はてなキーワード: 独創性とは
①親が子供を苛めて憂さ晴らし→甘やかすか、試練を与えるかの違い。苛められた動物は生存能力が強化される研究結果。長寿化で生涯に費やす消費額はさらに伸び需要喚起により経済効果も。
②歩行者横断中でもどんどん車やバイク通行、加速。→目的地に少しでも早く到着し経済を回すスピードの高速化により、日本経済悪化を食い止めている。弱肉強食の体現で社会の競争力を高めている。
③各種ハラスメントで弱者を苛める。→弱肉強食の体現と弱者に試練を与え生存能力を高める指導効果。自身のストレス発散により開放的な消費動向に変わり経済効果も。弱者にストレス与え、アニメやSNSほか欲求代替やストレス発散消費で経済効果。
④葬式や結婚、通過儀礼の価格競争によりワンコイン葬式など厳かな儀式のカジュアル化→価格競争により新サービス創出。行き詰まった日本経済に光を与える独創性。世界からの評価であるクレイジージャパンのブランド力を高め観光需要を喚起する。総合的に経済効果が高い。
迷惑をかけるほど、サービスが創出される。対処にコストがかかる。それにより経済が活性化される。以上により、アンモラルは経済国家を支える重要な資質。子どもたちには幼い頃から身につけさせるべき朕である。
アンモラル達成度が低い子どもは少年法により厳しく規制し、将来世界に羽ばたく日本人として恥ずかしくない競争力のある人材に育成するのが経済国家として好ましい。
きちんとけじめをつけたくて、吐き出しの見苦しい文章ですが記録します。
ツイッター上では色んな情報が飛び交っていて、どこまでが真実なのか判断が難しかった。
本当なのだろうか。誰かが、悪評を広めようとわざとやっているのではないだろうか。
そんな疑心暗鬼もあって、あまりどちらにも寄らないよう経過を見ていた。
少しして、公式から謝罪があった。外部の弁護士も呼び、権利上問題があることが発覚したと。
よって該当するものに対しては差し替える。という内容だった。私の中でその問題は、一度終わったことになった。
だって対応したから。他の盗用ジャンルよりはマシだと思っていた。
公式からなんのアナウンスもされず差し替えを行ったりしていなかった。
少しして、何がきっかけだったか、まだ盗用問題に言及している人がたくさんいることを知った。
驚いた。公式が対応しているのに、まだ引きずっている人がいるのかと。
けれどwikiを見て、関連した問題がひどく増えていることに驚いた。
普通はまず、作品名と盗用で検索をかけても個人の感想程度しかひっかからない。
キャラクターの雰囲気が似てるだとか、見た目が似てるだとか、その程度の話題だ。
作品名と問題で検索をかけて、色んな炎上騒ぎがひっかかってくることもおかしい。
確かに信者のやらかしはどこにおいても起こりうることだ。人気があるから、そういうものなのだろうか?
けれど他に人気のある作品と問題で検索をかけてみると、様子が全然違う。
有志が作ったのであろう、作品に関する問題を掲載して、いかにその作品を読み込んでいるかを競うようなサイトがひっかかったりするのだ。
じゃあ、どうして。
改めて問題を振り返ってみた時に、いくつか引っかかる点があった。
だから、アンチと呼ばれてしまう方々の意見をもう一度、自分なりに考えてみたのだ。
・UIについて。
実用的なデザインを追及すれば、ある程度被ってしまうことはあるのだろうが、判断が難しいようだ。
ただし、ソースコードが丸々同じだとか、流用であれば問題になるらしいが。
アンチの方々が引用している元の開発者の方の発言だけではソースまで丸々同じなのかどうか事情がわからない。
あいにく私はソースコードを検証できるだけの能力がないので、白黒を決めることはできない。
・キャラクターデザインについて。
写真のポーズを参考にして(ほぼトレス?)いるだろう件について。
これもあくまで参考といえる範囲で行われていることだと、弁護士は判断したのだろう。
写真が表現するものの独創性を認めるかどうかは難しいところに感じる。
ただ、カタログなどに掲載されている商品を撮影した写真や、被写体が自然物であってもそこに独創性が認められるとした判例も存在している。
よって写真の権利元が、写真によって表現したものを悪用されたと判断し主張するのならまた事情は変わってくるのかもしれない。
けれど恐らく写真の権利元はそうは主張していないのだろうし、争う様子もないのであれば白黒つけがたい。
ご友人のキャラクターデザインを流用しているのではないか、という疑惑も浮上しているが、
謝罪文にも法的な判断は済ませ対処したが、創作倫理に関しては判断しかねるとしているのだから。
つまり問題が収束しないのは、倫理的な部分のけじめがついていないからだ。
ある意味で私刑に近いものではあるのかもしれない。だから、アンチと呼ばれてしまう方々の意見に反発する人もいる。
倫理的な部分を問い詰めることは、相手の人格を攻撃することに似ているから、賛同しづらいのだ。
最近改めて最初から最後まで謝罪文を読んで驚いたのは、確かに権利元への謝罪がきちんとされていないことだった。
関係者とひとくくりにし、心配させて、不安にさせて、報告に時間がかかって、ご迷惑をおかけしたことにお詫びを、と。
あげく、謝罪文の最後には、他にも関係者でご迷惑が発生している方は、こちらまで問い合わせください、と。
これは権利元への謝罪をしていると、そういう行動をしていると判断できることなのだろうか?
あげく盗用問題を起こし、今後改めていくとしたはずなのに、敬意を払うべき使用しているモチーフのデザインを取り違える。
それを差し替える時には、旧デザインに思い入れがある方やプレイヤーに謝罪するだけ。
虚しくなってしまったのだ。私はこんな企業に加担していたのかと。
退会した。関連グッズなどは処分した。自分が公開した二次創作を削除した。
ブックマークやお気に入りも全て整理した。そうして少しずつ、後始末をしている。
自分の名前で、意見を発信することもしたつもりだ。感情的になったり言葉を選んだりで、うまく伝わっていないかもしれないが。
最後にこのブログを残そうと思う。私の罪滅ぼしだ。加担してしまった自分を許すための言い訳。
そして、創作者のはしくれとして二度とこういうったことに加担しないよう、決意を込めて。
ファブリーズの件もそうだが、今の日本は「超潔癖主義」に蝕まれすぎではないかと思う。くさやが臭いのは誰がどう考えても事実なので、地元はこのCMに便乗するくらいでいいと思う。
何かにつけて「地域差別ガー」というバカにはあきれてしまうが、つまるところ地域の抱える不都合な事実を外部が指摘することを拒絶するけつの穴が小さい子供である。それこそ、彼らの好きな言葉を借りれば「言論弾圧愛好家」ではないか。文化や社会には二面性がある。
私が生まれて間もない頃の話だが、1980年代~1990年代の鉄道文化が洗練されていたという話題がSNSや掲示板で流行している。はっきり言って、不良が巣を作りそうな文化がそこにあったわけだが、それでも鉄道ファンは誇らしく思う。「鉄道王国」も日本文化だと自尊心を持っているはずだ。
本来文化・社会性とはそういうものではないか。2000年代の新自由主義旋風だって文化や科学技術などの高度化の裏に犯罪の高度化や富裕層人口のインフレの問題もあった。2010年代も1960年代の再来のようなのムードの裏に貧困問題があった。オートバイブームの裏にはシビアな封建もあった。
オタクが今日社会全般で受け入れられているという。あれといえば、昭和の負の遺産にもかかわらず迷惑者が誰も輩出しなかったことを「世界に誇る日陰者」と自画自賛する書き込みが拡散されたことが多くの人に衝撃を与えたものだった。案の定、オタク自身の努力で出世が実現するとスゴイ発言まみれになった。
冷静に考えてほしいのだが、同じ大衆の同胞であるべき人達がそれと村八分にされる時点で、そもそもすごくなんてないのである。そもそもオタクとは昭和時代の学歴社会化実験の失敗に伴いヤンキーと共に発生した負の遺産である。本来ここで必要な発想は、負の歴史として再発防止策を考えることであり、恥かしく思うべきことである。
仮にもしオタクがすごかったとしてもそれは個人個人がすごいのであってオタクはすごくないのである。社会が立派だったとしても、それは日本人の寛容性のことである。もしあなたが大衆の一員であれば、さほど無関係ではないか。
私は「オタクスゴイ」とそっくりな問題を抱えているのが「マイルドヤンキー」ではないかと思っている。地方のリア充の話題が出ると、なぜか不良とこじつけた話題が出てくる。不良とは縁のない人でもヤンキーのように扱われる、あの変な社会の空気である。
当たり前だが、リア充すべてが悪人なわけではない。大体ヤンキーの本来の意味は実は汚い。もともとはアメリカ人の白人を罵る言葉として生まれたものだ。ジャップと同じ意味合いでアメリカ人が「ヤ○○」の言葉を使うものとしてとらえてほしい。
マイルドヤンキーに代わる言葉はあるだろ。とんでもなくダサそうな文化を謳歌しているのは一握りの地方民のうちの一部とか、不良経験者だけではないかと思う。あのグダポンの撒き散らす固定概念への批判としてもいうが、私は地方を何度も見てきたが、北関東でもマイルドヤンキーなんて一握りの数しかいなかったよ。
そもそもマイルドヤンキーの言葉の根底に都会人による地方人への偏見がある。車好きを例に挙げるまでもなく、外国には日本人が思い浮かべる都市部の人間は殆どいない。むしろマイルドヤンキーの特徴として挙げられる、「買い物先でショッピングセンターに依存している」人は日本を出れば都市部ですら腐るほどいる。国土全体で鉄道依存社会が成り立つ国は、日本を除けば、オランダみたいな地形に恵まれる地域やシンガポールのような都市国家以外にない。
私はこの潔癖の究極が「子供」至上主義だと思う。日本人はみな車嫌いで鉄道好きというおかしな風潮も、子供のために嗜好を装う仕草だという。必死すぎる。大人な人は、それが普通ならしょうがないと受け入れるべきではないか。一番ひどいのは私鉄だ。
子供は日本人の美徳だと、道徳的な人を表す言葉として普及しているが、これはあの押しつけがましい「道徳」と同じうさん臭さを感じて、私は不気味に思っていることである。子供って要は非現実的理想の追求であり、病気だ。
そもそも日本の私鉄社会の根源は鉄道の公有化の失敗だとか戦争の連続による財政難だとか、歴史上におけるネガティブなものの副産物である。今でも「幼稚」とかいう。それはつまり堂々とした対等な存在としてリスペクトするものではなく、結局これは子供なる年齢を使った言葉で「恵まれない現実にある人達」を見下している、前時代的な、差別を連想する表現である。
欧米圏を見ればわかるように、鉄道は弱者というか、つまりよそ者、あるいは貧乏人や弱者のためにある公共施設であって、所得関係なしに使うことをよしとする、ましてや商売の道具としてみなす日本はおかしいのである。
一昔前ですら日本ではここまで「子供」はうるさくなかった。子供は大人らしい事由で成熟した男女を目指した途上段階であり、気づけば加齢で大人になっていた、あるいは10代ですでに見た目も中身も大人同然という人もごろごろいて、それがわずか15年ほど昔までの常識だった。
あるいは「リア充な美しい大人は好きですか」というように、青年性を脱した兄や姉であるべきだった。正しさではなく「美しさ」が評価された。この美しさという言葉自体清潔を意味するもので今の異常な潔癖主義に通じたのも、もちろん事実ではあるけどね。
特定の環境を聖域化し、あるいは特定の人を「聖人」化してみなし、それを潔癖性を極めた発想とともに崇拝し、潔癖と反する不都合な事実を見て見ぬふりをしたり、あるいは無理してでも隠蔽させようとしたり、それを指摘する存在を許さない、あの感覚。グダポンの言葉を借りればこれは畳精神である。
昔の高校を題材にした作品から黒髪すっぴんさんの描写を削減し、わざとそうでない人を代わりに差し替える。これも聖域を作る発想に由来することではないかと思っている。
その点、例えば私が韓国の学生をみて感動をしたのは、日本において学生というと黒髪が少ないイメージなのかもしれないが、実際には黒髪のおりこうさんが多くいたこと、そういう風潮がそこかしこにあったため、他人に緊張することがなかったからである。
バスの停留所で会話したローカルの若い女性は、なんかお茶目で、自分の生活圏にやってきた外国人を楽しませようというホスピタリティがあって、ものすごく魅力的だったが、やっぱり大人でオタクで、至上主義のない国のほうがよほど大人も魅力的だなと感じたのだった。
これは地方にも言える。マイルドヤンキーの連中なんてありゃ「普通のリア充か重度なオタク」だ。オタク?ってくらい偏執的で、大衆らしさに欠けている。いわゆる元ヤンさえ良くも悪くもリア充らしさがない(事実、彼らが外国に行くとサブカルオタク扱いになる)広い意味での問題なのだ。
日本に出てくるテレビのタレントには個性らしさがない。オタクがいない(例外はあるが)。根っこからのおりこうさんであることを売りにした俳優・声優がいないし、変わった趣味を売りにする者もいない。誰もがそうなるありのままもないし個人差もない。
これは、日本人の一定割合。どちらかといえば韓流ファン経験のある人たちで、同じくマイルドヤンキーか学がありそれなりに品格のあるような人が、ものの感じ方の成熟が遅れたことにあるんじゃないか、と私は思っている。子ども時代や貧乏なときは誰もが感性が幼稚で極端な理想を抱くものだ。
しかし、大人になり、10代になり、豊かになれば、あらゆる体験を通して現実を知るというか、様々な存在を知って、自分自身の肉体と考えの成長もあって、そういう非現実な理想を一度捨てることになると思う。代表が大学生における運転免許取得ラッシュだ。「免許取得者は学のない人のほうが多い」とか「都会人は一生免許と無縁」の虚構に気づく。
私達ネット原住民的には中二病とか高二病とも揶揄される、つまり冷笑主義にも陥るのだが、その現実・実在、不都合性を含めた事実の中にある魅力に気づき、そこから新しい夢を見出だしたりするのが、普通の諸外国ならハイティーンか遅くても20代で経験する段階で、日本人もかつてはそうだったのではないか。
そういうわけで、高学歴だろうと、立派な社会的地位にいようが、年齢が中高年だろうと、マイルドヤンキーと変わらないような潔癖主義の理想を振りかざして現実を拒絶したり自由な創造表現のユーモアを叩くあの感じは非常に納得がいかない。幼稚な人が多すぎる日本の現実がほんとつらいです。
(韓国などの例外を除く)外国のコンテンツは、優れた表現ほど徹底的に不都合な現実・事実に向き合っている。だが、それをただそのまま描いたり、不穏に誇張するだけではなく、そこから楽しさや夢を見出だそうとする傾向があると思う。その際にはお堅い因習を破ることになる。
だがその独創性の第一段階にある「お堅い因習を破ること」を全力否定するのがグダポンのいう「畳精神」であり、右派や私の言う「コリアニズム(文化的右傾化)」である。つまりどんな理不尽でもそれがしきたりで、その空間では聖域性を守るために自分が屈しなきゃいけないし、適応しない他者は咎めなきゃいけないという枷を兼ねた同調圧力も発生する。韓流ブームにものすごく親しんだ人ほど危ない。
ティーンエージャーになる前の現実離れした理想主義(と、それを理想を向けられた側がそのまま受けとめなければいけないということ)に畳精神やコリアニズムはとても相性がいいのである。新しい幼稚な感覚と、古い老いた因習をコラボさせると、アニメや漫画か特撮ドラマかビデオゲームまがいな、子供だヤンキーだという狂うジャパンがあふれるのである。
私が現代の日本はともかくとして一昔の韓流・華流コンテンツを敬遠したのは、アメリカのコンテンツとは違い、理想主義を極めたあのディズニーでさえ、そのテーマパークや映画などに「不都合な現実を受け入れた上でのイマジネーション」がないからだ。理不尽なものを批判的に描くこともなく、拒絶せずにそれを受け止めることすらしない。現実逃避ありきなのだ。
私の記憶する限り韓国や中国のテレビドラマやアニメには、日本人がネガティブ過ぎるとして驚いた自転車乗りの姿が描写されていない。1990年代や2000年代(2010年代)に日本型の暴走族が話題になったが、それを風刺するような作品は出てこない。当たり前だが韓国人や中国人のオタクを風刺するような作品もない(日本ですらオタク風刺作品はあるが)
そういう子どもたちはこうしたコンテンツの変わりに漫画や小説(ライトノベルを含む)やゲームのいかれた様子を見ることで、それを教訓にすることができるわけである。日本の作品で言えば喧嘩番長や龍が如くに出てくる「不都合な現実を誇張した」不健全で卑猥な日本の風景も、実は意外にも理想や夢とどこか通じるものがあるし、その中にもやはり社会に対するメッセージもある。
そう考えると、欧米程でないにしても自由な創意工夫性は日本においてはなんとか健在であり、その自由表現の娯楽を通して成長につながることもできたりし、その上でまた新しい夢が見れるというのが、本当にすごいと思っていて、韓国や中国にもそういうクリエイティビティを獲得するには、まず日本同様に現実至上主義と畳精神の解体を加速させることが必要なのだ。
柔軟性
あなたは、好奇心旺盛で興味の範囲が広く、ものごとを柔軟にとらえることができます。また、突発的なできごとに対して臨機応変に対応することも得意です。何に対しても「もっとよいやり方があるはずだ」と考え、様々なアレンジを繰り返していくため、あなたの取り組みはどんどん進化していきます。あなたにとって、ひとつのやり方しか考えないことは悪なのです。
結果を出し続けていることが知れ渡るにつれて、周囲の人は改善したいことがある場合、あなたの視点やアイディアを求めるようになります。
あなたは、等身大の自分を軸にして、現実的にものごとを考えることができます。また、実際にものごとに取り組む際は、成果のみでなく、そこにいたるまでの努力の過程も大切にしています。夢物語にはあまり興味がなく、実際的なものこそ価値があると考えています。あなたにとって重要なのは、「今この時」であり、「現実」なのです。
あなたは常に具体的で現実的な提案を行い、実現可能な目標を定め、真摯に努力します。周りからは「地に足がついている」と表現され、その堅実性・実現可能性を評価されることが多いでしょう。
悠然
あなたは常にゆったりと構え、じっくりと考えたり取り組んだりすることができます。長い目でものごとをとらえ、あせらず気長に進めることが得意であり、目先の小さなことに気を取られて考えが変わるようなことはありません。特に将来のことを考えるうえで、あなたの長期的な視点から生まれる発言や提案はとても参考になるでしょう。
また、悠然とした態度には、周囲の人を落ち着かせ、「改めて考えてみよう・焦って決断してはいけない」と考えさせる効果があります。あなたの精神的なゆとりが、周りの人を落ち着かせるのです。
「人と同じではつまらない」あなたはいつもそう考えています。あなたはオリジナリティにこだわりをもち、仕事でもプライベートでも自身が納得できるかを重視します。あなたは、常識にとらわれず広い分野から情報を収集し、興味がある題材が見つかると自分だったらどうするか必ず考えるなど、自身の独創性をより高める努力をし続けます。
周囲の人はあなたのユニークな発想に魅力を感じ、次にあなたが創り出すものを楽しみに待っています。
感情が細やかなあなたは、周囲の人の気持ちを思いやりながら行動することができます。ひとりひとりのささいな変化も見逃すことはありません。鋭い感受性で自然に気づき、彼らにとってできるだけ心地よい状態を創り出そうとします。周囲に対する配慮はもちろん、言葉をかけるタイミングや伝え方のトーンまで、相手に合わせて工夫することができます。
あなたは感受性を日常のあらゆるシーンで活かしているため、周囲の人は円滑な人間関係やスムーズな進行にあなたのきめ細かい配慮があることを実感しています。
前回『【新共通テスト記述式】氏岡真弓氏による朝日新聞の記事を批判する』という記事で、朝日新聞編集委員 氏岡真弓氏の署名記事について批判した。
その要点は、氏岡氏の記事が、国立大学協会入試委員会の対応に関して、(意図的にせよ結果的にせよ)明らかな印象操作を行い、「新共通テストの記述式試験を大学側が採点する」という方法が極めて問題の多い案であるという事実を十分に報じないまま、この方法の採用を後押ししてしまっているという点にある。
いくつかのコメントに飛ばし記事であるとか文科省側のリークというような話が出ていたし、私自身もその可能性はあると考えている。
しかし、その一方で、私は文科省も国立大学協会も正しく状況をレクチャしたにも関わらず氏岡氏自身が(意図的か無意識かはともかく)内容や方向性の間違った記事を書いた可能性、つまり氏岡氏の持っていた見解やバイアスや資質の問題が今回のような記事を書いてしまった原因である可能性も留保している。
これらの点を詳らかにするためにも、氏岡氏は自分自身の言葉で今回の記事に関する経緯を説明してほしいと考えている。
今回私が批判したいのは、8月19日付朝日新聞4面に掲載された『<解説>大学に負担、利用未知数 新テスト記述案』という記事である。
前回の内容は記事化の経緯に関する点であり、氏岡真弓氏に非があることは明らかであると(少なくとも私には)感じられる問題だったが、今回はもう少し論争的な部分を批判したい。
はじめに結論をかけば、
氏岡真弓氏は今回の新共通テストに関する問題特に採点方法の問題を論じる/解説するにあたって、この問題に関する十分な見識を欠いているのではないかということだ。
私が特に重要視している記事の記述は次の2つの記述に集約されている。
この問題を論じるにあたって、国立大学協会入試委員会の提出した論点整理や文科省の有識者会議=高大接続システム改革会議の出した最終報告は役に立つ。
私の批判の要点は、氏岡氏はこの記述の中で、記述式問題において何を問うかという点に関する検討・理解を十分に行わないまま独自解釈を述べていないか、ということである。
特に、「文章を理解し説明する設問」と「自分の考えを書く問題」とを明確に区別した書き方をし、大学側が採点する方法を採ることにより、後者が可能になったと断定している点である。
国公立大学の二次試験の国語で問われている問題はおおむね前者にあたり、文章の記述の内容把握や根拠説明を要求するものになっている。
一方小論文試験や国公立でも非常に僅かだが一部の大学(2016年度だと例えば滋賀県立大・静岡大・首都大学東京・島根大など。ほかにもあるかもしれない。)の国語の試験には、課題文の内容理解を踏まえる形で「あなたの考えを述べよ」という「自分の考えを書く問題」が出題されている。
では、新共通テストの記述式問題で本当に後者のような問題を出すことが想定されているのだろうか。
国語については、次期学習指導要領における科目設定等を踏まえ、知識・技能に関する判定機能に加え、例えば、言語を手掛かりとしながら、与えられた情報を多角的な視点から解釈して自分の考えを形成し、目的や場面等に応じた文章を書くなど、思考力・判断力・表現力を構成する諸能力に関する判定機能を強化する。(p.54)
とあり、ここにみられる「自分の考えを形成し」という語句は一見氏岡氏の記述に合致しているように見えるかもしれない。しかし、これは、例えば選択肢を選ぶのではなく自分の言葉で説明することを指していると通常は解釈するように思う。
実際、
「大学入学希望者学力評価テスト(仮称)」の記述式問題については、現在、国立大学の二次試験で行われているような解答の自由度の高い記述式ではなく、設問で一定の条件を設定し、それを踏まえて結論や結論に至るプロセス等を解答させる「条件付記述式」を中心に作問を行うことにより、問うべき能力の評価と採点等テスト実施に当たっての課題の解決の両立を目指す。(p.56)
と述べられていることを見落としてはいけない。最終報告のp.75に掲載されている図も見落とすべきではない。
つまり、「解答の自由度の高い記述式」や「小論文」は、創造性・独創性・芸術性の評価も含む問題であり「個別入試になじむ」と整理されている。
仮に大学が採点することになるからといって、この整理を放り出して、「解答の自由度の高い記述式」や「小論文」を出題するとか、
「自分の考えを書く問題」を出題すると述べるのは、議論の成果である最終報告よりも明確に一歩踏み込んだ記述になっていると言わざるを得ない。
では国立大学協会の「論点整理」ではどのように記載されているだろうか。
解答文字数をふくめて出題の多様性の幅が拡大することである。また、設問の中に構造化された能力評価の観点を踏まえつつ、各大学(学部)はアドミッション・ポリシーに基づき独自の採点基準を採用することができ、各大学(学部)の主体性が発揮できる。
ここでいう「解答文字数をふくめて出題の多様性の幅が拡大する」という記述には、氏岡氏の言うような「これまでの記述式で中心だった文章を理解し説明する設問と違い、自分の考えを書く問題づくりが可能」という趣旨を読むことはできないと私は考える。
というのも、ここでいう「出題の多様性」という文章は、前半にある次の記述を受けてのものだからだ。
全国共通試験への記述式・論述式問題の導入は、多肢選択問題では測ることのできない能力を評価するための大改革であり、適切にその能力を評価するためには相当数の問題が課されるべきである。また、評価すべき能力が個々の設問の中に構造化されるわけであり、その観点からは、短文記述式(40-50 字)設問のみでは、改革の主旨に沿った十分な評価を行うことができないと言わざるを得ない。解答文字数を含めて出題の多様性が出来るだけ拡大されることが望ましい。短文記述式のみでは早晩パターン化し入試技術化する危惧もあり、持続可能性の観点からも、同様のことがいえる。
これは、「これまでの記述式で中心だった文章を理解し説明する設問と違い、自分の考えを書く問題」を出題するべきというよりは、文字数は40-50字の短文記述よりは長めで、個数は多めにするべきということである。個数を多めにというのは扱う内容の多様性を確保せよといっているように私には見える。50万人が共通して受験するテストの場合、題材が1つだけだとどうしても能力よりもその話題になにがしかの知見があるかどうかなどの運の要素も出てきてしまう。十分な量の問題と十分な長さの解答要求をすることでしか「適切に能力を評価」することはできないだろうと言っているように見える。ここには、「これまでの記述式で中心だった文章を理解し説明する設問と違い、自分の考えを書く問題づくりが可能」というような観点は入っていない。氏岡氏の記述は国立大学協会の「論点整理」の文脈からもはみ出していると考える。
また高大接続システム改革会議の最終報告の参考資料2には、今回の新共通テストの問題例が掲載されている。(ただし、あくまでも何を問いたいかを例示するためで直接試験で出題できる問題として掲載しているわけではないという注釈付き。)この中の「国語」の問題では、交通事故の発生件数・負傷者数・死者数の年度変化を示すグラフを掲げ、「交通事故の死者数が他よりも早く,平成2年(1990年)以降減少傾向になっていること」の理由について考えさせている。要求しているのは、資料から読み取れる内容の記述や自分の主張を裏付けるためにはどのような資料を見ればよいかを記述させることである。これは、「自分の考えを述べる」問題ではないことは明らかである。
「出題の幅」とはどういう意味なのかはっきりしない。最初に取り上げた4面の解説記事の記述にもあるが、「自由記述」「本格的な記述」のような書きぶりにも現れているように、言葉の選び方が不用意で十分に検討したと思われない。
しかし一方で、氏岡氏の名誉のために、次のことは指摘しておくべきだろう。
読売新聞が8月20日付の記事『大学新テスト、英語「話す」で民間試験の活用案』の中で次のように記述している。
国大協は記述式の採点を、受験生の出願先の各大学が行う案を示した。(中略)国大協はテストを1月中旬に実施しても、各大学が採点すれば200字~300字程度の記述式が導入できると想定。大学による採点が難しい場合は、採点期間を国立大学前期試験直前の2月下旬まで延長する別の案も示した。
これも国大協が大学側が採点するという案を提示したという問題のある記述をしているのだが、それ以上に、国大協が「200字~300字程度の記述式が導入できると想定」などという「論点整理」には全く書かれていない話を登場させている点に注目したい。
「40-50字の短文解答式」ではまずいという議論から、いきなり「200字~300字程度の記述式」というところへ直接は結び付かない。
上の最終報告にある問題例は、40字以内と80字以上100字以内の設問である。通常、短文解答式ではないものを、という点でみれば、いきなり200字~300字となるのではなく、80字~100字程度の文字数ということを考えるのが自然ではないだろうか?
また国公立の二次試験を見ても、単独で200~300字の記述を要求する大学はむしろ珍しく、東大でさえ最大文字数の問でさえ100字~120字で述べさせる問題である。
もちろんこの「200字~300字」というのが、たとえば小問3個での合計解答文字数というなら話は違ってくる。(1個の大問全体での記述量が500~600字程度ということは珍しくない。)読売記事がそのあたりの正確さを欠く記事になっていることは批判されるべきだ。
といったことだ。
しかしどれであったとしても、氏岡氏の記事は、高大接続システム改革会議の最終報告からは乖離しているし、現状の国公立二次試験での国語の出題状況などについても十分把握しているとも言い難い。また19日時点では取材していなかったのかもしれないが、国立大学協会の「論点整理」とも乖離している。こうした点からも、署名記事を書いた氏岡氏はいったいどういう経緯と解釈でこの解説記事を書いたのか説明するべきだと私は考える。
実は、国立大学協会の論点整理の中には、次のような記述もあることを付け加えたい。
そもそも、記述式・論述式問題に評価すべき能力をいかに構造化できるかは、根源的な課題である。評価すべき能力の構造化があって初めて、各大学(学部)はアドミッション・ポリシーの中に、記述式・論述式問題を適切に位置づけることができる。しかしながら、国立大学全体にも大学入試センターにも、そのための知識やノウハウの蓄積は未だ十分ではない。平成 32 年度実施に向けて能力の構造化に向けた記述式・論述式問題設計の理論構築、体系化が喫緊の課題といえる。国大協としても、過去の各国立大学の個別試験における記述式・論述式問題に関する実績を調査・分析することなど、この課題に積極的に取り組んでいきたい。
これは、どのような形式で何を問うかということについて、決して十分な知見があるわけではないことを述べており、すなわちこ(「学力の三要素」といった抽象論ではなく)具体的な設計レベルでみれば、新共通テストにおける記述式問題の形式や内容についていまだに十分合意が取れているとは言えない現状を示している。にも関わらず、「これまでの記述式で中心だった文章を理解し説明する設問と違い、自分の考えを書く問題づくりが可能」とか「大学が採点を担う国立大学側の独自案が具体化すれば、入試改革は実現に大きく近づく」などと断定する氏岡氏の記述に私は強い不信感を抱かずにはいられない。
やっぱりゲームの面白さって人間の適正力に大きく左右されると思うのよね
そのジャンルにはそのジャンルに適した人間のスペックが本来あるはずなんだよ
例えば格闘ゲームに関して言えば最低限の反射神経は必要だが重要なのは反復する練習ができるかどうか読みができるかどうかというのが非常に重要
レーシングゲームも対戦は相手との駆け引きが発生するから読み合いが必要だしミスしない胆力と取り返そうとする心の強さも必要
RTSは全体の大局観というマクロ的能力と実際の戦闘の勝敗を分けるミクロ的能力の総合力が求められてさながら一人で軍師と将軍をする必要がある
独創性の求められるマインクラフトのようなシティ系のゲームでは発想力が求められて自分がいかにして目標設定できるかが鍵となる
モバゲーや艦これ系は課金要素を自分の領域内でどれだけ効率よく活用して自分の欲求を満たせるかを問われる
カードゲームはメタや戦略や対策されにくいデッキ構築、運の要素に対してどれだけ調整することができるか構築力と判断力が求められる
FPSはAIM能力や反射神経、戦況を把握する能力、コミュニケーションスキルが求められ単体での戦闘力とチームとしての作戦行動力が必要
MMOは資金調達の効率化やレアアイテム取得のための手段模索、目当ての武器調達までの最短ルート模索、条件下での最適解を探す、情報交換能力など探求心を求められる
その他色々
なのにゲームはゲームっていうジャンルで一般人からひとくくりにされてしまってるせいで
適正力があり楽しむこともできる潜在的ゲーマーが埋もれてしまい
実際プレイしてる自称ゲーマーは上手くも無いし適正もないのに下手な横好きで遊んでるやつが大半だと思うのよね
もちろん下手でも楽しめてる内はそれでいいけど自分が適正力がないのを
他人のせいにしはじめるケースが1つや2つどころじゃなくて沢山あるので
もっと実際のスポーツみたいにゲームにも向き不向きがあるということを啓蒙させていきたい
何が言いたいのかと言うと才能ないやつはゲームすんな
プレビューまでは全文見えるんだけどな。すまんやで。しかもまだ続く anond:20160426150324
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
前掲のセキュリティ文書は、アプリの認証情報 (client_id と client_secret) を盗んだ人ができる悪行にいくつか言及しています。以下に、この攻撃と組み合わせることで (これまで筆者の知る限り公表されていない) 危険行為を実行可能にする問題をいくつか取り上げます。さらに皆様の独創性にかかれば、「秘密」のはずのものを盗んだ人が悪用できる方法は他にも発見できるはずです。
トークンベースの認証は多くの開発者にとって新しい概念です。そのため誤解も多く、EVS のようなものを設計する開発者の中にも、ただ何かの設計ガイドライン (たとえば OAuth) に従って API の動作を決めれば、あるいは他のプラットフォームのしていることをコピーすれば、自分のプラットフォームも自動的にセキュアになるはずだと考える人が少なくありません。しかし何かをセキュアにするには、その要素ひとつひとつを余さずセキュアにする必要があり、それらの組み合わせすべてをセキュアにする必要があり、全体の枠組みもセキュアにする必要があります。思い出してください、全体のセキュリティ強度はその弱点の強度に等しいのですから、何らかの大まかなフレームワークを固守することだけに頼りきって、その通りに使う限り何をやってもセキュアだ、などと安心するわけにはいきません。OAuth ベースのフレームワークそれ自体は、その内部要素のセキュリティを確保することに関しては殆ど何もしてくれません (ある種の要素で、あからさまにセキュリティを害するものだけは別)。
トークンベースのシステムで少しでもセキュリティらしさを出すには、最低でもトークン生成に暗号学的にセキュアな擬似乱数生成器 (CSPRNG) を使う必要がありますが、この話題はあまりよく理解されていません。さらに悪いことに、一般的なスクリプト言語の適切な CSPRNG 用 API は非常に少なく、しかしそうしたスクリプト言語が、人気ある最新サービスの多くを設計する際の基礎となっていることが多いのです。
もし生成されるトークンが予測可能であれば、攻撃者はトークンを推測するだけで別のユーザになりきって悪意ある行為をすることができてしまいます。筆者は、fortune 500 クラスの大企業による OAuth ベースなサービスが一種の単調増加 ID (おそらくデータベースのフィールド?) をそのままトークンに使っているのを見たことがあります。他にも、生成されるトークンがすべて単調関数の出力のようなサービスもありました。よく調べてみると、それは現在時刻に基づく非常に単純なアルゴリズムでした。こうしたシステムでは、まず自分としてログインし、現在のトークン ID を見て、その後の ID を予測すれば、続く任意のユーザになりかわってトークン交換その他の操作にそれを使うことができるでしょう。他のテクニックと組み合わせれば、もっと標的を絞った攻撃も可能です。
このクラスの攻撃は前述のセキュリティ文書で「4.5.3. オンライン推測による新規トークン取得の脅威」や「4.6.3. アクセストークン推測の脅威」に分類されています。この問題には解決策があるとはいえ、現時点でこの間違いを犯しているサービスの膨大さと、この間違いの犯しやすさを考えると、任意の OAuth ベースなサービスが外部レビューでセキュリティを証明してもらえる可能性はあまり高くありません。
本欄の主眼ではありませんが、乱数に対する攻撃の中には、セキュリティを固めた CSPRNG を使っていないと OAuth ベースのサーバを完全に破壊してしまえるものもあります。こうした問題は他のシステムでも非常に困ったものではありますが、動作のすべてが乱数のやりとりの上に成り立っている普通の OAuth 実装では、より一層この問題が際立ちます。こうしたトークンは EVS のサーバ側で生成され、「普通の実装における」OAuth がよくやる使い方ではサーバの信頼性を奪い、関連するトークンすべての予測可能性を高めていきます。最新の攻撃手法を防げるセキュリティ強化 CSPRNG が用意できないのであれば、もっとハードルの低い別のプロトコルに乗り換えたほうが良いでしょう。
一方、一部の OAuth ベースの実装は乱数の必要性をクライアント側に移すような構造になっていることも注目しましょう。色んな意味で、これは問題を別の場所に移しただけではありますが、サーバ側のアタックサーフィスを減らすのは事実です。これによって、少なくとも情報強者な利用者は、信頼できるサービスをセキュアに使うことが可能になります。ただし情報弱者は脆弱なまま放置ですが。今回の例に当てはめてみると、この種のセットアップでは AFCP の開発者が頑張って EVS をセキュアに使えるようにすることと、EVS 自体が陥落する危険を回避することは可能ですが、ABC や XYZ が EVS をセキュアに利用するかどうかは別問題です。
本論に入る前に指摘しておきたいのですが、CSRF 攻撃はその名前に反して、外部サイトからスタートする必要はありません。CSRF 攻撃というのは、自サイトへのリンクをユーザが貼れる、掲示板やメッセージングソフトのようなサイト自体からでもスタート可能なのです。
色々な手法で CSRF に立ち向かうべく設計された数々のテクニックやフレームワークがあります。これらのシステムの多くは、OAuth ベースのものと統合すると使いものにならなくなったり、サイトを攻撃にさらしかねない行為を促すことがあります。
CSRF を防止するひとつの仕組みとして、ブラウザから送られる referer (原文ママ) が外部サイトを指していないことを確認するというものがあります。多くの OAuth 実装はユーザを特定の外部サイトから連れてくるよう要求しますから、この防御策は執行できません。OAuth サーバがリダイレクトする膨大なサードパーティのドメイン、また関係する URL やドメインの完全なリストは明文化されていないうえに折々で変更があるため、EVS のドメインとページ全体をホワイトリストにするのは不可能です。
また、EVS の提供者が寝返って AFCP を攻撃しようとする可能性がないかどうかも検討する必要があります。OAuth の背後にある原則のひとつは OAuth ベースのサービス側が利用者を信用しないことです、しかし同時に、利用者側には CSRF 回避策を見なかったことにしてサービス側を完全に信用することを要求しています。理想の認証システムというものがあるとすれば、一方通行ではなく相互レベルの不信を確立するでしょうに。
転送元と転送先のどちらかだけの、部分的なホワイトリストというのも難しいことがあります。使っている CSRF 対策フレームワークによりますが、機能のオンオフに中間がなく、特定のページや転送元だけを無効にすることができないかもしれないので、その場合 EVS 利用者は CSRF 対策フレームワークを一切使用できなくなります。
OAuth は CSRF 攻撃を防ぐ CSRF トークンを指定するようにと、オプショナルな state パラメータを定義しています。しかしながら、OAuth ベースのサービスは一般的に state の長さや文字種を制限し、要求どおりそのままで返さないことがあるようです。そこで、おかしな互換性問題が起こるため、多くの OAuth ベースサービス利用者はリダイレクトのエンドポイントにおける CSRF 防御をすべてオフにせざるをえない状況に追いこまれています。これは「10.14. コード・インジェクションと入力バリデーション」に分類されています。state パラメータの別の懸念は、EVS 側で state にアクセスのある人はだれでも、リクエストを改竄して、それ以外はまったく有効なままのパラメータを付けて AFCP にブラウザを送り返すことができるという点です。
OAuth ベース API の利用者は、自分のアプリやサービスを登録する際にひとつか複数の URI をカッチリ決めておくよう求められるという制限も課せられています。これは redirect_uri に使えるホワイトリスト URI です。この仕組みにひそむ重大なユーザビリティ問題は後述するのでひとまず措くとして、この制限のせいで開発者は、state パラメータや他の潜在的に危険の伴うアイディアで姑息な工夫をこらし、泥沼に沈んでいくはめになっています。多くの OAuth ベースなサーバは、ホワイトリスト URI をひとつしか許可していなかったり redirect_uri との完全一致のみ有効でパラメータの追加を認めなかったりしています。このせいで開発者たちは CSRF 対策フレームワークの利用をやめたり、あらゆる危険なものを state パラメータに詰めこもうとし始めたり、浅薄なシステムを自前で作り出したりしています。その結果、redirect_uri と state の組み合わせによってはユーザを不適切なページに誘導する危険性が出てきます。これは「10.15. オープン・リダイレクト」に分類されます。
こうしたリダイレクトの問題は、パラメータをしっかり認証していないせいで、それ自体が悪用可能なのですが、これを前述の「OAuth サービスへの偽装」問題と組み合わせるとユーザに大惨事をもたらしかねません。盗んだ client_id と client_secret を使えば、悪いやつらは AFCP とまったく同じ情報で認証できるので、本物の AFCP にも見ぬけないようなリダイレクトを作ることができます。また、悪意あるユーザも、本来自分の持っていない AFCP 内の権限を取得するような state パラメータの利用方法や改竄方法を見つけることができるかもしれません。その際には、おそらく盗んだ認証情報も使うことでしょう。概して、「普通の実装における」OAuth の低品質な設計のせいで、また特定の分野に関する教育レベルが低い外部開発者の直面する問題のせいで、OAuth ベースの利用者に対する攻撃はしばしば、本来あるべき状態よりもずっと容易になっています。
ここで読む意義のあるものとして、さらに「3.5. リダイレクト URI」「3.6. state パラメータ」「4.4.1.8. redirect-uri に対する CSRF 攻撃の脅威」があります。
セキュリティに関して言えば、「普通の実装における」OAuth の仕事ぶりはとてもひどいです。OAuth が目指していると思われるセキュリティ目標の多くは、達成されていません。さらに、OAuth ベースなサービスの中には、種々の攻撃に対して無防備でいることを利用者に公然と要求するものがあります。サービスをセキュアに使える場合も、そのことが知られているとは限らず (サービス側の、トークン生成手法といった重要なセキュリティ詳細が明文化されていないうえにクローズドソースなため)、OAuth は今なお多くの低品質なプログラミング習慣を招いています。OAuth は外部の開発者を守る点でほとんど何もしませんが、そうした開発者が使っている各種フレームワークの方はといえば、こちらも真のセキュリティを提供していなかったり、厳しい自制と注意がなければセキュアに使えなかったりする代物です。
この記事についていえば、個人的に蔓延していると思った問題の一部を取り上げたものに過ぎません。この中には、極度に低質な、一切 OAuth の規格で義務付けられていない慣習を、他所で OAuth に使っているのを見たまま開発者がコピーした結果というものもあります。
OAuth ベースのサービス開発者もその利用者側の開発者も、OAuth ベースのプラットフォームを実装したり利用したりするためには、ここでリンクした文書をすべて読んで理解する必要があります。挙げられている 50 クラスの攻撃も、各クラスの深刻度も完全に把握する必要がありますし、そのうえで「実装の仕様書やセキュリティ・ガイドラインには漏れがないとは限らない」ことにも留意すべきです。この記事は公式文書にない問題をいくつか取り上げているとはいえ、OAuth セキュリティ問題の表面をなでているに過ぎないことも覚えておくべきです。ここに混ざって、公式 OAuth 提案に加えられる変更点はどれもまったく新たなセキュリティ問題を引き起こすものですが、残念ながら変更はよくあることなのです。そこで各々が、乱数生成やセキュリティ調査技術といった OAuth 以外のセキュリティ関連分野も理解していなければ、OAuth でそれなりのレベルのセキュリティを実現することはできません。
真のセキュリティをお探しの方には、よそを探すようお勧めします。最後の章で OAuth の代わりになる選択肢をいくつか取り上げます。
(略: ふつうの実装では、サービス側がプラグを引き抜くようにして自由に利用者を出禁にできる。ビジネス的にもまずいし、悪意あるユーザが API 利用者を騙って出禁になるとアプリへの DoS になる。)
(略: サービス側からは API 利用者という大きすぎる単位でしか見えないので、たとえばビデオカメラのアプリ単位で利用帯域などを制限せざるを得ないが、そうするとそのビデオカメラは、一部ヘビーユーザのせいで他のユーザが締め出される事態になる。OAuth 以外のサービスならふつうユーザ単位。対策としてユーザに開発者アカウントを取得してもらうのも面倒すぎる。ていうか手動プロセスを挟んでたり。)
(略: ふつうの実装は SaaS モデルしか見ていないので、URI を持たない AFCP のような社内ソフトや、ビデオカメラのようなデスクトップアプリには使えない。アプリが cURL 的なもので API を叩こうとしても、JavaScript が必要だと言い張るサービスもある。グローバル企業が地域別にドメインを分けていたら URI が足りない。客ひとりひとりにサブドメインを与える製品だと URI が足りない。足りるとしても追加・更新がメタ API で簡単にできない。ひとつの URI ですべてのリクエストをこなすのはセキュリティ問題もあり、ロードバランス等の必要性も出るし、社内ソフトやデスクトップアプリに余計なウェブサイトへの依存性を加えることになる。httpサーバをlocalhostで立てるとかアホか。)
(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認
OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324
http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html
認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。
OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。
前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法で OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。
言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りの OAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。
また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法で OAuth を使っているサービスの利用者であっても、また自ら OAuth ベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。
この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。
この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。
この前書きのあとは、まず OAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。
その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。
最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。
いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーが OAuth ベースのサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。
筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。
というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。
ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。
この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。
まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。
ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。
ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。
ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。
トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:
上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。
さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:
このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。
この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。
(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)
(略: そうした詐欺を企業自体が後押ししているような風潮もある)
(略: スタンドアロンのアプリなら、ログインを詐称する必要すらない)
この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?
クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。
さらに
クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。
基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。
私の知る主要な OAuth ベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。
OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。
OAuth ベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティのプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローを OAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。
「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。
EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に Facebook が GMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員 GMail に対して Facebook そのもののふりをすることができてしまうということです。
この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。
ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。Google は OAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:
client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)
Citrix もこんな間違いをしています:
(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)
Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。
サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。
この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者は OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームが OAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
ウンコしたいセックスしたい肉くいたい金欲しい殴りたい壊したい寝たいサボりたい愛されたい。
でも本音だらけで世の中成り立つと思うか?
本当に本音が良ければそれだけで成り立つはずだろ。
つまり答えはNO。
アダルトチルドレン向けのラブロマンスドラマのオチは紆余曲折あって本音の告白してハッピーエンド。
完全に独創性のない脚本家の責任なんだけどこれを繰り返しまくったおかげで、
恋愛脳は「本音」=「自分にとって都合のいい言動や唯一の正解」と解釈しだす。
本音で言ってほしいというから「お前食い方汚いよな」というと烈火のごとく怒りだす。
哀れスイーツ。
理由その2.飲みにケーション
アルコールが入らないと意見交換が円滑に進まない幼稚な日本社会。
社内におけるコミュニケーションが成熟していないのを酒を借りて解消させようとする。
その場で本来共有できる情報を本音を言ってもらえたから良くなったと勘違いした結果。
それは「本音」じゃなくて「業務上共有しなければいけない情報」であって本音ではない。
職場での本音っていうのはあいつ俺より業績低いのになんで部長はあいつを評価してるんだよふざけんな、とかそんなん。
そんなんぶちまけたら終わるだろ。
人を労わろうとする、傷つけないようにするためには必ず嘘が必要だ。
『生き延びるための作文教室(14歳の世渡り術)』 石原千秋:著 2015年
・読書感想文などという何の役にも立たない糞のような課題を課せられる中学生のために、
"学校が生徒に何を求めているか"を解説し、それを意識した上で、せめてその枠の中で個性的に"見える"作文を書く手法を教えよう、というロックな本。
たとえば、先生に「もっと客観的に自分を見なさい」などと説諭されたことはないだろうか。端的に言って、これは罠である。この時先生が期待している、あるいは強いている答えは簡単だ。「私はまちがっていました」だけだ。
『伝わる・揺さぶる!文章を書く』 山田 ズーニー:著 2001年
・「その文章、何のために書くか?」
文章を書くときには「その文章が何を目的とするか」ということを見失ってはいけない。と解説する本。
会話と同様に、文章にも読み手と書き手のすれ違いがある。就職活動の自己推薦状の例で考えてみよう。
学生Dは、会社訪問を申し込み、「形式は自由だから、自己推薦状を書いて持ってきてください」と言われた。
Dは考えた。「学生生活を振り返って、自分が唯一やってきたのは音楽だ。自分には、音楽しかとりえがない」。そこで、「音楽への情熱では誰にも負けません」という趣旨の自己アピールを書いた。
このままの文章では、採用担当者は首をひねるだろう。その会社は、音楽にまったく興味がない。音楽への情熱が、入社後、何の役に立つのだろうと。
まったくかみ合っていない。採用担当は、仕事への適正を見たいのだ。その問題関心から外れたところで、どんなに自分をアピールしても意味がない。どうすればいいのだろうか。
文章書くなら読んでおいて損はない鉄板本だが、内容濃すぎて読み込むのに時間がかかる。
文章の綴り方がいくら上手くなったとしても、それに見合うほどに就職試験の評価が上がるわけではないので、
これまでの日本語教育の根幹を流れる方針は、理解力や記憶力ばかり重視し、独創性・想像力・創造力を最も必要とする作文を軽視または無視するというやりかたです。
~
だから今の小学校では、「綴り方」の時間さえも少なくて、そのかわり「読書感想文」などというものがあるんですね。
あれは作文というよりも理解力のテストみたいなもので、あれで作文をやったつもりでいたら噴飯ものというべきでしょう。おかげで読書も嫌いになる。
文章関係の本を読んでいると、「読書感想文は何の役にも立たない。あんなものを子供に書かせるな!」と筆者が憤る内容の記述がよくあるので、学生時代に読書感想文が書けなかったからといって気にする必要はないと思いますよ。
ゲーム実況なんてゲームを実況しているだけであってそこに絡む法的問題性とか収益性とかは大したことじゃねーんだよ。
認められようが認められまいがやってることはそんなに変わってないじゃねーか。
オリコンがクソだから音楽が終わった、みたいな話してるだけじゃねーか。
MADの方がよっぽどアングラでしかなりえないような文化だよ。
個人的にその辺ってのは意外とそんなに高い壁じゃないと思うんだよね。
アニメ系とか音楽とかは二次利用が認められつつある傾向があるし。TPPでどうなるかは知らんけど。
いちばんの問題は、たぶん倫理的な問題。モラルとか、人権とか。
「MAD」っていうのは簡単にいえば、映像や音楽を編集してつなぎ合わせた動画のことだ。
一口にMADといってもいろいろあって、映像を音楽に合わせて繋ぎ合わせて気持ちのいい動画を作ってる人たちもいるし、音声を編集して中毒性のある音楽を作ってる人たちもいるし、コラージュを駆使してネタ動画を作ってる人たちもいる。
そんなMAD文化のなかで一大勢力を築いている界隈ってのがあって、ニコニコのカテゴリでいうと「例のアレ」に分類される界隈である。
こいつらが非常に厄介。超絶に迷惑でありつつもなぜかクリエイティブ。
「例のアレ」系とは、つまりは「真夏の夜の淫夢」だったり「エア本(創価)」だったり、「レスリングシリーズ」だったり。(最近は「某弁護士関連」もだったり)
共通しているのが、元ネタとなっているものを茶化しているという点。つまり、明らかに個人の名誉を傷つけている文化であるということ。(レスリングは公認されてるのもあるけど……)
今風に言えば「ヘイト」と呼ばれる類のもので、不快極まりない文化であると言える。
だから「こんな文化すぐに消え去ってしまえ」という意見が非常によくわかる。同意する。
しかし、同時にこの界隈が創り上げてきたものってのは妙に独創性があって、このまま黙殺してしまうのももったいないなあ、と思うくらいなのである。
この界隈から派生してきたものってのはネットに意外と多くあって、良し悪しとかではなく、「検証され得るべきモノ」だと思うわけである。
「アオイホノオ」でちょっと話題になったことがあったが、後のガイナックスのメンバーが作ってた映像も「MAD」的なモノだった。
本物のウルトラマンの音を録音して自分たちの映像に合わせる。まさしくMAD動画だ。
さらに「DAICON」も超絶技巧の手描きMADといってよいだろう。
というかMADの源流「MADテープ」の起源もどうやらこの辺にあるらしい(http://ch.nicovideo.jp/nyutoi/blomaga/ar574424に詳しい)
プロがやったらアウトなものだが、アマチュア・アングラでやってるからこそ出来たもの。そしてそれが後年になって評価されている。
程度の差こそあれ、(天と地ほどあると思うが……)「例のアレ」系のMAD文化ってのも何かしら検証され得る価値があるものだと思うのだ。
さらにいえば、ニコニコ以前の時代、FLASH動画ブームも文化的価値があるのではと思っている。(というか既に文化庁主催「日本のメディア芸術100選」に「ゴノレゴシリーズ」が選ばれている。)
このFLASHにおいて人気を集めたのも、特定の人・モノを茶化しているものが多い。(ムネオハウス、代ゼミ、田代、騒音おばさん、……)
公には認めにくいものだが、十分すぎるほどの創造性があったといってもいいだろう。
どうもネット上で創作をする人たちはこういうヘンなものを好んで使いたがるようだ。
だがしかし、この辺の文化ってのは本当に害悪であるというのは認めなくてはならない。
淫夢厨とか、恒心教とか、明らかに倫理的に(というか法的にも)アウトなものである。
それなのに、特に淫夢系の文化なんかは日々拡散され続け、ネットの一大勢力になってしまった。
ものすごいヘンな状態である。ヤバい状態である。それはネットを見てる人なら少なからず感じているだろうと思う。
この辺のネタを嫌う者は、明らかにアウトなのでスルーする。好む者は、ただ面白がっているだけなので無邪気にネタを拡散していく。
深津さんのエントリ(http://bylines.news.yahoo.co.jp/takayukifukatsu/20150907-00049112/)は、基本的には佐野氏と委員会の説明をなぞったもので、デザイナーでなくても彼らの説明で「なるほど劇場ロゴのパクりではないのか」と納得した人は少なくないと思っていたので、この内容に対して「なるほどわかりやすい!」と関心している人が多いことに逆に驚いている。
これを読んでも納得いかない人がいるのは、おそらくデザイナーが「似ていない」という言葉を使って反論しているところに理由があるのではないか。万人に納得してもらう説明としては、「似ているが、パクリではない」が正しい。
あのエントリでも書かれているとおり、デザインは装飾ではなく最適解を求める設計なので、限られたパターンであれば結果が似てくることは珍しくない。
ゆえに、色々やった結果が「似てしまう」ことも「悪」とはされないが、同じ見た目のものが氾濫すると混乱を招く(それこそ社会におけるデザインの目的と反する)ので、商標などのルールによってお互いの利益を損なわない形で解決しましょう、というのが現代社会におけるお約束になっている。
だからこそ、海賊版など意図的にこのルールを侵し、混乱させ、利益を得ようとする「パクリ」行為は「悪」なのだ。
委員会が「法的には問題がない」と判断したのも、上記のルールにのっとってリェージュ劇場のロゴが商標登録されていなかったことから、「似ている」が「違法ではない」という当然の結論である。事実、佐野氏の初期案は「似ている」商標があったので修正を行ったと説明されているので、もしリエージュ劇場のロゴが商標登録されていたら、(撤回はされたが)現在のエンブレムも「似ている」ことを理由に委員会からNGとされていただろう。
当初、デザイナーがこぞって「パクリではない」と佐野氏を擁護した理由は、そういうことだ。エンブレム最終案があのデザインになった課程について、十分納得のいく説明はなされているし、最初から擁護していた人達はそのデザインの良し悪しは別として、コンセプトも含めてなんとなくでも理解していたはずだ。
その上で、なお疑義が残るとすれば、意匠=見た目の問題において「初期案を作るときに“T”の右下に●を置くアイデアはチヒョルト展からいただいちゃったんじゃないの?」という点だろうか。「9分割のモジュールでアルファベットを表現する」というアイデアは、言ってしまえばそれほどオリジナリティが高いものではないが、「鼓動のパワー」を表現するという「●」が「T」の右下にあるのはこのエンブレムのオリジナリティの一つだといえよう。それが佐野氏が過去に見た展覧会のメインビジュアルに由来するのでは? という疑問が生じたわけだ。だからデザイナーの矜持として、原案とチヒョルト展のポスターの類似の話が出たタイミングで、当初は佐野氏擁護だったデザイナーの中から批判に転じる人が出たというのも、おかしな話ではない。「(身内として)擁護しきれなくなった」のではなく「初期案のコンセプトの正統性に疑問を感じた」のだ。だが、これも「疑惑」にすぎず剽窃の「事実」は認められていないので、真実は闇の中である。
個人的には、佐野氏のエンブレム以外の仕事を見ても、面白いものはあるが独創性に欠けるという感想を抱かざるを得ない。日本の広告やエンターテイメントの世界においてよく見かける、海外で売れているが日本にはまだ入ってきていないものを「いただいちゃう」ようなやり方にどっぷり浸かりすぎてるんじゃないの? と思わないでもない。
もちろん、サンプリングや本歌取りという手法がクリエイティブを発展させることは確かだし、オマージュやパロディによって発揮される作家性は存在するので、そういった行為を否定するものではない。だが、それらの手法は「コンテクスト(文脈)」に乗った上で初めて効果があるものである。サントリーのトートバックのイラストの件などはコンテクストも何もなく「いただいちゃった」案件そのもので、悪質である。(パンの写真やメガネの写真を無断で素材使用したのはまた別の問題だ。)佐野氏の事務所のクリエイティブに、こういった姿勢が垣間見えることで、オリンピックという大舞台のデザインワークを担うのにふさわしいデザイナーであるかどうかを問われてしまうのは仕方がないことだろう。
とはいえ、現在の「パクリ批判」のあり方は、その内容や手法において明らかに間違っている。
ここで長々と述べてきたことようなことを理解しているのかいないのか、本質とずれた批判をセンセーショナルに書きたて、多摩美など佐野氏が関わっている所なら話題性があるとばかりに火をつけて回るnetgeekやまとめサイトの在り様と、それに扇動されるネット民のリテラシーのほうが、パクリ疑惑以上に深刻な問題なのではないだろうか。