「カスタマイズ」を含む日記 RSS

はてなキーワード: カスタマイズとは

2016-08-28

[]8月28日

○朝食:なし

○昼食:肉まん野菜ジュース

○夕食:ピザ野菜ジュース



調子

むきゅー。

今日もお休みなので、むっきゅりしていたけど、雨で洗濯できないので午前中はコインランドリーに行ってた。

人生コインランドリーだったので、乾燥機をどれぐらい回せばいいかからなくて適当20分回して、シャツが乾いたから良し、として帰ってきたらバスタオルが湿っててやな感じ。

仕方ないので、バスタオルだけ干してたけど、乾きが悪い、うーむ難しい。



妖怪ウォッチ映画二弾「エンマ大王と5つの物語だニャン」)

レンタル屋さんにズートピアを借りに行ったけど借りられてたから、変わりに借りてきた。

が、予想外に面白かった。

特に「未空イナホ」って女の子キャラクタ面白かった、この子エピソードだけでも追いたいなあ、と思い、

Netflixでそこからテレビシリーズも見始めた。

テレビシリーズ短編集な感じで気楽に見れるので、これからNetflixを垂れ流すときは、フルハウスと気分によって使い分けよう。



バッチとれ〜るセンター

ノー課金

どうぶつの森の「のりっぺ」ちゃんに一目惚れしてしまった。

ログボで入手できたので早速ホームメニューに飾ってニヤニヤしてる。

可愛い! と見た目で感じただけで、ゲーム出会った事がないどころか、どうぶつの森シリーズを一回もプレイしたことないので、ゲーム自体ちょっと興味が出てきた。

DL版でも買おうかな。



ポケとる

ログボは貰ったけど、完全にやる気がなくなってる。



ポケモンコマスター

ログボのみ。



スマブラfor3DS

目指せ「クリアゲッタークリア」を掲げてガシガシプレイ。

残るは

クリアゲッター2

・対戦の撃墜数が通算300回に達する

・対戦のプレイ時間がのべ10時間を超える

クリアゲッター3(ハンマー使用

・「シンプル」をホンキ度9.0でクリアする

・「フィールドスマッシュ」の最終戦ですべてのファイターで1位をとる(済:Mii射、FE勢、CFロボット、MrG&W)

・対戦の撃墜数が通算1000回に達する

・「フィールドスマッシュ」の最終戦20回以上1位をとる

ファイターの歩いた距離が合計50kmに達する

・「すれちがい大乱闘」で敵を敵にぶつけて20人以上倒す

・「フィールドスマッシュ」の持ち込みアイテムをすべてそろえる

・「ひとりで/百人組み手」をすべてのファイタークリアする(済:一列目〜三列目)

・「オールスター」を15人以上のファイタークリアする(済:Mii射、ポケモン勢、ルフレ

カスタマイズパーツの”ぼうし””からだ””必殺ワザ”をすべてそろえる

・「オールスター」をすべてのファイタークリアする

・対戦のプレイ時間がのべ50時間を超える

フィギュアを600種類以上ゲットする(現在519種)

おお、結構あるなあ。

とは言え、プレイヤースキル重要なのは『「シンプル」をホンキ度9.0でクリアする』ぐらいかな?

ハンマーはすれ違いとコンプ系に使う予定。

2016-08-17

VRマジ最高!

HTCのViveを買ってVRを試してみたけど

3DSとかの3D表示とはわけが違って

たかも本当にそこに存在するかのように表示される!

しかルームスケールなので自分が動けば動くので

本当にそこにいるように見える!

 

そしてもちろんのこと一番プレイたかったのはエロゲー

VRに対応したというカスタムメイド3D2(以降CM3D2)を買ってみた

 

プレイした結果だが・・・そこは桃源郷だった

 

自分の好きなように女の子カスタマイズして

事に及ぶ事ができる訳なんだけど

PC画面で見るCM3D2と

VRで見るCM3D2は別ゲーと言えるぐらい別もん

 

特に発売されて時間が経ってるおかげでそれなりにMODも充実していて

かつまだ作ってる人がいたりするので

好きなキャラとかが配布されてたりする!

 

大体のゲームは1、2回プレイしたら

そのまま終わっちゃうんだけど

 

このゲームだけは今のところお世話になりっぱなし!

 

マジでVRオススメ

特にViveがオススメ

CM3D2最高!

 

恋人なんてお金時間精神だってすり減らすものなんか作らず

みんなで新しい世界へ行こうぜ!

 

AI進歩デバイスの発達によっては

最終的に本当に恋人を作るよりも

こっちの世界に入っていきそうな未来がしてならない

2016-08-14

Twitterに完全匿名ユーザー名無しさん)を導入したらどうか

2ch匿名性とTwitter拡散力が融合したらすごいんじゃない? っていうことなんだけど。

ここに投稿された匿名日記ホッテントリになればはてなの皆に広く読んでもらえる。それと同じように、Twitterでも匿名でつぶやけたら便利だと思った。

 

-------

 

匿名ツイートは以下のような仕様にする。

Twitterアカウントなしで「名無しさん」としてつぶやける

ツイート履歴は端末ごとに管理する(たとえば「ぐちったー」というSNSがすでに同じ方法を採ってる http://gtitter.com/

一般ユーザー匿名ツイートいいねRTできるし、リプライを送ることもできる

匿名ツイート特別仕様として、つぶやきジャンルを表すタグハッシュタグとは別)を設定できる。2chの板をイメージするとわかりやす

ツイート検索には引っかかる

投稿後30日が経過するとツイート自動的に削除される(ただし、いいね数・RT数の多いものは「殿堂入り」として残る)

 

また、匿名ユーザーが使える機能はある程度制限する。

一般ユーザーフォローできない

RTができない(いいねはできる)

匿名ツイートにはリプライを送れるが、一般ツイートには送れない(荒らし対策)。ただし自分ツイートに届いたリプライに限り「ツイ主」として返信が可能

 

匿名ユーザーのTLには他の「名無しさん」が投稿したツイートが一覧で表示される。TLのツイートタグハッシュタグによって細かい絞り込み・カスタマイズ可能

匿名界隈でいいね一定数以上ついたツイートは「名無ツイートまとめ」に載ることで一般ユーザーの目に留まりやすく・拡散されやすくなる!

(なお、匿名ツイート不快に思う一般ユーザーは設定で「名無しさん」を一括ミュートすることができる)

 

問題荒らし対策だ。増田とは比べ物にならないほどの膨大なユーザー数が想定されるので、きちんと対策をとらないと一瞬で荒れ地と化す恐れがある。同一IPアドレスから連続投稿規制することは考えたが、はたしてそれだけでスパムをはじききれるだろうか……

 

-------

 

若干の懸念はあるけど、総合的に見たらなかなかいシステムだと思う。はてなの皆さんはどう思われますか? ぜひご意見ください、お待ちしています

2016-08-13

スマホカスタマイズアプリ検索していたらとあるサイトで「このAndroidウィルス感染しています」とメッセージが出た

メッセージ文言微妙だったので、まあ悪質な詐欺サイトなんだろうけど

スマホで見たのがはじめてだったので、ちょっと怖くなった

スマホウィルスソフト入れなきゃなんだね、その後すぐノートン入れたけど

2016-08-10

ポケモンGOの今後を考察

まず、これまでやってきた経験と、課金で買えるもの買えないもの、などから考えると、ゲーム基本方針としてプレイヤー

に望んでいることは、ひたすら歩いてポケモン捕まえろ、ということだと思います

射倖心あおりつつ課金してアイテム買ってね、じゃなくて、金は払わんでいいからひたすら歩け、という方針です

課金目当てのゲーム設定なら、スーパーボールハイパーボールも買えるようにするし、下手したら卵も売るかもしれない

おこうやモジュール焚かないとレアポケモンはまず出ない、って仕様にするかもしれない

しかし、そんなことはしていないし、ポケストップ巡りは課金に優る仕様になっていることに疑いはありません



じゃあ、ナイアンテックビジネスモデルはどうなっているのか?というと、ポケストップを設置している企業からお金

もらう、というのがメインの考え方になっている気がしま

マクドが初期スポンサーだし、トーホーシネマズもここに加わったそうです

課金ゲーム流行り廃りで収入の増減があるけど、スポンサー料は変わらないので、計算は立ちやすいし、スポンサー

側は集客にもなるので、お互いに利益があります




が、ちょっと考えると疑問が出てきます

スポンサー料払ってまで、どこにでもあるポケストップを設置してもらうだけなのか?という点です

スポンサー料払うんなら、そこら中にあるポケストップと明らかに違う機能を持たせないと、出資したメリットがそこ

まで見出せないんじゃないか?って思います

新たな協力企業が増えた、被災県と協力、とか言ったって、中身はポケストップとジム新設の話しかありません

ほんとうに、ポケストップ作るだけで、そのお金企画に何か見合うものがあるのか?って思いませんか?

まあ実際、マクド収益上がったらしいので、これでもある程度問題ないのでしょうが、、、




ここから考えを進めると、ひとつの仮説が出てきます

スポンサーポケストップには、特別機能が今後出てきて、スポンサーポケストップに行きたくなる理由が発生する、

ということです

しばらく前、ガセか本当か怪しい情報だけど、ポケストッカスタマイズの説が出ていましたが、これはかなりあり

得ると思います

しかも、カスタマイズ可能なポケストップはスポンサーポケストップに限るのではないか、と思われます

もしくは、カスタマイズバリエーションが多い、という可能性も考えられます

スポンサーポケストップの特別化、かなり現実味があるでしょう





次に考える疑問です

ポケモンの交換機能実装はいずれ実現すると聞いています

これは、いつになるかわかりませんが、間違いなく実現するでしょう

しかし、ポケモン集めるしか意味を持たないゲームで、ポケモン交換しちゃっていいの?と思いませんか?

直接自分を殺しに来ている機能じゃないの?と

が、スポンサー企業への誘導をメインコンセプトと考えると、こんな説が出てきます

交換はポケストップでしか出来ないのではないか、と

交換は必ず複数人で行われます

複数人が集まってちょっと話して滞在する需要があって、そこにマクドがあるなら?入りますよね?

店の前でもいいっていうかもしれませんが、暑い日も寒い日もあるわけです

一定数が入るでしょう

これによって、交換機能持たす利点が運営側にも生じてきます

が、これにより、ポケモン集めに歩く人が減るのではないか?という懸念にはどう答えればいいでしょうか?



これにはもちろん、交換はできても、集める理由図鑑完成以外別にあればいい、ということになります

もっと簡単に導ける答えは、フリー対戦の実装です

現状、ポケモンの強化にはアメが必要です

アメは同種のポケモンを集めて初めて手に入ります

現在ジム戦に興味がない人でも、ポケモン交換できる相手がいたら、一試合くらいしていくでしょうし、

対人戦が行われるようになると強化のモチベーションが格段に上がります

強いポケモン、強い技のポケモン限界までの強化、したくなります

これを考えると、対人戦実装と交換の実装はセットであると言えます

少なくとも、交換だけ先に実装、というのは運営側に利点が薄いように思います

そして、ポケモン強化へのモチベーションと思うなら、対人戦はジムに限らずどこでも出来るようになる

のではないでしょうか

延々対戦して居座られても店は困るしね

そしてたぶん、対人戦から回復にも、元気のカケラやキズ薬が必要になってていて、対人戦何度かやっ

たら、またポケストップ巡りをしなければならなくなるのでしょう





こう思うと、わざマシン実装、わざの変更、これについては絶対ないという結論になります

強い個体値ポケモン、強いわざを持ったポケモン限界までの強化、これを最大の目的と掲げた時、

ポケモン収集しか方法はない、という状態には絶対にしておく必要があります

課金わざマシンボス戦でわざマシン、こんなことができたら、布陣が完成して、ポケモン収集

必要が無くなります

わざマシンを配るくらいなら、強い個体値と強いわざを覚えた限定ポケモンを配布する方がなんぼ

現実的なんじゃないでしょうか

しかも、強化度ゼロのやつです



いろいろ妄想は膨らみますが、今後の展開が気になるところです

2016-07-24

30代半ばで突き抜けてないSEです。

最初に謝っておきます。ごめんなさい。大半は愚痴です。

悩みの大半はさっさと行動すれば解決する話です。

イライラしたらスルーしてください。

■気がついたら得意分野がなかった

早い話が、流れに身を任せていたら得意分野がなくて詰みかけてるという話です。

当方ユーザSIerに勤めるSEです。

基幹業務パッケージカスタマイズおよびアドオン開発をやってきました。

開発、運用保守フェーズのすべてを経験していますが、要件定義をはじめとして、お客様と調整、折衝した経験が一度もありません。

様々なプロジェクト仕事をしてきましたが、「何が得意なの?」と聞かれると閉口してしまます

■気がついたら何も身についてなかった

WEB世界に憧れてIT世界に入りましたが、プログラミング経験のなかった自分が配属されたのは統合業務パッケージのチーム。

続けていれば何かが変わると信じて、目の前の仕事に打ち込みました。

SEの自慢話の常套句にあるように、熱が出ても点滴を打ち、心が壊れそうになっても吐きながら通いました。

配置転換担当するシステム業務が何度か変わっても、1から勉強してなんとかついていきました。

そして気付いたらどれもが中途半端SEになっていました。

■私の10年の知識は新入社員の1年の知識

有名コンサルティングファームSIerと一緒に仕事をしていて愕然しました。

自分が5〜10年かけて習得したパッケージの知識は、新人教育OJTによって数ヶ月で習得するものだったのです。

結局知識はお金で買える。パッケージ導入という狭い世界では、知っているのが当たり前。知らない奴は入ってくるながルールなのです。

■信じてやってきた10年間

結局は自業自得です。自分キャリアを見つめ直す機会は沢山ありました。業務外でスキルアップをする機会もあったでしょう。

それでもなお、目の前の仕事一生懸命にこなしていれば、後から良かったと思えるときがくるだろうと、自分を信じ込ませてきたのです。

年齢が上がっても上流を経験する機会がなかなかなく、常に頭を下げながら、「経験はありませんがやらせてください」と頼み込むのが常です。

結局、アサイン先で経験させてもらえることはなく、今に至ります

武器がないと量でカバーしがちになる

私には武器がありません。コミュニケーション能力が高くてセッションが得意なの同僚や、手を動かすのが早くて技術もある同僚と比べると、私には特筆すべき能力がありません。

彼らが早く帰っても「そういうやつだから」と認められますが、私にはバリューを出せるようなスキルがないので、結局のところ量(つまり残業)で年齢にみあった貢献をしようとしてしまます

■これから作戦を考える

これからどうすれば良いのか。

一応、肩書きSEだったりコンサルだったりしますが、パッケージ外のこととなれば完全な門外漢

キャリアチェンジすることも難しいです。持っている知識もニッチで浅くてバラバラです。

自分存在価値が日に日に値減りしていく恐怖感で押しつぶされそうです。

私は何と戦えば良いのか。何を乗り越えれば良いのか。

夏休み実家に帰ってしまった妻と子を思いながらひとりで悩む日曜日

2016-07-20

アニメ違法動画の話だけど、エンドコンソールおよびネットインフラの強化など技術進化、加えて法律の変化によって形態が変わってきて、その結果として最終的には違法動画が終了するような気がする。



大昔はアニメエロ動画といえば、初期のWMVやMOV形式QuickTime、RealmediaとかMpeg1ファイルP2Pで個人でこそっとやり取りするものだった。

P2Pも一対不特定多数複数ではなく、ピュアに一対一でやってたと思う。

このころは見る機械PCで、ソフトWMPなどOSについてきた重たいプレイヤーソフト

これが第一世代ってところか。



二世代になると、Winnyshareみたいなものが開発されて、違法動画の本格的なばら撒きが始まる。

これらのソフトは以前と比較して大幅に自動化されているのに加え、以前の一対一(PvPっていったらわかりやすいか)用のP2Pソフトのように、いちいちファイル所有者にご機嫌を取らなくてもダウンロード可能になり、非コミュ自分で買ったお返し用メディア系蓄財の無い者にもファイルがいきわたるようになる。

日本以外の国では、逮捕される心配がまずないので暗号化すらしないtorrentが主流でもありました。

このころになると、コーデック進化し、DivXWMV進化型(WMV9だっけか?)が登場して画質が向上しファイルサイズも小さくなる。

プレイヤーの開発も複数行われ、MPCVLC他軽めのメディアプレイヤーが登場しOS搭載のものを喰っていく。



その次第三世代では、上記P2Pから入手したファイルを、業者がやってる大規模なファイルサーバ/オンラインストレージにいったん格納するようになり、ブラウザから分割などせずに直接httpダウンロード可能になった。

個人により人手で大量のばら撒きがなされていた部分が、大規模なシステムによるものに変わった。

この時期になると見る機械PCだけではなく、DVDプレイヤーから円盤機能外したメディアプレイヤーや、売れなかったことに業を煮やしてメディアプレイヤー機能をつい内包しちゃったPS3など、PC以外の機械再生できるようになり、またモニタテレビの大画面に変わった。



そして来ました第四世代

上記のオンラインストレージによる直接ダウンロード常識になったあとは、どこぞの頭がいい奴がアフィリエイトによる金銭収入をつけたビジネスモデルを作る。

ここにきて違法アップロードユーザにもまさか金銭収入可能になる。

よって中国ロシア東欧などの連中が違法動画配布サイトを作りまくり、それに呼応する形でオンラインストレージ業者も猛烈に増える。

日本人はこれやると、あっという間に京都府警に捕まりNHKさらされる現実がまっているので、日本はいまいち流行らなかった印象。

コーデックもより進化し、次世代デファクトタンダートと目されたh.264/MP4ファイルがメインになる。

テレビBDではMpeg2が依然居座って、結局お茶の間では負けたけど。



でもってyoutubeテレビCMに登場するようになった第5世代になると、超低ビットレートで高画質を実現する技術が開発され、h.264に加えてh.265なんかも登場してくる。

PCにはハードウェアによる動画再生機能が取り込まれデファクトタンダート技術になり、ブラウザには動画プレイヤー機能を実現するだけのカスタマイズ/プログラミング機能内包され、オンラインテレビと遜色がない動画が見られるようなる。

法律も変わり、直接的にファイルPCに保存しておくことが危険になった現状、見たいもの検索してブラウザからオンラインで見るというニコ動youtubeの形がベストになる。

本来広告アフィリエイトやってた連中は、ちょっとサイト手直しして動画のおいてあるアドレス記載するだけで、配布せずとも金銭収入があるノンリスキーなふざけた時代になる。



そして今現在第6世代では、第5世代の状況に業を煮やした正規コンテンツホルダーであるアニメ関係会社エロAV制作会社が、ありとあらゆる動画を一つの窓口から探して見られるようにサポートするべく、超大手ネットワーク業者であるドコモと組んで、月額いくら動画配信サービスを開始する。

プロ、それもそもそもインフラ整備している連中が提供するサービスなので回線品質もよく、配信される画質も少なくともDVDレベルかそれ以上と十分によく、初期のころは登録が遅かったコンテンツ放送直後もしくは同時に登録されるようになる。

ドコモ運営しているので、バンナム運営のあそこやSCE運営のあれみたいに、コンテンツがどこぞの販売会社のものだけ猛烈に偏ることもない。

加えて、違法配信サイトありがちな『古くなった動画検索したら404で見られない』という問題がまずない。これは正規業者による最大のメリットである

プレイヤー第5世代ではPCだけサービスでしたが、加えてスマホ携帯ゲーム機対応テレビBD/DVDレコーダ他のSTBでも見られるようになりました。

このあたりはさすがに技術者大量に確保して、メーカーにも働きかけができる、超巨大元国営企業ならではのスケールメリットが存分に発揮されています



そして次にくる第7世代では、おそらく低価格帯のラインを含めたすべてのテレビで、正規業者による動画配信サービス機能をフルサポートするに至り、テレビだけでネットから入手した動画が楽しめるようになる。



そんな感じで違法動画はおそらく下火になる....ってかなる運命じゃないとおかしいよね。

2016-07-15

Androidメンテナンス問題

AndroidSIMフリータブレットを買おうかと思って量販店に行ったんですよ。

そこそこ大きい店だったんでAndroidSIMフリータブレットが4つだか5つだか店頭にあったんですよ。

でも、なんか微妙バージョンが古いの。Android4.4って、2つ前のバージョンじゃん。

Android6.0は出たばかりだし、そこは求められないとしても、Android5にはならないのかな?って疑問に思って、近寄ってきた店員

「この中でAndroid5にバージョンアップできる商品はありますか?」って聞いたら

Android製品一般的バージョンアップされません」って答えが返ってきて……。

キャリア版のスマホがなんかカスタマイズしまくっててバージョンアップしづらいはなしは前から聞いていたけど、SIMフリータブレットでもそういうもんなの?

2016-07-13

皆さんはスマートフォンからいろいろな個人情報流出することはご存知で、

ある程度は織り込み済みかと思います

全て適切に管理されていると信じているお人好しもあまりいないでしょう。

でもまさか反社会的組織がそれらの情報を集積、結びつけ、整理しており、

何らかの理由で不運にも目についてしまった人はいざとなったらそこから検索され、

行動パターン趣味発言を把握され、後は、その人向けにカスタマイズした詐欺なり、

脅しなり、知人や本人への成り済ましなり、やりたい放題だなんて、

そこまでのことがあるはずはないですよね、何かの間違いですね、はい

ましてや、そういったことに加担している人が自ら、

「今どき個人情報を気にするなんてナンセンス

といったような発言積極的に行っているなんて、もちろん何かの間違いでしょう。

2016-07-05

http://anond.hatelabo.jp/20160705224433

説教臭いのやだと思いますが。。


どういう順番で書いていくか最初に書き出すことから始めればよいのでは?

最初に書いたとおりにいくのはパッケージカスタマイズとかよく見た光景のものくらいだと思いますが、、、

書き方(書くこと)に変更が発生する度に、リストの方も書き直せばいい。

なにか適当メモ系とかチャット系のwebサービスを使って、書くのも、変更するのも、見るのも、すぐにできるやつでやってみるとか。


それと

データモデルをしっかり押さえる(これでほとんど決まる)

データをどういう風に集めてきてどう見せるか

データをどういう風に変更するのか

・変更を受け付けない条件は何か

・変更を受け付けなかった場合はどうするのか

を書けば8割方完成だと思うんですけどねぇ。

2016-06-25

BTOパソコンを買うより自作のほうが安くない?

https://shop.tsukumo.co.jp/bto/bto.php?BTO_SET_CODE=RM-J289&TYPE=64T

ここでカスタマイズするとSSD 960GBにするだけでも4万以上かかる。

ツクモだけじゃない。他のBTOでもこのくらいはする。



自分SSDを選んで購入したら一番安いのでSSD(TLC/960GB)が2万円ちょっとで購入できる。

MLCなら3万円ちょっとで購入できる。

http://kakaku.com/pc/ssd/itemlist.aspx?pdf_Spec301=960-&pdf_so=p1



これからBTOというよりパーツ購入のアドバイスができる企業が儲かるんじゃないの?

2016-06-21

マナーが悪い車

1位 小型トラック

社名が無名または何も書いてないと地雷率高し。レンタカーは平気


2位 県外ナンバートラック

社名が習字体で無名だと危険。大型・中型のくせにジグザク車線変更スピード超過などよく見る。


3位 黒かパールホワイトの1000㏄普通車

車高バンンパーいじってあると危険。Y〇ZAWA。倖〇組などのステッカーに注意。


4位 スモークハイエース

テールランプまでスモーク、防音シートが窓に貼ってある、ホイールカスタマイズは要注意。


5位 中小企業の軽・営業

昼間から挑発的な走り、信号で青になった瞬間対抗車より先に右折するタイプ運転手は男女関係ない


ランク外 プリウスアクア

保険メンテ仕様の全ての面で比較的優れており一見ダサいので馬鹿は乗らない。

2016-06-20

http://anond.hatelabo.jp/20160612042202

日本の一軒家はあまりにも当時の家族構成ライフスタイル

カスタマイズしすぎるから

ウッパラウとき

価値がなくなる。

http://tsukuruiroiro.hatenablog.com/entry/workhard

仕事ができる人は、次同じ仕事に直面したときに、スムーズに処理できるよう具体的な作業レベルマニュアル化をする。

大事なんだが、

仕事ができない人は、一から情報を集め、一から資料を作ろうとする。

これをやったほうが自分流にカスタマイズできていいんだけどな。

しろ上記は、

仕事ができない人は、講義/勉強会/セミナーを好む。

にも該当するような気がする。自分のやり方が身につかないから遠回りだと思う。

ただし行き詰まった時は学ぶことが一番大事なんじゃ?

仕事ができない人は、すべて完成してから見せる。

ありえない。未完のものを見せたところで完成してないのになぜ見せる、と言われるのがオチ

それと自分はどちらも思い当たらないが、これと

仕事ができない人は、休憩せずに仕事し続けることを良しとする。

仕事ができる人は、こまめに休憩をし、集中力を持続させる。

これ

仕事ができない人の携帯は、仕事中でもメールLINEの通知がひっきりなしに鳴る。

仕事ができる人は、集中力を阻害するもの意識的にOFFにする。

矛盾しまくりじゃない? LINEブレイクだったらどうすんの。

仕事ができない人は、経験を重んじる。

仕事ができる人は明確な根拠に基づくデータを重んじる。

前例主義ってことなんだろうか? そうじゃなきゃ経験根拠だという話にもなるけど。



残りの項目は一応納得。

2016-06-09

エアコンタイマーがアホすぎて辛い

「入」と「切」が併用できないタイマーってなんなだ!

バカですか。

こっちは一度に設定したいんだが!

夜寝るときに3時間後に「切」

朝起きて仕事行って帰ってくる頃21時前に「入」設定を

「入」と「切」が併用したい!

なぜできん!!!

アホすぎですか!!!

しかも、「入」タイマーマックス12時間後でしかできないとか!

14時間後にしたいのに!

アホすぎですか!!!

あと、自動運転も気温設定しても不快

グッとくる気持ちよさがない!

最初強めに効かせたいので22℃設定とかしたら、

ほんとうに、ガンガンに冷やすだろ。

バカですか!!!

22℃設定して、冷え切ったら設定温度を自動的に25℃に変更。

さらに、湿度が上がってきたら、自動的除湿運転。

除湿して寒くなってきたら除湿運転から、26℃設定の冷房運転に変更とか

なんか、エアコンの賢い!ってCMよくあるけど、

こんなこともできないのか!!!ってイラッとする。

条件分岐とか細かくカスタマイズというか、

プログラミングできるエアコンってないのか!!!

エアコンがアホすぎて辛い!!!

2016-06-07

業界小話(コンサル編)

業界小話系に乗っかってみよう

訪問契約率20%のブラック企業の真っ黒な営業手法を書いてみる

http://anond.hatelabo.jp/20160526110823

・なぜ家電量販店で凄まじく値引ける(ことがある)のか教えてやる

http://anond.hatelabo.jp/20160412234807 

リフォーム業者営業が仕組みや値段について書くよ

http://anond.hatelabo.jp/20160531150129

MとかBとかの外資系有名ファームでないけどわりかし有名なファーム経営コンサルタント

30代のマネージャー営業プロジェクト推進の両方をやっている。

コンサルとは

コンサルタント資格不要で名乗ろうと思えば誰でも名乗れます

なので様々な仕事コンサルタント存在しています

他のコンサルは知りませんが、経営コンサルタント簡単に言うとアドバイス業です。

学術情報であったり、他社事例であったり、自社ノウハウなどクライアントが知らないことを教えることが基本です。

ただし、知識をそのまま教えるだけではダメで、クライアントの状況を斟酌しながらカスタマイズしていくことが生きていくポイントです。

営業のやり方

弊社は基本、問い合わせとセミナーから営業活動が主流です。

問い合わせを増やすために、書籍記事執筆、講演などで会社名前自分の顔を売って問い合わせを狙います

また、自発的セミナーをやって見込み顧客を作っていき、手法説明業界情報などを餌に訪問して提案につなげます

成功率としては問い合わせの方が良いのですが、こっち思い通りには行かないので自発的営業します。

何度か訪問させてもらって意見交換して提案という運びになります

設備などに比べて効果がわかりにくいので提案・交渉の回数は多くなりがちです。

プロジェクトお金

見積基本的に人工です。活動を為すために必要人員と単価表で見積もります

社内で以下のような単価表があります(例はフェイクです)

クラス 単価
アシスタント 200,000
シニア 400,000
マネージャー 600,000

日数はクライアントへの訪問日程だけでなく作業日程を含めるルールですが、最近競争力が落ちてきたせいか作業日程分を取れない場合が多いです。

クライアントへの訪問日程は提案書に明記せずに総額で交渉します。

外資系に比べれば安めですが、コンサルを使ったことの無い企業では結構値段に驚かれます

交渉としては、値下げの幅にも寄りますが単純な単価の減額や日数減は行わず対象範囲を狭め結果として訪問日数を減らす方向にします。

プロジェクトの話

受注したら晴れてキックオフです。

アシスタントも引き連れてキックオフして、メンバーと具体的に進めて行き、適宜Pjtオーナーに報告しながら勧めていき、最後に報告会を行うのが一般的です。

進め方はテーマクライアントによって大きく異なり、先生となる指導型、プロジェクトメンバーとなり一緒に進めるを分担型、クライアントの手足となって作業をする請負型などバリエーションが有ります

弊社は割とタスク分担で進めて行くパターンが多いです。指導型は楽なのですがクライアント能力によって活動が進まなくなるリスクが高いので近年は少なくなりました。

請負型はクライアント次第な部分もありますが、好かれていません。

コンサル説明でも書いたようにあくまアドバイス業ですので、活動の結果にはコミットしません。

我々のアドバイスイマイチ場合もあるにありますが、成果が出ないときお客様活動量が圧倒的に少ない場合が多いです。

結構コンサル入れれば安心。後はコンサルがやると思っている方が一定数いらっしゃいますが、成否はむしろPjtメンバーにかかっていると思い直してもらいたいです。

アウトプットが定まりにくい内容のため、炎上リスク結構ありますので上手に着地させることも結構重要な力量です。

コンサルお金

弊社では固定給年俸に分かれます

若いうちは固定で、ある職位以上に上がると年俸制シフトします。

固定給でも成果や評価賞与金額にバラツキが出ますが、事業会社と同様で倍半分の世界にはなかなかなりません。

年俸制になると、売上比例なので売上が立てば立つだけ給与が増えます

年俸制は30台の前半から適用され、平均値としては1200-1500程度です。

弊社はトップファームに比べると一段階給与が安くその不満が社内には結構あります

客観的に周りのファームに比べると業務時間が短かったりするので、時給計算は悪くないと私は感じています

比較対象にもよりますが、やはり30代で1000万が比較的容易に出るので悪い給与では無いと思っています

終わりに

コンサルって全然違う世界に見えるようで、普通営業さんやシステム屋さんと同じようなことをやっている世界です。

ただし、投資も少ないし、少数精鋭なので給与が高いということです。

ご参考になれば幸いです。

2016-06-03

ツイッターとかまとめブログでこんなのないかしら

※本当は何をやっているかは知らない

2016-05-30

[]ギラ・ドーガ自称木星決戦仕様

ABCマントを装備した二体のギラ・ドーガ写真


宇宙世紀136年「神の雷」を阻止する作戦鋼鉄の七人」、その七人に選ばれなかった、八人目と九人目のモビルスーツ

だが、この機体に関しては、存在を主張するものが、たった2人しかおらず、そもそも兵器歴史の分野で解説する機体なのかどうかすら怪しい存在である

二次ネオジオン戦争期に漂着したギラ・ドーガ作業MSとして使っていた、資源小惑星作業員二名独自カスタマイズ機。

40年近く前の旧型機であり、かつその間作業用として使用されており、機体の運動性や機動性の面に関しては当時よりも劣っており、到底木星との決戦に耐えうる機体ではない。

しかし、この機体は運動性や機動性を重視していない、何より攻撃力とも言うべき兵器すら一切所持していないのだ。

一見すると通常のギラドーガよりも巨大なバックアップによる超威力ビームキャノンにも見える兵器を所持しているが、これは他の機体にエネルギー補給する機器である

動かすのが困難な作業機械間を繋いでいたバイパスを利用して作られており、彼らが作業員として働いていたことを証明する事実でもある。

これは鋼鉄の七人Bチームの近接援護担当クロスボーンガンダムX1フルクロスサポートするために特化した機体であるためである

ギラ・ドーガ自体が装備しているABCマントについても、フルクロス特殊装甲が破壊された際の予備部品であり、彼ら自身が防御手段として使うために装備しているわけではない。

事実、この写真でも前面の装甲を隠すのではなく、後ろにたなびかせている。

いったい、この二体のギラ・ドーガと「鋼鉄の七人」の間に何があったのかは、くだんの資源小惑星で彼らに会えば快く話してくれるため、ここには記さない。

彼らの「鋼鉄の七人」への、特に元になった宇宙海賊クロスボーンバンガードのエースパイロット「トビア・アロナクス」への信仰は強く、

「もし戦争が無い平和世界に生まれ変わったとしても、クロスボーンの為に戦う」と、意味深発言を繰り返していた。

2016-05-17

OverwatchはSplatoonの代わりになりえるのか

SplatoonFPS, TPSに興味を持った人が次やるゲームとしては良いんじゃないかという感想

CoD大分飽々し、Splatoon無茶苦茶楽しんだ僕でも楽しめた。

Splatoonの良い点

Overwatchの良い点


適当に挙げたがこんな感じ。

そろそろSplatoon飽きたとか、別FPSも気になるって人は是非やってみて。

PS4, Xbox one, Windowsならできるので。

2016-05-12

金のためにWindowsを殺すなMS

普段 Windows 7を使っているが、

Windows 10 を使ってみたところ、許容しがたい使いにくさだ。

大体、ボタンデザインも平面的で、

最大化・最小化・閉じるボタンデザインとか、

タスクマネージャーパフォーマンスグラフとか、

馬鹿にされているように感じる。

カスタマイズ余地も、とても制限されている。

マイコンピュータのアイコンも人を馬鹿にしたデザインだし、

フォントも汚いし、

少なくとも「見た目」上は、何から何まで、退化している。

数年後、Windows 7サポートが切れて、

こんなOSを使わなきゃならないのかと思うと、悲しくなる。

どうして、今まで満足して Windows を使ってきたのに、

こんなものを押しつけようとするのか。

お金が欲しいなら、Windows を月額制か年額制にして構わない。

でも、今までのもの安心して使わせて欲しいのよ。

平和PCライフを送ってきたのに、どうしてこんな仕打ちにあうのか。

邪推するなら、新しいものを売りつけないと収入がなくなるから

無理に新しいものを作って売りつけしかないのだろう。

新しい以上、前と変えなければいけない。

手っ取り早いのは、見た目を変えることだ。

そんなことをされれ、Windows 10 を使うことを強要されるくらいなら、

Windows のために、1ヶ月に2000円払ったって構わない。

から、お願いだから

古き良き Windows を殺すなと言いたい。

2016-05-02

市販カレールーは箱のレシピ通りに作るのが一番美味いとかい記事

そりゃそう思う奴はそれでいいと思うけど「カスタマイズする奴は間抜け」みたいな言い方されるとムカつく。

俺はバリバリショウガニンニク効かすの好きだけどそんなカレールーないじゃん。あればそのまま使うよ。

冷食餃子とかもそうだけどマスプロ製品は美味いけど万人向けでパンチが足りないんだよ。

2016-04-26

OAuthのことを1ミリも知らない俺が

OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324

http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html

OAuth がうまくいかない理由と、既存サービスゼロデイ攻撃方法

OAuth とは

認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。

OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。

おことわり

前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。

言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたお気に入りOAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。

また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法OAuth を使っているサービス利用者であっても、また自ら OAuth ベースサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。

記事の構成

この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。

この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。

この前書きのあとは、まず OAuthセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。

その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。

最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。

責任ある情報公開

いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーOAuth ベースサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースシステムの主要なセキュリティ欠陥は非常に蔓延しています。

筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。

というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。

ここで言及されている情報やリンクされている情報は今のところ既存のサービス悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のもの破壊するのではなく改善することを目指してください。この記事は、自社サービス不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。

想定する利用形態

この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。

まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。

ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッショングループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。

ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。

ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的営業部門メンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。

問題点

セキュリティ関連
認証情報の盗難 / アクセス権の詐称

トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティアプリサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:

  • 必要以上のアクセス権をサードパーティに与えることになる。
  • 認証情報を格納する場所が増えるということは、盗まれる危険が増える。
  • パスワード等を変更したときに API 利用者側でも更新が必要になる。
  • ひとつアプリだけでアクセス権を破棄することが難しく、全アプリで破棄することになりやすい。
  • 特別な認証要素を使っていると、制限が多すぎる。

上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。

さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:

  1. ユーザサードパーティアプリ/サービス (たとえば AFCP) を訪ねて、特定のサービスと統合したいことを知らせる。
  2. AFCP は、EVS でホスティングされた特別なログインページを出してユーザに EVS の認証情報を入力させる。
  3. EVS は、その指定したアクセスレベルユーザが本当にサードパーティ (AFCP) へ与えたいのか確認する。
  4. EVS は AFCP に一種のトークン (複数の場合もある) を提供し、各種 API コールに使えるようにする。

このトークンユーザの認証情報ではありませんから、そしてひとりのユーザひとつアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。

この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。

(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)

(略: そうした詐欺を企業自体が後押ししているような風潮もある)

(略: スタンドアロンアプリなら、ログインを詐称する必要すらない)

この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザ組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?

クライアントアプリユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザインストールするネイティブアプリすべての信頼性に自分で責任を負う。

さらに

クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。

基本的に言って、OAuthセキュリティガイドラインは、OAuth を利用する開発者ユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。

私の知る主要な OAuth ベースサービスはほぼすべて、ここに概説した手法で攻撃可能です。

OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者管理者に「OAuthもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。

OAuth サービスに偽装

OAuth ベースサービス設計でよく見かける間違いは、ブラウザ用に、パラメータひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリサービスユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローOAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。

「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。

EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に FacebookGMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebookユーザは全員 GMail に対して Facebookのもののふりをすることができてしまうということです。

この問題は、OAuth エンドポイントユーザウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。

ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。GoogleOAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローひとつあります:

client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)

Citrix もこんな間違いをしています:

(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)

Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースサービス開発者でさえも似たような状況で潜在的ヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。

サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービス一般的にいって独自の「SDK」を提供しており、サードパーティ開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。

この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアント機密情報を取得する脅威」に分類されています。しかしサーバウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームOAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレード参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。

おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。GoogleOAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントウェブブラウザベースアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフロー標準的ブラウザ用のエンドポイントコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。

前掲のセキュリティ文書は、Permalink | トラックバック(3) | 12:44

2016-04-24

富士通退職して思うこと

筆者は、新卒入社した富士通を三年で退職した。

退職から一年が経過し、新しい職場(WEBベンチャー企業)での仕事に慣れたこと、

また、富士通の同期入社の友人から頻繁に転職の相談を受けるようになったこともあり、本エントリ執筆する。

はじめに、筆者の退職理由を簡単に述べると、富士通という会社未来を感じなかったことと、やりたい仕事はできないだろうと判断したためである

参考までに、筆者は公共機関向けのシステム開発部門所属していた。

担当していた業務は様々で、小規模なシステム開発や、子会社・下請企業管理であった。




1.成果主義を謳いながら実態は年功序列主義

富士通には、人材キャリアフレームワークという社員評価制度があり、現場には、入社何年目はこのレベル仕事、といった暗黙の了解がある。

本人の能力や意欲とは全く無関係に、入社後の経過年数で、仕事裁量の幅が大きく制限される。

このことはいわば、学習指導要領ならぬ、業務指導要領があるようなものだ。

このような枠組みや暗黙の了解存在すること自体問題なのではなく、その枠組から逸脱した人材を想定しない・評価しないことが問題なのである


筆者がお世話になった優秀な先輩方は、この業務指導要領の要件を満たして手に余った人、

いわば天井にぶつかった人から先に、より大きな仕事がしたいという理由で辞めていった。

筆者もその一人である

既存産業の大きな成長が望めなく、社員個々の多様性重要視される昨今の経済情勢において、

高度成長期における横並び思想をもとの作られたやり方が未だに社内を謳歌しているのは時代錯誤というほかない。


富士通への提言として、これから時代は、年齢も在籍年数も関係ない人材評価制度を作っていくべきである

そして重要なのは会社既存事業でいかに利益を上げたかについての評価ウェイトを下げ、

いかに新しい発想で新しい事業を提案したか・実現したかという評価項目を設立するべきである


なお、富士通には社内ベンチャー制度があるが、これはうまくいかない可能性が高い。

なぜなら、社内ベンチャー承認するのは旧式の人材の典型である高齢経営であるからだ。

いままで数十の社内ベンチャー審査結果を見てきたが、彼ら経営層に事業の将来性を判断する能力はないと痛感した。

また、他の理由としては、富士通既存事業と衝突すると社内ベンチャーが潰されるということがある。

将来性のない既存事業を残して、将来を託すべき社内ベンチャーを潰すという企業風土なのだ




2.社内既得権益集団が絶対に損をしないルール

富士通という会社には多数の既得権益集団がいる。そして、社内のルールは彼らが決して不利にならないように作られている。

なぜなら、ルールを作る権限は、先頭を走る集団、1980年代大成功を収めた既得権益層がガッチリ握っているからだ。

いわば、前を走る人を抜かしてはいけないレースのようなものだ。

このような出来レースで若手社員モチベーションが続くはずはないことは明らかだ。


筆者は、決して年功序列主義を批判したいのではない。

既得権益層が年功序列悪用して、部下の手柄を自分の手柄にし、部下の失敗を部下に押し付けている実態に対する批判である

ノブレスブリージュ、権利を有するものには義務がある、という思想がある。

富士通既得権益集団には会社技術力や社員を率先することで、企業としての地位を向上させていく義務がある。

実態は、社内の後進に抜かされることを恐れるあまり、後進の他社に抜かされている。

これでは既得権益集団が義務果たしていないことは明らかだ。

ちなみに、この既得権益集団に有利なルールが生み出した現状については、

同じく富士通OBである城繁幸氏の著書「若者はなぜ3年で辞めるのか?」(光文社新書)が詳しい。




3.企業ビジョンを失った社員たち

経営学において「ヴィジョナリーカンパニー」という名著がある。

この本によると、会社が永続的に成長・発展していくためには企業理念ビジョン)を社員ひとりひとりが持つことが必要不可欠であると指摘している。


富士通企業理念は、変革に挑戦し続ける姿勢や、よりよいICT社会づくりに貢献することを掲げている。

しかし、富士通という会社の現状として、このヴィジョンを失っている社員、とくに管理職がとても多い。

30代を過ぎて会社に定住することを決めた社員に変革に挑戦しようという熱意ある人物はひとりもいなかった、

そういう人々にとってICTで社会づくりなどどうでもいいのだ。

ただ顧客要求を聞いて、それを子会社下請けに作らせて予算や利益を達成することにしか興味がない管理職が大半であった。

これでは富士通企業理念など誇大広告もいいところである


元GEのCEOであるジャック・ウェルチ氏は、たとえ成果を出していようと企業ビジョンを共有しないものはクビにしろと自著で語っている。

このポリシーを導入したら、富士通管理職の80%はクビになるであろう。そのくらいに富士通管理職は夢や熱意のない人物ばかりであった。

そのような人材が将来的に会社破壊する、というウェルチ氏の指摘の正当性を、富士通という会社惨状が示しているのは皮肉という他ない。


富士通への提言として、ウェルチ氏のやり方を実行すればよいのだ。

成果によって管理職のクビを決めるのではなく、ヴィジョンを共有できているかでクビを決めるのだ。

このやり方を実行すると既得権益を握って離さな経営層や管理職が一掃される。

既得権益にしがみつくだけの人物こそ、ヴィジョンを持たない人物である割合がとても多かったことを付け加えておく。




4.発展途上国レベル業務標準化の原因

経営コンサルタント大前研一氏は、日本生産性アメリカの半分しかなく、もはや発展途上国にすら負けていると指摘している。

その原因について、日本では業務標準化が全く進んでいないためであると述べている。

このことについてITベンダに勤めていた経験から詳解したい。


まず、マイナンバー関連のシステムを例に挙げる。

自分の住む自治体と異なる自治体マイナンバーのITシステム比較してみてほしい。

ここで、自治体が異なればITシステムも異なることに気づくはずである

はたして自治体ごとに個別マイナンバーシステムを作る必要があるのだろうか?

答えはもちろんノーである。全国どこでも一律の業務であるべきであり、同じITシステムを導入するべきである


なぜ、各自治体ごとにITシステムがバラバラなのか。

その理由業務標準化がなされていないためである

自治体ごとに業務フローが異なるために、別のITシステム使用した時に業務がこなせないという事態が発生する。

そのため各自治体が個別にITシステムをITベンダー発注することになる。


そこでITベンダー各自治体ごとに個別のITシステムを作ることになる。

ITベンダーからすると一度作ったことがあるものカスタマイズして、業務の順番を入れ替えたり、扱うデータを多少変更するだけで済む。

それなのに膨大な金額を請求するわけだ、ITベンダーとしてはボロ儲けである

(なお、主要ITベンダー決算書を見ていただくとわかるが、ITベンダー利益率が高いわけではない)

特に自治体のITシステムは国民の税金で作られているわけである

各自治体は、このような現状を放置していて、国民に申し訳ないと思わないのであろうか?

このことは、決してITベンダーにの責任があるわけではない。

総務省が陣頭指揮をとって各自治体の業務標準化統一化を進めなくてはいけないのに、それが全くなされていないのは監督官庁としての責任放棄である


このように業務標準化が全く進んでいない現状は自治体に限らず、民間企業においても同様である

会計パッケージにおいて、世界デファクトスタンダードになりつつあるSAP導入に失敗する事例を数多く見てきた。

失敗する理由は、個々の企業業務に合わせてSAPをカスタマイズしており、そのカスタマイズでは対応できない業務フロー存在するからである

問題なのは、そのような業務フローは、決して必然的業務ではなく、過去の慣習から存在しているだけであることがとても多い。

ここにおいて、ITシステム業務に合わせるのではなく、ITシステムに合わせて業務の方を変えていかなくてはいけないのだ。


日本サービス流通業生産性特に低い。

このことは、サービス流通業顧客からSAPのカスタマイズ無理難題があがってくることが特に多いことと無関係ではないであろう。


富士通は、既存顧客業務標準化およびデファクト・スタンダードとなるITシステムの開発の陣頭指揮をとる役割を果たすべきだが、その望みは期待できない。

なぜなら関係が深い企業において、業務効率化すると大量の社内失業者を出すことになるからだ。

そのような"顧客との良い関係"を崩すようなことはやらない会社である

日本という国のあるべき姿を長期的に考えた際に必然的なことであるにもかかわらずである

富士通企業理念である、よりよい社会づくりに貢献するとは、まさにこの業務標準化を推し進めることなのではないのか。




5.時代に取り残されたガラパゴス化した閉鎖社会

富士通には外国籍社員が相当数在籍している。しかし、彼らに求められる日本人への"帰化圧力"がとても強い。

同期入社中国籍の友人は、対外発表会のために完璧日本語発音の練習をさせられていた。

完璧日本語発音日本人に任せるべきで、中国精通しているというメリットを活かせる部署配置転換するべきである


この現状に直面した外国籍社員は数年で辞めていく。

なお、残った外国籍社員をみると、小学生から日本にいるなど、生まれたのが海外というだけのほぼ日本人だったりする。

外国籍社員離職率が高いことに対して、本部長が提示した対策が、

長く働きたい会社とはどのような会社か、というテーマ外国籍社員を集めランチタイムディスカッションさせるというものだった。

この話を聞いたとき、筆者は絶句してしまった。

この席で「無能な人が本部長にならない会社で長く働きたい」という大喜利でもすればいいのだろうか。


富士通グローバル企業を表明しているが、このような組織海外進出などできるはずもない。

なぜならば富士通利益構造では、海外において利益を上げられないからだ。

このカラクリ解説大前研一氏が詳解されているので、参考にしていただきたい。※1




6.富士通の良いところ

ここまで富士通に対する批判と改善提言を述べてきたが、富士通の良いところについても触れておきたい。

まず、個々の社員仕事力や組織力といった点では、他の大企業比較して遜色ない。ただし、富士通の主要グループ企業に限るが。

数十を超える大企業および中小企業仕事をしたが、やはり大企業は個々の社員レベルが高く、組織力も高い傾向にある。

顧客として他社と仕事を進めていくうえで、大企業の方が優秀な担当者に遭遇することが多く、仕事がとても進みやすかった。

この理由について、大企業社員育成能力が高いことはもちろん、社内チェック体制が整っているからではないかと思う。

社内で質の悪いものは弾いており、社外に出さないようにしているのだろう。


また、富士通顧客主義がきちんと徹底されている会社であると感じた。

筆者と富士通顧客主義が異なっていた点はあるものの、顧客起点に立つという考え方は大事なことである

これは、筆者が富士通入社して良かったと感じることである

人間関係について、他社と比較して良好な会社であると感じた。

柔らかい人が多く、職場雰囲気はとても良かった。お世話になった直属の上司や先輩方は、優しく丁寧なご指導をいただいたことに感謝している。




7.おわりに

最後に、立花隆氏の著書「東大生はバカになったか」(文春文庫から名文を引用したい。※2

「いま、この辞めたい気持ちを逃したら、この会社に骨を埋めて、あそこにいる連中と同じになってしまうと思った。」


結局、筆者の退職理由は、偉そうな顔をしているがロクなビジョンも打ち出せない富士通上層部のような人間になりたくなかったからである

富士通という会社必要なのは、優秀な若手の育成などではなく、無用老害排除である


筆者には、富士通という会社は、沈みゆく泥船にしか思えなかった。




※1「産業突然死」の時代人生論、第44回 談合をなくす二つの妙案-"便利なゼネコン"はいじめの温床

http://www.nikkeibp.co.jp/sj/2/column/a/46/

(この記事ゼネコンITゼネコン(ITベンダー)に置き換えていただきたい。)

※2 引用にあたり、語尾を改めた。




補足1.城繁幸氏の著書「内側から見た富士通」(光文社)についてのコメント

この本は富士通が先んじて導入した成果主義が、名ばかりで社員のやる気を奪う結果に終わったという実態を告発した本である

この本について、いくつか述べたい。

まず、本題である成果主義経営層のご都合で導入されて、社員モチベーションを奪うという最悪の結果に終わったという指摘はまさにその通りである

また、この本が出版されてから10年以上経つが、実態は改善されていないし、する気もないのだろう。

(そもそも経営者のご都合成果主義の導入を失敗だと気づく能力が欠如しているのかも知れない)


富士通では、そもそも「成果」などを評価されていない。

管理職仕事は、部下の成果を評価することではなく、予算内におさまるように部下の評価を調整することであった。

なお、成果主義の導入を評価している現場社員は誰もいなかった。

成果主義を批判する幹部社員はいなかった。おそらく批判すると何らかのペナルティがあるのではないかと邪推している。)




補足2.転職について

筆者の転職について、考慮したことをいくつか述べる。


まず、次の会社仕事の選び方および交渉の進め方については、山崎元氏の著書「会社は二年で辞めていい」(幻冬舎新書)を大いに参考にした。

転職は考えていなくとも、今の時代を働く考え方、人材価値セルフマネジメントなどは一読の価値がある。


富士通という大手を辞めたはいいが、次の会社で苦労している人が多いという意見についてコメントしたい。

筆者に言わせれば、それは転職のツメが甘いのだ。

現職のどこに不満を持っていて、そのうち、どこが改善余地があり、妥協するべきであり、次の職で改善を期待するのか、についての思慮が浅い。

社会ルールをわかっていないで転職したとしか思えないケースもある。


そもそも富士通という会社に勤めているにもかかわらずITゼネコン生態系を理解していない社員がとても多い。

下請け企業にいけばもっとやりがいのある仕事ができる、などという浅い考えで転職する人はいる。

ITゼネコン下請け生業とする会社社長は、中間管理職と何一つ違いはない。

上の指示(元請け発注)を受けて下に伝達するだけであって、自身で新しい事業を生み出す能力のない企業である


筆者はITゼネコン生態系から離れた企業を選んだ。

新しい会社は、自社で新しい事業を生み出す能力があり、きちんと利益を上げている。

転職において改善したかったこと、専門的な業務ができること、自分アイディア事業に活かすことができること、それらがすべて達成できた。


なお、富士通からWEBベンチャーに転職する人が多いと思われがちであるが、一番多いのは地方公務員である

2016-04-14

http://anond.hatelabo.jp/20160414192003

ネットの向こうには他人がいるだろ?じゃあ社会との差はないよ。

ネットの向こうが全てお前にカスタマイズされたフィルター経由で覗けるようになればいいね

俺はごめんだが。