  |
はてなキーワード: リテラシとは
「ソースがオープンであること」と「OSSであること」を混同してる人が多すぎない?
発注者がいてそれを引き受けたコミュニティ・チームがあって、緩いながらも納期が設定されていたわけでしょ?
シビックテックか知らんけどかっこいいことしたい偉い人と自意識過剰なエンジニアが運悪くマッチしたプロジェクトでしょ。
そもそも「とりあえずリリースして素早く直す」みたいなのはユーザがサービスを選んで使ってれてるから通用する話であって
ITリテラシーのない数百万人が適切なインストラクションもないのにバグだらけのソフトウェア掴まされて文句が出ないはずないでしょ。
もう一回良く考えて欲しいんだけど
-----
いやいやいや、当然でしょう。OSSコミュニティの開発ではない。
発注者がいて納期があったからチームはリリースを拒否できずにバグだらけのソフトウェアをリリースしたんでしょ?
それともチームは自分たちで今の状態のソフトウェアをリリースする意志決定をしたってこと?それならバグの責任を持つのはチームでしょ。
何度でも書くけど「ソースコードが公開されている」ことと「OSSであること」は別物だよ。
謎の証跡用画面キャプチャPDFを大量に残さないといけなくて、それらを共有フォルダに決められた命名規則で保存
主にメールで業務するのにDaaSのPC上だとメールがインデクスされてないので検索にめちゃくちゃ時間がかかる
最近グループ全体で使うコミュニケーションツールが導入されたけどスマホからは写真添付出来ないクソ仕様
で、根本的な原因は社員のITリテラシ、というかそもそも具体的な能力が低すぎて話にならないからなんだよね
普通のOutlookはメールの検索が1秒以下で終わることを知らないし
SlackクローンのMattermostがあるとかも知らない
当然プログラミングはできないし、そういったことは「誰かに頼んでやってもらう」のが標準だと思っている
で、自分たちはリスクマネジメントだのAIストラテジーだのデジタルトランスフォーメーションだのを勉強してる(笑)
だからいつまで経っても良くならないし良くしようとしてもよくわからない障害に遭う
昇格試験でも「そもそも基礎力上げないと話になりませんよ」と言っても共感されないしピンときていない
「そんなことよりマネジメントは」「AI戦略どうするのか」みたいな話ばかりで
「いやだから、基礎力ないとそんな話できませんよ」
まぁ結果として部内評価で昇格はしたけど面接の成績はボロボロで
同じような問題意識持ってても落とされた人はいっぱいいるんだろうなぁ、とは思う
大企業がそれなりのITリテラシ持てばそれなりに新しいことができるとは思ってるんだが
そろそろ潮時なんだろうかとも思い始めている
どこのサービスを真似してください
たまに来る依頼がこんな感じ。
頭に綿でも詰めてるんですかってくらいのリテラシの低さとビジネスモデルを提げて、自信満々でやってくる。
大体リソースさけませんで断り入れるけど往々にして巻き込まれる。でもってなんとか片付けてきた。
でもそろそろ気付いて欲しい。
ビジネスモデルがクソなら売れないし、金のかからないプロダクトなんて知れた機能しか使えない。
AI使うにしても使わなくてもできますが?と言うと売り文句として使いたいんだとか。
いくらまで運用費かけますか?の質問で20kと答えられた時の絶望感。
心の中でできねーよボケ!と思いつつ最善策を出す日々。
意外と知られてないのはSaaSに関しては見積もりが出しにくいこと。当然ながらフェイルオーバー対策するとそれなりの額はいくし、レンサバみたいな定額制じゃなくて従量制。それにその時点で目標PVを聞くと答えられないケースがほぼ。
大体この手の客はレンサバの費用間で掲示してくるのが常。で、バックエンドとフロントエンドの金額感が混ざってる。
自大学のチーム開発がもうすぐ終わる.
正直ここ1ヶ月はかなりモチベーションがなかったが今日はそこそこにある.
これは多分メンバーの顔を見る機会が少なそうだと見積もっているからかな.
あ,AirPods落としたけど割と元気です.
少し壊れてんのかな?
これはメンバーKが要因だと思っている(現段階なので時間経てばまた変わるかもしれないが).
Kは自分以外の仕事を見渡す能力があまり無いらしく,誰か(とくに自分だが)がタスクで忙しいとくに限ってタスクをお願いしてくる.
そのタスクがその人間にしかできないこと,かつそれが解決しないとKは何もやらない(なら物品管理なりやれ)のでタチが悪かった.
お願いされるときは大体頭がパンクしているので,指示も的確にできないので困った…
友人なので関わりたくは無いということはできないのだが一緒に開発ということは無いだろうし,友人以上ビジネスパートナー以下の関係でよろしく.
・メンバーIが何もしていない
はじめに顔を合わせた印象は無口,ゲーム好きなくらいしかわからなかったのもあり,タスクを投げれば平均点くらいの物が返ってくる人だと思っていたが完全に裏目に出た.
何故遅くなったかというと5人のチームを開発する場所で分けたために,Iとはやや疎遠になってしまったから.
なのでとりあえず自分が引きうける.
自分のタスクが多い→思考回路がおかしくなる→タスクをこなす効率が悪くなる→自分のタスクが…
そう言えば自分はなにやってきたんだろうか
PM,実現方法の提案,プログラム(2割くらい),電子回路,プロダクトのテスト,メール担当,ポスター制作(1割),物品管理,物品注文,スライド作成と添削(最近だとこれがとにかくしんどかった),動画制作(結局使わなかったが),発表(先生に進捗報告を含む)…
とりあえずこれくらい.これが少ないと思ったらあなたのところはブラックです.タスクの量でマウント取るのは楽しいけども程々にしましょう.
「スライドの共有の仕方がわからない,そもそもスライドを作ったことが授業くらいしかない」
こんなこと言われたとき僕はなんか泣きそうになりました.
そういや大学ではスライド作ったのは英語の授業くらい,プログラミングの授業の時もあったけどあれは1枚のスライドだった.
自分はサークルなどで作っていたのでそこらへんのデザインはわかるのでなんか住んでいる世界が違ったらこんな感じなのかと思った.
そもそもスライド投影の仕方すらわからないと言われてそいつに教えたときは非常に不機嫌でしたね…
Slackの通知設定すらできないレベルだったので泣く泣くLINEを主に連絡ツールとして利用したが,大事な写真やファイルなどをトークに貼って後で「ラウンロードできる期間過ぎちゃって無理だよ〜」とか言ってました.
あと深夜に写真を何十枚もLINEに置くな…せめてアルバム機能使って…
連絡しても既読すらしなかったので,こういう連絡ツールに疎い人種だったんでしょう(最近のJKの方が反応してくれるんじゃね?)
この項目に関してはもっと詳しく書きたいのでこの辺で.
まだまだ書けると思うけど,発表練習しなきゃなので終わり.
https://note.mu/iryo/n/nb8b7217879e3
https://note.mu/iryo/n/n7567a9e071a7
東京でITやってたけど、介護で田舎に戻ってきてそれからずっと田舎で似たようなことしてるけど、この人圧倒的にやり方が悪い
都会に住んでいたから田舎民の圧倒的なITリテラシの低さと、「iPadのOSの更新も、音量調整ですら、地方企業にとっては”難しい”」なんて実情も、なんで今時FAXなの?!っていう葛藤も
不満もぜーんぶわかる。わかるんだが。
筆者は田舎に住んでいて、都会に出てしまった時点で、頭が都会人になっちゃってるんだよ
田舎もんは確かに知識がない。そして知識がない自分をよくわかってて、恥ずかしいとも内心思ってる
そこに都会でばりばりやってました! って人がサポートして、リモートでよくやってるじゃん、とかこのくらい簡単ですよ! なんていったことが自分に出来なかった場合、彼らのプライドは傷つく
おまえがバカなだけだろ! と怒るのは分かる。だがちょっと待って欲しい。
そういう田舎者を「かわいい奴め」と思えないと、田舎者はすぐに見抜く。
「なんか都会から来たえらそうな若造が俺たちのいままでやってきたことをぼろぼろにしていく、俺たち頑張ってきたのにダメ出しする」となってしまう
そういう自分たちの気持ちが会社の効率化よりも上回るし大事なので、筆者は文句言われるのだ。
再度言うけど、田舎者は、自分たちのITリテラシの低さは自覚している。
ちょっと恥ずかしいとも思ってる。
そこに「こういうのくらい簡単だから使えますよね」と都会感覚で乗り込めば、使えない自分が嫌になり、「なんでこんなものもってきたんだよ!」と逆ギレする
面倒だよね、うん。面倒なんだよ。
でもそれって逆に義理人情が上回る世界でもあるので、信用さえ掴んでしまえば、なんでもほいほいと言うことを聞いてくれるようになる
リモートで対応されるのって、義理人情の世界では軽く見られてるように思われる。コストとかの理由から分かるけど田舎メソッドでは「どれだけ自分たちに親身になってくれるか=信頼」なので、顔も出してくれない奴は信用されない
コストとか、効率化とかはそれらの「義理人情」より下なのである。
田舎はよくdisられるが、俺は田舎の義理人情の世界は嫌いじゃない
クズも多いが、そんなの都会でもいるし。
アホが多いんだよ。よく地方のじじばばが鑑定団に出て、借金の形にとか安い壺買わされてるじゃん。買うなよ、って思うけどそれが田舎なんだよ。
都会の場合は「こういうことすれば人件費も減り効率化されますよ!」を最優先にだして営業すればいいけど、田舎の場合
「いやー忙しくて残業続きですか、わっかるわー、ちょっと僕とお話しさせてくださいよ、おお、お孫さんが今五つですか、かわいいですねえ。でもこのままのやりかただとお遊戯会も出られないじゃないですか、早く帰れるようにしましょうよ」
話してるだけでいい。なんもしなくていい。顔だけ出して帰るのを1年くらいやってると、「いつも来て貰って悪いからねえ」というノリになってくる。
ただ一旦そういうSaaSを導入し始めると、ウォーター!とばかりにがらっと考えが変わって効率化が徹底されたりするようになるので、面白くもある
レベル50くらいの奴を60にするのが都会なら、レベル1を50にしなきゃいかんのが田舎だ。
がんばれ
Amazonが中国の詐欺業者に加担している実例(恥)【10/25追記アリ】
http://tanu-ki.hatenablog.com/entry/2019/10/24/104023
これ。
出品者も確認しねーで中国からの発送とも気づかず安さにつられて購入したら
日本の通販の速さに慣れちゃってるもんだから輸入の遅さに耐えきれなかった、みたいな話だよね。
執筆者が載せてるEMSのトラッキングナンバーを17trackで検索すると10/26に届く予定みたいね。
商品届くみたいだけど返金処理しちゃってるしどうするのかな~w
ここまで言ってんだから、まさか商品だけパクるなんてことはしないだろうけどw
正直この記事見るだけだと脇甘そうだし、配達遅延のフィッシング誘導SMSもこの中国業者と関連性があるのか疑わしいよね。
ただまぁコピー商品が送られてくるだろうなぁとは思う。そこは批判点よね。
中国のコピー商品なんていつからの話だよって感じではあるけど。
リテラシない人は大変だなぁ。
「少女像はもともと米軍の戦車に轢かれて死んだ中学生の像を流用したものだった」とか、「慰安婦の強制連行は朝日新聞の捏造に過ぎず実際には強制連行はなかった」とか、「既存メディアは朝鮮人に乗っ取られている」とか、そういうの。
それなりに知性もリテラシも分別もあると思っていた、いい歳をした大人が、ちょっと調べればわかるようなデマを信じてTwitterで暴れている。妙なまとめサイトや、妙なYoutube動画や、あやまったら死ぬ病患者のTwitter垢とかを見て、感化されたらしい。それらをせっせとツイートしてる。
それだけならいいんだけど、問題は私もからまれてしまったこと。
リアルで面識のある人だけに頭が痛い。
その人は、あったことをなかったことにして自己正当化をするのが愛国心だと思っている。日本にとって不都合なこと(私に言わせれば旧大日本帝国にとって不都合ってだけのこと)を流すメディアは反日だと思っている。
以前はそんなふうじゃなかった。今だって全面的にそんなふうってわけでもない。いままで通りのところもある。だんだんとデマを信じるようになり、だんだんとデマを拡散することが多くなってきて、最近ではデマを元に他の人にからむようになってきた。
認知症とかそういう病気かもっていう心配もあるけど、現実的には余計なことはせず距離を置くだけにしとくのがいいんだろうね。分断?ってこうやって広がっていくんだな、って思った。悲しい。
【追記】
「慰安婦像は、女子中学生2人が在韓米軍の装甲車にひかれる事故で亡くなったのを追悼して作ったところ、日本との慰安婦問題が出てきたので、それを今、慰安婦像にしていると聞きましたが、真実でしょうか」という質問に対し、産経新聞社会部編集委員で元ソウル支局長の加藤達也さんは次のように答えています。
「当時の記録を調べましたところ、米軍装甲車の女子中学生轢過事件の後にできた像と、慰安婦の像は別物です。デザインが違います。もう少し調べたいと思っておりますが、今のところ関係ないと思っています」
ソース: http://kokuminkaikan.jp/chair/detail20170617.html
産経の偉い人が「別物です」って言ってるのはわりと信用できそうな気はします。
あと、その別物っていう装甲車の事件を記念して作られたという記念碑は、これらのページで見ることができます。どっちも朝鮮語ですが機械翻訳にかければだいたい意味はわかります。鉄製の四角いモニュメントが2つペアになったものみたい。
http://www.hani.co.kr/arti/society/area/795116.html
http://www.vop.co.kr/A00000511198.html
ここまではちょっと検索すれば見つかるんですが、轢かれた中学生の像を転用したっていうことが確認できるソースは見つかりません。感想で言えばデマ、公平に見ても真偽不明で、事実って言えるのは変かなと思います。私が変なのかもしれませんけど。
じゃあその20%もらってあなたが設定のすべてをしたらいんじゃないのかって言ったけど嫌だってさ
のわりに過去から数度変遷(その度の手数料も払ってて草)してきたキーワードの内訳全部ほぼ把握してて、代理店がいらんとこいじったのあーでもないこーでもないああしてほしいこうして欲しいのねちねち「言うのも嫌」ってそりゃ文句言う間に設定いじったらいいんじゃんと思うけどそれも嫌らしいので文句言うのが仕事なんじゃないかな…知らんけど
代理店からしたら何かしてもしなくても月20%入ってくるし、何か試すにも他人の財布で遊べるしお前ら楽しそうだなあ…
ちなみに広告から入ってきた案件も営業とデジタルデータでの連携できてないから何と何で何がCVしてるか実は紐づいてないの草も生やせないし
こんなんでも全国展開してんのに各支社とのやりとり手書き&FAX
なんと今って令和元年なんですけどびっくりですよね
もっとびっくりなのはそんなんで経営(できてんのか?)ン十年続いてるまだらボケに肉体の老化が激しい(目が悪い耳が悪い感情のままに動く)おじいさんが牛耳ってるので話通じねえわ聞かねえわ新技術への理解がなく導入されない謎が謎を呼び…
同様の社員もリテラシ―低すぎて社外で営業してる人とのスケジュール共有なんかホワイトボードのカレンダーでこないだ写メってんのを見てさらにドン引きですがGカレンダーにしなよ…と言ってみたところ以前もそんな騒動があり現状ホワイトボードで間に合ってんのにGカレンダーにする意味がわからないしもし強制されたら断固拒否する事務員がお茶汲みしててもうよくわからない
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
利用者のリテラシのなさより開発者の責任感のなさのほうが遥かに地獄やと思うけどな
金を扱うアプリであんながばがばセキュリティのを平気でリリース出来る会社は終わっとる
香港デモについて、大陸の中国人はまったく知らされていないという話が本当なのか気になったので、生の声を見つけるべく、北京大学の掲示板を見に行ってみた。
ふつうに香港のニュースも議論されてる。しかも内容も健全だ。言論の自由を大事にしている風潮もある。なんとなく現在の京大や、学生運動時代の東大の雰囲気を感じる。
https://bbs.pku.edu.cn/v2/post-read.php?bid=251&threadid=17153349
もちろん、北京大学の優秀な学生たちと、一般庶民ではリテラシなどはまったく違うだろう。しかし、このような議論が.cnドメインの元でできているということが驚きだったし、その場が政府のお膝元でもある「北京大学」の掲示板にも用意されていたことも、意外だった。(トラバ指摘:政府が反乱分子を捕らえるためにあえて泳がせているのではないかという邪推も)
わたし自身は中国語はまったくできないが、偉大なる中国産の翻訳サービス3つの力で、なんとか読み解いてみた(Googleその他の翻訳は、こと中国語に関しては、まったく役に立たない)。 雰囲気を感じ取っていただければ幸いだ。
https://fanyi.caiyunapp.com/#/
https://fanyi.baidu.com/#zh/jp/
以下、意訳した部分もあるので、誤訳があればご指摘ください。
(間違いなく指摘されると思うので、素人機械翻訳による第1稿を鵜呑みにせず、しばらくしたらまた見に来てください)
香港の反中運動や独立運動はどうくい止めるべきなんだ。香港のあらゆる大学の学生会は香港独立運動に変わりつつある。わたしには生粋の香港人の友人がいるが、香港で共産党を擁護するといじめにあうほどの空気らしい。
議論を歓迎しますが、主観的になりすぎず、過激な言葉も使わないようにしましょう。
これはイデオロギーの対立で、香港政府や共産党に反対する姿勢は、すなわちあらゆる西洋国家にとっての正義でもある。毎日Reddit(訳注:アメリカの投稿型ニュースサイト)を回っていますが、トップページに載せられている中国関連のニュースはほとんどがマイナスニュースです。
わたしは党員でもないので海外が共産党の悪いところを悪いと言うのは何とも思わないが、多くはでたらめな悪口だ。正直なところ、海外メディアや海外フォーラムの世論に注目するようになってから、自分がどんどん愛国的になっていることに気づいたんだ。
(共産党についての)よいニュースというのは国内には溢れていますが、外国人の関心は薄いものです。また、海外に留学していると、個人の中国人が海外で見せるイメージも悪評に貢献しているのを実感します。
外国メディアや、中国内でも政治的見解を異にする人間が、共産党の悪いところを指摘できるなら、それは嬉しいことだと言える。しかし多くはでたらめだ。
例えば、先日のニューヨークタイムズによる中国の医療についての動画は、まさに悪評のためのものだった。中国語を英語に翻訳するときも、故意に文章を切り詰めたり、誤訳したりしていた。
例えばわが国の新疆政策では、ウイグル族を東南部沿海に追い払い、漢民族を新疆に送り込み、イスラム教徒に対して無料で開設されている養成所を収容所と呼んでいるといわれている。また中国が少数民族を虐待するという。中国は少数民族の扱いを区別しているわけだが、実のところ、いったい誰が優遇されているのか、誰が冷遇されているのか、ほとんどの中国人は知っているのではないだろうか。(訳注:言外に何か言いたそうだけど真意がわからない → トラバ指摘:これはおそらく中国における少数民族優遇のアファーマティブアクションのことで、漢民族で不満を持っている人は多い)
ただし、(海外メディアだけでなく、)一部の中国人たちによる海外での発言、海外フォーラムでの発言もまた、中国のイメージ悪化の一因ではある。
つまるところ香港人は中国政府を信用していないということだね。
タキトゥスの罠にかかった(訳注:政府が信用を失っている時は、何を言おうと何をしようと、民衆に悪く思われること)のは誰のせいでしょうか。内部的・外部的な要因があるに違いない。
しかし、私の香港の同級生(デモ参加者)が送ってくれたビデオによれば、香港政府に対する中国政府の影響は最悪です。(中国政府は、香港人による香港の統治ではなく、中国政府による香港の統治を黙認している)
結局のところ、メディアは誇張と切り貼りをするものです。(訳注:海外メディアの話に対するレス?)
すぐ隣り合った深圳と香港とで、異なる体制の都市がどのように発展していくか、よい試金石となるでしょう。惜しむらくは、職場でまじめに働いて(デモや政治に)何の興味もない香港人民の利益が犠牲になったことである。
あああ、これで大陸と香港の対立はますます深刻になっていくのか?ああ。。。。。
はい、しかも国際的にはほとんどの人が香港市民の側を支持しています。
(スレ主さん、)あなたは本当に新疆の施設は研修学校だと思っているんですか?それはちょっと・・・
(以下ずっと議論が続く)
