「ベンダ」を含む日記 RSS

はてなキーワード: ベンダとは

2019-07-06

7payのセキュリティ審査って何をやってたんだろうか

ここ連日騒がれている7pay。

パスワードリセットリンク送付先のメールアドレスに対して設計上の問題脆弱性が発覚して大変な事態に発展しています

昨日の会見では社長ITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています

また、会見内で「セキュリティ審査実施した」と明言がされました。

https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html

セキュリティ審査実施していたにも関わらず、何故今回の問題が見逃されたのか。

非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います

セキュリティ審査とは

その名の通り、サービスローンチ前に実施する、脆弱性問題がないか審査の事・・・だと解釈しました。

審査」というとISMS辺りを連想しちゃいますね。

一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます

以後脆弱性診断と記載していきます

実施した」とはいっても、どういった内容を実施たかはわかりません。

ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチ脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います

通常、脆弱性診断というと、以下のような項目があげられると思います

抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います

詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています

LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティスプラウトなど。

ただ、今回の脆弱性診断が外部ベンダ実施されたのか、内部で実施されたのかはわかりません。

以下、推測をつらつら書いていきます

外部ベンダ発注したが、コスト削減のために対象を削りまくった

脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります

Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます

また、数量計算ベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。

お願いすれば見積もり時にステージング環境で動いているWebサービスクロールして、各ページの評価を付けてくれるベンダもあります

規模と見積もり内容にもよりますが、100~200万といったところでしょうか。

スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。

プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います

これ以外にWebSocketを使っていたり、別のサービス連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります

Webサービス200万、スマホアプリ(iOSAndroid)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。

脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。

そしてこれをそのまま発注するかと言われると、多分しないでしょう。

セキュリティお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。

経営層は中々首を縦には振らないでしょう。

会見でも明らかになったことですが、社長ITリテラシはあまり高そうにありません。

こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。

また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。

いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。

削れるものをあげていってみましょう。

例えば、iOSスマホアプリ実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からアクセスは基本不可であるためです。確か。

そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセスインターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います

・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。

プラットフォームも、ベンダによります実施しなくとも良いとも思います

ベンダ説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います

Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います

サーバコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。

そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。

ワイドショーでは「不正海外IPからで、国外からアクセス許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります

実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います

Webサービスですが、ログインログアウト処理は必須でしょう。また、新規登録情報変更、退会処理も重要です。

パスワードリセットどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。

ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。

ただ、NRIにはNRIセキュアというセキュリティに特化した子会社存在しています

もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います

ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。

NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります

別のベンダ発注したことで、抜け落ちた可能性はゼロではないかもしれません。

また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料セブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断セブンに委ねられます

考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・

ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます

特定ベンダと、ツールを用いた定期診断を実施してもらう契約をしていた

この可能性もあるのかなと思います

使ったことはありませんが、SecurityBlanket 365というサービス自動での定期診断が可能なようです。

ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダ逐次依頼する脆弱性診断よりかは安く済むはずです。

ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。

ツールの手が届く範囲での、XSSPoC、ヘッダの有無など、ごく一般的脆弱性診断になると考えられます

でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。

セブン内部でツールを用いた診断を実施していた

脆弱性診断ツールOSSのものもあればベンダ販売していたり、SaaS提供しているものもあります

OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります

ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。

有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います

SASTになると、RIPS TECH、Contrast Securityなどでしょうか。

上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。

こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。

ただし、社内のエンジニアに任せる事になるため、片手間になってしま可能性があります

また、ツール使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います

・・・とは言ってもセブンにはCSIRT部隊ちゃんとあるんですよね。

https://www.nca.gr.jp/member/7icsirt.html

『7&i CSIRT は、7&i グループCSIRT として設置され、グループ企業に対してサービス提供しています。』と記載があります

また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています

グループ企業情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査分析リスク情報の共有、ならびにインシデント対応活動を行なっています。』

という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。

組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会情報管理委員会のどこかに所属しているんじゃないかと思われます

日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバー専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。

なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います

会見内で言われた二段階認証検討事項に上がらなかったのかなあ・・・と。

まあ、今でも機能しているのであれば、の話ではありますが。

で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。

https://www.7pay.co.jp/news/news_20190705_01.pdf

これを見ると内部のCSIRT機能していなかったか力不足判断されたかどちらかになるのかな・・・と。

実際はどうだかわかりませんけど・・・

診断を実施したがどこかで抜け落ちた

これも有り得る話かなあ・・・と。

関係者が多いと情報共有にも一苦労です。

開発やベンダCSIRT部隊情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧表現で伝わっていなかったとか・・・

ベンダ実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。

問題認識していたが上申しなかった/できなかった

7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応時間を取られることになります

そういった事を許さな空気が出来上がっていると、まあ中々上には上がってきづらいです。

これも十分にありえる話ですかね。ないといいんですけど。

セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった

どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。

そこで思ったのですが、情報セキュリティ基本方針個人情報保護方針を元にしたチェックリストのようなものセブン内にあって、それを埋めた・・・みたいなことを「セキュリティ審査」と言っていたりするのかなと思ってしまったんですね。

でもこれはセブンペイの社長個人情報保護管理責任者ということで、ISMSPMS等で慣れ親しんだ単語である審査』を使っただけかもしれません。

そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業・・・

そもそもやってない

大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・

というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。

そういえばomni7で以下のお知らせが上がっていましたね。

https://www.omni7.jp/general/static/info190705

『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。

もしくはわかりやす対策提示しろと言われたのかもしれません。それなら仕方ないんですけど。

パスワード定期変更を推奨する因習はいつ消えるんでしょうか。

以上。

以下追記 2019-09-08

一部typoとか指摘事項を修正しました(役不足力不足 etc)。

ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。

所詮「人のつくりしもの」だよ

監査なんて取り揃えた書類通りになっているかどうかなので、監査受けているかセキュリティ的に大丈夫ってことじゃないよ

そんなに監査が万能なら監査できるくらいの人が作り出せば完璧になるはずだろ

ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・

一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性問題がないか審査の事」、つまり脆弱性診断」を指していると仮定して本エントリを書いています

そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。

監査貴方記載する通り「ある事象対象に関し、遵守すべき法令社内規程などの規準に照らして、業務成果物がそれらに則っているかどうかの証拠収集し、その証拠に基づいて、監査対象有効性を利害関係者に合理的保証すること」です。

貴方の言う「監査」に近いことは「セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ このエントリーをはてなブックマークに追加ツイートシェア

2019-06-09

anond:20190608215207

分散させると何かと大変じゃない?ネットワークの設定とかマシン側の設定とか、自動化したとしても初期設定は絶対手間でしょ。

ライセンスとかベンダに払う保守費とかもかさむだろうし、スループットめっちゃ上げたい、可用性めっちゃ高めたい、とかの特別事情がなければ1台でいいと思う。

というか「コスパ」ってなんだよ。非機能要件、明確にした方がいいと思う。

2019-04-13

anond:20190405004215

元増田です。

しばらく見ないうちにプチバズってたのでちょっと驚きました。

はてブ言及コメントも拝見し、いろんな意見があって面白かったです。

否定的意見の中で代表的ものについて、いくつか反論(補足?)しておこうかな、と。

記事と違って完全に私個人主観の話なので、NTTに勤める人の一般的価値観ではないことはあらかじめ言っておきます

退職しない」ではなく「退職できない」の間違いでは

無能から転職できないんだろ」みたいなニュアンスですね。半分正解、半分不正解といったところでしょうか。

そもそも失職や転職ストレスを一生味わいたくないから今の会社を選んだので、転職してやっていくためのスキル経験を積む必要性を感じていません。

少々自分語りになりますが、私の父は私とは真逆仕事第一で家庭を顧みず、中小企業勤務で倒産転職を繰り返した人でした(いまも働いているけど)。

加えてギャンブル好きなのでたまの休みパチンコに行ってしまうため、家計は火の車で、家に借金取りが来るから知人の家に避難するなんてことも割と日常茶飯事。

そんな父を反面教師として育ったためか、物心ついた頃から仕事はほどほど、家庭と趣味に生きよう」と決めていました。

実際に就職したり家庭を持ってみて、この判断は正解だったと思っています

私は器用ではないので、妻との夫婦生活子供の世話や将来に向けた教育投資、加えて自分趣味も充実させようとすると、とてもじゃないけど仕事のことを仕事中以外に考える暇も余裕もありません。ましてや転職なんてもってのほか

私にとって仕事は完全に金を稼ぐ手段であって、それ以上でも以下でもないのです。

もし退職するとしたら、そこそこ軌道に乗ってきた副業(というか趣味たまたま金になっている)がさらに伸びて、その収入資産運用だけで死ぬまでやっていけるフィナンシャルプランが完成した場合ですね。

かなりリスクを避けたい性格なので、今の会社で定年まで勤めた場合生涯賃金の倍額くらいの収入が得られるプランじゃないと辞めないと思いますけど。

NTTが一生安泰だと思っているのは甘い

そうですかね。ここは学生時代からかなり吟味した結果なので、割と自信をもって「大丈夫」と言えます

一番安定している公務員は、副業禁止を始めとする縛りが強すぎて却下しました。収入世間イメージよりだいぶ低いですしね。

次に挙げたのがインフラ系で、最後まで迷ったのが鉄道会社、電力会社、そして通信会社でした。

いずれも産業革命レベルの発展が無い限り業界自体は安定です。加えて各企業大株主構成(というか国や自治体資本がどの程度あるか)、財務諸表などを加味して選びました。

最終的にNTT(所要5社)が就職候補に残り、その内2社にエントリーして内定をもらった結果、茸に行くことに決めました。ここが潰れるとき日本の終わりだと思ってます日本が終わったら自分も終わりでいいかな、と。

コーディングしない奴が開発職やエンジニアを名乗るな

出ました。コーディング至上主義です。特にSNSでは「コーディングできないSIer vs プログラマー」みたいな話がウケますね。

システムを世の中に出すのに必要仕事コーディングが全てではないですよ、としか言いようがありません。パン屋必要なのはパン生地をこねて焼く人だけでは無いですよね。

ちなみに私自身は学生時代コーディング経験がありますが、社会人になってから仕事コードを書くことはありません。

外部設計はもちろん内部設計レビューバグが出てログ解析する際の一次切り分けにソースコードを見たりするので、一応関わっている開発プロジェクト言語知識はあります

数年前に開発部に異動してきてから業務時間中に学んだものであって、業務時間外にわざわざ勉強したりはしていません。

私は自分のことをエンジニアだとは思っていませんし、一生開発業務をやるわけではなく「今は開発職」というだけです。

そもそも弊社は3~5年周期で社内異動を繰り返す(いわゆるジェネラリスト育成)ため、深く狭い知識より広く浅い知識を身に着けるスタイルになります

PowerPointシステムグランドデザインを書ければ、あとはBP仕様書に落とし、ベンダが作ってシステムが出来上がる

・tableauで分析データを出せれば、あとはコンサル改善案を出してくれる

Prottプロトタイプを作れれば、あとはデザイナーデザイン仕様に落とし込み、ベンダが作ってWebサイトが出来上がる

ちょっと大げさに言えば、部署は違えど弊社のプロパー仕事はだいたいそんな感じです。だから自分で手を動かすことにやりがいを感じる人には向きませんよ、と言ったのです。

給料は悪くなくてもつまらない仕事をするのは嫌だ

私が一番驚いたのは、想像以上に仕事やりがい人生における重きを置いている人が多いことです。

弊社にいると、管理職含めて「仕事あくま仕事、家庭や趣味が最優先」な人が大半なので、かなりカルチャーショックでした。

私はとにかくコスパ重視の人間なのですが、今の収入と労力のバランスは最高だと思っています

もちろんもっと勉強して資格を取ったりガンガン外部で活動して人脈を作って高給の企業転職すれば、収入は多くなりますが、私にとってそれはコスパが悪いのです。

今以上に安定している企業は無いであろうという理由もありますが、加えて私生活時間犠牲にすることへの抵抗が大きい。

「年間300時間残業してワークライフバランスとか社畜かよ」というコメントもあったので、ちょっと気になって昨年度の労働時間を調べてみたところ、残業込みでざっと1900時間

まぁ上を見ればきりが無いですが、そんなに長くは無いかなと思います。今の生活基盤を維持するには、それくらいは仕事に費やさないと罰が当たるんじゃないかと。

あと、こればかりは個人差が大きいと思いますが、私はもともといっぱいいっぱいの状態で何かをし続けるのがとても苦手なので、ゆるゆるの環境が好きなのです。

からスキルの高い人たちが集まり切磋琢磨しあって互いを高め合う、ちょっと勉強サボるとおいていかれてしまう、そんな環境はたとえ高給でもお断りです。

弊社はだいたいどの部署でも勤務中の脳ミソの平均CPU使用率20%くらいで仕事が回るので、理想的です。

私は人生もっとも頑張る期間を高校生の3年間と決め、予定通りそれを終えました。

現役で国立大合格し、自分学費を稼いで大学院まで進み、失職や転職ストレスに悩まされないホワイト企業に進む。これで人生の基盤が完成した、と喜んだものです。

今はその基盤の上で、自分趣味や家庭生活育児教育とやることが盛りだくさんなので、基盤の変更やアップデートにかけるコスト時間)は持ち合わせていません。

なお、一応仕事も世の中にそれなりにインパクトを与えるものサービス提供し、フィードバックを得られるので、仕事自体やりがいも皆無というわけではありません。

仕事でかかわる社内外の人も良い人が多くて、その点もとても満足しています

最後

今より給料が多く、今より労働時間が短く、それでいて一生潰れない会社に、ローコスト転職できるチャンスが来ない限り、転職することはないでしょう。

そしてそんなことはあり得ないとわかりきっているので、私はNTT退職しません。

2019-03-21

anond:20190321104659

現場担当者自分判断マクロ作ったりするのはアリだと思うんだけど

それをズルだという謎の風潮が一部であるのをネットで見るたびに笑いが止まらない。

ぜひ我々ベンダにお任せいただきたい。

お仕事を簡略化するためのマクロいくらでも書かせていただきますよ。

もちろんスペシャリストによる本格実装なので安心安全です。

ぜひこの機会にRPA導入をお手伝いさせていただければと存じます

目安としては自動化したい担当者様の業務内容1件あたり10営業日前後でご提供できればと考えております

スムーズ作業を進めるために各担当者様には自動化したい内容をあらかじめまとめて頂き、そして弊社エンジニアの前でその業務を実演、撮影をいたしまして、それをもとにRPA導入について検討してご提案させていただきます

また毎日ステークホルダー全員を同席の上で進捗報告、方針確認等させていただければと存じます

システム仕様変更によってRPA動作しなくなった場合、そちらはアフターサービス契約による対応とさせていただきアフターサービス基本料とは別に別途工賃を頂戴いたします。

仕様の変更次第によっては対応できない場合もございますのでご了承願います

なお、弊社への丸投げは必ずメテオフォールになって失敗するので絶対に許さない所存ですので最後まで毎日お付き合いいただきます

くらいの意気込みでセールスしたい。

1件あたり200~300万円くらいとれないならやる意味がない。

2019-01-29

総務省無差別侵入調査がマズい点

いつ、どこへ、どんな調査をするのかという透明性がない
セキュリティベンダに依頼する場合であれば「どんな調査を」「いつ」「どこに対して」行ったのかを明確にさせることができてログとの対照もできるが、総務省のこれは調査段階では相手に通知なく行うのであるからこれができない。情報公開請求へのハードルの高さを考慮すると「公開させることができない」と見るべきである。この種の公開を積極的にさせるには政治介入有効であるわけだが、とりわけ今の内閣特有事情として情報公開政権が極めて消極的であることはこの問題性に拍車をかける
損害を回復するのが難しい
上記の点にもよるのだが、問題が発生したとき損害賠償請求については、セキュリティベンダ民間企業への損害賠償請求に比して国賠訴訟を戦わねばならないのでハードルがずっと上がる。

まあ要は不透明なのが一番不味くて誰が総理大臣でもこれやられたらたまらんのだけど、とりわけ今の内閣政府運営の透明性向上にまるきり興味がないので余計にたまらんという話

2019-01-09

37歳童貞ですが毎日が早すぎます

まさに光陰矢のごとし

昔の人は良い事を言います

来週火曜にリリース機能がありますが一つも試験をしてません

ワオ

明日中に全て検証してベンダに連絡しつつ管理簿をややこしい更新をしないとなりません

2019-01-02

変更に強いアーキテクチャみたいな話は、大抵の場合単一アプリケーション対象議論されている

それはそれで有意義なんだが、社内には数百から数千のアプリケーションが絡み合ってて、これらを別々のベンダ情シス担当ユーザ部門担当が開発や運用してるから何か変更しようとすると影響調査から修正テストやらで工数が爆発して身動きが取れないってことに悩んでる企業は多い

アプリケーションが1つだけ変更に強くてもどーにもならんの。全部書き換えるのに100年ぐらいかかっちゃう

2018-12-14

メールでやたらと恐縮を使うベンダさんが送ってきた仕様書にも恐縮恐縮と書きまくっていた

短的に!書くの!仕様書は!

恐縮いらないの!

機能だけ!サラッと!書くの!

2018-11-29

anond:20181129000623

民度の高い部署にいられるようで運がいい。

部署によってカラーが異なるのは5年もいれば分かるとは思うが、場所や時期によっては毎日会議室からベンダを詰める怒号が聞こえていたこともあるよ。研究所でもね。今どきはめったにないとは思うけど、ないわけでもないだろう。

大きい会社なので、外部の人も内部の人でさえもどこに触れるかによって印象はだいぶ異なるんだろうな、とは思う。

2018-11-05

Cisco Systemsの終わり

Cisco Systemsを知っているだろうか。スイッチとかアクセスポイントとかのネットワーク製品を手がける米国大企業だ。

実は日本でも企業向けのシェア50%近く、10年前から「もうCisco時代は終わる」と言われ続けていたがしぶとく残っている。

だが、そんなCiscoも今度こそ終わりを迎えそうだ。

発端となったのは一年前、Cisco製品ソフトウェアライセンスの新たな管理形態を発表した。

簡単に言うと、Cisco機械で動かすソフトウェアライセンスインターネット認証するというものだ。ちょうどWindows XPライセンス認証のように。

何が問題になるかというと、ネットワーク世界インターネットは極めて親和性が低いのだ。あまり想像がつかないと思うが、例えばスイッチルーターファイアウォールといった機械は、インターネット接続されていないことがままある。

例えば、データベースサーバー接続するスイッチセキュリティのためインターネットと直接接続しないというようなことは、割とどこでもやっている。なので、この馬鹿げたアイディアはすぐに撤回されるだろうといった予想が我々業界人感覚だった。

最近Ciscoは最も普及しているスイッチで、新しいライセンス形態のみをサポートするソフトウェアを発表した。

どんな影響が出るだろうか。まず、金融機関などのミッションクリティカル系がCiscoを使うのをやめる。金融は止めたときの影響が大きすぎて、わざわざインターネット接続してライセンス認証するより他の機械を入れたほうがリスクが少ないと判断される。

これを見て、多くのデータセンターCiscoを使うのをやめるだろう。なぜなら他のベンダ機械ミッションクリティカル系が使えるのであれば、わざわざCiscoを使う必要もないから。また、みんな高いCiscoを使うのを、本当はやめたがっている。

例えばCisco Systems製品が主にIAサーバーで動くとかなら、インターネット認証もやむ得ないだろう。でも、この会社はもともとハード屋だ。なぜ買ったものを動かすのに、インターネット認証必要なんだか理解に苦しむ。

資格のために百万単位で使った企業が失速するのは悲しいが、一度痛い目を見て目を冷ましてほしい。

2018-09-13

仕事では完璧にしようとか考えず動く程度に適当に作ればいい

面倒な上司がいろいろ文句をつけてくる

意味不明ものが多いし何かとケチつけないと気がすまない性格から面倒なことを一々と

直接のユーザから意見なら多少は変でもそのユーザ必要としてるなら納得できるし、イライラすることもない

依頼があったわけでもないのに謎の基準文句をつけてくる

社内でそんなことこだわったところで実際には気にされないことが多いのにだ

まだデザイナーデザインについてこうした方がUXいいねみたいなことをいうならわかる

専門の人の意見だし

そうでもないのに何かと文句をつけてくる

増田なのでwebで例をだそう

CSS すらまともに使いこなせずマージンもパディングもないような酷い作りのものしか作らないのにソッチのほうが良いという

色は red, green, yellow と標準のペイントのデフォルトカラーかよというような色を指定してくる

#fcfcfc や #0a0a0a なんて使おうものなら白と黒しろ

max-width を指定せずに画面の端から端まであるようなものがいいという

そのわりにグラデーション無意味につけたがる

一部例じゃなく本音が出たがまぁいいか

今の時代アプリサービスを全く見てないのか?としか言えないようなセンス

自社サービスなんて手を出したらこれは酷いと話題になりそうなもの

見た目にあまりこだわれない社内用サービスしか作ってないからと言って、その他サービスをみてる人からすれば明らかに

残念なしか時代遅れなものが良いと思ってる

しかデザインに限ったことではないがまだ序盤の時点で言っておけばいいものの完成後にいまから変えるなんて難しいのが

わかりきってるようなときになってからああしろこうしろ言い出す

先に書いたようにユーザ要望ならまだ仕方ないと言えるがなぜこんな無意味なことに付き合わなければならないのか


わりと自分完璧主義なところもあるので作るならちゃんと作ろうとしてるんだが

こういうのを相手にしないといけないせいで結局グチャグチャになってくる

色のバランスレイアウトを考えたところで一瞬でそのバランス無意味になるようなことになる

プログラムだって全然関係ないものを無理やり入れ込まないといけないようなことになることも多い

疎結合だとかグローバルをつかわないとかそういう作りやすくするためのことをしていても

それが維持できないような無茶で無意味な指示が出る

根本的に変えたり対処するためのものを作るとかすればなんとかできなくはない

しかしそんな時間はないので結局ひどい作りになるしかない

過去プロジェクトでもそういうのが多いか自分で作るのくらいは扱いやすくしたいと考えていたのだが

過去のもこういう経緯で酷いものになっていったのかなと思う


過去に言われたものだと速度を優先だとか言って自分で作ったものよりは遅くするなと言う

そしてそのコードは本人でしか読めないような酷いものだった

しかしながら関数は使わずコピペだわforeachなどは使わずループ変数を使って地道にやるなどメンテナンス

できる気がしないが速度においては早いと言えるもの

当たり前のようにグローバル変数がいっぱいあるしライブラリ使用箇所はカスタマイズするための仕組みがあるのに

ライブラリ自体をどんどん書き換えていく

便利で読みやすいような書き方だと速度的にはそれに劣る

だがわざわざそんな扱いづらいし見づらいコードは書きたくない

そんなに速度にこだわるなら勝手に一人で機械語でも書いてろよって思う

しかし速度に加えてメンテやすしろという

どちらか取捨選択すべきものなのに両方みたせとか無理なことを言う

ちなみに便利なライブラリは基本無駄が多い遅いものからライブラリ頼みのベンダはクソだとか

能力がないだとか言っていた


そういえば昔先輩社員仕事したときには変に凝ったものとか必要以上に作り込んだりはしないほうがいいとか

言っていてそれなりに手抜きでさらっと一応は動くようなものを作っていた

私はそういうやり方が嫌いだったのだが今ではこういう環境に長くいた結果仕事のものにこだわって作り込んでも無駄

ということがわかってそうなったのかなと感じた

自分でもサビ残休日無償出勤してまでいいものにしようと努力はしていたが謎の指摘に合わせていると

愛着もなくなってきたし後は適当に済ませてしまおうかなという気持ち

ちゃんとした自分なりの完璧ものを作ろうとするなら仕事ではなく趣味で作ってるツールライブラリ

やればいいかと思う


作ったもの次第でユーザが集まる自社のウェブサービスパッケージ商品ゲームなどは作り込む方が

良いと思うが先に値段が決まって受注して作るようなものだと最低限の要望さえ満たしていればあとは

どうでもいい

しろ不便な方が改修依頼が来て稼げる

さらには綺麗で完璧な作りで大抵の想定できる改修は1日とかからないようなものに仕上げるよりも

どこ変えればいいかや影響範囲すらわからいくらいモノのほうが実作業時間が多いのでそれだけ請求できる

先に作り込むメリットがない


ストレスが溜まってきたので発散がてら書いてみたけど疲れてるのかわりと分かりづらい文章になった

けどまぁいいか

そろそろ転職でもしたいなーと考え始めた










2018-09-12

セキュリティクラスタに対する愚痴1

連中が非常に気難しい、偉そうな特権階級ぶっている部分が昔から嫌いだった。

なおかつ身内びいきや馴れ合いが酷いので、閉鎖したコミュニティ形成しており

新規参入者などは、今いる身内を経由しての紹介でしか生き残っていけない。

勉強会や集まりに参加して仲良くなろうとしても、連中の中では既にコミュニティが出来上がっているから仲良くなる隙も無いのである

最近は嫌気が差してきて、交流すら絶ってしまった。

彼らは自分の気に入らないことがあるとすぐSNS晒し上げて犯罪者のごとくボロクソにけなすという行為が多々見られる。

例、専門家を語る人がズレた発言をすると吊るし上げる。ベンダミス政府の甘い対応を目にすると蛇蝎のごとく叩きまくる

最近では「ホワイトハッカー」という呼び方にすらけちをつけ始め、『俺たちはそんなクソダサな名前で呼ばれたくないからやめろ』みたいなことを言い始めた。

いいご身分だなと思う反面、そんなくだらないことで熱くなれる人たちが同業者なのだと思うと悲しくてならない

いくら技術力が高かろうが、こういう連中とは仕事をしたくないなという愚痴

2018-09-03

エンジニアの俺のパソコンが低スペック

パソコンが低スペックなのである

ITベンダの俺の職場パソコンがとにかく低スペックなのである予算がないだのなんだのいいながらちっとも買ってくれないのである2018年も半分以上過ぎているのに、メモリは4GBしか乗ってないし、画面も狭いノートパソコンが、ただあるだけである

会社働き方改革を推進している。定時で帰らなければならない。作業効率化して、生産性を上げて。もちろん、会議を削ったり、タスクの優先度をつけたりして生産量を上げる努力はしている。でも開発効率はなんともならない。だってパソコンが重いんだもの。でもパソコンは買ってくれない。

とかくフリーズするのであるrails s でデーモンを立ち上げてChromeでみたいし、インスペクタDOMも解析したいんだけど、そうするとフリーズするのである。もちろんRuby Mineなんてない。買ってもらえないし、あっても動かないかである

技術も使ってみたいのである。できればdockerなんかも使ってみたい。CI組んでみたい。でもパソコンが耐えないのである

同時にスマホアプリ開発死ぬであるAndroid Studioを立ち上げると、パソコンが。とまるのである

動かない場合はどうするか。

ひたすら「待つ」のである

ブラウザがとまると、要するにスワッピングしてるんだけど、そうすると数分待たされる。もちろんSSDなどでなくHDDだ。スワッピングならまだいい。パソコンフリーズしていたら、さらに待たされる。そもそも画面に反応がないので、スワッピングしてるんだかフリーズしてるんだかわからない。とりあえず再起動するしか方法がない。

なぜパソコン、ひいてはエンジニア環境投資しないのだろうか。環境が整えば、1日に1時間効率化できる。ざっと30万の投資としても、2ヶ月程度で損益分岐点に達する。精神面でいってもエンジニア安心・満足するし、そうすると意欲的な開発ができる。使える技術の幅が広がることは管理職にとってもメリットがあるはずだ。こんなに簡単判断をなぜ会社はしないんだろう。

我々はどうも苦労がどこかで報われると思っているようだ。これだけ苦労しているのだから、いずれなにかよいことがある。今苦労しておけば、明るい未来が待っている。贅沢しないのだ、敵だから。欲しがってはいけない、勝つまでは。

富豪的環境でなく貧者な環境で開発していると、最新環境でなくレガシー環境で開発していると、IDEでなくEmacsで開発していると、そのうちその努力は報われると思ってしまうのである

しかし、竹槍で爆撃機はおとせない。

競合は常にいろんな最新兵器を使っている。鎖国している俺の職場からは何も聞こえない。聞こえないフリをしている。攻め入られても竹槍でやりかえせばいいのだ。だから、今のこの環境で頑張る意味はあると。

そういうことに意味見出ししまっているのである

2018-07-13

anond:20180713003737

まぁ、綺麗事効率化より食い扶持どう稼ぐかの方が問題だよな。

ホントに人売りはクソだと実感するわ。

複数ベンダが入り乱れてる職場だとそれぞれのチーム同士で縄張り争いやってんだよな。

居ないヤツの文句で談笑してよ。辟易する。

食い扶持稼ぐためにPC使って真心こめた手作業やってんの見てると心底馬鹿らしいと思うわ。

2018-03-31

人でなし、ロクデナシ

IT派遣奴隷売買に例えるよね。

死んだ魚の目をしたITソルジャー達を派遣企業に押し込むアレ。

私は押し込む側ではなくて、発注元。派遣さんや業務委託さんの事を、戦力やリソースといえば

まだ聞こえが良いが、実態としては使い捨て要員のように思ってしまうことがある。

派遣会社やベンダに「いついつから○人必要から準備して」と言う。

カネ出せば補充がきく存在だ、と。

年度末に契約期限切れをむかえた人達が私のもとに挨拶にきてくれたんだけど、なんだか

申し訳ない気持ちに陥ってしまった。

私は、いったい何様なのか。

2018-02-21

炎上中の桂 春蝶公式サイトの(マイニング)マルウェア埋め込み疑惑の不

桂春蝶公式サイト

ttp://shunchou.jp/

アクセスすると、Avast遮断する。

警告は JS:Includer-BJQ [Trj] で、JavaScriptによるトロイリンク埋め込みの判定だ。

ウイルスバスターなど、トレンドマイクロ社の製品でも遮断されるという報告がある。

警告はJS/CoinMiner.AEで、トロイのうち、仮想通貨マイニングスクリプトの判定だ。

イケダハヤトも埋め込んで炎上したやつである

しかし、念のためにオンラインURLスキャナーに掛けてみると、

https://virusdesk.kaspersky.com

https://rescan.pro

https://quttera.com

共にSafe/clearの判定なのである

rescan.proではHTTPエラー403以外SAFEとの事だが、そもそも403食らって何故スキャン出来るのか?

ともかく、これが誤判定なのかどうかは不明のままだ。

炎上しているので嫌がらせ登録された可能性もあるが、ユーザーのpostだけでブラックリスト入れるほどユルイセキュリティベンダもない筈だ。

2018-01-31

冗長構成に夢を見すぎな人が多すぎる

ニュース解説 - 日本郵便ハード保守契約を全面見直しITベンダーの反発は必至:ITpro

冗長構成ってのは、方系が故障したときにもう一方が動作しているか問題ないという仕組み。つまり、もう一方が稼動している最中に元の方を直せなかったら業務が止まる。この業務停止時間の影響を抑えるために冗長構成は組まれる。欧米業務が止まっても顧客は許すし職員は諦めて酒飲み始めるのが許容される文化日本サービス10秒切れたらクレームがくる世界なんだぞ?その世界で堂々と「壊れたのだから仕方ない」といえるような会社仕事けが冗長構成いらんといえる。

クラウド使えばいいとか、仮想化すれば大丈夫とか、果てにはVMWareを使うからとか言う人まで出てくる始末。不思議コメント抽出

id:z1h4784 日本郵政 の社内インフラはvSphereのHA構成になってたりするの?であれば確かに可能かもしれない。ただそんな話は全然聞かないんだよなあ…。

vSphereのHAが何だか知ってる?VMWareがHA構成かどうかとその下のハードウェア構成がどう組まれいるかはぜんぜん別の話だぞ?

id:s025236 "ハード故障した際に1週間放置してみた。「それでも業務に全く支障が出なかった」"←これ不要ハードな気がしてならないのだけどハード見直しが先では

ハードが何を意味しているか想像できてる?RAID組んでるうちの1本が壊れたのを放置してたけど偶然もう別のディスクは壊れなくて問題なかったとかいレベルなんだけど理解できるだろうか?

id:sakidatsumono いっそクラウド化すれば

クラウドを使えば障害対応から逃れられるとか夢見ちゃってませんか?インフラってそんな単純な世界じゃないですよ?

id:htbman 冗長化した上で台数分の保守契約ベンダにとってうまい話だっただろうなぁ

冗長構成を組むことで余計にかかるコストがあり、対障害性を上げるために難易度が上がるのだけどお分かりになるだろうか?

2017-12-13

IT企業つらいこと一覧


転職かぁ

2017-12-06

anond:20171206215049

開発は不確定要素が多い

スムーズに行けばこれだけの工数で済むが最悪ここまでかかる、という幅が、既製品の導入よりずっと広くなる

開発者見積もりは、未知の落とし穴にハマる最悪パターン考慮した見積もりだけど、それを「シビア確認」とかいって最善パターンに合わせるのを強制すれば、間に合わない可能性が当然高くなる

それを「開発の責任だ」といって押し付けてたら、誰もそんなところでは働かない

リスク管理勉強しろ

「熊とワルツを」を読め

リスクをとる気がないなら今までどおりにベンダサポート範囲既製品の導入に専念するしかない

2017-10-20

いきなり元号4文字かになったらおもしろ

あらゆる書類レイアウト崩れのテストしなきゃならなくなって、ベンダも「無料ではできない!」ってなって、むしろシステムから廃止の方向になるだろう

2017-10-14

http://gendai.ismedia.jp/articles/-/52889

スルガ銀行システム開発にかける覚悟が表れたのが、日本IBMとの訴訟です。同行は基幹システムの開発を日本IBMに依頼しますが、契約通りに開発できなかったとして'08年に損害賠償を求めて提訴しました。

これまで日本企業の多くはシステム会社に対して要求された額を唯々諾々と支払ってきましたが、スルガ銀行はその悪習にも風穴を開けたんです。

判決は、日本IBMスルガ銀行に約42億円を支払えというものでした。これで他のシステム会社も、スルガ銀行には開発費をふっかけられないと思い知ったことでしょう。その結果、システム開発費は他行より安くなっているはずです」(前出・加谷氏)

スルガ銀行には開発費をふっかけられないと思い知ったことでしょう。その結果、システム開発費は他行より安くなっているはずです」(前出・加谷氏)

いや、むしろ高くなってるだろ。この案件パッケージ使って安価に作りましょうってスタートしたが、そのパッケージではスルガの要望に全部は沿えないってのが判ってきて、仕切り直しが泥沼化して契約解除なのだから、次のベンダーは(見えていない)リスク分を多めに積むようになるでしょ。ふっかけたのがばれたんで、金返せとかじゃ全くないし。(泥沼の中で色々やらかして不信感持たれたとかもあるようだけど)

今回の京都市の例もそうだけど、システム開発には地雷多すぎで当初見積もり金額で一括受託は無理ありすぎるよなぁと。その辺りのリスクユーザベンダが納得する形でうまく扱える契約形態一般的にならないものかと妄想中。米国はいろんな契約形態があるっぽいが良くは見てない。ベンダースキルが~とかユーザーシステムに関する知識が~とかもあるがその辺は置いておく。小さなプロジェクトだとSESアジャイル系ってのが一番良いのだろうけど。なんか良いのないですかね~、正直大手SIer新規ではぶっこきまくってるから欲しいはずなんだけどなぁ。まぁ、下請けに被せてるから良いっすと思ってるかもだが。

2017-10-12

京都市が今回失敗したような、自治体システム更新について

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/101101158/

Q1.役所仕事なんて全国でほぼ一緒なのに、なんで自治体ごとに別のシステムを作るの?

A1.地方自治体事務財務について法律で決まっているのは大枠だけだよ。

  それを実務≒内部規定に落とし込むのは各役所ごとなので大枠は似てても実務プロセス全然役所で違うよ。例えば同じ業務でも独自の語彙があったり、下手すると同じ語で市町村ごとに意味が違ったりするよ。


Q2.なんで新規で作らないの?

A2.80年代ぐらいにやったよ。その結果が政令市クラスに残ってて今回京都市更新しようとしてるような、メインフレーム上のシステムだよ。


Q3.メインフレーム汎用機)って何?

A3.みんなが使ってるWindowsとかLinuxとかのOSがなかった時代コンピュータだよ。IBMとかがベンダーごとに作っていてOSベンダー謹製だよ。性能はいいけどメチャ高いよ。

システム内でクローズして専用線以外では他とつながってなかったから、汎用機からPCサーバへの移行を「オープン化」と言うよ。

オープンソースソフトウェアとは全然関係ないよ。


Q3.使いまわしってどうやってやるの?

A3.80年代かに作ったシステムで動いてるCOBOLとかPL/IとかをLinuxとかUnixとかWindows上で動く言語コンバートしてリコンパイルするよ。

DBデータ階層データモデルからリレーショナルDB用にコンバートして移行するよ。こういう開発形態を「マイグレーション」と呼ぶよ。

あと、バッチジョブ制御もJCLという汎用機用の言語で動いているよ。これもそのままでは動かないのでコンバートするよ。

コンバート先はperlだったり、シェルスクリプトだったり、ベンダごとの独自スクリプトだったりするよ。

COBOLとかの実行プログラム移行も大変だけど、帳票の大量印刷はたいていバッチジョブでこなしてるので、JCLの移行もめちゃ厄介で大抵もめるよ。

今回もめたのもバッチらしいね


Q4.80年代のものを使いまわすとか。新規で作ればいいじゃん

A4.お金無限にあればできるよ。今の時代お金があった時代システムフルスクラッチ再開発するととんでもない予算になって市役所内の決裁が通らないよ。

しか汎用機時代の納品は割といいかげんだったのか、仕様書が残ってなかったりするから費用さらにかさむよ。


Q5.そんなんでよく運用できてたな

A5.当時はSE汎用機付属品みたいについてって、困ったらオペレーターとして介入して動かしていたみたいだよ。

そうやって現場感覚バリバリでやっているので、オペレーターしか知らないプロセスがあったりするよ。

マイグレーション開発では総合テスト中にそういう隠しプロセスが「発見」されたりするよ。こわいね


Q6.役所が現行システム資料を出すべきだろうが!

A6.もっともだけど、できないから無理だよ。

上記の通り仕様書がないことも多いうえ、システム課に限らず市役所人員は基本ローテーションするよ。

導入当初の担当者が残っていることは珍しいし、30年も前に導入した汎用機ことなんてここ10年に入った職員にはわからないよ。



Q7.なんで入札にしたの? 現行ベンダ指名してやらせたほうが良くない?

A7.金額がでかいから、たぶんどこの市役所でも入札案件だよ。

随意契約(随契)は無理だし、入札業者発注者指定する指名競争入札談合の温床になってたか最近あんまりやらないよ。


裏技としてRFP指名したいベンダーに書かせて公募指名入札にしたり、RFPの段階でハードを全部特定ベンダで型番まで指定するというのがあるけど、公になると多分問題になるよ。こわいね



Q8.じゃあ役所は悪くないの?

Q8.悪いよ。

入札案件RFPで書かれた各項目をどれだけ満たすかの技術点と、価格点で決まるよ。点が高ければだいたい自動的にそのベンダーに決まるよ。

なので、技術点の項目に現行システム調査にかかる項目を入れるとかして、現行機の開発・保守ベンダ高得点を取れるようにしておけば価格勝負してくるベンダーをはじけた可能性はあるよ。

もちろん現行の会社に嫌われて逃げられたとか、役所が現行の会社めっちゃ嫌いになって声をかけなかったとかもあるかもしれないけれど、可能性は低いと思うよ。



Q9.じゃあベンダーは悪くないのか?

A9.ここまで述べたようにこの手のマイグレーション火薬庫だよ。火を噴いても爆発しなければラッキーぐらいなので、強いて言うなら入札したことが悪いよ。

安すぎる見積もりを出したSEだか営業だかは死んでね。



Q10.お前(増田)は何者?

A10.前にマイグレーションをやったことがあるSEだよ。もうやりたくないよ。今は転職してSIerじゃなくなったからやらなくてよくなったよ。うれしいね

  しょぼいSEからここに書いたことは個人体験に基づく参照情報だよ。一般的じゃないことを言ってたり、間違ってたら教えてもらえると助かるよ。





(2017.10.13 追記)

Q3がかぶっていたよ。恥ずかしくてなきそうだけどブコメに番号で言及してくれている人がいるから忍んでそのままにするよ。


あと、「オープン化」の定義が違くない?という指摘があったよ。確かに増田が間違っていたので、記事の主旨から外れるけど補記するよ。

メインフレームは本文で述べたようにOSからハードまでメーカー謹製なので独自仕様のカタマリだよ。

これに対しPCサーバ標準規格で作られているよ。こういう標準規格に基づくサーバオープン系と呼ぶよ。

独自規格クローズしたコンピュータから、そうでないオープン系に移行するからオープン化なのであって、専用線とかは関係なかったよ。半可通な知識で語ってしまったよ、ごめんね。

京都市で火中にいるシステムズさんのサイト解説がこの増田よりも分かりやすくて正確だから気になる人は見てほしいよ

http://www.migration.jp/column/column01.html

完全に余談だけどオープン系のx86サーバに移行しても、システムはそんなにオープンにならなかったりするよ。

H系に頼むとDBが拝承DBになったり、Fに頼むとシステム管理が全部SystemWalkerになったり、要するにベンダ独自のミドルに入ってがっつりロックインされたりするよ。

オープン化(オープンではない)みたいなことになって面白いよ(面白くない)

2017-09-29

ベンダーって何?

ベンダアアアアアアアアアアアアアアアイヤァアアアアアアアアアアアアアアアアウィルオオオオオルウェイズラアアブユウウウウウウウウアアアアアアアアアアアアア

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん