はてなキーワード: レスポンスとは
無駄死にではないってことと次はもっといい方法考えましょうねっていうのは両立するし
また特攻を検討する機会なんて日本にもう訪れない(巨大な宇宙船が空を覆うならわからない)と思うので、
そのサイモンシンて人の言ってることもなんか胡散臭いんだよなあ。
未来の為にといいつつ「日本の戦没者を馬鹿にすること」が結局目的になってない?
本当にフラットな目で見れば戦死者は全員「無駄死に」と言えばいえる。
というか仏教徒である私の目から見れば死者は全員「無駄死に」だ。
そういう真理の立場から「特攻隊員も無駄死にです」と言ってるならこれは誰にも反論できない真実だけど、
サイモンシンさんや彼の発言に嬉しそうな顔をしている左派達はそういう立場で言ってるのではないよね。
戦災で死んだ多くの人にも無駄死にだと言わない。
一見思慮ぶかそうに装ったり平和主義を装ったりしている憎悪を警戒する。
彼等はより窘められる機会が少ないから。
そこそこブクマをいただいた。これだ。
https://anond.hatelabo.jp/20180823115109
そこで最初に取り上げてるのが篠房六郎先生のおやすみシェヘラザードだ。漫画の出来については決して誉めてはいない。篠房先生個人については期待している。そんな感じが伝わるレビューだと思う。
要するに私は今回急に軽薄に篠房先生を持ち上げているサヨク達よりはよほど昔から篠房先生を知り、その作品と作家そのものとに視線を向け続けているということだ。
先生がムサビ在学中で同級生ネタの漫画描いてた頃から知っている。先生が近年漫画やアニメについて先走り気味なレビューをするたび先生よりずっと物知らずなオタクたちがめちゃくちゃ叩くのを苦々しく見てきた。
それはそれとして先生の漫画家としてのキャリアや能力の停滞具合にはもどかしい気持ちをずっと持ってきた。四季賞をとった作品はよかったのに、そこから全然伸びない。
わたしはこれを乱暴に一口にすれば「パンツ脱げないから」だと思っている。同じアフタヌーンの歳の近い作家で、木尾士目は四年生五年生のあとげんしけんを描いた。ひぐちアサはヤサシイワタシのあとおおきく振りかぶって!を描いた。
二人とも、あえて慎重さを欠く言い方をするけれども、「成長した」のだ。自意識の中をひたすらぐるぐるするところから外に出た。
四年生もヤサシイワタシも若い人にしか描けないその頃の傑作ではあるが、その後に描いている漫画のほうが他人がいる。他人のことを無視しなくなっている。弱々しい臆病さがなくなり、他人にはだかを見せられる大人になっている。
篠房先生はいつまでたってもこれができない。二十歳そこそこの頃に空談師という閉じきってるのに社会をわかった気になっている漫画を描けたのはよかったのに、40代になってもそこからの成長がない。
描く漫画はますますバカらしいほど読みにくくなり、出てくるキャラのしゃべり方や呼吸は全部当人の脳内だけを材料にした貧しいもので、友達のいない人が自分の中で煮詰めすぎてしまりのない味になったものをデロデロと皿に垂らすような作品になっている。
たぶんこの人は幅広い友人を持たなかったのだと思う。友人が居なくても客観的で余裕のある妄想を出来る人もいるが、篠房先生はそのタイプではなかった。描く絵も描くネームもすべてが自家中毒。こつこつ頑張る性格が悪い方へいっている。
いつもお絵描き講座のような自分のためのメソッド開発に勤しんでいるが、この人ほど「努力」をしてなくてもこの人よりいい絵を描く漫画家はごまんといる。
最近も新しいメソッドを開発したとはしゃいでいたが、独特の癖のある首のつきかたなどは全くなおっていない。彼のキャラはみんな首に変な緊張感があり、肘のはりかたや手首の角度まで全て強烈なくせがある。
絵を進歩させたかったらメソッド開発という自家中毒鍋を煮詰めつづけるより他の漫画家の絵をたくさん模写してみればいいのに、ずっと自分の絵を見て絵を描いている。
お分かりのように私は異常者だ。それほど売れてない漫画家にこんな風に余計なお世話の勝手な検討をし続けている人間だ。
他にもこんちき先生についてもかつて余計なお世話のエントリを書いた。https://anond.hatelabo.jp/20180327221003
おりたたぶの新連載はとても嬉しい!テレたこなし感がない全力を一般で見せてくれていて感無量だ。みんなも読んでほしい。よい漫画だ。
それで本題に戻るけれども、私はずっと篠房先生がパンツを脱いで、他人を受け入れて、時代遅れな「うまくやれないオタク」自意識の言い訳の世界から飛び出して、面白い漫画を描いてくれる日が来るのを待っていた。
元々若くして四季賞を取るほどの麒麟児だったのだから、問題は素質ではないと思っていた。
くっだらない。
こんな下らない、おまけにへったくそな絵で賞賛されて。おまけにきちんと仕上げてすらいない。(それすらわからない目の人は少し拡大してみればよろしい)
自分の本業でくすぶってる人間ほどTwitter政治にのめり込む現象の理由も理解できた。
コツコツ頑張ってきた本業よりはるかに激しいレスポンスという飴がもらえるんだもん。自制心が強くない人間は政治戦士になってしまうだろう。
どんなにつまんない人間のままでも、成長なんかなにもしなくても、くっだらない絵でも、その絵すらきちんと描いてなくても、アスカの首がどうかなっちゃってても、誉めてもらえる。
コツコツ仕事で頑張る時の百分の一以下の労力で。出来なんかどうでも同じ党派の人から全肯定されて、人格まで誉めてもらえる。これはすごい飴だ。
百歩譲ってなんの才能もない見込みもない作家は政治戦士になろうが白ハゲ漫画家になろうが当人の勝手だとしても、篠房先生にはこんなイージーで腐った飴の味を覚えてほしくなかった。
ニュースアプリのヘッドラインが韓国のことばっかりだ。いつもの朝日や日経の記事のほかに、普段はトップに登ってこないソウルの通信社の記事とかがずらずら並んでる。
まあね、そりゃそうだ。
とはいえ、軍隊がやりあうみたいな戦争に発展する可能性はないはずだ。何しろお互い全く利益がないし、片方が軍事的に圧倒的に強力ということもなく、欧米の監視や中露の脅威もある。核兵器がなくても相互確証破壊は成り立つ。いま日韓にあるものがそうだ。
しかし、軍事力に発展しないことは、かえって別のエスカレーションを生むだろう。
近代以降の戦争っていうのは普通、片方あるいは両方の当事者が疲弊し尽くすことで終わる。たくさん身内も死んだし、国内に厭戦気分が漂って、これ以上は続けられないというムードになることでしか、戦争は止められない。
翻って、経済戦争という形態の戦争では、まあ打撃があるにせよ身内が死ぬわけでもないし、なんなら戦争しているとの実感すら国内に起こらない。
この状況下において、戦争っていうのは止まるのか?
落とし所なんて作れるのか?
実際のところは、正直わからない。
ただ、上記のように考えるのは、自分に「炎上」についての知識が多少あるからだ。ちょっとカッコよく言えばフレイミング。所謂ネット上の口論のことだ。
それは、疲れないからだ。リアルタイムで顔合わせの口論なら、少なくとも数時間もすればどちらもが疲れ果てて、それ以上喧嘩を続けられなくなり、仲直りはしないまでもその場は収まる。しかし掲示板での書き込みを通じて喧嘩をしてしまうと、別に疲れたら寝て起きてまた書き込んでもいいわけで、レスポンスの殴り合いは原理的に永遠に続いてしまう。日本で観測された最初の「炎上」は雑誌の読者投稿欄における非難の応酬だったとされている。
(なお、昨今は利用者側に、さっさと立ち去った方が勝ちだ、みたいな認識が広まってるので、お互いが余程のアホでなければ日を跨ぐような炎上は起きにくくなっている)
翻って、もう一度考える。
我々は経済戦争という状況下にあって、厭戦気分に入ることができないのではないかと思われる。
なら戦争のやめ時ってのは、どこにもなくなるんじゃあないのか。
ちょうど、疲れずにレスし続けることで単なる口論が「炎上」になってしまうように、際限ないエスカレーションに陥ってしまうのでは?
もしそうなれば、あり得る帰結は二つだろう。
一つには、両方の政府トップが、抗戦を求める国民の声を無視した鶴の一声を発し、さっさと戦線から離脱してしまうことだ。
しかしこれはそもそも難しい気がする。両国とも今のトップにその気がなさそうだし、次のトップを選ぶ際にも敵国への譲歩を唱えて次のトップになれるような状況も考えにくい。アメリカなどが頭ごなしに両方に命令する的な状況を想定しても、なかなか厳しいのではないかと思う。
もう一つは、経済戦争のエスカレーションが行くとこまで行って、完全に交流がストップする。化学製品は韓国国内で作ればいいという奴がマジで出来てしまい、日本国内でも保護貿易が進み、その状態で経済が安定してしまう。
そうなった時にどうするか、という前提でこれからのことを考えねばならないんじゃないかと思う。
国家にあたっては、韓国自体との競争よりも中国米国との保護貿易競争に備えるとか。身近な範囲では、海外輸入品の食材で料理店をするのはリスクなので控えるとか。
レスポンス早くてびっくりした。。。。。。。。。。。。。。。。。。。。
求めてるレスポンスはそうじゃないんだよ!!!!!!!!!!!!!!!
反応しづらいトラバやめてよね!!!!!!!!!!!!!!!!!!!!
もっとこう、社会に役立つ記事とか、あと自身の貴重な経験を書いた記事とかいっぱいあるのに
どうでもいいような記事ホッテントリに上がってくるし、なんなん!!!!!!!!!!!
長文の記事はだいたいけっこう心血注いで書かれてるわけで、
そう、そこが増田の特徴。
まさに「がんばっても報われない」が増田にはある。
なんかよくわからんほわっとした記事がホッテントリに上がっては
「そう、こういうのが読みたいんだよ」とか言っちゃってよう!!
3分の2くらいはまあいい感じ。でも3分の1くらいは「なんでこんな記事が??ホッテントリ??」みたいな。
ちゃんと有用な記事には「参考になります」とか一言でもいいから書いてやれ。
書いた側がいっぱい損してここまで来てるんだよ、ちゃんと反応してやれ。
それともそんな余裕がないのか??
なんなんだよ、おにぎりの中の具はこれが最強だと思う、みたいなどうしようもない記事ホッテントリに入れちゃってよう!!!
あー、あと後日談書かない増田も多いし、後日談書いても注目されなくて流される記事も多いし。
トラバ民とブクマ民はしっかり目をかっぽじって観ないと。なにをしてるんだ。
なんだろうな、なんというか、もっといい感じの記事いっぱいあるんだからちゃんと反応してあげて。
なんか、もう既にホッテントリ入りしてる記事に遅まきながら反応するやつ、なんなん???
それでいて、ちょっと注目されたら消しちゃう記事もあるから、記事を書く側にも問題はあるかな。。。
これが人間かあ。。。
ちゃんと反応してやりなよ。レスポンスが欲しくて書いてるねんでみんな。せやろ??ちゃうんかな
まあいろいろ記事がある中で、これは!!!というのをチョイスしてブクマをするわけで
ソーシャルなんだから、もっとこう社会的に有用である、あるいは問題である記事をブックマークしていって
ちょとずつちょとずつ社会をいい方向にしていこうなっていう。
ソーシャルブックマーカー、たのむよ。
なんかこう9割5分が一つの方向からコメントしてる記事とかあるし。
きみたちは京都大卒をトップに据える国立大卒や理系修士というつまり高学歴群なのに
なんというか、あまりに簡単に衆愚に陥り過ぎなんだけども!!!!!!!!!!!!
ニホンウナギは絶滅危惧種なの知っていながらそれでもうなぎを食べる
絶滅危惧種に指定されている知識を身につけても食べるという行為に走っちゃあ、なんのための知識かなっていう
はてブ民はうなぎアレルギーだけど私は食べるとか言っちゃって、なにその執念
もう私も食べちゃおっかな!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
なんかうなぎ食べたくなってきた!!!!!!!!!!!!!!!!!!!!!!!!!
いいよね!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
衆愚でいいよね!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
吉本をバカにできないくらいみんなダメダメ!!!!!!!!!!!!!!
私もダメ!!!!!!!!!!!!!!!!!!!!!!!!!!!!
なんでこんなに人ってバカばかりなのにここまで生存できてるの不思議すぎわらうよね!!!!!!
まあでもみんな、気をつけてよ。
体調崩してる人多いし、気をつけてな。
選挙には行ったよ。野党に二票、入れといた。与党の票数の多さ、すご。。。
どちらかというと安倍政権支持する派だけど、票は野党に入れといたで
なんかでも、おもったんだけど増田って
いつだったか、誰かが「会社員がなんだかんだ最強なんだ」とかいうブクマがトップになっててさ。
もう完全に保守なの。頭いいのに。
「東京が、実は子育てには一番向いている!!」とか言っちゃって。
文化的に育てるのが一番なんだって。文化資本こそが最強なんだって。
そんなことを言い続けるものだから、東京は流入人口が上回っちゃう。
東京は、流出人口も全国で一番多いのに。果たして、東京は住みやすいと言えるかな。
んー、都民っていうのは学歴も経済力も全国で群を抜いてトップなんだから、
もっとしっかりして!!!!!!!!!!!!!!!!!!!!!!!!!!
力がある、影響力があるんだから!!!!!!!!!!!!!!!!!!!!!!!
はてな都民たのむよ!!!!!!!!!!!!!!!!!!!!!!!
そしてちゃんと有用な、あるいは問題な記事には反応をしっかりと!!!!!!!!
それとも疲れてるんかな???私は疲れてる。。。
前回までのあらすじ: 友達0ヒキニートだった俺氏、一応定食に就き友達もできるも、彼女はできない。ナンパにマッチングアプリと行動はしてるも、返事が来ない度に病んでいた。その旨をイケメンに話すと、「返信1年後とか全然ある」と衝撃の一言。可能な限り即レスをやめた増田の運命は・・・?
マッチングアプリでマッチしても何もしなかったり、そこまで考えず適当な文面でやり取りしてみた。
結果、反応は明らかに悪くなったが、すごい楽。
絶対適当なの伝わってるし、そんなんで競争に勝てるかと言うと無理かもしれないが、これでいいと思った。
恐らく、人を好きとか嫌いとかって、そんなポンと好きになったり嫌いになったりしないのだ。
今は途切れても、またやり取りしたくなったらすればいい。
それも無視だったり、レスポンス悪かったりするかもしれないけど、それでいいのだ。
どう反応するかは相手の自由で、人は他人をコントロールできない。
だから、自分が言いたいと思ったことを言えばいいし、特に言いたいことないなら何も言わなくていい。
とにかく相手の返事が遅いのが怖かった。
今でも怖いっちゃ怖い。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
良い機会だなと思ったので、私がやってる節税について書きます。もっと良い方法があれば教えていただきたいです。私のスペックは以下になります。業種を書くとうさんくさくなるので業種は伏せておきます。
最終的に私個人の手元に残るお金を増やせるようにと考えています。ほぼ税理士任せなので、詳しい内容は把握していないものが多いです。
法人成りして自分に役員報酬を払う事で、給与所得控除を受けています。また、法人成りする事で消費税課税事業者になるのを1年遅らせることができました。
青色申告をすると、減価償却が有利になったり欠損金繰越ができたりします。私はまだどちらも利用したことが無いので、青色申告にするメリットがあるのかはよく分かりません。税理士に余計にお金を払ってしまっているだけかも。
税理士に勧められた保険に入ってます。全額損金になるもので、節税額を考慮すれば10年~30年後くらいは解約返礼率が100%を超えるものです。年間支払額は300万円程度で、癌や三大疾病になったり自殺したりすると3億円の保険金が出る内容です。返戻金は退職金や役員報酬に充当することで節税する予定です。
小規模企業共済は上限額を払っています。経営セーフティ共済は積立金が上限に達したため、現在は払っていません。
個人事業時代から継続して毎年上限額を払ってます。ただし、元本保証のプランです。
消費税非課税のための条件として、第1期は年額1999万円になるように役員報酬を決めていました。
税理士からの助言では、個人にかかる税率が法人の実効税率を下回る範囲の役員報酬にするのがベストだということで、2期以降しばらくは年額2700万円くらいにしていました。こうする事で、個人にかかる税率が法人の実効税率とほぼ同値になります。
法人の内部留保が増えてきてから、この内部留保を退職金や配当で個人に移す場合にかかる二重課税を考慮した場合に、果たして年額2700万円というのは本当にベストなのかと疑問に思うようになりました。現在では税理士からの助言を無視して、将来かかるであろう二重課税分を考慮し、税金がもっとも少なくなると思われる年額4500万円程度の役員報酬にしています。
個人事業時代には国保組合に加入していました。国保組合に加入すると年収と関係なく国民健康保険が一定額で済みます。法人成りの際にお世話になった社労士から、法人成りしたら社会保険に加入しなければならないと言われ、それを信じて国保組合を脱退し、社会保険に加入しました。
後から調べて分かったのですが、法人成りした時に国保組合に加入していたら、法人成りした後も国保組合に加入し続けることができる場合があるそうです。もし国保組合に加入し続けていたら、法人負担・個人負担を合算して、健康保険料を年間約170万円も節約できていました。
最終的に個人の手元に残る金額が多くなるように役員報酬を調整していますが、無理に個人にお金を移さず、法人に残しておいてもいいのかと悩んでいます。例えば、人生で最も大きな支出の一つである住宅費は、大部分を社宅として法人から支払えますし。純粋に個人から払わなければならない出費はそんなに多くなさそう。
私がお話できる税金のことは、ぱっと思い出せた範囲では以上になります。このやり方だと結局のところ、稼いだお金のうち50%程度は税金に持っていかれます。
どんなご意見でもいいので、レスポンスをいただけると嬉しいです。