はてなキーワード: アラートとは
勤怠の打刻と作業報告くらいは当たり前だと思うんだけど、報告先が多すぎて笑う。
朝礼時:作業予定報告
分報:何か進捗あるごとに、
または作業を切り替えるごとに報告
昼時報:14時に一度、まとめて報告
終礼時:18時30分に、当日分をまとめて報告
■メール
日次:当日分を指定のフォーマットで進捗率も含めて報告 + それぞれ一言コメント
日次:どのプロジェクトの、どのタスクに何時間使ったかをWEBフォームに入力
日次:何時間働いたかをWEBフォームに手入力/8超えるとアラートが飛んでくるので8固定
追記:残業は勤怠管理システムで(固定残業代分の範囲内では)別管理されている。福利厚生システムは外部サービスで、勤務時間やその他自己申告内容から、医療アドバイスとかアプローチを受けられるサービス(その恩恵を受けたことはない)
恒常的に8時間超えると会社と自分にメールが来るから固定でねとのこと。
当該の福利厚生システムで、マッサージは割引になるが、ネットのクーポンの方が安い。
社内チャットとメールはエクセルベースで(個人的に)半自動化できてるんだけど、他の入力箇所に手で入力するのも併せると、毎日計40分くらい日報書いてて、辛い。
上長指示で、各種報告・入力後回しにして仕事してたら、管理部署から社内チャットで入力催促くるの怠い。
の割には、どちらも評価に厳密に関わってくるの謎。
追記:自社サービス自社開発なので、最悪リリース日は伸ばせるものの、当初予定から遅れると(自分起因でなくても)評価が下がる。
前の開発会社だと、下請けで納期が決まっていて、会社側も請求のタイミングから考えてリスケしたくない→「残業休出でなんとか終わらせてくれ、金は払うぜ、頑張ってくれた分は評価もするぜ」という感じだったので、その違いに驚いたり。
前の会社だと、もっと緩く回ってた(分報はあった)んで、KPIとメール日報の時点でこの会社は厳密だなぁと思ってたら、数年でどんどん増えてきやがった。
そして朝礼・終礼で読み合わせするという。
「進捗の管理を徹底していて残業時間が比較的少ない」ってのが売りで入ったんだが、
「残業時間が固定残業代分の時間までに制限されていて、それ以上になると処分があるから誰も計上しない」が実態だった上に、進捗管理が煩雑すぎてそれに時間が食わせられるのが無駄すぎる。
…と、
月曜でまだまだ余裕のあるなかで、笑い話として書き出してみたら、結構ヒドかった。
そういう、仕事するための仕事であったり、その辺りの業務上の納得いかないこと聞かせておくれ。
または、うちの会社は楽だぜって話でも。
Q1:年度の予算が決まっており、上限を超えないようにしたい
A1:選択肢1の場合、AWS Budgetsを使用してあらかじめ設定した予算のしきい値を超えたときにアラートを発信する設定が可能です。また、AWS Budgets Actionsを使用して予算がしきい値 (実際の金額または予測金額) を超えたときにアカウントで実行するアクションを定義できます。このレベルの制御により、アカウントでの意図しない過剰支出を減らすことができます。
選択肢2の場合、請求代行業者によっては”バウチャー”によるAWS利用も可能です。”バウチャー”とはAmazonギフト券のように、事前に一定の金額分を購入頂きAWSをご利用いただくものです。予算のコントロールが容易になります。
会社員だ。40代になったばかり。株式投資メインで、仮想通貨は5年前に始めた。
今回、ふと思うところがあったので、会社員(又は若い人)の仮想通貨との付き合い方を説明する。これまで仮想通貨(長期投資)に4年、レバレッジ取引に1年ほど向き合ってきた感想をお届けしたい(株は15年ほど)。
仮想通貨が気になるあなたにとって、いい記事にできるよう心掛ける。
なんとなく興味があって、仮想通貨で儲けたいので、口座を開いたのはよいがぜんぜん勝てなくて、仮想通貨は詐欺だと言われるけど他の意見も聞いてみたくて、興味はないけどたまたま記事を見つけたので……いろんな人がいると思う。
ビットコイン自体については、Wikipediaの概要欄が一番よくまとまっている。100字以内で答エヨ(トリノコシティ)と言われると、
「個人や企業同士が電子送信により商取引できるデジタル通貨。発行主体や単一管理者はいない。代わりに、ブロックチェーンという改竄困難な台帳により取引履歴を記録する」(78字)
大まかにいえばこんなものか。10年以上前に、オープンソースのソフトウェアとして公開された。
当初は、「これ面白いじゃん!」というアーリーアダプター達がネット界隈で持て囃していたが、やがて反社組織やテロリストや個人犯罪者も、「これ便利じゃん!」と考えるようになり・・・・・・次第に仕手筋が参入し、値段が吊り上げられ(後述)、地下経済での決済手段として使われるようになって今に至る。
私としては、仮想通貨をやってみる価値はある。この記事では、社会人(を想定する)のあなたが仮想通貨についてより多くを知るため、またはより真剣に向き合うため、または見切りをつけるきっかけとなることを目指して書くことにする。
社会人として〇年働いて、貯金もそれなりに貯まってきて、でも寝かせたままにはしたくない。「投資」に挑戦してみたい。
しかし、どこに投資しようか……悩みの種が尽きないある日、「仮想通貨は面白そうだ」と思い立ったものの、怖そうなイメージがあるので踏ん切りがつかない。仮想通貨をやってみたいけど、財産を失うのは怖い。でもやりたい。興味がある。そんな人に向けて話をする。
何事も挑戦だ。まずは一歩を踏み出そう。
株とは違い、仮想通貨は非常に小さい資金から挑戦できる。が、最初に全財産を突っ込むなど論外だ。「小さく始めよ」はどんな経営分野でも通用する。
3万円とかでいい。失ったら惜しいお金ではあるが、全額失っても生活には困らないくらいの資金を入れる。肝心の仮想通貨取引業者だが……例えば株式投資の場合は、SBIか楽天の2択になる。株初心者にとってはこの2つしかない。
さて、仮想通貨の場合だが、適当な言葉――例えば、「仮想通貨」「取引口座」「どこがいい」といった言葉でググってみよう。
私がYahooでググってみたところ、https://minkabu.co.jp/choice/cc-recommended-ranking/(みんかぶChoice)が一番上にきた。初心者に仮想通貨を教える『口コミ風』サイトだ。
仮想通貨で儲けてみたいが、どこの取引所がいい~? → ランキング形式で各取引所を紹介(又は条件比較) → 取引所ごとの口コミ → 質問事例集 → 関連サービスのリンク集
といった順序だ。どのサイトも同じようなコンテンツである。ほぼすべてのリンクにアフィリエイトが貼ってある。勉強になったと思ったらリンクを踏んであげよう。それも礼儀だ。
上のような取引所案内サイトには、ある問題点がある。アフィリエイトのリンク先に致命的によくない部分があっても教えてくれないことだ。向こうも商売でやっている。許してあげよう。
【1点目】
仮想通貨の「販売所」ではなく、「取引所」が置いてあるところにする。理由は一択、販売所にはバカみたいに拡がるスプレッド幅(買いと売りの価格差)があるからだ。普段のスプレッド幅は、例えば上のサイトで2番人気のDMMだと、ビットコインが4,5千円ほど。仮に1ビットコインを勝った後で即売ると、数千円だけ損をすることになる。率で言ったら0.1%くらいか。
安く見えるだろう。しかし、なんと! このスプレッド幅は20万~40万になることがある。私が見た中で一番大きかったのは55万円。1ビットコインを買ってすぐ売ると、55万円失うということだ。当然、アラート通知や強制ロスカットはスプレッド幅も込みで判断される。
仮想通貨『販売所』というのは、ユーザー同士の取引ではなく、あなた個人が販売業者からビットコインを購入する形式だ。暴落時など、価格が乱高下する際には販売業者も即座の入荷が難しくなるため、その分だけスプレッドが拡がるというわけだ。
なので、販売所ではなく取引所一択となる。販売所形式だとアラート通知が来やすいわ、ロスカットされやすいわ、指値注文はなかなか約定しないわ、逆指値注文(特に損切)はダマシに遇いまくるなど、てんでいいことがない。レバレッジ手数料も取引所形式の方が若干安い(個人的乾燥)。
「いや、ちょっと待て。販売所はスプレッド幅を我慢すれば大量の買い付けができるわけだから、一気に数百万円をトレードする場合は、取引所よりも販売所の方がいいんじゃないか?」
そう思われる人もいるだろう。
私はかつて一度だけ、DMMビットコインで200万円を投じてイーサリアムを買おうとしたことがある。当時はレバレッジ4倍だったので、800万円分である。その時に表示された、「約定しませんでした」という端的なメッセージは今も記憶に残っている。
それから買いのボタンを6回ほどタップしたところ、「一部が約定しました」のメッセージとともに、買いたい金額の約15%が約定した。直後、スプレッドは最初の約2倍に拡がっていた...
上のような販売所・取引所ランキングを扱っているサイトは、こんなことは教えてくれない。アフィリエイト先をディスる内容など載せるはずがないだろう。リンクを押す人まで含めてアフィサイトの商材なのだ。忘れてはならぬ。
【2点目】
では、取引所の中でどこを選べばいいのか? レバレッジ取引の有無や、手数料の安さ、アプリの使いやすさなどいろいろあるが、正直どこのサイトもそこまで差はない。色々見ていって、あなたが一番気に入ったものを選ぶべき……と言いたいが、これでは答えになっていない。
あなたが初心者であれば、GMOコインがいい。取引所と販売所があるし、手数料はほぼ最安だし、何よりチャート機能が充実している。
あとはLiquid by Quoine(リキッド)が思い付いた。チャートを含んだ画面の見やすさはそれなりで、スプレッド幅が狭いのがいい。セキュリティも国内最高レベルだが……サイトの重さがダメなんで、Coincheckにしときます。BITPOINTも捨てがたいですねェ。
ところで、後述するAPIによる自動トレードに挑戦する場合は、GMOではなくリキッド一択となる。
口座を開いたら、まずは挑戦だ。あなたの直感や自然な考えに従ってトレードしてみよう。素人レベルでOK。むしろそれがいい。
最初の数日間はまずまずの成績だが、だんだんと負けが込んでくるはずだ。そして、負けた分を取り返そうとすればするほど、資金を失う速度もまた上がっていく。一月も経つ頃にはすっからかんになっているかもしれない。
普通はそういうものだ。反省はしても気に病む必要はない。むしろラッキーだ。ツイている。たかだか数万円でこのこと(実力がない者はお金を毟られるだけ)が学べたのなら、その時点でコストパフォーマンスがいい。株やFXも同じ構造だ。
大事なことを述べる。この段階で、「トレードはつまらない」「これなんか違う」「負けて悔しいから何とかしたい」などと思った場合、少なくとも短期投資からは身を引くべきだ。あなたは向いていない。
別に悪いことじゃない。仮想通貨で勝てなくても、人生はどうにでもなる。何度も言うが、あなたは運がよかったのだ。短期投資で勝てないことがわかったのだから。
最悪の場合、「絶対取り返してやる」などとギャンブル中毒者のごときマインドに縛られ、さらに数十万、100万以上を市場で溶かしていた可能性がある。
私の場合は、長期投資が向いているようだ。多くの人はそうなのではないか。仮想通貨のレバレッジ取引を始めて1年ちょっとになるが、購入そのものは2016年からやっている。その時に無くなってもいい程度のお金で買ったイーサリアムが、今ではけっこうなお値段だ。毎年ちょっと取り崩して飲み代にしている。
これまでの仮想通貨の歴史に従うと、『毎年大量購入作戦』が効果的である。毎年一定額を購入し続けてひたすら寝かせる作戦を採った場合、全員が勝っている。下がる年もあるが、大幅に上がる年もあり、それまでの負けを帳消しにする。
私の場合、短期投資(レバレッジ取引)は『ゲーム』としてやっている。50万円以内の、別に無くなってもいいお金で――『グノーシア』とか、『Inscryption』とか、『ダークソウル』とか、『ポケモンGO』とか、いろいろあるだろう。そういうゲームをプレイするのと同じ感覚でトレードに参加している。
仮に私が真剣勝負でレバレッジ取引に挑んだ場合、必ず負けると感じる。トレードアルゴリズム(取引ロボット)やプロに勝てるはずがない。『ゲーム』だから勝てている。
もし相場に対して真剣勝負を挑み続けたとしたら、私はプレッシャーに負けて大事な場面で選択を誤り、強制ロスカットを受けて資産が吹き飛ぶ未来が見える。
株だろうとFXだろうとCFDだろうと、一番大事なのは決めたルールに従い続けることだ。ルールの一部に直感や感覚が含まれていてもいい。とにかくマイルールに従う。
例えば、ビットコインを480万円で買って、500万円で利益確定した後、巨大な火柱が立って540万になったとしよう。
ここで、「40万円×購入枚数だけ損した」と考えるのは素人だ。玄人の場合、ルールに従っていたのであればそこまで気にならない(ちょっとは気になる)。そういうことが何度も続いた場合、ルール変更を考えるだけだ。
これは、利益を確定した後でその銘柄が大きく値下がりしてホッとした場合もそうだし、ポジションを持とうか迷っていた時に価格が急変動し、「ポジションを持っていればよかった(ポジションを持たなくてよかった)」と思った時もそうだ。
いわゆる、機会損失とか機会利得を気にしなくていい理由というのは、それが【異なる選択をした自分】だからだ。それは、あなたとは違う人間だ。異なる世界線にいる違う自分なのだ。これからバタフライエフェクト的な意味で、その枝分かれした2人の人間は違う未来を歩んでいく・・・・・・。
イーサリアムが絶望的な価格水準になっている時、反発を期待して勇気を出して買ったとする。それで何十万も儲けて、大喜びをしたとする。だが、それが偶々だったら? また同じようなタイミングで底狙いに挑んで、今度は何十万も含み損を抱える未来はきっとある。その後も、過去の自分を信じたがために、強制ロスカットで100万以上を失ったかもしれない。
逆に、リップルを損切りした後で、爆発的な価格上昇となって悔しい思いをしたとしよう。しかし、その上昇は仕手筋によるものであり、何日か経つと一気に値下がりし、ある日ついに数時間で50%以上も下げてしまい、市場参加者は根こそぎロスカットに遭ってしまった……みたいな実例もある。
『禍福は糾える縄の如し』という。いいことも悪いことも繰り返しやってくるものだ。どこかの鬼狩り漫画の兄弟鬼みたいに、ひたすらツイてない場合もあるだろうが、多くの場合は幸不幸の繰り返しだ。
蛇足だが、妓夫太郎はそこまで運に見放されてはいなかったと感じる。綺麗な妹がいて、自身も喧嘩の強さに恵まれたわけだろう。幼少期を生き残れるだけの運もあった。
もうちょっと別の運命がきていれば人生なんとかなっていたかもしれない、と2018年頃にジャンプを読んだ時に思った。
本題に戻ろう。仮想通貨の場合、その波の大きさに普通の人間は耐えられない。特に自己の裁量でトレードを続ける場合がそうだ。多くの人間は、損を繰り返した後でさらに多くの資金をリスク最大で突っ込んで、より傷口を拡げていく。そうならないために、ルールでわが身を守る必要がある。
ルールといっても、そんなに難しいものじゃなくていい。結局、トレードをする以上は、勝ち負けとあなた自身の性格や感覚は切っても切れない。エントリーやエグジットの時に直感が入っても構わない。ただし、条件を満たした場合はどれだけ苦しかろうと実行する。それだけだ。簡単なルールを備えて、失ってもいいお金で何十回と検証してマイルールを身に付けよう。
参考までに、私のルールを紹介する。テキストエディタに書き留めて、適当なタイミングで更新を続けている。私の場合は、このルールで過去1年間で40%の利益となっている。現物取引に換算したら20%くらいだ。最高の素質を持った人間とそのマイルールであれば、400%とかの桁違いの利益を叩き出せるのだろう。
・市場参加者の心理(ファンダメンタルズ)を推し量る。チャートはその後。
・①日足を第一基準として相場を読む(RSI,移動平均線,トレンド)
・ルールに従っている限り自分を責めるべきではないし、責めてはならない。
・投資は間違えることが前提のゲームである。想定通り以外であれば利確損切していい。
(2)エントリー
・日足チャートに従う。
現在価格付近での指値(成行)注文orチャート上の底(天井)狙いor爆発的な初動を狙う。
※トレンド転換を事前に読むことはできない。移動平均線が転換するまではトレンドに従い続ける。
・底(天井)狙いの場合、理論上の最安(高)値から±2%以内をエントリー価格とする。
(3)エグジット
・市場観測時(定時22時過ぎ)に損失2%以上を確かめた場合は決済する。
反発する確信がある時は別の条件付きで保持する。その条件が満たされたら即座に決済する。
・平坦ムード(ヨコヨコ)からの急下落(上昇)が見られた場合は損益に関わらず決済する。
・利確注文と損切注文は置かない。急激な値動きやストップオーダー連鎖があるため。
(4)今後の考え方
・今が「買い」か「売り」かを考える。過去に買った価格は関係ない。
・勝ち負けの考えを捨てる。ルールに従っていれば自分を責めない。。
・トレード方針を決める時間は15分~30分まで。それ以上は考えすぎで失敗する。
・本格的にお金を増やすトレードは無理。稀有なチャンス狙いで小遣いを稼ぐのは可能性あり。
・決定の際に恐怖があれば成功の可能性あり。快感があれば蛮勇の可能性大。
・人が欲望している時に恐怖し、人が恐怖している時に欲望する。※受け売り
・労働等の義務がある時間帯(昼休憩を含む)はログイン不可。仕事に差し支える。
なお、私の『勝率』は一番儲かっている時で2割~3割だ。これでも利益を得ることはできる。というか、むしろこれぐらいの勝率がいい。
つまり、注文が約定してから半日以上が経ってトレード画面を見ることが多かったのだが、その時に2%以上の損失が出ていたら決済する。利益が出ていた場合は、チャート的に上がる相が出ていたら放っておく。下がり始めた「かもしれない」と感じたら決済する。直感的なトレーリングストップだ。
今は、絶対に勝てそうな場面だけを狙ってトレードするスタイルだ。勝率は6割を超えている。約定するのは月に1~2回か。チャート上の最高によさげな地点にリミット(指値注文)かストップ(指値注文)を置いて放置しておく。週に2回くらいGMOのチャートを開いて、価格がいいところに来ていると感じたらなら成行で買う。
今は便利よね。
でも人間がいつ寝た判定どうやってるのかしら?って
床に入った時間と睡眠に入った時間とでちゃんと別れてる時があったりするので、
そんで、
なかなかたいしたものだわって
便利だわ。
今日は早く寝なくちゃ!ナウ!ってつぶやいてから寝ることが出来るのよね。
もっと詳しく見れてたんだけど、
それ以降使うことがなくなってしまった時期があって
知らなかったんだけど、
その後他のスマートウォッチでも睡眠計測出来ることを知って試してみたら、
それこそ睡眠の質のレムなのかノンレムなのかまでは判定は出来ないけど
概ね私が納得する計測結果を叩き出してくれるので新記録よ!
対岸まで飛べていけるような結果を叩き出してる感じが気持ちいいわ。
あれって実際に対岸まで行った記録ってあんのかしら?
すごい爽快でマジで風気って飛んでいる感じの気持ちよさと一緒だわ。
あのシーンだけを切り取って飛び回って楽しめるゲームがあってもいいぐらいよ。
まあ記録的には
毎晩好タイムを叩き出しているんだけど、
今週は短めなのが気になるわ。
なんとか踏ん張って乗り切りたいところね。
これのバランスが崩れたらきっとまたなんだか調子不調効果気味よろしく、
今日はまあ忙しくなるので、
早く帰れるように願っておくわ。
今日は外出するかも知れないので、
朝無くても良いかと思ったけど、
草餅だけ食べときました。
ナミビアのさばくの水飲み場のライブ映像にダチョウの赤ちゃんたちがやって来るかどうかなぐらい
分からないので、
最低限朝これだけは食べておくわ。
私の最近お気に入りのグレープフルーツ炭酸ウォーラーが売り切れで
売り場の棚になかったのがショックだったので、
今朝は乗り切ったわ。
すいすいすいようび~
今日も頑張りましょう!
一見正しそうだが正しくないラベリングをすると、結果として意図しない結果を引き起こすことがある。
"難しい人"、"有害な振る舞い"というのは、大変よろしくないラベリングになる。
こういったときに「言ってることはわからなくないけど、なんか違うな」と違和感を持ち、解決策を探るのがエンジニアである。
アクションに落とし込めないもの、計測できないもの、機械的に判断できないものは、いわゆる人間力に頼ることになる。
具体的に以下を例に挙げる。(元の記事の一番最初に例示されているもの)
この短い(1行80文字以下を短いと言う)文章の中に、人間力に頼る判断は何か所あるだろうか?
私は、「創造的」「議論」「阻害」「時間を奪う」の4つは、機械的な判断が難しいと思う。
これは客観的な基準で「他者の話に割り込んで、自分の意見を差し込」んでいる。
先ほどの例だが、こんな前提があったとする。
そうすると、「営業と管理職から見て、大変有意義で創造的な議論に、毎度口をはさむ難しい組み込みエンジニア」というレッテルは正しいだろうか?
各人の判断は、正しいだろうか?
人間力に頼る判断基準で多数決を用いるのは、エンジニアリングで無く、政治的な解決だと思う。
先ほどの会議の例でいえば、5人中3人が心理的な負担を感じており、不愉快な気分になっている。
チームの60%が「創造的な議論を阻害する有害な振る舞い」だと認定している。
その判断は、正しいだろうか?
この場合、組み込みエンジニアが、難しい人 or 有害な振る舞いをする人として、指導もしく排除されたとする。
それは、心理的安全性をあげ、チームの生産性をあげる行為だろうか?
例えば、今後デザイナーは、営業と管理職が「どのような雑談をどの長さでしていても」発言しなくなるかもしれない。
デザイナーからみて、その会話が創造的な議論か判断ができないからだ。
さて、Web系のバックエンドエンジニアや、クラウドインフラエンジニアだと、アラートを設定したり、対応したいことがある。
「何かまずいことが起こっていることを、何らかの方法で監視して、対応したい」という場合だ。
例えば、待機系サーバーの起動時に妙に時間がかかっている場合、自動対応ができないので、アラートメールを飛ばして手動対応したいと思ったとする。
絶対値(10分)か、相対値(過去5回の起動時間の平均値)かは場合によるし、それが適切かはまた別の話だ。
「他者の話に割り込まない」というルールは、誤検知を引き起こしやすいアラートだ。
そんなのは常識で考えたらわかるだろう?曖昧な基準は「俺のは有意義な議論の発言だ」の判断を誰かが決めることになる。
大多数がそう思っていれば、という複合的な基準もありうる。その場合、先ほどの例の組み込みエンジニアは、アラート対象になる。
「会議のアジェンダに記載されている内容を3分以内で喋っている場合に、割り込まない」というのは、一つの基準になる。
この場合、営業が「営業概況を冒頭のアジェンダに加えて欲しい」と交渉する余地がある。
また「報告時間が10分は欲しいが、3回以上は一度会話を止めるので、営業概況に対する質問はその時に」という合意もできる。
そして、顔合わせのキックオフミーティングで、営業概況をやるかは、会社やチームによる。
明示的なルールで縛るのが正しいかと言えば、そうした方が良い職場もあるだろうが、窮屈な職場も多いだろう。
という簡単な話に見えることですら、ルールを作って守らせることに違和感を感じる感性も正しいと思う。
チーム(もしくはマネージャー)に求められるのは、こうした「何かチームに嫌な感じがある」ときに軌道修正できることだ。
一例でしかないが、例えば以下の流れでルールを作らずに、解決できることもある。
コミュニケーションコストを、チームを維持するのに必要なコストとして、きちんと時間を割けるかが重要だと思う。
さらに言えば、「それは有害な振る舞いだと自分は思うが、あなたがそう思わない理由は何か」とコミュニケーションを取れないのであれば、そこに課題があるだろう。
チームやマネージャーがある人を「難しい人だなあ」と思ったとして、2つの解決策が出てこないのなら、その思考には課題があるのではないか。
「他者に配慮できる」という曖昧な基準で異物を弾くようなチーム作りは、蛸壷化して致命的な結果を引き起こすことがある。
パワハラ、セクハラ、試験結果改ざんが、「なんでそんなんなるまで誰も言わなかったんだよ」となるのは、
「その構成員が他者に配慮できる人たちで構成されていて、異物を弾き続けた結果」であることが多い。
少なくとも、「エンジニアの”有害な振る舞い”への対処法」には、機会、動機、正当化のいわゆる不正のトライアングルのうち、動機と正当化を満たしている。
いやいや極端だろと思うだろう?
快不快が、正しい正しくないに繋がっていることは社会生活を送っていると極めて多い。
「マネージャーならば」法律や外部の意見も含めてかなり慎重に判断する必要がある。
「エンジニアならば」相手に快適に聞こえるようにコミュニケーションするスキルは磨いておいて損はない。
(あと、機械的に判断可能なルールを守ることが自分を守ることに繋がる。ルール順守か業績なら、常にルールを守れ。記録を軽視するな)
2日から今日まで休みだった。僕の仕事は、サーバ運用で、仕事納めが31日で、仕事始めが1日だった。幸いにして3日も連続で休めた。おそらくこの仕事をしているうちは、帰省も恋愛もおこらないだろうと漠然と思う。
たとえば、電車、小売りの人たちが年末年始も働く。それは見える。見えるから話題になる。電気、ガス、水道ほかいろいろ。動いて当然と信じられているすべての仕事は見えないのが大半だ。動いて当たり前ではない。僕のサーバ管理もこのうちに入る。動いて当たり前だと思われている。
そんなことはない。絶対にない。常に改善されている。ハードウェアは壊れにくく、壊れる前にアラートをあげてくれる。サーバ自体は仮想だから万が一でもサービスに影響はない。
僕の仕事はそこまでだ。
最近、その上のアプリケーションの作りが雑だと思う事件が増えた。維持運用の僕たちは、いろいろと資格を取れと言われる。業務のうちだし、資格はたとえ、今の場所を離れても、僕の身からは離れない。僕のために資格を取っている。ずっと勉強しているが、たぶん、こんなのは当たり前だろう。
一方で、アプリケーションは資格がない人が集まって作っているように見える。これだけ社会基盤になったのだから、いいかげんシステム設計、開発に資格が必須とされてもいいだろう。とりわけセキュリティ関連は資格が必須ではないだろうか。データファイルがインターネットに晒されていました、と言われても、それは僕の担当分野ではない。定期的に機械的チェックは行うけれど、そこまでで、そのレポートに対して対策が取られたかは報告は必須ではない。レポートを出すまでがこちらの仕事だからだ。
アプリケーションの設計が下手だと、運用に押し付ける「設計」を平気で採用する。そんなものは事故の元にしかならない。
そんな設計でどうして動いているんだろう。
多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
結論として、遺伝子に組み込まれた有毒動物・植物に対するアラートのようなものらしい。
あー長年の疑問がとけてスッキリした。
ブツブツが怖い「トライポフォビア」は、「皆が聞いたことのない、もっともありふれた恐怖症」なのだそうです。
ネットで恐れられている言葉に「蓮コラ」というものがあります。蓮の花托を模したコラ画像で、ぶつぶつとたくさん穴が開いたものです。人によっては見ると計り知れないダメージを受けてしまうため、“検索しないこと”が推奨されています。蓮の花托や蜂の巣といった穴の集合体への過度な恐怖症は「トライポフォビア」と呼ばれています。
英エセックス大学で視覚科学を専攻しているジェフ・コール博士とアーノルド・ウィルキンス教授は先ごろ、こうした症状は人類が進化する過程で得られた教訓かもしれないと発表しました。何でも蓮コラにゾワゾワするのは、毒を持つ動物の視覚的特徴と関係があるのだとか。詳しい研究結果は「Psychological Science」に掲載されています。
エセックス大学の研究チームが実施したある実験では、参加者の16%にトライポフォビックな反応があったそうです。しかしながら、トライポフォビアの認知度は低く、学術的な研究成果もほとんどありません。「もっともありふれた恐怖症なのに皆聞いたことがない」とコール博士は言います。
コール博士たちは、トライポフォビアの原因を探るため、インターネット上にあるトライポフォビアが関連付けられた画像(≒蓮コラ)76枚と、ただ複数の穴が開いた画像を比較しました。その結果、前者に特定の傾向が存在することをつかみます。
さらに、あるトライポフォビア患者の「ヒョウモンダコを見たときに、苦手な穴だらけの画像と同じ衝撃を受けた」という体験から、ヒョウモンダコをはじめ、オブトサソリやキングコブラなどさまざまな有毒生物の画像を分析しました。すると、やはりトライポフォビアの関連画像にみられる傾向が確認できたそうです。
ヒョウモンダコ(クリックで拡大。閲覧注意) image credit:Jens Petersen
これにより、コール博士らはトライポフォビアが人類が過去に遭遇した有毒動物に起因する可能性があり、我々は危険をもたらすものを警戒する生まれもった素質があると結論付けていました。
なお、コール博士は研究過程で多くの蓮コラ的な画像をみた結果、次第に鈍感になっていったそうです。このことは、トライポフォビアの克服方法を示唆しているのかもしれません。