はてなキーワード: インシデントとは
そらもとのプログラムが何を制御しているのかに依りにけりだろ。
pepperくんを動かすプログラムだって人間を認識して人間にぶつからないような制御が人間によってされてるんやで。
一方、ゴールドマン〇ックスが開発したappleカードの与信システムは性別を判定基準に使ってないにもかかわらず謎に女性を差別するような制御に「なってしまった」とされてるで。
ぶっちゃけゴールドマン〇ックス案件のプログラムは機械学習がメインとなっていく今後のIT世界ではかなりあるあるインシデントだと思うで。
近い将来、(というか過去)自動運転なんかで一人を轢くか五人を轢くかの選択を迫られたとき、五人が全て犯罪者だったら五人を轢くみたいな判断を勝手にするようになるんやで。
お客さんからの問合せを受けるサービスデスク兼切り分けを行う二次窓口(ソースコードやDBの値を読むかんじ)をやっていた。
地味な作業かなと思いつつやってみると面白いもので、バグを見つけたときダンジョン探索で宝物を見つけたような達成感や、だんだん怪しいところが経験的にわかるような自身のレベルアップも感じられた。
また普通のSEやPGより「本当にサービスを使ってる人の声」みたいなのを聞けるのも嬉しかった。なるほど設計でよく仕上がってコーディングもよくても使ってみたらイマイチって普通あるんだなとか。保守って基本的にコスト部隊として組織では下に見られてるので還流する仕組みがないんだけど。
結局、バグをどんどんインシデントとして上げてたら「捌ききれんから」と首を切られてしまったんだけど保守業務って悪くないもんだと思ったりした。
2019年、国体競技にもなったグランツーリスモSPORT。やり始めて約1年(オンライン対戦自体も約1年)たったのでその感想をまとめます。以下は元々ゲーム内SNSに書き込もうと思った文章を改変していますので、プレイしたことがない方には分かりにくい部分もあることを申し上げておきます。
*
ときどきゲーム実況されている、フレンドではない方(以下、Aさんとする)とデイリーレースでマッチングする機会がありました。
レースでは、自分はAさんの真後ろを走っていて、コンマ5秒差が数周続く展開から、自分がホームストレート終端で追いついてしまったので、第1コーナーで車両1両分空けながら外側からオーバーテイクしました。
終了後に自分が映っていたのを確認しようと(自分がインタビューされたTV番組を見たくなる心理です)Aさんの動画をみたら、そのチャンネルの視聴者の方(以下、Bさんとする)も含め、自分に対し
・公式戦でよく一緒になるが荒くてよく自滅する
・運転が雑
・直線さえ速ければいいという考え方をしているのだろう
などなど、散々な言われようでした。
これを見てまず少し凹んだのは事実です。そして続いて思ったのは、至極もっともだなということです。DR(ドライバーランク:ドライバーの力量の相対的評価指標)がランクAとランクBの間を行って来いの広島カープ状態である自分の、今後の課題をわかりやすく端的に言語化して頂いたことは、大変ありがたく、感謝しています。自分はBさんのことを存じ上げなかったのですが、何回か公式戦などでご一緒したことがあるようで、そんな場末の相手の走り方まで子細に記憶していて下さるものなのかと軽い衝撃を受けました。
もしかすると、その数回のご縁の中で自分がひどい接触をしてしまったのかもしれません。自分は公式戦で事故が多い(下手な)ので、あり得るなと思います(もちろん故意ではありません)。そうだとすればこの場で謝罪いたします。申し訳ありませんでした。
*
この文章を見てお分かりかと思いますが、GT SPORTのオンライン対戦は、ゴルフくらいマナーにうるさく、コミュニティも狭いので一種の「村」のようになっています(笑)
*
ところで、お二方のこれまでの動画を拝見するに、Aさんは対戦相手で接触した相手にレース後チャットで「くず」と言ったり、またBさんもチャンネルを所持しておられ、いくつか動画を拝見したところ、言葉遣いが少し乱暴な方であったり、そのせいで、いわゆる引き寄せの法則なのか、逆恨みのような荒らしが発生していたこともありました(「○ね、声がキモいんだよ」といった暴言を吐かれるなど)。
AさんBさん共に、チャンネル登録者数は相対的な数値としては小規模ですし、趣味やストレス解消が目的で配信をされているのでしょうが、こうした敵を作りやすいスタイルは、いつか本格的に炎上するのではないかと、差し出がましくはありますが、懸念を抱いています。少し話は逸れまして、最近ではネット上で起きたイザコザで「hagex」さんという、はてなでは有名なブロガーが殺害された事件もありました。こちらも湧いた粘着、アンチに対し皮肉を言った事で起きた痛ましい事件でした。
先に触れたようにBさんの動画ではすでに荒らしが出ており、また、ご本人もチャンネル概要に注意書きを記載するほどです。こうしたニアミスやヒヤリ・ハットが増えていつか大事件に、ともなりかねません。そうなれば自動車メーカーともコラボしながら、eスポーツを推しているGT SPORT自体への風向きが悪くなってしまうでしょう。
反対に、動画配信チャンネル・コミュニティの運営の仕方で好感をもてるGT SPORTゲーム実況の方も多いです。有吉ぃぃeeeee!みたいなまったりワイワイ系のKさん、O杯主催のNさん、最近チャンネルを立ち上げられたUさんらの動画配信はポジティブですし、とても勉強になります。自分はリアルレースでの経験がないので、リフトアンドコーストやタイヤのデグラデーション、ピットイン戦略などをこれらの動画から学び(?)ました。
動画プラットフォームにおける一般視聴者の特徴として、ネガティブ要素が多い動画よりは楽しかったり、クリエイティブだったり、情報収集が可能な、ポジティブな動画を日常的に繰り返し観る傾向があります。それは、例えばユーチューバーランキングを見ればわかりやすいかもしれません。もちろん視聴者も人間ですから時々は暴言・喧嘩・批判系のネガティブ動画も見たくなりますし、過激な動画配信者もいます。けれども、基本的には丁寧でポジティブな動画づくりが長期的にはファンを集めやすいです。ネガティブな動画は、とくに小規模配信者の場合、将来的なチャンネル運営を自ら厳しくするのではないかなと、今回の一件で感じました。
さてGT SPORTから大分脱線しましたので(笑)、自分の走りに立ち戻ると、さしあたっては、
・立ち上がりでのアクセルオンタイミングを早める(スローイン・ファストアウト)
これらを徹底したいと思います。
FIAのレギュレーションも読み直したほうがもしかしたらいいのかもしれませんが、「実際、たかが(されど)ゲームにそこまでする?」という億劫さもあります。
運営のポリフォニー・デジタルさんに対しても一つ思うところがあり、書き留めておきます。
とても面白いゲームを作っていただいて、ありがとうございます。1年継続して遊べたゲームは自分の中で初めてです。グラフィックもきれいですし、毎月の無償アップデートはとても大変なことと思います。スポーツモードのインシデント(SR)判定AIも、理由の表記も加わり、以前よりよくなっていると思います。
一点、要望というかご提案があります。スポーツマンシップについて、ドライビングスクールでもミッションチャレンジでも構いませんが、他車のオーバーテイクの仕方や運転マナーの良し悪しをFIAレギュレーションを元に体験できるセクションを作ってみてはいかがでしょうか。初心者プレーヤーも、中上級プレーヤーも新たな視点を得られると思います。
所属:総務課庶務係
年齢:33
増田が個室内で用を足した後、お尻を拭いたトイレットペーパーで鼻を擤もうしたもの。
朝のコーヒーで便意をもよおすことをルーチンとしている増田は、溜まった決裁を処理したのち、溜まった腸内の糞便の処理に向かう。
静かな3階奥のトイレは彼のホームグラウンドであり、ペーパー位置の確認や鍵の閉め忘れも起こりにくい状況。
前日より季節の変わり目で鼻水が出ており、デスクにおいてもティッシュを用いた鼻水の除去を行っていた。
程よく湿り気のあるうんこは日々の野菜と肉と炭水化物のバランスのとれた食事の賜物である(お前の腸内はナイルか!)。
便秘しらずであることは、コーヒーをきっかけにするルーチンからも明らかだ。
排便中、手持ち無沙汰なこともあり、便座左側に備えるペーパー(うっすい安いやつ)で鼻をかむ。
その後、新たにペーパーを手に巻き尻を拭く。
脳がバグって、尻を拭いたペーパーで鼻を擤もうとしたのが0929ころと考えられる。
鼻をついた猛烈な異臭により辛くもうんこを拭いたペーパーでの鼻かみは回避できたものの、猛烈な匂いに襲われた該増田は鼻にウンチがついたものか判断し得なかった。
あわてて新しいペーパーで鼻を拭いて、恐る恐る確認ののち、不接触を認識。こと無きを得る。
しかし鼻腔内に不快な匂いが残り、しばらくはトイレから出られなかった。
数分後にトイレから脱出し、廊下で髪の綺麗な吉田(佳)さんとすれ違う。
いっつもはすれ違った時に髪のいい匂いをクンクンするところを我慢する(うんこの香りが残っていたらいやだから)。
その後席に着き、何食わぬ顔で隣のデスクの吉田(裕)さんに午後からの会議のちょっとした指示を出すにいたる。
しかしながら何点かインシデントを避けうるタイミングがあった。
まずは鼻をしっかりかむことを意識していればこんなことは起こらない。
排便中仕事のことを考えすぎており、本インシデントにつながった。
またティッシュで鼻をかめば良いものを、横着してトイレットペーパーの目的外利用があったことも注目するべき点であろう。
トイレットペーパーは尻を拭くものである。こうした規律違反が本インシデントを招いた。
また、この一年ほど前にもどうようのインシデントが車内の別のトイレおよび自宅で発生しており、その反省が活かされなかったことも本インシデントの要因となっている。
風邪気味の時はうんこが鼻につくのを防止するため、マスクをする。
鼻をかむデバイスとお尻を拭くデバイスを、しっかり脳内で峻別する。このために、自宅トイレにティッシュ箱を設置し啓蒙を図る。
尻を拭く時は仕事のことを考えず尻を拭く。
都民増田のホームアイランドは式根島だよ。行政区としては東京都新島村になります。
といても増田、山手線内で産湯を遣い、わずかな期間以外は23区内を転々と暮らしているので、些かその「ホーム」は勝手にこっちが思っているだけだけどね。後述するよう、向こうにとってはかなり迷惑な客であることは認めざるを得ない。ただし一応まだ客のうちだとは思うけど。
ちなみに、小中あたりの地理では「東京に村は一つだけ、桧原村」と教わります。うん、つまりなんだ、島嶼部はあんまりやらないんだよね。都領土に島嶼が含まれるのはトリビアルな知識、例えば沖ノ鳥島が東京都だとか、そういうことで意識する気がする。そしてそれはトリビアルであるがゆえに全員必修ではないわけさ。
さて、なんで式根島をホームアイランドに据えたのかというと、単に学生時代に増田所属のパーティでキャンプしに行ったことに始まるわけです。この島、4平方㌔ほど(つまり2キロ×2キロに収まるってことさ)で、形としては天気予報の地図位デフォルメした北海道に似ている。方角も同じだ。そのサロマ湖あたりがフェリーがつく港、釧網線沿いに民家・学校・役場(支所)が密集し、その外れの釧路あたりにアウトシーズンのキャンプ場がある。道南・道央辺りは人もおらず開発されていない(と思う)。襟裳岬あたりに2湯3カ所の露天風呂が湧いている。オンシーズンのキャンプ場は天塩辺りに存在し、町からやや離れる。で、肝心なのはキャンプ無料、温泉無料、狭い島だから歩けばどこでもたどり着ける、という手ごろさにあるわけです。シーズンなら人がいない=超きれいな海で遊び放題だ。海水浴は皆入り江で安心感がある。釣りもいいらしいけれど増田にそれは判らない。
かといって、全く社会から途絶したところでもないので、飯酒生活具の類はパッと買うことが出来る。電波もバリ3。これは楽。交通は船だけで、これは夜行便で寝てる間に着いちゃうし、パッキングしておけば仕事終わりでも突っ込める。船賃は値切る手もあるし、何より船旅はそれが近代化されきったフェリーとはいえ、旅情があってよろしい。
なので、暇を見つけてはテントかついでソロで通ったわけです。就活疲れもここで癒したし、付き合ってたねぇちゃんを連れてったこともある(その時はさすがに民宿を取って俺も出世した屋根のあるところに入ったと思った)し、その別れの傷をナメに戻ったこともある(このときはテントに逆戻り)。特に震災のちょっと前は数年連続で年越しキャンプまでしていた。
ただねぇ、このフリーさが島にとっては仇になった。増田が数年年越しを欠席していた間に、年末キャンパーが火の粉を飛ばしてあわや火事になるというインシデント(と伝え聞いたが本火事だったかもしれない)で、冬季のキャンプがダメになりました。冬場は風が強いんだよここ。まあ、しょうがないね・・・。あと、キャンパーなんだか、プロの野宿者なんだかわからない人間が数人伊豆諸島を回遊している、という話があってこれもキャンパーがうさんくさがられる理由であった。2・3カ月すると役場の奴がやんわりと追い出すのだという。それを4・5島で繰り返して一年過ごすんだそうだが・・・。こっちはニアミスしたことがある。古い馬鹿でかいテントがキャンプ場の奥にあって異常に生活感があるんだが、動いている気配がない。あと、こういうところに遊びに来るような奴は挨拶ぐらいはできるんだけど、一切そういうの無し。これが噂のそれか、と感服した(が、持ち物の管理は厳しくやった)。
あと、航路にジェット船が投入されてオフシーズンは夜行船がなくなった。加えて増田は小金を持つようになり、他のところに行けるようになっちゃった。休みの数に限りがある以上、他のところに行くとどうしてもご無沙汰になっちゃうわけで(というほどの顔見知りがいるわけでもない)。
無論、東京都の伊豆群島はもちろん、他の県の離島なんかも行ったことはあるけど、思い入れがあるのはやはり式根で基準も式根。だからまあ、増田の中ではホームアイランドは式根島、ってことになるわけです。まあそんなきもいの設定してる奴はそんなにいないと思うけど。
あと、都民的な興味では小笠原も一回は行きたい(都民でなくても多分行きたくなったと思う)んだが、あそこは、ほれ、"日帰り"で行くのは勿体ないじゃない? だから当分は無理だねぇ・・・。
場所はあんまりいうとバレるから関東近郊のDCを借りて、酒と食べ物買って飲み食いしながら夜はめちゃくちゃに障害復旧するっていう催し。
こういういわゆる障パを主催している幹事に誘われて初めて参加した。
インシデントバー(インシデントばっかり発生する)とか少しだけ行ったことあって、技術的好奇心があったから参加した。
リビングで適当に酒飲んだりご飯食べてたら、いきなりKubernetesをオンプレに展開したいとか唐突に言い出して、障害パーティーがスタートした。
適当に近くの運用担当とペアになってどんどん運用部屋(ISMSで規定されている)に吸い込まれていく。
1回1時間弱くらいで手順を確認して、コンソールからコマンド打って、復旧確認して休憩して、また近くのダブルチェック担当と障害復旧しに行く。
部屋中に溢れる指さし確認の声がうるさくて眠たくならない。
これまで、無理に安全側に倒す方ではなかったけど、転職イベントとかで口説かれたりして転職するかしないかという駆け引きのコミュニケーションばかりしていた。
この回転寿司のように障害復旧を繰り返す姿はスポーツのような動物園に来たような気がした。
正直、全然酒に酔えなくて全く楽しめなかった。全然技術的達成感を感じなかった
幹事には楽しかったからまた誘ってとか社交辞令を言ったけど、多分もう障害パーティーはいかないだろうな。
ISUCONみたいな絡みが好きみたいな感じで、ああいう作業だけしてる場はある意味人間の動物的な本質なのかもしれないが理解できなかった。
金払ってまで障害復旧はしたくはねーな。
病院の人事などに以下の文を送ろうと思っていましたがやめました。
病棟はとても大好きだったので。
**********
解離症状が出現した原因について
1. 出来事
2. 原因
同僚N山さんとの関係、いわれたことで悩み精神的に不安定となった。
別紙参照。
2月21日 女性二人(H師長、K師長)に病院まで連れられ、採血と頭部MRI撮影実施。精神科医師を名乗る男性(O医師)より問診あり。実家に帰宅したほうが良いとアドバイスあり、実家に帰宅。
3月12日 G病院受診。45分ほど個人で心理士による面接、GHQ検査あり。その後、医師診察開始。生育歴、症状、経時記録などを使用して説明する。ストレスによる解離状態が出現している可能性があり、その状態に蓋をするか上手く付き合っていくかという選択がある。症状の落ち着けや気分のむらについては投薬が効果があると説明受ける。解離に対してはエビリファイ3㎎を内服開始、不眠についてはブロチゾラムを使用して治療すると説明うける。採血(生化、HbA1c、FT4、TSH)あり。
3月17日 3時半頃まで寝付けず。希死念慮あり。コードで二度ほど首をしめることがあったため、次回診療日を待たず、19日受診し頓用でのクエチアピン処方受ける。また、ブロチゾラムはニトラゼパムに変更となる。
4月24日 ニトラゼパムの薬効薄く、ロゼレム追加あり。5,6月も休職し休養すると相談。
5月7日 ニトラゼパムを中止し、エビリファイ、ロゼレムで内服を調整する。解離症状出現していないため徐々に減薬する方向性でよいのではないかと医師よりあり。クエチアピンはほとんど使用していない。
5月21日 抑うつ症状悪化。休養時間増やす。薬の増加はなし。
6月4日 休養優先で生活を確認。7月に関東に戻ること決定。甲状腺ホルモンフォローの採血実施。
4. 症状
身体症状:便秘、腹満感、曖気、嘔気などの腹部症状。下剤、制吐剤の使用、食欲不振、夜間過食、排尿困難、動悸、悪心、過呼吸、振戦、頭重感、頭痛。
睡眠障害:いつか患者を殺すのではないかという考えにとらわれ入眠、休息をとることが難しくなった。勤務後21時頃に就寝しても3時頃まで寝付けない日々が続いた。眠りが浅く。寝ている間も常に身体が浮いているような感覚があった。中途覚醒もあった。
幻聴:夜間帯に流涙することが多くなり、それに伴って患者を殺す、患者を殺すという幻聴がみられた。また、同様の独語があった。
不安症状:N山さんと一緒の勤務帯では自分がインシデントを起こし、人を殺すのではないかという考えで頭が働かなかった。患者の安全・安楽よりも自分が何かするのではないかという考えにとらわれた。
被害妄想:2年目フォローや同期に対して、この人たちに助けを求めたら、この人たちが報復を受けると考えるようになった。また、メンバー全員が私を駄目な看護師であると思っていると考えるようになった。
落ち着かない
気力が出ない
物をなくすことが多くなった。
別紙 具体的原因
N山さんより、ほぼ毎月一回は「患者殺す気?」、「患者が死にます」、「あなた看た次の日に(患者が)具合悪くなってるよね。そのうち(患者を)殺すよ。」、「仕事舐めてるの?」と言われた。
受け持ち患者が検査時に出血を伴う状態となったため、16時20分ごろ帰室したが、酸素投与、モニター装着などしていたため当日リーダーだったN山さんへの送りが30分近くになった。送り必要と考えたため声をかけたが、「いらない。もう時間です。」と言われた。その後、リーダーへの送りはせず、夜勤者に直接送りを行った。30分ほど経ってからNさんよりさっき何かあったのかと聞かれたため報告すると「何言ってるか意味がわからない。そういうのは報告してください」と言われた。
夜勤中、休憩直前緊急入院患者の受け持ちとなった。手術の戻りが前半休憩中に重なりそうだったため、休憩は後半を希望した。病棟が落ち着いていたため、私はリーダーのN山さんと休憩のペアを組むと思っていたが、N山さんは点滴交換量が多いため前半に休憩はいると決めた。他看護師2名(1名はリーダークラス)が緊急手術の戻りがあるため、リーダーは一緒にいた方がいいのではと助言してくれたためNさんと後半休憩に入ることとなった。戻ってきたオペ患者の創部から出血あり。Nさんに報告し、医師にも報告したほうがいいだろうかと確認すると「何言ってるの。意味わかんない。」と言われた。実際に一緒に創部確認しやはり出血が持続していることが分かった。来棟していた医師に報告し創部縫合処置となった。
夜勤リーダーN山さんに送り中、日勤メンバーも残業している中、「日勤メンバーがうるさくてあなたの送りが聞こえない」と私に言い、それを日勤メンバーに注意するのではなく、二人で注射室に移動して送りをするようにと促される。送り中、「は?」「意味わかんない」と連呼される。
勤務交代時に麻薬の指示変更があったため日勤者に申し送りをしているとその指示はもう日勤帯での指示であるため残りの記録を書くことを優先しろと言われた。
夜勤帯に変更になってから1.5時間ほど経過してから日勤帯で受け持っていた患者の点滴が滴下していないため刺し直しをして、と命令された。交代時には点滴は滴下していたし、滴下にむらがあることも申し送りで伝えていたためなぜその時間に私がさし直しをしなくてはいけないのか不明だったが、身体が竦んで反論できなかった。
ナースステーションに本人がいるにもかかわらず、休憩室でその人たちに対してプライドが高い、仕事ができない、みんな嫌いでしょ、といった会話をしようとしており、不信感が出現した。
まず、マスコミ各社を広告で予め抑えてあったので、報道は最小限に食い止められ、セブンアイホ―ルディングスへの批判報道を押さえた
次に、その日のうちに中国人の逮捕事案を出させて、世間の目をシステムの瑕疵ではなく中国窃盗団へのヘイトに切り替えさせた。警察と連携したナイスプレイだ。
もはやセブンアイホ―ルディングスを批判する人たちははてサくらいだ。彼らがいくら騒いでもノイズにしかならない。今のシステムの破り方を指摘する人が居れば警察に協力してもらって警告出せばOK。
被害を訴える人達には「警察に被害届を出して」とアナウンスし、その警察側は「セブン側が被害届を出すべき事案」と逆のアナウンスをする。これでセブン側は被害補償をする必要がなくなった。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
もちろん自宅で何使おうが勝手だし、私物のスマホがiPhoneだろうと知ったことではないが。
あと、iPhoneやiPadのアプリ開発だけはどうしてもMacを使わざるを得ないので、Windowsだけの職場環境というのは現実的に困難なことは百も承知である。
しかしそういう例外を除いて、正直仕事でMacを使うのはやめてほしい。
というのも、Macはウィルス対策ソフトとの相性で問題が起きるケースが少なくなく、かといってトラブルの起きないソフトを選ぶ場合、Windowsとともに一元管理することが難しくなるのだ。
あとセキュリティの関係上、Appleがサポートを打ち切った古いMacについてはどんどん買い替えてほしいのだが、このサイクルがWindowsよりはるかに短いこともあり、予算と環境移行にかかる時間の都合上、結構なユーザが後回しもしくは放置しがち。
あと、新しいMacに乗り換える場合も、多くのユーザがTime Machineを使いたがるけど、これもトラブルの元。
スムーズに行かない場合はウィルス対策ソフトの動作にもガッツリ影響するのですげー困る。
というわけで、セキュリティ関係のインシデントを扱う側やヘルプデスクみたいな立場の人間にとって、Macなんて疫病神でしかない。
リテラシーのないユーザが多いのはWindowsも同じだが、職場のパソコンがWindowsで統一されているのといないのでは、ややこしさのレベルが違うわけで。
その人は1ヶ月の休職になった。
その日は、夜勤中だった。朝ごはんを食べ終わった頃の、人出の薄い時間だった。
その場を止めに入った同僚の男性看護師は「〇〇さん、殺されるかと思った」「馬乗りになって、殴られた後、思いっ切り蹴られてた」と言っていた。
ある同僚は「彼らには人権はあるけど、我々にはないように感じる」と言って、「病理が悪くて、その人は悪くない。でも、どうしても憎んでしまう。私は看護師として、クズなのかも。」と続けた。
実は、私もその場に応援で呼ばれていった。
暴力被害にあった看護師は、 暴力を自分のせいと考えたりもする。
私は、その場で暴力を振るった方にもお話を聞いた。どうして、そんなことをしたのか、聞きたかった。
あとで調べると、彼は長いこと入院している男性だった。知的障害とアルコール依存症があって、てんかんもお持ちの方だった。
(どうして、そんなに興奮しているのですか)
(なぜ、そう思うんですか)
「あとから、入ってきた人が、みんな退院していくんだ」「俺だって、毎日、がんばってるのに。我慢してるのに。誰も認めてくれないんだ」「オヤツだって、今の量で我慢してる。でも、退院できないんだ」
暴力は、きっと、その場の流れや関係性だけで起きているわけではなくて、[もっと、広い関係性の中で]起きている。
不幸にも、暴力が起きてしまった時に、どうして、そうした出来事が起きたのか、考えていきたいと思う。
ジクジクと痛む。インシデントを書きました。
(病院文化にもよるが、暴力行為を受けて、怪我をすると看護師がインシデントやアクシデントを書かされることが多い)
(場合によっては、上司から責められたりもする。管理上の問題にもなるんだろうな)
まずは、何か、「誰かからの良い反応」がほしくて、配偶者に甘いものを買っていきました。
皆さんも、どうか、どうか、ご自愛ください。