WP Fastest CacheによるMW WP Formが送信できない不具合




 

先日、WordPressで制作したサイトで突如メールフォームが送信できない以下の事象が起こりました。

 

  1. 入力後、確認画面で別のユーザーの入力情報が表示されてしまう。
  2. 再度入力しても確認画面に遷移せず入力画面に戻されてしまう。

 

公開後、半年経ったあとの出来事で今までは正常に受信していました。

上記の1の事象に関しては最初ゾッとしましたが、早期的に原因を突き止める手がかりとなりました。

 

原因はキャッシュ系プラグイン

メールフォームのプラグインはMW WP Formを使用しており、設定画面やソースに異常は見られず、狐に包まれた気持ちになっていた頃、WordPressでなにか起きた時はだいたいキャッシュ系のプラグインの仕業だろうと思い、試しにWP Fastest Cacheを停止。

 

その後、再度送信テストを実施したところ不具合が解消されました。

 

しかし、WP Fastest Cacheを停止してしまうと、PageSpeed Insightsでスマートフォン表示のスコアが30も下がってしまい一気に真っ赤っかに。




WP Fastest Cacheをページ毎に設定除外

去年2018年、SEO業界を賑わしたメディックアップデートとともに重要事項である、MFI(モバイルファーストインデックス)評価を下げるわけにはいかず、WP Fastest Cacheの設定を再度見直したところ、個別のページ、つまりURL別に設定を除外できることが分かりました。

 

手順1

WordPress管理画面のメニューから「WP Fastest Cache」>「除外する」タブを選択。

 

手順2

上段に「除外するページ」という項目があるので、右側の「Add New Rule」ボタンを押します。

 

WP Fastest Cacheのページ除外

 

手順3

「Exclude Page Wizard」というウィンドウが開くので、「If REQUEST_URI」のプルダウンから「Is Equal To」を選択。

 

WP Fastest Cacheのページ除外

 

手順4

入力項目に、メールフォームを要するページのURLを入力し除外させます。最後に「Save」ボタンを押して完了。

 

WP Fastest Cacheのページ除外

 

以上で、メールフォームを要するページのみWP Fastest Cacheが適用されなくなり、ページスピードのスコアも落とさずに済みました。

 

確認画面なども除外しておく

フォームが表示されているページのみを除外してもまだ安心してはいけません。

 

以前、ユーザーから「フォームの確認画面へ進まない」という電話がきたことがあります。

 

コンバージョン計測やユーザビリティのために確認画面や送信完了画面が必要でMW WP Formをメールフォームとして使用している人が多いかと思いますが、確認画面と送完了画面も除外設定しなければならないことを忘れずに。

 

そうしないと、確認画面ページには遷移せず、真っ白な画面になってしまいますので。

 

さいごに。

キャッシュ系プラグインは便利な反面、むかしからヒヤヒヤさせられていて、設定には気をつけているつもりでしたが久しぶりに肝を冷やす思いをしました。




「WordPressを守ろう!セキュリティの最新トレンドと対応事例」で得た対策と知見




 

Tokyo WordPress Meetup主催の「WordPress を守ろう!セキュリティの最新トレンドと対応事例」にWebデザイナーと一緒に参加してきました。

 

Tokyo WordPress Meetupのイベントへの参加は、去年の旧WordBench 東京「Webサイト制作プロジェクトマネジメント入門」以来久しぶり。

 

厄年のせいか、去年から今年にかけてリダイレクトスパムDoS攻撃の対応に追われたこともあり、今回のテーマは非常に楽しみにしていました。

 

WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ

最初のセッションは表題の通り、WordPress ユーザー・管理者・開発者がおさえておきたいWebアプリケーションセキュリティのトレンドの解説を、OWASP Japan(オワスプ ジャパン)の松本悦宜氏がスピーカーをされていました。

 

僕はまず、OWASP(オワスプ)の存在を知りませんでした。

OWASPは、Open Web Spplication Security Projectの略で、Webセキュリティを取り巻く問題を解決するために各国の専門家が集結した国際的なコミュニティで、日本にも10の拠点があります。WordPressを愛するWordPress Meetupのようですね。

 

のちに、そのOWASPが発表している脆弱性と対処法に関するドキュメントなどを含め、WordPressにおけるリスクの確認と対策方法が紹介されました。

 

サイト改ざんなど、セキュリティリスクが多く報道されていますが、中でもWeb制作やWeb運用に携わっている人たちの間では、WordPressはセキュリティが弱いと思われがちですが、これは単にWordPressがCMSの中で圧倒的にシェア率が高いだけの話で、当然なにか脆弱性が発見されればそれに比例してしまい、他のCMSに比べれて名前が上がりやすいということで、決してWordPressが突出してセキュリティが弱いということではない冒頭のお話に納得しました。

 

リスクを確認するための3つのドキュメント

WordPressを安全に使うためにはどうすればいいのか。なにごとにもリスクヘッジができて越したことがないように、Webアプリケーションのセキュリティにおける最新の情報やトレンドを確認できる信頼性あるドキュメントが3つ紹介されました。

【1】OWASP TOP 10

前述のOWASPが発表している、最も注意すべき脆弱性と対処法が10件まとめられており、内容は3年おきに見直され更新。日本語版もあります。

OWASP TOP 10 – 1017(PDFドキュメント)

 

【2】WordPressセキュリティ白書

WordPress.orgで公開されている、まさにWordPressに特化したセキュリティ対策がまとめられています。日本語版もあります。

WordPressセキュリティ白書

 

【3】OWASP WordPress Security Implementation Guideline

OWASPのサイト内で提供されているWordOressに関連した情報のドキュメント。WordPressの様々な設定がまとめられているけど、現状は英語版のみです。

OWASP WordPress Security Implementation Guideline

 

3つのWordPressセキュリティ対策

【1】WordPressのログインを守る

ログイン画面のセキュリティ設計として、

  1. wp-login.phpのアクセス制限
  2. 2要素認証、アカウントロック
  3. パスワードポリシーの確認

 

上記3つが考えられますが、運営者への負担の許容など、ユーザーがどう使うかも考慮もしながら設定しなければならないとのこと。

 

しかしながら、3番目のパスワードポリシーは重要とのことです。映画(スターウォーズやスタートレック)のキャラクターやポケモンなどの名称を使用したパスワードは特にあぶないそうです。

 

僕の場合、クライアントの案件でもwp-login.phpのアクセス制限とパスワードポリシーだけは実施しております。

 

【2】脆弱性情報を確認する

WordPressの管理画面の更新情報に注目し、下記3つは最新のヴァージョンに保つ。

  • 本体
  • テーマ
  • プラグイン

 

注意すべきは、使用してないプラグインは削除する。停止では不十分だそうです。また、今回お話には出てきませんでしたが、使用していないテーマのバージョンアップや削除もしておいた方がいいという話を聞いたことがあり、例えば、WordPressをインストールするとデフォルトでバンドルされているテーマなどは不要の場合は僕は削除しています。

 

【3】WordPressの関数を使う

正しくWordPressの関数をしようしないと、SQLインジェクションやXSS(クロスサイトスクリプティング)といったデータベースへの漏洩や書き換えなどの攻撃にさらされる危険があるとのこと。

 

以前、固定ページでPHPをかけるようにするためのプラグインExec-PHPにてeval関数が使用されていて非推奨になった記憶がありますが、そういったことでしょうか。

 

とにかく、攻撃者が裏口を作り、PHPをアップし遠隔操作などを行うバックドアの話は恐ろしかったです。

 

 

セキュリティ診断ツール2点

最後に、推奨のセキュリティツールを紹介しておりました。

OWAAP ZAP

OWAAPが提供している診断ツールで、動的スキャンで擬似攻撃による検証ができるそうです。OWAAP ZAPの記事などのキータに一番まとまってるそうです。

検証といっても、結局は自分でサイトを攻撃していることになるので、自社で計画的に使用するなら問題ないですが、第三者のサイトに無断で使用するのは許可や計画が必要。

OWASP ZAP Hands-on In Osaka (2015-02-10)

 

WPScan

WordPressのセキュリティマニアの方々が集まる会社が提供している脆弱性スキャンツール。任意のパスワードリストからの総当たり攻撃もできるそうです。

WordPressの本体、プラグイン、テーマのバージョンが影響を受ける脆弱性を検証、また、不要なファイルが公開されてないか(readme.htmlなど)も確認できるそうです。

しかし、コマンドラインが必要なので、完全にエンジニアさん向けと思いました。

WPSCanによるWordPressの脆弱性スキャン

 

 

セッション1のまとめ

wp-login.phpのアクセス制限、パスワードの強化、本体・テーマ・プラグインの更新情報の注意と対処。これらは普段から行っていたことなので安心しました。

特に松本悦宜氏のお話の中では、OWASPの存在をはじめ、信頼性あるドキュメントや診断ツールを紹介していただいて、とてもためになりました。

また、今後「WordPressって大丈夫なの?」とクライアントに聞かれても、自信を持って説明できるようになれてよかったと思います。

 

今回の登壇で使用された松本悦宜氏のスライド

 

 

「WordPress セキュリティインシデントの対応事例」

セッション2は、主にサーバーサイドのプログラマーである神垣聡氏の豊富な経験の中から、実際に起きたインシデントとその対応事例について。

 

リダイレクトスパム編

あるURLを踏んだら、勝手にスパムサイトへ強制リダイレクトされるリダイレクトスパム。

 

リダイレクトスパムに関しては僕もやられた経験があり、その時のことを記事にしたことがあります。

 

WordPress マルウェアの確認と駆除作業(リダイレクトスパム)

 

リダイレクトスパムはリダイレクト用のプログラムがHTMLやPHPに埋め込まれてしまい、それが作用して強制的にリダイレクトされてしまう仕組みです。

 

WordPressの場合、主にplugin/index.phpが書き換わっている場合が多いらしいのですが、上記で紹介した以前の記事の時は、header.phpと、footer.phpが改ざんされていました。

 

しかも、コアファイル群の中にwp-login.phpに模した、w-login.phpというPHPファイルも仕込まれていたり。。

 

plugin/index.phpが書き換わっている場合、plugin/index.phpにファイルのアップロードを行うスクリプトが書かれ、他のファイルを呼び込むバックドアとなっているとにこと。

 

WorsFenceとSucuriScannerというプラグインで確認したそうです。

 

根本的な原因として、推測らしいのですが、メッセンジャーツールにてアカウント乗っ取りが多発時期だったらしく、フィッシングスパムメッセージを踏んで被害が拡大した可能性があるそうです。

 

 

スパム投稿記事編

この事例は知らなかったのですが、投稿一覧画面を確認してみると、記憶にない記事が大量に投稿されており、その記事にはスパム広告が貼られているそうです。

 

原因の推測として、パスワードが脆弱だったほかに驚いたことが、初期アカウントを調べるのは容易だということです。

 

「user id 1 wordpress」というキーワードでググってヒットした下記の記事でも詳しく書いてありますが、最初作ったアカウント「author=1」のログインユーザー名はダダ漏れということになります。

 

WordPressのログインユーザー名は丸見え!?

 

対処として、該当記事の削除、パスワードの一新、ロギングを行ったそうです。

 




 

サーバ屋さんから怒られた編

レンタルサーバー側がハッキングされているのを検知し、「ファイルが改ざんされてるので、おたくのサイトを停止します」という通達がきたお話です。

 

被害

  • サーチコンソールも検知しているので被害サイトとして認定されSEOランクダウン
  • 事例はECサイトであったため、即座に売上に直結し売上がダウン

 

「サーバ屋さんから怒られた編」というタイトルから、若干ほのぼのした話かと想定していましたが、このような被害状況に陥ったら生きた心地がしないかも知れません。

 

対処として、WordPressを移設しプラグインを入れ直したそうですが、この対処もなかなかの作業です。被害の進行と対処に掛かる機会費用は計り知れないので、松本悦宜氏が紹介されていたドキュメントなどを日頃からチェックするべきかなと思いました。

 

セッション2のまとめ

そのほかにも、古い事例の改ざん系として、header.phpに読み難いコードが埋め込まれていた「メール踏み台編」、サイトやサーバーにつながらない「DDoS攻撃 DNS攻撃編」といったインシデントと対応策も紹介されていて本当に豊富な事例はためになりました。

 

最後に、ディレクターにとって興味深い話として、思わぬ事態が起きてしまったときに当然Web制作事業者はクライアントに説明責任があり、ダウンタイムや復旧費用、また、毎月/年の保守やバックアップの金銭的根拠を明確に示さなければならないなど、今後心がける部分も勉強になりました。

 

今回の登壇で使用された神垣聡氏のスライド

 

 

セッション3「まとめ」

最後のセッションは、今回のTokyo WordPress Meetup 10月のモデレーター、ちくちゅう氏。

 

ちくちゅう氏は冒頭で、クライアントから「セキュリティ 対策はどうなっていますか?」と聞かれたときにどう答えるべきか?といったノウハウを紹介。

 

今後は、「暗号化はHTTPSのみ、SFTPのみ」「WAF」「インシデント発生時のルール化」「外部メモリ禁止」といったセキュリティ 項目リストを明文化して作っておくべきと思いました。

 

また、ちくちゅう氏、セッション1の松本悦宜氏、セッション2の神垣聡氏を交えて質疑応答となりました。
以下、メモれた限りです。

 

セキュリティ維持向上に普段利用しているおすすめのプラグインは?

「WP SiteGuard」と「Crazy Bone」。

監査ログをメールで通知してくれるプラグインもある。

との答え。

また、2年以上メンテ、アップグレードされていないプラグインは危ないとのこと。

 

user_id(初期アカウント)からアカウント名が簡単に取れるということでしたが防ぐ方法はあるか?

初期アカウント防げない。

とにかくパスワードを強化とのこと。

 

脆弱診断を実行できるツールはありますか?

Walti.ioがめっちゃ便利です。定期実行でログもずっと保管

JVNというサイトでWordPressの情報が出ると注意!

あと、JSACの注意喚起も注意!

 

本体をアップグレードしたら、プラグインの動作チェックはしてますか?

正直あまりしていないが、コピーサイトを作って調べるときはあります。

 

ほか、全てをメモれませんでしたが、とても有意義な質疑応答でした。

 

今回の登壇で使用されたちくちゅう氏のスライド

 

 

「WordPressを守ろう!セキュリティの最新トレンドと対応事例」まとめ

今回のイベントに参加して下記の認識と知見を得ました。

  • OWASP(オワスプ)の存在
  • WordPressが突出してセキュリティが弱いということではないこと
  • バックドアの恐ろしさと仕組み
  • 初期アカウントを調べるのは容易だということ
  • クライアントへの説明責任
  • ダウンタイムの復旧費用
  • 毎月/年の保守やバックアップの金銭的根拠の明示
  • セキュリティ項目リストを明文化
  • 様々な脆弱診断を実行できるツール

 

久しぶりのWordBench!じゃなかった、WordPress Meetupの参加でしたが今回も楽しませていただきました。

 

キャンセル待ちも出ていたみたいで人気のテーマだったのも納得するくらい、とても身になる良いイベントでした。

 

スライドの公開が早かった(その日のうち)のも嬉しかったです。

 

また、面白そうなテーマがあったら行きたい。

 

この記事も読まれています。

WordPress マルウェアの確認と駆除作業(リダイレクトスパム)

さくらレンタルサーバーで特定のIPアドレスからのアクセスをブロックする方法

 




人間やAIではなく神の領域なのか?『ソーシャルメディアの“掃除屋”たち』




 

先日NHKのBS1で、2夜連続放送された「BS世界のドキュメンタリー ソーシャルメディアの“掃除屋”たち 前編/後編」というドキュメンタリーを見て驚愕しました。

 

僕は日頃フェイスブックも含め複数のSNSを楽しんでいますが、たまに不愉快だったり際どい内容の投稿を見かけるときがあります。

 

それはフェイスブックではありませんが、別のSNSでは明らかに破廉恥で露骨な動画や画像、国外の暴力的ないじめの動画や画像などがそれにあたります。

 

そういった投稿は長続きせずに突然削除されたり、アカウント自体が凍結されたり、そもそも投稿がアップされる前にディープラーニングの経験を積んだ優秀なAIが自動で排除してフィルタリングしているのかと思っていました。

 

しかし、それをフィルタリングしていたのは実は人間だったのです。

 

フェイスブック社がフィリピンのマニラに置くクリーナーズという会社で働く現地のエリート学生たち。彼(女)らの作業は、世界中のユーザーが投稿する画像や動画を「秒単位」でチェックし、わいせつ・残酷な投稿を除外していく作業。

 

毎日のように、「秒単位」でそのような画像や動画やテキストを目の当たりにし、次第に精神がおかしくなる社員たち。

 

問題はそれだけではなかった。




 

「人間の裸」による表現はアダルト。でも人によってはそれはアート。価値観の違いから招く問題など。

 

こういった判断は、人間にもAIにも難しいことのように思います。もはや神の領域なのか。

 

発信者(表現者)も管理者(除外者)もアマチュアが大半を占めるUGCのもろさとリスクを暴き出してゆくNHKも参加した国際共同制作番組。

 

SNSを巡るトラブルは日夜耳にしてきましたが、こういった実情も抱えていることを初めて知りました。

 

ソーシャルメディアの“掃除屋”たち 前編

フェイスブック社のコンテンツから“社会的に不適切”なものを排除する“掃除屋=クリーナーズ”。検閲作業の実態をスクープ取材、ソーシャルメディアが抱えるリスクを探る。

 

ソーシャルメディアの“掃除屋”たち 後編

ソーシャルメディアの検閲作業の実態に初めて迫ったスクープ番組。後編は、精神を病んでいく“クリーナーズ”の横顔や、“表現”をめぐって世界各国で高まる論争にフォーカス。




さくらレンタルサーバーで特定のIPアドレスからのアクセスをブロックする方法




 

先日、さくらインターネットのサーバーで特定のIPアドレスからのアクセスを制限した時の事例を備忘録。

 

この記事を読んでいる人は早期的に解決を望んでいると思いますので、特定IPアドレスをブロックすることになった経緯は後述するとして、とりあえず最低限の状況と条件、さくらのレンタルサーバーでのブロックの簡単な方法を足早に書いていきます。

 

条件

  • 制限対象のグローバルIPアドレスのナンバーがわかっている。
  • さくらインターネットのレンタルサーバーを利用(ちなみにビジネスプラン)。

 

事象

  • 全ての環境からWebサイトが閲覧できない。
  • もしくは、一部の環境のみWebサイトが閲覧できない。

 

さくらのファイルマネージャーから制御する

さくらインターネットのカスタマーサポートの対応はメールでも電話でもとても親切ですが、さすがにすぐには対応してくれるのは難しい。なぜなら、このようなトラブルみ見舞われている人の対応が多すぎるから。電話はすぐつながればラッキーだし、メールも問い合わせた直後に返信がくるわけではありません。

 

なので、手っ取り早くさくらインターネットのファイルマネージャーを利用して自分でアクセス制限をします。

 

※注意:ファイルマネージャー作業とはいえ.htaccessに記述されたりするので、復元できるようデータのバックアップを取っておくことを推奨します。




 

さくらのコントロールパネルにアクセス

まず、さくらインターネットサーバコントロールパネルにアクセスします。
https://secure.sakura.ad.jp/rscontrol/

 

ドメイン名とパスワードを入力し「送信する」をクリックしてログイン。

 

さくらコントロールパネルにログイン

 

左側のメニューの上から5番目「サイトに関する設定」の中の「ファイルマネージャー」をクリック。

 

ファイルマネージャー」をクリック。

 

別ウィンドウが開き、ファイルマネージャが開きます。

 

ファイルマネージャの画面

 

home/初期ドメイン/wwwのディレクトリのまま、画面上部のメニューバーの左から3番目「表示アドレスへの操作」をクリックするとプルダウンメニューが開き、「アクセス設定」をクリック。

 

「アクセス設定」をクリック。

 

ポップアップウィンドウが開くので、タブ中央の「接続元アクセス制限」を選択し、下部の「拒否するアクセスのリスト」内の「+追加」をクリック。

 

ポップアップウィンドウ

 

左側のプルダウンメニューがデフォルトの「IPアドレス」になっているのを確認し、右側の入力欄にアクセスブロックしたいIPアドレスを入力。さらにブロックしたいIPアドレスを追加したい場合は続けて「+追加」をクリック。

 

ポップアップウィンドウのIP入力

 

「OK」をクリックして完了です。

 

アクセスブロックを解除したい時

事がおさまりアクセスブロックを解除したい時は、単純に上記の逆の手順になります。

ポップアップウィンドウで追加したIPアドレスの右にある赤い「×」を押して消します。

最後に「OKをクリック。

 

.htaccessでの制御は可能か?

FTP経由で.htaccessをダウンロードして直接制御しても大丈夫か?と、一応さくらのサポートの方にと問い合わせてみたら、

 

「大丈夫です、しかし.htaccessのファイル上での操作および操作方法はサポート外です。」

との返答をいただいた。

 

特定IPアドレスをブロックすることになった経緯

余談ですが、今回かなり稀なケースであったため、同業者の人たちに向けてIPアドレスをブロックすることになった経緯を共有します。

 

とあるクライアントの全面改修案件で起きたこと。

 

SSL化してフルリニューアルしたWebサイトを公開した翌日、クライアントから

「社内でホームページが見れない」

という連絡が入り、額に汗をかく。

 

自分の会社のWi-Fi環境の内外で確認すると、なにごともなく閲覧できる。

 

先方に画面のスクショを送ってもらったところ503エラーの表示でした。

 

なぜコンテンツもほぼ一新し、リニューアルした直後に大量のアクセスがされたのか?

 

さくらインターネットのコントロールパネル内の「サーバーエラーログ」を確認すると、たしかにクライアントのグローバルIPからのアクセスが尋常ではなかった。

 

リニューアルして公開したばかりのタイミングだったので、クライアントも僕らも原因はこちらにあるのだとばかり思っていました。

 

意を決してクライアント側のシス管に調査を求めたところ、リニューアルとほぼ同時期に導入したサブスクリプション型業務系ソフトが立ち上がるたびにドメインを踏んでから起動する設定になっていたらしく、結果的に数千人の社員が同時に業務系ソフトを立ち上げるたびに自社のWebサイトへアクセスが集中してしまう事象だったらしいです。

 

原因が判明するまでは何も手をつけられない状態が続き、混乱してかなり憔悴しました。

かなり稀なケースですが、ひとつの要因としてこの件でいい経験になりました。

 

この記事も読まれています。

WordPress マルウェアの確認と駆除作業(リダイレクトスパム)

「WordPressを守ろう!セキュリティの最新トレンドと対応事例」で得た対策と知見




『空気の研究』山本七平を読んで思い返すプロジェクトの炎上




 

Eテレの『100分 de 名著』でも紹介されていた、山本七平の『空気の研究』を読んだあとに、真っ先に下記の苦い経験を思い出した。

 

はじまる前から炎上していたプロジェクト

会社で「何か新しいことを始めなければ」という空気が社内に充満していた時期があった。

 

その空気は、冷凍庫を開けた時に漂う冷気のように、上層部である経営陣から漂い、それは社内全体に広がっていた。

 

社員の中には目の前の業務で忙しい中、このうえ面倒臭そうなことを押し付けられるのではないかとヒヤヒヤしていた者も少なくない。

 

ちょうどその頃、天下のD社から協同でメディアサイトを立ち上げないかという話が舞いこんできた。

 

Web制作チームにいた僕は嫌な予感がした。

 

そしてそれは的中。

 

D社のプレゼンに執行役員であった当時の上長と出席することになり、うちの本社会議室へ足を運ぶことになった。

 

D社からはプロデューサーとプロジェクトマネージャーが出席し、うちからは、代表、専務、執行役員、営業部部長、なぜか営業の新人の女の子、そして当時Webデザイナーだった僕。

 

プロジェクトは、数年先のブームを見越した戦略であり着目点としてはうなずける内容であったものの、すぐに問題点が浮かび上がった。

 

役員たちはリターンばかりを気にしていたが、たしかに僕も上長も役員たち同様に見返りのインパクトに欠けていることを感じながらも、とりわけ無視できなかったのが、ターゲットの母数、リソース不足の2つの問題に強い懸念を抱いていた。

 

そしてD社は、うちのリソースに期待している発言をしていたが、その会議中うちの誰もがその問題に触れることはなかった。

 

現場に戻り、執行役員である上長と冷静に話し合い、やはりターゲットの母数、そして自社のリソース不足は拭えないとのことでリスクヘッジをする共通の認識を確かめあった。

 

しかし数日後、本社で行われた役員会から帰ってきた上長の口から、まさかのプロジェクトの始動命令が下された。

 

僕とリスクヘッジを取ることで一致したはずの上長に対し、なぜそのような決定にいたったのかと問いかけると、

 

「あの大手D社からのお話はチャンスだよ。そしてうちの会社が新しい分野に挑戦できる良いきっかけでもあるし、役員会でもそういったムードが高まり、やることにした。お前も頑張れ。」

 

とのこと。

 

結論から言うと、このプロジェクトは2年半後に失敗に終わった。リソース不足や運営をしていく体力がなくなってきたのだ。

 

1年目にプロジェクトを見直すタイミングが訪れた。今からジャッジしてもまだ損害は少ないはず。

 

疲弊しているスタッフを横目に、プロジェクトにそこまで関わっていない熱血派の上司が「ここまで時間と労力を費やしてきて途中でやめるのはもったいない」という新たな空気を醸成しはじめ、プロジェクトはあえなく続行。

 

のちに、コンコルド計画のサンクコストのバイアスの話を知ったときは思わず苦笑したのを覚えている。

 

プロジェクトに関わったことは個人的にはいい経験となった。短期間で多くの困難を経験できたおかげで、見えなかったものをたくさん見ることができた。

 

しかし、会社にとってはマイナスだった。

 

早計なプロジェクトであったがゆえ、組織についていけなくなったスタッフも多く失い、あらゆる面で損失を出す結果となった。

 

今思えばトップマネジメントチームとして杜撰ではなかったかと感じる。

 

みんな空気に飲まれていった

プロジェクトの内容のことはこれ以上は省かせてもらい、問題はなぜ、上長ならびに他の役員たちはプロジェクトの始動を選んだのか?




 

彼らは、下記の「空気」に支配されていたに違いない。

 

  • 「何か新しいことを始めなければ」という空気
  • 「有名なD社からのお誘い受けた」という空気

 

さらに、プロジェクトの続行か中止かの見極めの時には、下記の「空気」に支配されていたに違いない。

 

  • 「ここまでやってきて途中でやめるのはもったいない」という空気
  • 「始めたからには成功をさせる」という空気

 

少なくとも当初、上長だけはリスクマネジメントをしようとしていた。

 

しかし、第一会議室にて経営陣である役員たちと卓を囲んでいるうちに、「何かをしなければならない」「新規事業を発足させなければいけない」という空気が、「チャレンジ精神」「チャンス」という美化された言葉に変換させたのではないか。

 

「おそるべき空気」の研究

日本人ならば誰でも知っているであろう「空気を読む」という言葉。

 

死語だけど「KY」なんて使われ方もされてきた。

 

その「空気」の研究について解説された山本七平著の『空気の研究』という本。


「空気」の研究 (文春文庫 (306‐3))

 

この本では、戦艦大和出撃の決断、公害イタイイタイ病の原因追求、光化学スモッグ問題など、前述の僕の体験談よりも深刻な社会問題・国際問題を例に、空気によって日本人個人の意思決定を左右する、妖怪のような、いわば見えない暗黙の権力の正体を考察している。

 

要約すると、ものごとを決めるときには人間の意思や科学的根拠ではなく、その場の空気が決める場面があるということ。

 

空気が醸成される原理、つまり空気の正体を解明するにあたり、山本七平さんは臨在感的把握という難しいキーワードを多用する。

 

一部、臨在感的把握について文中33ページから引用させていただくと、

 

物質から何らかの心理的・宗教的影響をうける、言いかえれば物質の背後に何かが臨在していると感じ、知らず知らずのうちにその何かの影響を受けるという状態…(省略)

 

例として、もし「車は走る凶器」というスローガン的な言葉を聞いたことがあり、さらにその言葉通りイメージしたことがある人は、臨在感的把握が発動し、醸成された空気が伝わってきていることを意味する。

 

車は便利であると同時に危険を伴う物質であると思われがちだが、人間が危険な運転さえしなければ、ましてや、極論的に運転をしなければただの物質。つまり動かなければただの鉄の塊に過ぎない。

 

しかし、交通事故が”多発”した時に、運転手ももちろんのこと非難の対象となるわけだが、人を殺める能力を兼ね備えている車こそが悪。という空気が醸成され、それが図式化することもありうる。

 

このように、車という対象(物質)への一方的な感情移入により、その対象への科学的根拠といった分析を無視してしまうような無意識の思考と行動へ転換する恐れがある。

 

意図的な空気の醸成が可能なら、スローガンも同様にプロパガンダにも共通する危険な側面があるとも思った。

 

こういった無意識の働きは、日本の文化・歴史をさかのぼり紐解いていて、日本人特有の偶像崇拝性的な概念に縛られてる視野で物事を感じ取ってしまう宗教心に行き着くことまで解説されている。

 

科学的にはただの「石」なのに、その石に霊的な何かが宿っていると感じてしまうことは僕自身も理解してしまう。

 

もし石が仏像の形をしていれば粗末な扱いはできないし、そこに何年も神と崇められてきた石があったとしたら、思わず手を合わせてしまうかもしれない。

 

ましてやパワースポットなんて呼ばれていたらなおさら。

 

では、我々日本人は空気から逃れることは不可能なのか?

 

醸成された空気から現実に引き戻す作用として通常性を意味する「水を差す」という言葉を用いて述べている。

 

しかし、これも結局自分(たち)にとって不利になり得ることだと悟った際、たんなる空気を変えるための新しい空気を醸成させる素となる「水」に過ぎず、それはのちに蒸発を起こし、繰り返しますが、新たな空気として醸成されることも懸念材料とされる。

 

時に悲劇的な末路を迎えることになりかねない恐るべき妖怪のような「空気」。

 

余談ですが、山本七平氏と同様、悲惨な戦争経験者である水木しげる氏の妖怪の中に、この空気が基になっている妖怪がいたら知りたい。

 

何はともあれ、僕ら日本人のDNAに組みこまれた性質を理解し、空気に支配される恐れがあることを認識する必要があるのではと思う。

 

その場において、今後自分は上長と同じ轍を避けることはできるのか・・?

 

少なくとも、「空気」の存在を把握した現在、物事を別の角度から客観視できるようにはなった。




シルバー・イノベーションはデザイナーの吉祥性が鍵




 

身近な環境を見渡すと、僕が所属している組織でも少子化の波が思いっきりかぶさっています。

 

我が家も子供は1人で今後2人目が欲しいところですが、今はいろいろな事情でなかなか授かることができません。

 

少子高齢化。

 

先日、僕が大好きなテレビ番組でシルバー・イノベーションのことが取り上げられていました。

 

経済学視点の番組オイコノミア

「オイコノミア」は、Eテレのテレビ番組で、吉本興業の又吉直樹が毎回いろいろな経済学者とともに様々なテーマを経済学的視点の角度から考察していきます。

 

行動経済学などが好物のマーケター・Webディレクター・UXデザイナー・IA(インフォメーションアーキテクト)のみならず、企業人全般にオススメの番組だったりします。

 

毎回おもしろい内容で毎週欠かさず観ているのですが、今回の「経済学で目指せ! 明るい高齢化」は特に感慨深い内容だったので、ブログに記録することにしました。

 

シルバー・イノベーションとは

本題に戻りますが、シルバー・イノベーション(高齢者向け技術革新)とは、その名の通り、高齢者の方々をターゲットにした新たな価値を創造することで、僕は言葉としては初めてこの番組で知り、興味が湧いてきました。

 

ご存知、日本は今世界のどの国よりも高齢化が進んでいます。

 

直近2016年の世界の高齢化率(高齢者人口比率)の国別比較統計ランキングでは、日本が1位で26.86%、2位のイタリアでは22.75%、3位のギリシャでは21.60%となっており、1位の日本から下は22位まで全てヨーロッパ諸国です。

出典:GLOBAL NOTE 世界の高齢化率(高齢者人口比率) 国際比較統計・推移
https://www.globalnote.jp/post-3770.html

 

【世界の高齢者人口】

  • 2015年 約6億人
  • 2035年 約10億人

 

世界の高齢者人口は、35年には約10億人に膨れ上がるらしいです。

 

さらにアジアの高齢者向け市場だけでも2035年には、約500兆円に昇るという試算が出ていることがわかりました。

 

今の日本はシニア向けのイノベーションが生まれやすい

深刻な状況に変わりないのですが、逆にこれを日本のGDPを向上させるチャンスとして捉える考え方が、番組で紹介されていました。

 

これからはヨーロッパ諸国を中心に、他の国が日本に遅れて高齢化が進んでいきます。

 

決定的打開策はないと言われている今、日本が直面している高齢者の医療や介護、雇用などの多くの高齢化問題に対し、革新的なアイデアを生み出す動向に深い関心を示す人たちが1人でも多く増えれば、日本人によるシルバー・イノベーションが生まれやすくなるはずなのです。

 

日本は今、どの国よりも先立って、今後世界で増加傾向の高齢化問題に取り組むモデルとしてだけでなく、多くのメソッドが生み出せる機会に恵まれていることがいえます。

 




 

革新的なデザイナーが必要な時代

今、少子化によって日本の人口が少なくなっていますが、人口が少ないからといってGDPが減るわけではないそうです。

 

大切なのはイノベーティブな考えを持った人たちが多いか少ないかの問題で、今までとは違うことを考えようとする人たちが必要になってくるとのことです。

 

つまり、イノベーティブなことを考える人の比率を増やしていかないと人口が減ってった時にイノベーションが起こりにくくなるのです。

 

イノベーションが起こらないとGDPは下がる一方。では、どんな人が適任なのか。

 

僕はデザイナーだと考えています。

 

文頭でオイコノミアがマーケター・Webディレクター・UXデザイナー・IA(インフォメーションアーキテクト)の人たちにオススメと書いてしまったのは、こういったデザイナー的資質を持った人たちこそ、イノベーションを起こしやすいのでは?と感じたからだと思いました(一概には言えませんが)。

 

デザインという観点は、ビジネスの諸問題をまったく新しいかたちへと変化させる。右脳から出てくる発想は、ビジネスの大きな課題を解決するうえでより重要になりつつある。デザイナーはその本質として、消費者の行動、思考、感情を深く理解し、そのニーズに感情移入する傾向がある。彼らは、ごく小さな洞察であっても掘り出すことができ、それが、左脳で考える人間には思いもつかないような、あっと驚く技術革新につながっていく。

引用:WIRED
https://wired.jp/innovationinsights/post/social/w/design-inspires-future/

 

人々のニーズを探り出し、飛躍的発想で生活を豊かにする―それが「デザイン思考」だ。物事の機能的な性能だけでなく、感情的な価値をも考慮に入れる。それを通じて、人々の隠れた(潜在的な)ニーズを把握し、機会へと置き換えるのだ。デザイン思考家の人間中心のアプローチを利用することで、新しい製品やサービスを人々の既存の行動に結び付け、受け入れられる可能性を高めることができる。

引用:デザイン思考が世界を変える (ハヤカワ・ノンフィクション文庫) ティム・ブラウン(著), 千葉 敏生 (翻訳)

 

デザイナーの重要性というより、吉祥性を浸透させる。

最後にオイコノミアでは、第一に、(変わり者)(今までと違うことを考える人)など、イノベーティブな人を評価するような価値観を、まずみんなが持つことが大事。と紹介していました。

 

番組中に、経済学者の大竹文雄さんが、(変わり者)(今までと違うことを考える人)という表現をしていましたので、特に”デザイナーでなくてはならない”というわけではありません。

 

しかし、革新を意識しながらも、ビジネスを理解し、問題解決を生業にしているデザイナーこそ、一番期待できるのはないでしょうか。

 

最近では国内でも大手企業がデザイナーの重要性に気づき、そして、デザイン思考な制作会社や、そういった意識を持っているデザイナー個人も少しづつ増えてきていると思います。

 

ですが現実的には、未だ中小企業までは浸透しきれていないのが現状です。

 

重要性というよりも、もはや吉祥性。これからのデザイナー達はシルバー・イノベーションを起こす前に、まず、そういった意識を中小企業を含む日本全体に持たせる”デザイン”をするべきなのかなと思いました。

 

僕の場合、まずは自身が所属する組織からだ。




 

何が無駄で何が大切かを考えるWebデザイン設計




 

特に難しい話ではないのですが、軽率なWebデザイナーと接触した時に説明したお話の内容です。

 

トレンドとはその名の通り移り変わっていくものであり、人間の思考もいつか変わる時が来る可能性があります。

 

そしてもう一つ、物事の存在には理由があります。

 

Web制作・運用をする際、UI実装、SEO対策などそれら一つひとつが明確な理由に基づいて適切に行えているかいないかによって、気づかないところでユーザーに不快を与えている可能性があります。

 

ユーザーは「何かを達成する」「満足を得る」までに様々なUIと接触します。

 

近年、簡単にカッコよく実装できてしまう便利なJSライブラリやCSSフレームワークが多く存在します。

 

もうどれも見慣れていると思いますが、スライドショー、モーダルウィンドウ、スクロールスパイなど、どれもユーザーがWebサイト内で「おっ?」と感じるアクションが特徴。

 

これらを発想・開発した人たちには、当然それを作るにあたり理由があったと思います。

 

その理由は、Webサイトを利用するユーザーの利便性や満足度のため。

 

Webサイトは、グラフィック・デザインの要素を兼ね備えたプロダクト・デザインであり、「人間が閲覧する・人間が操作する・人間が感じる」といった、ユーザーの動向・意識・思考を対象にした設計を施し、「人間が目的を達成する」ための道筋となります。

 

その適切な判断をし、実装するのがWebサイトの設計者、デザイナーの役目なのですが、単に「流行っているから」「カッコいい」「今風」というのは、この業界ではあまり的確な理由にはなりません。

 

そもそもこれでは自分のデザインに対し、明快な説明にもなりません。

 

Webサイトは目標達成のために最も有力な仮説を立てて、オープン後も試行錯誤し変化し続けるものです。「カッコいい」「今風」「無難」という理由で実装してしまうと、改善しなければならない時に、何が問題だったのかが解りづらくなり、困ることになるでしょう。

 

さらに、Webサイトは人間が利用し、判断するものなので、UIという段階を一つひとつ踏んで目的を達成するまでに過剰な演出が邪魔になることがあります。

 

何が無駄で何が大切か?

 

論理的理由に基づくWebデザイン設計は、Web制作・運用をやっていく人間が最低限持つべき思考です。




 

Webサイト改修時のコンテンツの精査とヒアリング

Webサイトの新規案件の時だけでなく、全面リニューアル(以下、改修)の時にも「コンテンツの精査」という作業を行なっています。

 

僕は、精査という言葉は「吟味する」「調査する」「念入りに調べる」という意味合いのもと行なっているのですが、中には「削除する」「省く」「削ぎ落とす」という勘違いした意味が先行している社員がいて、コンテンツの精査について考え直してもらったことがありました。

 

現在のコーポレートサイトの王道的デザインなのかわかりませんが、既存のコンテンツを排除し、実績・強み・サービス紹介というラインナップのトップページデザインにまるっと変更しようとする社員に待ったを掛けたのです。

 

流行り廃りが激しいWeb業界です。悪い言い方をすれば”古臭く見える”過去のWebデザインを見ると、ツッコミどころ満載に感じてしまうことはありがちです。

 

ですが、そこに落とし穴が待っており、過去の産物は何もかも否定的に感じてしまい間違ったコンテンツの精査を行ってしてしまう場合があるようです。

 

まだ技術の進歩が発展していなかったり、UXデザインが浸透しきれていない時代のもの、古臭い、一見時代遅れな見た目に思えるデザインに惑わされ、コンテンツの必要性まで否定してしまわないようにしなければなりません。

 

僕は、アナリティクスなどのデータを拝む前に、前任のWeb屋さんがどういう意図でこのデザイン設計にしたのかを考えます。

 

忘れる前に一つ。僕は必ず前任のWeb制作者に敬意を払った気持ちで調査します。

 

何故なら、同業者だからです。Webサイトというビジネスの成果向上・課題解決のためのツール(成果物)を作り上げるのが簡単ではないと思っているからです。

 

話を戻しますが、きっと前任の方々も当時何か考えがあってこのデザイン設計にしたのだろうと思いながら睨めっこしていると、やはり導線らしきものが浮かび上がってきたり、配置されているコンテンツが有用であったり、適材適所なのだと判断できることがあります。

 

この後に解析データ(数字)で裏付け、改善ポイントを固めていきます。

 

そうすると、「もう少し見やすく解りやすく操作しやすくしてあげよう」で済む場合があります。

 

無駄なことだけはしたくないです。

 

それと、クライアントとのヒアリングも何より重要です。

 

サイトのリニューアルの目的を聞いても、肩透かしな返答が返ってくることがあります。

 

よくある例として、

 

「とりあえず、いろいろ老朽化してるので今風に一新したいです…」という言葉の本音には「うまく言えないけど、何とかしてくれる?」という本音が潜んでいる可能性があります。

 

すなわち、「何とかしてくれる?」=「世間からいい感じに思われて、なおかつ商品やサービスを広めてくれ。そして売れるようにしてくれ。」ということだとも読み取れます。

 

最近では、一般企業でもWeb担当者がいたり、普通にWebに詳しい人もいますが、多くは自サイトの現状の戦略的デザインを知らないクライアントもいます。

 

単に今風にするという着せ替えだけでは、成果向上・課題解決には繋がりにくいです。

 

新規案件などWeb制作全般で言えることですが、クライアントはこちらに身をゆだねている訳ですから、真意を読みとらなければなりません。

 

Webサイト改修時のポイントは色々ありますが、僕は以下の2点を忘れずに心がけています。

 

  • 前任のWeb屋さんの設計思想を読み取る。
  • クライアントの本音を読み取る。

 

経験を積まなくては身につきにくい技ではありますが、それが改修の難しいところであり、楽しいところでもあると思います。