本稿は、オマケっぽい。まぁ全編に渡ってオマケみたいなものですが。

...

何か吊るし上げるような意図はないのでツイートは引用しませんが、バズっていた際に「Observatory で A+ 取っても意味がない」という旨の反応は意外と多く、「ああこの人たち自分が運用するサーバの保守だけで疲弊しきってお客さんが視界に入っていないのだな…」とお気の毒な気分になりました。閑話休題。

「A+ は暴走品質だろう」という考え方には合理性があります。…このスジでの言及は観測できなかったので、残念ながら ISMS 勢の作業者レベルでの質マネジメントの意識付けに軽微な疑問はつきましたが、たぶん気のせいでしょう。頑張ってるよ、みんな。

品質はサービスの提供者と受益者との間での合意に基づき定められるので、そこは合意できるレベルでどうぞとしか、中の人には申しようがないです。

ちなみに、中の人としては、B くらいが品質活動を行っていそうだと思える線です。今日現在の https://bitflyer.jp/ や https://bitbank.cc/ は獲得しています。

「Observatory だけで安心するのは間違い」というのは、まさにその通りです。

ここは　Bitbank さんは明確に認識していて、Observatory 対応完了後、畳み込むように下記リンク先の記事を公開しています。

https://bitbankcc.zendesk.com/hc/ja/articles/360001685513

「偽サイトに誤って繋いでしまわないよう、EV 証明書を使っているので確認してくださいよ」とのことで、これは Observatory を使って頑張っても回避できない類の、ユーザ側に提供できる、セキュリティリスク回避策の案内です。

実のところ EV 証明書すら "銀の弾" ではないのですが「EV 証明書については確実に押さえていますよ。ユーザに提供する品質をマネージしていますよ。Let's encrypt が提供する無料の証明書を使っているような野良サービスとはレベル違いますよ。」というメッセージでしょう。たぶん。(いいぞもっとやれ)

...

ところで「日本の仮想通貨交換業でメジャーなところを挙げよ」って設問があったなら、たぶん大多数が 4 業者を挙げると思います。

さらにところで、先日、仮想通貨交換業で行政処分が行われたというニュースが飛び込んできました。

4業者の、それぞれの web サイトのスクリーンショットを貼ってみます。

EV 証明書を使っているところとそうでないところに分かれました。

EV 証明書を使っていると、証明を受けた組織が表示されます。これも対応ブラウザの場合、という程度でしかありません。

ところで、4大事業者のうち、行政処分を受けた事業者は 2 社ありましたね。

単なる偶然と片付けても別に構わないと思いますが、読者はどう思われますか？

...

この手の啓発が圧倒的に足りていないというのが当業者 BOT の中の人の直感でして、「一般の人に Observatory は手に負えない」というご意見は正しいのですが、一方で「そんなんだからサイバーインシデントがいつまでも減らないんだよ、一般人のリテラシを過小評価しすぎだし啓発を怠りすぎ」とも思うわけです。おわり。