「チェックリスト」を含む日記 RSS

はてなキーワード: チェックリストとは

2020-05-10

うどん脳の恐怖について伝えないといけない

・1日1杯以上うどんを食べる

うどんを食べるときは2玉以上

うどんの食べ過ぎで血糖値が高い

血糖値が高いけどうどんを食べることを辞められない

これらに当てはまる人はうどん脳と呼ばれる病気にかかってます

今すぐうどんを食べることをやめる、もしくは1週間に1玉までに制限するべきです。

これは優曇華院ウドンスキー教授インターネット情報を集めて正確に検証した立派な病気です。

うどんを食べすぎているのではないか不安な人は一度上記チェックリストで調べてみましょう。

もしもうどんであることが判明したらうどんから距離をおいてください。

うどんの食べ過ぎは肥満糖尿病に繋がります

糖尿病になった場合、手足の壊死や最悪の場合突然死もありえます

うどんは恐ろしい物質です。

皆さん気をつけてください。

2020-05-07

ソフト開発者無理解

ソフトバグはつきものだし予算スケジュールなんてあくまでも予言程度にしか過ぎないのは常識だけど、

ソフト開発者は知らないので、なんでいつも予算を超過するんだとかバグを出すなスケジュールを守れ、開発体制を見直せとか無理難題押し付けてくる。

そんなことができるんならよお、こんな会社にとどまっている場合ではなく、ソフト開発コンサルとして世界中で何十兆円も稼げるわボケ

そして無駄チェックリストや再発防止策を考える日々ですわ…。

2020-03-23

日本医者専門家は飛び抜けてレベル低い(2) 〜研究不正

日本医師研究者レベルモラルが低いのは昔からだぞ

論文全体に日本が占める割合が2.9%なのにも関わらず(米国:26.1、中国:19.3%、 英国:5.9%、独逸:5.2%)、

Nature や Science に正を名指しされるレベ

[Science] Researcher at the center of an epic fraud remains an enigma to those who exposed him

https://www.sciencemag.org/news/2018/08/researcher-center-epic-fraud-remains-enigma-those-who-exposed-him


[nature] What universities can learn from one of science’s biggest frauds

https://www.nature.com/articles/d41586-019-01884-2


日本語の研究不正問題記事は下記


なお、記事内に “撤回論文” が出てくるが、論文の変更措置は「訂正」「懸念表明」「撤回」 があって、「撤回」が最も重い

不正証拠が決定的でない場合は、懸念表明にとどまり

撤回される論文とは、有害無益な「世にないほうがよい論文


ネイチャー誌が糾弾日本発最悪の研究不正が暴く日本大学の「不備」(2019/06)

https://news.yahoo.co.jp/byline/enokieisuke/20190626-00131623/


撤回論文監視する「リトラクションウォッチ」は撤回論文の数でランキングを作っている。


 ちなみに、世界第一位日本麻酔科医、第五位はS氏の共同研究者医師、第六位は一位の麻酔科医と共同研究したことがある麻酔科医だ。上位6人中3人が日本人の医師、上位15人中6人が日本人(うち医師が5人)と、日本人は世界に恥をさらしている状態なのだ


日本大学の不備を指摘

 ただ、ネイチャー誌の記事は、日本研究者問題を取り上げたわけではない。ネイチャー誌が指摘したのは、日本大学研究不正調査体制問題があるということだ。


(略)


 大学調査は「不透明で、不十分」であったという。誰がどの論文調査したのかも明らかにしなかったうえ、研究不正調査にばかりエネルギーを注ぎ、重要であるはずの研究妥当かどうか、論文撤回修正必要かどうかの判断おざなりだったという。


 記事の中で、研究の誠実性に関する専門家であるCK Gunsalus氏は、日本機関は、不正行為を調査するためのプロセスを見直すべきであると指摘している。日本研究機関は外部の評価委員を入れる、Gunsalus氏が作成したチェックリスト活用するといったことが必要だという。


 私自身何度も記事にしてきたが、日本研究機関研究不正調査には大きな問題がある。研究不正認定されなければ、調査報告書は公開されないうえ、研究不正可能性があることを指摘した研究者処分したりもするのだ。



関連増田


参考になりましたか

anond:20200323175727

2020-03-15

anond:20200315224607

ほんこれ。うちの新人、失敗の多さにリーダーが見かねてチェックリスト渡すようになったけど、終わってないくせにチェックつけてやんの。

物見ないで記憶でチェックつけてて、したって記憶捏造してんだろうな。

2020-02-17

上司テレワークなうなんだけど指示が電話メールでとっちらかっててまじで疲れる。

同じ案件用事メールで伝えたあと、修正電話とか(逆も然り)。

電話特に手も止まるし言った言わないの水掛け論になるし最後チェックリスト作るのも自分作業になってまじで苦痛

テレワークすんのは構わないけどこっちに負担を増やしてテレワークするの本当やめてほしい。

あ~やだやだ戻りたくない。

2020-02-07

quick_pastさん

id:quick_past おいらは下流仕事を、わかりやすい規模に切ってもらわないと混乱して手が動かない。あと仕上げは他の人にやってほしくてしょうがない。仕上げるためには集中力必要で、集中力を高める事が物凄い疲れる。

https://b.hatena.ne.jp/entry/s/anond.hatelabo.jp/20200113022528

すごく分かる。集中力を高めるためのアドバイスをいくつか。

  • 仕上げるのはまったくできない。仕上げチェックリストを作って心を無にしてチェックすると、仕上げ作業の半分くらいはできるけど、完全に仕上げるのは私には無理。これはどうしようもないので、一人では仕上げられないものだと受け入れて計画を立てる。本当の締め切りの前にプレ締め切りを作りクライアント担当者ダメだししてもらうとか、同僚との関係をよくしておいて仕上げを手伝ってもらえるようにするとか、上司にあらかじめご指導を依頼するとか。できないもの努力でなんとかするより、得意なところで挽回するほうが楽。
  • 何やっても無理だなと思ったら、たぶん疲れているので、その日は捨てる勇気を持つ。不可能もの気合挽回しようとしても、疲労たまるばかりで無意味どころか逆効果。ゴールに早く着くためには休まなければならない。私は週に1日くらい捨ててる。

2020-02-04

宇崎ちゃん日赤ガイドライン

日赤広告に関するガイドライン策定

https://www.bengo4.com/c_23/n_10730/

それについて作者が「何も修正はなかったかガイドライン適用は次回からでは」と言った

https://twitter.com/syokumutaiman/status/1224239510617112576

件でなんかもめてるので

編集界隈で仕事してる身からおそらくこういう流れではないかな、というのを書く。

結論からいうと多分ガイドライン適用した上で問題いから出したんじゃないかね。

だってガイドラインを今回の広告適用してないなら、

新しい広告打ったばっかりの「今」ガイドラインのことをニュースリリースするのリスクしかないじゃん。

そんなアホなことするいみある?

次回から運用したいなら数ヵ月後、次回広告前後リリースするでしょ。

で、ここでいう「ガイドライン適用」ってどういうことかというと、

「出稿者(=今回は日赤)がそのガイドライン念頭にチェックする」ことを指す。

チェックリスト片手に各項目オッケーかどうか確認しました、程度の意味合い

ガイドラインを作者に事前に示さないなんてブラック発注だ!そんなこと日赤がするわけないだろ!

みたいな意見も見たけど、普通しないんじゃないかなー。

いわば会社の内規だもん。

「男女両方出してね」みたいな根本的なものなら発注時にいうべきだけど、それ以外の細かい点までは示さないと思う。

仮に細かいとこまですべて示すにしても編集者にでしょ?

その編集者が仕事する気があったら、

漫画家にそのガイドライン右から左で流さないで要点だけ伝える、

または自分のチェックのところで直すつもりで何も伝えないってのはありうるだろうなあ。

(これは偏見も入ってるけど、漫画家さんとかイラストレーターさんで細かい文章読まない人ってのは結構多い。

宇崎ちゃん作者がどんな人なのか知らないけど、細かいことは編集のとこでチェックってのは十分ありうる範囲だと思う)


なんで今回の仕事の流れ想像すると、ガイドライン編集に示してたと仮定して

日赤「第二弾もよろしくお願いしますね。次回のキャンペーンはこういう内容で仕様はこんなかんじです。あ、炎上懲りたんでガイドライン作りました

編集ありがとうございます、どうするか作者と相談しますね」

編集先生、第二弾の依頼来てますよ。次回はクリアファイル裏表カラーですって。どうしましょう?」

作者「じゃあセンパイと宇崎ちゃん漫画描き下ろします」

編集「そうですか、お願いします(漫画ならガイドライン引っ掛かることもなさそうだな)」

編集日赤さん、今回は描き下ろし漫画します」

日赤「そうですか、お願いします(常識範囲内でなら引っ掛かることもないだろうな)」

作者「ラフできました」

編集「(ガイドラインチェック)おけです、日赤さんに回します」

日赤「(ガイドラインチェック)おけです」

こんなかんじで作者には直しが入らなかったのでは、と思う。

もちろん編集にも提示してない可能性も十分ありうる。

編集やってる」とかわざわざ名乗ったけど、仕事をよそに発注する流れとしてわりと一般的なんじゃないかね。

2020-01-17

子育て世代がつらくなるなら元も子もないのに

児童虐待を無くす名目で親御さんへの監視が強くなり、差別的チェックリストも出回っているという。

https://news.yahoo.co.jp/feature/1541

いくら虐待ゼロ件を目指すべきだといっても、子供を育てようとする親御さんが抑圧されたら元も子もないよ。

ただでさえ子育てしにくい世の中で、ベビーカー電車に乗せるだけでも冷たい扱いを受けてるのに。

虐待を事前に見つけて予防しつつ、親御さんものびのび育児できるように寛容な環境を作るということでは駄目なのだろうか?

子供と親のどちらかしか守れないというルールでもあるのか?

2019-12-19

やらかしている

 毎日仕事が忙しくて、小さなうっかりミスばかりしている。

 チェックリストを作って、ひとつ終わるごとにチェック入れて、やり残しがないか確認してる。通常業務ならそれでなんとかミスなくこなせる。問題は、突発的に入る仕事が多すぎて対応しきれないことだ。

 ひとりでかかえるな、周りを頼れといつも言われてて、振れる仕事は振りまくってるんだけど、そうして残った仕事が終わらない。みんなも忙しいんだよね。もっとてきぱきできる人ならよかったのに。

 もう年末なんだよね。年越せる気がしないよ。越すけどさ。

2019-10-21

anond:20191021141358

リアップ的なヤツはダメらしい。理由は知らんが。それはチェックリストに入っている。

2019-10-19

憑依アドバイザーは最悪。今すぐやめろ

さて、これから「憑依アドバイザー」は最悪という話をしたい。

例えば、家族友達、同僚や上司からこう言われた経験はないだろうか?

自分尊敬していたり、好きだったりする人の名前を出して、「Aさんはそういうことしないよ」「Aさんもそう言ってたでしょ?」などと言われるやつだ。

そのように、自分尊敬している「Aさん」に憑依してアドバイスを言ってくるのが「憑依アドバイザー」だ。

これがなぜ最悪なのか。

まず大抵の場合、「Aさん」はそんなことを言っていないのである

例えば、自分スティーブ・ジョブズ尊敬していたとする。

そして、スティーブ・ジョブズなんて大して興味もない家族自分に部屋を見てこう言う。

スティーブ・ジョブズだったらこんなに汚い部屋を許さないでしょ?だから片付けなさい」

そんなことを言われても、実際にはスティーブ・ジョブズの机の上はとても汚かったことを知っているので、こちらはモヤモヤした気持ちになる。

…という具合に自分尊敬する人に対して生半可な知識しかない人が、適当に憑依して彼らが言いそうにないことを言ってくるあたりに最悪さがある。

それも最悪だが、さらにもうひとつ最悪なことがある。

憑依アドバイザー自分意見をありもしない他人言葉で話しているだけに過ぎないのだ!

自分意見を直接言うのではなく、ありもしない他人言葉コーティングしてもっともらしく話すことで説得力が増していると考えているのかもしれないが、実際はその逆だ。

自分意見自分言葉で話せないほど、自分に自信がないことの裏返しでしかないし、そんな意見を聞かされる身にもなってほしい。ただの時間無駄だ。

される側にはとってもとっても不愉快ことなのに、それをする人は全く気付いていない憑依アドバイザーたち。

そんな憑依アドバイザーにならないためにチェックリスト作成したので、ぜひ確認してほしい。

相手が好きなもの尊敬する人を理解しないまま、それらの言葉引用しない

相手に行動を促したいときは、虎の威を借りずに論理的説明しよう

自分意見自分言葉で話そう

以上!みんなも憑依せずに自分言葉意見を言っていこうな!

2019-10-17

障害者雇用促進法

※書いて出しでフェイクもあるので雰囲気を掴んでいただければ幸いです。

弊社、上場してしばらくするんですけど色々変わってびっくりすることも多々。

いい方向もあれば、悪い(現場で手間)ことも含めて多々。

監査法人も弊社の監査対応も、名前は仰々しいけどやっぱり人がやってますので…的な要領を得ない指摘に対し、指摘をクリアできるようにするフローばかりが追加され、チェックリストにつぐチェックリストを呼び、人は追加されず、作業は増え、時短改善しろと指示を賜り…まぁよその会社も同じか。

一番驚いたのは新しい部署ができること。

弊社、ものづくりをしていますが配線を間違ったら死!

ほどではないけど損害に直結する作業か金勘定しかない。

かといって警備や食堂、清掃等も必要ないため純粋単純作業というのが社内のリソースとしては無い。

顧客ごとの課題個別解決する…コンサルとか設計事務所マーケティング会社みたいなイメージ

けれど義務として障害者を雇わねばならん。

そのために新しい部署を作って受け入れる。

まだ名前だけしか分かりませんが、「被服部」。

まだ何をするのか分かりませんが、本業ビタイチ関係なさそうです。

弊社、BtoBビジネスですので小売はできません。

かといって業者向けにできるほど数は作れない。

本業でない販路開拓するツテもノウハウ人的資源ありません。

弊社の中で全く異質の部署として立ち上がることになるでしょう。

臭いものにフタ」するように。

雇いたくないけど雇わねばならぬ。

しかし雇っても活かせる場所が作れない。

無理に使ってもらうのも現場にはばかられる。

部署との接触を極力少なくすることで摩擦を減らし、ただいてもらうための部。

建前と体面と忖度とお付き合いと法令遵守テーブルにのった結果として「臭いものにフタ」部が生まれしまうのです。

■参考

障害者雇用「罰金」省庁も 法定率未達成で政府検討

https://www.tokyo-np.co.jp/article/politics/list/201902/CK2019022102000157.html

政府障害者雇用促進法「改正案」が民間企業で悪評ふんぷんの理由

https://ascii.jp/elem/000/001/833/1833334/

2019-10-03

anond:20191002082354

周りがみんなITエンジニアだと理論的に考えたとき必然的にこうなります

みたいに言ってくるぞ。

作業の抜け漏れがあるときチェックリスト作ってダブルチェックする防止施策もするぞ。

おかげで今のチームに一人アスペがいるせいで、いらんルールがたくさんできたぞ。

2019-09-22

40手前でDV虐待に遭ってたことを知ったんだが、どういう心持ちでいればいいのこれ…。

そりゃ父親はすぐキレるし、変わった人だと思ってた。

どうやら父はモラハラ野郎らしい。

らしいっていうのは、あんまり実感がない。

兄はモラハラチェックリストの全てが父に当てはまると言うけど、私は数個の認識しかない。

母や兄が強く当たられていて、私の被害は少なかったと自分でも思うからそれがその差なんだろうな。

もしくは、まだ洗脳が解けていない(実際、父がキレるまでしつこく言わなきゃいいのにと今でも思う)かもしれない。

そしてこれは兄の戦いだと思う。

兄が父にモラハラを指摘して認識させて治療に当たらせようとしている。

父の行動いかんでは、兄は父共々母と私とも縁を切るかもしれないと言う。

DV加害者は治らなくて被害者が親と決別するケースが多いっていう治療現場ブログが出てきた。

から、兄が納得する戦いなんだと思う。

私はどういう風にいたらいいんだろうな。

2019-08-28

anond:20190828220541

サイコパスWikipedia より)

特徴

犯罪心理学者のロバート・D・ヘアは以下のように定義している。

良心が異常に欠如している

他者に冷淡で共感しない

慢性的に平然と嘘をつく

行動に対する責任が全く取れない

罪悪感が皆無

自尊心が過大で自己中心的

口が達者で表面は魅力的

オックスフォード大学心理学専門家ケヴィンダットンによると、サイコパスの主な特徴は、極端な冷酷さ・無慈悲エゴイズム感情の欠如・結果至上主義である[1]。現状では、チェックリストのみが診断基準であるので医学的にサイコパスと同じ状態であっても反社会性がなければサイコパスとはならない。反社会性などの診断基準を満たす者は幼少期から素行問題など行動面の異常を示すことが多い[2]。

日本国精神保健及び精神障害者福祉に関する法律・第5条に、「この法律で『精神障害者』とは、統合失調症精神作用物質による急性中毒又はその依存症知的障害精神病質その他の精神疾患を有する者をいう」と定義され、精神障害者に該当しつつ、保護対象者成る事を法的に認めているが、必ずしも全てが該当するとも言えず、時代相応の医学科学)的な診断結果に基づいて判断される。

サイコパスの主な特徴は、極端な冷酷さ・無慈悲エゴイズム感情の欠如・結果至上主義、であり、サイコパス人間の大部分は殺人を犯す凶悪犯ではなく、身近にひそむ異常人格者であるとされている。

しかし中程度以下のサイコパスであれば、社会的成功を収めることも多いとされている。サイコパスはその定義上、悪人とされる[3]。そして彼らが悪事に手を染める理由にはありとあらゆるものがあるとイェール大学心理学専門家ポールブルームは断定している[3]。

2019-08-21

ADHDの後輩がいるんだが、もう救えないかもしれない

そもそも救おうと思った俺が思い違いだったのかもしれない。

本人曰く色んな仕事ができるようになりたいとか、一端の仕事ができるようになりたいとか、こういう部分が悩みだとかいろいろというので、それなりに答えていたつもりだったんだが、

どうにも改善が見込まれなさすぎて、「ちゃんと言ったことやってみた?」とか、「やってないならどういうところがだめだった(合わなかった)と思う?」とか、いろいろ言っても何にもよくならない。

ちなみにここでアドバイスしているのは、メモれとか、完全な定形作業チェックリストを作ってやろうとか、スケジュールちゃんと考えようとか、自分タスクが書かれている場所があるからちゃん確認しようとか、そういうレベル

正直、何が難しいかからないが、どうやら難しいらしいし、その難しいことをやれるまで、ちょっとずつでいいからやろうというスタンスでちまちま話している。が、そもそも言ったことは何もしてくれない。

なにか原因があるんだろうと思い改めて聞いてみると「そもそも自分のなかで納得しなかったらやらない」、「納得してやっていても忘れる」、「忘れたことに気づくけどまぁいいやってなる」などと言われた。

そうは言っても忘れたことを認知できているならまた始めればいいじゃないとか、やり方が納得できないなら言ってくれれば考えるとか話すが効果なし。

しろ、「自分が得意なことだけで働きたい」、「自分が苦手なことは他の人に任せればいい」、「自分は一人前になる必要はない」、「他の人がやればいい」と言い出す。

いや、得意なことをするために必要なことができていないんだぞ、と言いたかった。

もう、正直どうしてあげるのがいいのかわからない。自分で望んで今の職種になったらしいのだが、その割に自分職種でやらなければいけないことを明確にやろうとしていないように思える。

なおかつ、その改善のために何もしていないように思える。何を言っても良くなる兆しが見えないし、そもそも良くしようとしていないように見えてしまい、故にタイトルに至っている。

ちなみに救うというのは、本人は普段自分業務ができなさすぎて落ち込みまくっているから。落ち込んで半泣きのところから自分は一人前になる必要はありません」って言い出すから

もう根本的に考えていることが私と異なっているし、やっぱり救うなんてこと考えるのがおこがましいのかもしれない。

とにかく、もうできることがなくて八方塞がり。彼をどうしてあげると一番彼にとって幸せなのかがわからない。聞いてみると今のままでいいですと言われてしまい、さらによくわからない。

改善案を提示してもその改善案を全くやらないのに今のままでいいとか言われても、俺は何をしてあげればいいのだ。ひょっとして何もしないほうがいいのだろうか。

増田の人たちなら一人ぐらいこういう経験あるだろうと思って書いてみた。どうしたほうがいいとかあれば教えてほしい。今の俺にはなにもできない気がしている。

2019-08-07

anond:20190807113045

免許は大変だよ。

発達障害について詳しく知らなくて悪いんだけど

2つの事を同時にやるって結構大変だから

ハンドル操作して、スピードメーターみて、標識見て。

私も免許は持ってるけど怖くて運転できないペーパーゴールド……標識殆ど覚えてない。

新しい道とか走ったら、ぜんぜんわかんないと思う。

1つのことに集中できて、チェックリストがついてくるようなそんな仕事良いよ。

どんな仕事であれ、急な仕事が舞い込んできたり2つの事を同時にしないといけないからさ。

関係ないけれど、前に「ブラウザゲームバグチェック」の仕事したことあるんだ。

Excelに書いてある作業を上からなぞっていくだけ。

バグが起きた、起きなかった」で判定するんだ。結構しかったよ。

ゲーム好きだったらオススメ。ただ、単調作業になるから、似たようなことを繰り返すのがキツかったら難しいかも。

anond:20190807110327

どうしてそうなるのかって原因考えたことある

見る限り、1つのことに集中して頑張れるタイプなのかもしれないと思った。

テスト仕事とかどう?

チェックリストに従って1つ1つ基板をテストしたりする仕事。確かあったと思うよ。

2019-07-30

anond:20190730002155

そんな簡単テストの結果を信頼しちゃダメ

あと10前後のA4用紙1枚程度の簡単チェックリストを使ってる様な医者も信用すると痛い目に遭うよ。オレみたいに。

WAIS-Ⅲテスト(ウェクスラー人知検査)

か、

CATテスト(標準注意検査法)

を必ず受けてからでないとADHDかどうかの判定は難しい。

オレも最寄りの心療内科ADHDの診断を下されたけど、WAIS-ⅢとCAT両方受けた結果全くADHDではない事が判明、不安障害だったという経験がある。

2019-07-24

anond:20190724143335

HSP最近見て「おっ、これめっちゃわかる~」って思ってチェックリストやってみると認定基準3分の1くらいしかチェック入らなくてやばい

HSPの人がそれだけ大変なんだろうけど、自分の苦労は「その程度は甘え」って言われる程度なのかなぁ。

2019-07-06

7payのセキュリティ審査って何をやってたんだろうか

ここ連日騒がれている7pay。

パスワードリセットリンク送付先のメールアドレスに対して設計上の問題脆弱性が発覚して大変な事態に発展しています

昨日の会見では社長ITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています

また、会見内で「セキュリティ審査実施した」と明言がされました。

https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html

セキュリティ審査実施していたにも関わらず、何故今回の問題が見逃されたのか。

非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います

セキュリティ審査とは

その名の通り、サービスローンチ前に実施する、脆弱性問題がないか審査の事・・・だと解釈しました。

審査」というとISMS辺りを連想しちゃいますね。

一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます

以後脆弱性診断と記載していきます

実施した」とはいっても、どういった内容を実施たかはわかりません。

ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチ脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います

通常、脆弱性診断というと、以下のような項目があげられると思います

抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います

詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています

LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティスプラウトなど。

ただ、今回の脆弱性診断が外部ベンダ実施されたのか、内部で実施されたのかはわかりません。

以下、推測をつらつら書いていきます

外部ベンダ発注したが、コスト削減のために対象を削りまくった

脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります

Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます

また、数量計算ベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。

お願いすれば見積もり時にステージング環境で動いているWebサービスクロールして、各ページの評価を付けてくれるベンダもあります

規模と見積もり内容にもよりますが、100~200万といったところでしょうか。

スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。

プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います

これ以外にWebSocketを使っていたり、別のサービス連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります

Webサービス200万、スマホアプリ(iOSAndroid)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。

脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。

そしてこれをそのまま発注するかと言われると、多分しないでしょう。

セキュリティお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。

経営層は中々首を縦には振らないでしょう。

会見でも明らかになったことですが、社長ITリテラシはあまり高そうにありません。

こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。

また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。

いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。

削れるものをあげていってみましょう。

例えば、iOSスマホアプリ実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からアクセスは基本不可であるためです。確か。

そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセスインターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います

・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。

プラットフォームも、ベンダによります実施しなくとも良いとも思います

ベンダ説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います

Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います

サーバコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。

そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。

ワイドショーでは「不正海外IPからで、国外からアクセス許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります

実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います

Webサービスですが、ログインログアウト処理は必須でしょう。また、新規登録情報変更、退会処理も重要です。

パスワードリセットどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。

ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。

ただ、NRIにはNRIセキュアというセキュリティに特化した子会社存在しています

もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います

ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。

NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります

別のベンダ発注したことで、抜け落ちた可能性はゼロではないかもしれません。

また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料セブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断セブンに委ねられます

考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・

ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます

特定ベンダと、ツールを用いた定期診断を実施してもらう契約をしていた

この可能性もあるのかなと思います

使ったことはありませんが、SecurityBlanket 365というサービス自動での定期診断が可能なようです。

ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダ逐次依頼する脆弱性診断よりかは安く済むはずです。

ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。

ツールの手が届く範囲での、XSSPoC、ヘッダの有無など、ごく一般的脆弱性診断になると考えられます

でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。

セブン内部でツールを用いた診断を実施していた

脆弱性診断ツールOSSのものもあればベンダ販売していたり、SaaS提供しているものもあります

OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります

ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。

有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います

SASTになると、RIPS TECH、Contrast Securityなどでしょうか。

上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。

こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。

ただし、社内のエンジニアに任せる事になるため、片手間になってしま可能性があります

また、ツール使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います

・・・とは言ってもセブンにはCSIRT部隊ちゃんとあるんですよね。

https://www.nca.gr.jp/member/7icsirt.html

『7&i CSIRT は、7&i グループCSIRT として設置され、グループ企業に対してサービス提供しています。』と記載があります

また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています

グループ企業情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査分析リスク情報の共有、ならびにインシデント対応活動を行なっています。』

という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。

組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会情報管理委員会のどこかに所属しているんじゃないかと思われます

日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバー専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。

なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います

会見内で言われた二段階認証検討事項に上がらなかったのかなあ・・・と。

まあ、今でも機能しているのであれば、の話ではありますが。

で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。

https://www.7pay.co.jp/news/news_20190705_01.pdf

これを見ると内部のCSIRT機能していなかったか力不足判断されたかどちらかになるのかな・・・と。

実際はどうだかわかりませんけど・・・

診断を実施したがどこかで抜け落ちた

これも有り得る話かなあ・・・と。

関係者が多いと情報共有にも一苦労です。

開発やベンダCSIRT部隊情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧表現で伝わっていなかったとか・・・

ベンダ実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。

問題認識していたが上申しなかった/できなかった

7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応時間を取られることになります

そういった事を許さな空気が出来上がっていると、まあ中々上には上がってきづらいです。

これも十分にありえる話ですかね。ないといいんですけど。

セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった

どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。

そこで思ったのですが、情報セキュリティ基本方針個人情報保護方針を元にしたチェックリストのようなものセブン内にあって、それを埋めた・・・みたいなことを「セキュリティ審査」と言っていたりするのかなと思ってしまったんですね。

でもこれはセブンペイの社長個人情報保護管理責任者ということで、ISMSPMS等で慣れ親しんだ単語である審査』を使っただけかもしれません。

そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業・・・

そもそもやってない

大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・

というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。

そういえばomni7で以下のお知らせが上がっていましたね。

https://www.omni7.jp/general/static/info190705

『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。

もしくはわかりやす対策提示しろと言われたのかもしれません。それなら仕方ないんですけど。

パスワード定期変更を推奨する因習はいつ消えるんでしょうか。

以上。

以下追記 2019-09-08

一部typoとか指摘事項を修正しました(役不足力不足 etc)。

ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。

所詮「人のつくりしもの」だよ

監査なんて取り揃えた書類通りになっているかどうかなので、監査受けているかセキュリティ的に大丈夫ってことじゃないよ

そんなに監査が万能なら監査できるくらいの人が作り出せば完璧になるはずだろ

ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・

一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性問題がないか審査の事」、つまり脆弱性診断」を指していると仮定して本エントリを書いています

そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。

監査貴方記載する通り「ある事象対象に関し、遵守すべき法令社内規程などの規準に照らして、業務成果物がそれらに則っているかどうかの証拠収集し、その証拠に基づいて、監査対象有効性を利害関係者に合理的保証すること」です。

貴方の言う「監査」に近いことは「セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48

ログイン ユーザー登録
ようこそ ゲスト さん