が多い。そして、現在個人向けにメールサービスを提供している ISP は、ほとんどが SSL/TLS 暗号を提供しておらず、メールの送受信は暗号化されていない状態で送られている。図示するとこうだ。
つまり、Web ブラウザから Web サーバーの通信は確かに暗号化されているが、Web サーバーから受注者に送られるメールは暗号化されていない (平文である) という、本末転倒な状態で運用されている場合が、実はとても多い。
これは、頭でっかちな技術者は「そんなメールサーバーを使っているひとが悪い」と言うであろうし、高木浩光氏あたりにめちゃくちゃに怒られそうなことだけれども(汗)、実際問題として多いのは事実である。
だけれども、提供者や実装者の無知であったり利用者への啓蒙不足であったり予算の問題であったりなど、いろいろな理由はあるけれども、決して良いことではない。
そして「そば屋 五兵衛」はこの問題に真っ向から取り組んだのだ。つまり、このようにしているのだろう (想像図)。
この方法であれば、メールの送受信経路を SSL/TLS 暗号化したのと同等のセキュリティ効果が得られる。ご店主がいちいちメール受信後に暗号化情報を復号する手間はあるものの、確実に暗号化されているわけだ。そして、ここまでやったのであれば、個人商店である規模というか利用頻度から、さらに SSL/TLS に対応した Web サーバーを借り直したり証明書を購入したりするコストをかけるまでもないだろうと判断されたのではないだろうか。
もちろん、メールの送受信経路を SSL/TLS 化するほうがよりセキュアである。しかし、そのためにはフォームを設置している Web サーバーが SSL/TLS でメールを送出でき、受信するメールサーバーが同じく SSL/TLS に対応しており、メール受信の POP なり IMAP なりといったプロトコルも SSL/TLS に対応した環境を用意する必要がある。
すべてに関して最高の結論を得るより、現実の運用を照らして最良の手段を採る方が正しいことは言うまでもない。
中間攻撃等については確かに脆弱ではあるけれども、そのことは正直に述べた上でそうしているのである。無断で個人情報を収取していたスマートフォン などととその真摯な対応は比較するまでもない。
現実を見る眼と真摯な対応
以上のことは町田による勝手な推測ではある。しかし、この推測から得られる教訓がある。
論理上正しいことをするのは当然だ。そして、完璧なことができないときに最良の手段をできる限り採用しようと努力することは重要である。そして、問題点があるなら事前に開示することは (利用者が理解できたかどうかという問題はあるにせよ 汗)、技術を使うものとして美しい行為である。
自分の仕事に、真面目であり、真摯であることはやはり大切なことなのだ。お蕎麦屋さんがお蕎麦をつくるように。
メモ
メールの通信経路暗号化について、現在は無料で使用できる Gmail や Yahoo! メールでも SSL/TLS に対応していおり、Outlook Express 等のメーラーも SSL/TLS にはほとんど対応しているので、むしろ ISP のメールを使わなければより安価かつ便利にセキュアにメールの送受信が可能である。Web メールであればメーラーが対応していなくても暗号化通信は簡単である。
ただし、上記の件では、メール送出元である Web サーバーのメール送信サーバー (MTA) が SSL/TLS に対応していなければ意味がないことになる。「そば屋 五兵衛」のサイトがある Web サーバーが実際にどうなのかまでは存じあげないけれども、一応。
2013/06/18追記
長野のIT勉強会「NSEG」にて、蕎麦屋五兵衛にて上記実装をされたご本人が技術解説をされたそうです。開催された後にその事実を知ったので、ワタシが書いたこの文書の真否について誰かツッこんでくださったのかは不明ですが。
そのときのスライドがこちら。
コメント