正直、最初は「また息子が難しい話を持ってきた」と思った。
LiteLLMとかいうソフトウェアのバージョンアップ情報で、v1.88.2とかいうリリースノートを見せてもらった。GitHubとかいうサイトのページで、スター数が50,000を超えているらしい。うちみたいな田舎の土木屋が見るようなもんじゃないと最初は思った。
ただ、息子の説明を聞いていたら、ひとつだけ耳に残った言葉がある。「署名を検証する」という話だ。このLiteLLMとかいうシステムは、Dockerという仕組みでソフトを配布するとき、cosignという道具でそのソフトに署名をつけているらしい。受け取った側が「本物かどうか」を確認できる仕組みだと言う。さらに、コミットハッシュという番号で紐づけられていて、それが「暗号的に書き換え不可能」なのだという。
なんだかわからんが、要は「偽物のソフトが混入しないようにしている」ということだ。
「それ、うちの話で言うとどういうことだ」と息子に聞いたら、こんな返答が来た。「去年から使い始めた工程管理のクラウドシステムがあるでしょ。あれ、アップデートのたびに誰が確認してるの?」。
返す言葉がなかった。確認している人間など、誰もいなかった。
親父の代から、材料の受け入れ検査は徹底してやってきた。生コンの強度試験、鉄筋の寸法チェック、書類の確認。現場に入るものはとにかく確かめる。それが建設業の基本だと叩き込まれた。
従業員45名のうち、現場に出る職人が30人以上いる。2024年問題で残業規制が厳しくなってから、工程管理を効率化しようとシステム導入をいくつか進めてきた。補助金も使いながら、ここ2年でソフトが3本増えた。ただ「入れた後のこと」があまりに雑だったと今さら気づいた。
システムは現場の材料と違って目に見えない。だから確認を省いてしまっていた。誰かが悪意を持って偽のアップデートを仕込もうとしたとき、うちには止める術がなかった。
LiteLLMの話に戻ると、このソフトは確認の方法を2通り示している。ひとつは「コミットハッシュ」で確かめる方法で、こちらが推奨とされている。もうひとつは「タグ名」で確かめる方法で、こちらは読みやすいが若干リスクがあるという。
どちらを選ぶかはリスクと利便性のバランスで決める、という考え方だ。それ自体は建設業の安全管理と構造がよく似ている。
息子と話し合って、まず今使っているシステムのアップデート履歴を洗い直すことにした。誰がいつ何を承認したか記録をつけるルールも作る。大げさなことをするわけではない。現場でやっていることをデジタルにも当てはめるだけだ。
「うちみたいな会社には関係ない話だろ」と言い続けてきたが、関係ない話など本当はほとんどない。自分が知らなかっただけで、リスクはとっくにそこにあった。今年の冬、地元の酒蔵でひとり飲みながら、そのことをしみじみ考えた。
LiteLLMとかいうソフトウェアのバージョンアップ情報で、v1.88.2とかいうリリースノートを見せてもらった。GitHubとかいうサイトのページで、スター数が50,000を超えているらしい。うちみたいな田舎の土木屋が見るようなもんじゃないと最初は思った。
「署名」という言葉にひっかかった
ただ、息子の説明を聞いていたら、ひとつだけ耳に残った言葉がある。「署名を検証する」という話だ。このLiteLLMとかいうシステムは、Dockerという仕組みでソフトを配布するとき、cosignという道具でそのソフトに署名をつけているらしい。受け取った側が「本物かどうか」を確認できる仕組みだと言う。さらに、コミットハッシュという番号で紐づけられていて、それが「暗号的に書き換え不可能」なのだという。
なんだかわからんが、要は「偽物のソフトが混入しないようにしている」ということだ。
「それ、うちの話で言うとどういうことだ」と息子に聞いたら、こんな返答が来た。「去年から使い始めた工程管理のクラウドシステムがあるでしょ。あれ、アップデートのたびに誰が確認してるの?」。
返す言葉がなかった。確認している人間など、誰もいなかった。
親父の代からの「人の目で確かめる」習慣が、デジタルには抜けていた
親父の代から、材料の受け入れ検査は徹底してやってきた。生コンの強度試験、鉄筋の寸法チェック、書類の確認。現場に入るものはとにかく確かめる。それが建設業の基本だと叩き込まれた。
従業員45名のうち、現場に出る職人が30人以上いる。2024年問題で残業規制が厳しくなってから、工程管理を効率化しようとシステム導入をいくつか進めてきた。補助金も使いながら、ここ2年でソフトが3本増えた。ただ「入れた後のこと」があまりに雑だったと今さら気づいた。
システムは現場の材料と違って目に見えない。だから確認を省いてしまっていた。誰かが悪意を持って偽のアップデートを仕込もうとしたとき、うちには止める術がなかった。
LiteLLMが教えてくれた「確認の型」
LiteLLMの話に戻ると、このソフトは確認の方法を2通り示している。ひとつは「コミットハッシュ」で確かめる方法で、こちらが推奨とされている。もうひとつは「タグ名」で確かめる方法で、こちらは読みやすいが若干リスクがあるという。
どちらを選ぶかはリスクと利便性のバランスで決める、という考え方だ。それ自体は建設業の安全管理と構造がよく似ている。
- 現場レベルで確認できる簡易な方法
- 絶対に外せない場面では厳密な方法
- どちらも「記録を残す」ことが前提
息子と話し合って、まず今使っているシステムのアップデート履歴を洗い直すことにした。誰がいつ何を承認したか記録をつけるルールも作る。大げさなことをするわけではない。現場でやっていることをデジタルにも当てはめるだけだ。
「うちみたいな会社には関係ない話だろ」と言い続けてきたが、関係ない話など本当はほとんどない。自分が知らなかっただけで、リスクはとっくにそこにあった。今年の冬、地元の酒蔵でひとり飲みながら、そのことをしみじみ考えた。