世界は「思い込み」と「思いやり」でできています。

お金をもらって情報を発信する場合「FACTFULNESS」と「思考のトラップ」を読んでから発信すると、ある程度バズっても痛い人との遭遇率は減る気がします(個人的見解という逃げ)。もし、どうにもならなくても「自分と話の通じない人はある一定数存在する」と思い込んでおけば、やり過ごせます。いつもより非難の割合が多かったら、たぶん貴方が(今の社会通年と照らし合わせると)まちがってます。

さて、セブンペイがいろいろとやらかしてしまったことについては、みなさま思うことたくさんあるでしょう。ただ、ここで一緒になって糾弾することが必要なのではなく、エンジニアとして振り返ってみるタイミングがやってきたと認識したほうが良いです。なぜか。

一部エンジニア界隈で、こんなものが拡散されてました。「「多要素認証(MFA)」ってなんだっけ？ クイズを出したら不正解者多数だった件」ですね。四択で「多要素認証」が示すものはなにかと答えるものです。

Twitter 界隈での調査とは言え、まぁ国民全体からしてみれば ITリテラシーの少し高めの範疇の人たちです。母集団としては偏りはあるにせよ、12,178人なので、それなりに指標とするには良い母数ではないでしょうか。そんなTwitter 界隈の人たちでも 27%。FACTFULNESS 的に言うと、猿よりちょっと正答率が高い程度。

冒頭にもちっと重要なことが書いてあって。Twitter よりもITリテラシの高そうな mastodon 界隈でも事前にアンケートをとっています。

定量的な結果は不明ですが「不正解者多数」ということなので、まぁ半数以下だろうと想像はできます。その結果を憂いて、Twitter でこのアンケートを取ってみたら、やっぱり「低い」。途中の経過を見ていると「要素が何を示すのか」とか定義自体への問いかけもあったりして、本格的にちょっとやばいです。なぜなら、広く一般的には、次の三要素が認証の要素として定義されていたりするわけです。

知る要素
最も一般的に使われる要素で、認証のためにユーザーはある秘密を知っていることを証明する。 パスワードがこの目的で使われる場合が多い。ほとんどの多要素認証は、要素の一つにこれを使う。
持つ要素
鍵という考え方は古くからあるが、コンピュータシステムではセキュリティトークンとして扱われる。
備える要素
指紋や虹彩、声紋などの生物学的な要素でユーザーを生体認証する場合が多い。
多要素認証 - Wikipedia

公式な定義を見つけられず Wikipedia から拾ってくるの、ものすごい敗北感(CNETへ元ネタリンクあるけど、これより前に定義されてたはず)。とはいえ、一般的な定義として、USでも同様に広く見られる定義なのでまぁよしとしましょう。ここでは。

この問いかけに対して、一番回答が多かったのは「生体」 + 「生体」の単要素認証方式です。この背景には「生体認証が安全そう」「2つの部位で認識させれば、安全性はより高まりそう」や「銀行クレジットカードの暗号番号 4桁とかザルすぎて、安全なとこあるわけ無いやんけ」といった思い込みが背後にある気がします。

多要素認証 = 「安全」という方程式はなんとなく持ち合わせているのでしょう。しかし、その多要素認証の仕組・方式はどのようなものであるか、定義まで舞い戻って正しく理解できている人は「猿よりちょっとおおい程度」でした。セブンペイの会見を見て「二段階認証わからないとか草」とか言っている場合ではないのです。

このクイズの結果を見た上で、「二要素認証とは何か」「二段階認証とは何か」と同じようなクイズを出しても正答率は 100% にならない気がします。どれだけ正しく答えられるのでしょうか。なお「二段階認証」に至っては、またWikipedia ソースなので何やねんって感じありますけど、次のように扱われています。

認証ステップが二段階（あるいは多段階）ある事をもって二段階認証等と呼ばれる事もあるが正確な用語ではない。

パスワードを二段階にして「二段階認証だから安全です」っていうサイト、ありますよね？ ECサイトやクレカのサイトなのに。国産ではよく見かけますね。まぁそういったサイトに対しては、首を傾げるしかありません。多要素認証というのは、それとは完全にちがうんですよということは理解しましょう。また、2つの要素以上を用いましょうとの推奨はありますが、二段階ならパスワード2つ持ちでも良いですよなんて言っている機関は多分ないです。あったら落ち着けと伝えたい。

要するに「用語の意味(定義)があやふや」なんです。

日本語がわからなければ「国語辞典」に立ち返るわけですが、誤用され続けて、意味が移り変わっていくことも少なくありません。正しい使い方をしている人がバカを見ることおおいですよね。役不足、煮詰まる、なし崩す、確信犯。一生懸命は、もう完全に市民権得ましたよね。時代の移り変わりとともに、言葉が変わることがあってもいいでしょう、それは非難しません。怪しい言葉は使わなければ良いだけなので。

ただ、業界専門用語はそれでは困るんです。勝手に定義されて納得されてしまうと、話が「本格的に通じない」のです。ドメイン駆動開発において「ユビキタス辞書を作れ」なんてありますが、これはビジネス(ドメイン)用語を開発者たちが理解するためのものです。同じ開発者の人たちの意思疎通を図るために用語の再定義をするなんて、アホらしいもいいとこです。同じエンジニアじゃないのか。

プロたるもの、業務では正しい用語を正確に利用すること。そこに「思い込み」が発生してはなりません。アマチュアと会話するときには、プロは「思いやり」をもって接して理解を促す。

この時代に必要なのは
「思い込みを捨てる」こと。
「思いやりをもつ」こと。