  |
はてなキーワード: 事業部とは
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。
個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。
(関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨)
私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。
サーバーというのは、簡単に言うとシステムを提供しているコンピュータです。
貴方が触っているコンピュータシステムのネットワークの向こう側にいます。この増田も増田のサーバーというのがいて、私たちにサービスを提供してくれています。
しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルのネットワークで画面上に写されるものでしょうか。
サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単に説明させてください。
と言う段階があります。
ニコニコ動画のサービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。
これらの使い分けについてですが、最近は自社でサーバを持っていると自分たちで管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。
現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています。
今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報が漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。
この流れをまずは頭に入れましょう。
さて、メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステムや仮想サーバに別けた独立なシステムになっているからです。
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要な機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバがあるかなどはあまり関係がありません。
しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。
利用者の視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。
すると、どうするかというと、これらをまとめて管理するシステムというものが作られます。
これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理を提供する事で、たくさんのシステムの管理を効率化するのです。
企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。
出てきた情報から見ると、この管理するシステムと認証するシステムがやられたと思われます。
また、その前の前段はVPNと言う仕組み(ネットワークを暗号化して安全に隔離するもの)が攻撃されて破られたのではないかと推測しています。
これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置の脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性を修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名のアングラネットでは脆弱性情報が取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。
個々のシステムは独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるかの分析が困難なレベルだと言われています。
ここまで広範囲に影響するとすると、管理と認証とVPNが攻撃を受けてやられたとみるべきでしょう。
また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります。
一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運用ファイルサーバは減りました。これは今では危険と認識されているほかに、こちらの方が安く利便性も高いからです。
それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています。
オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドにアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの。
通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき、自称するだけでは入れず、身分証明書とパスワードの両方が必要なうなものです。
また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります。
とはいえ、いちいちクラウドにアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。
そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。
つまり、ネットワークは安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。
ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの。
また、社内システムからデータを窃盗するには、どのシステムが重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータを窃盗されてしまうわけです。
上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。
ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法でパスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。
しかし、単なるユーザー、お客さんではなく、KADOKAWAと会社として関わってる人や従業員、取引先で色々な書類等出した人は、既に情報が窃盗されていて、そこから今後も追加で情報が出回る可能性があります。
一方で、分かりやすい場所に保存されていたわけではない情報(システムのデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています。
犯人が本当に金が理由だとするならば、データを分析するような無駄な事に労力を割かないためです。
腹いせで全てのデータを流して、暇人が解析する可能性はあります。
ありますが、犯人はコストを回収しようとするので、これらの情報を販売しようとします。売り物になる可能性のものをただ単に流したりもしづらいのではないかと思っています。
もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています。
犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
また、周到にソーシャルハッキング(オレオレ詐欺のようになりすまして情報を搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃(不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。
それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます。
ニコニコ系のサービスと、KADOKAWAの業務システムと2つに別けて話しをしましょう。
ニコニコ系のサービスは、現在、クラウドにシステムをリフトアップしている最中だったと思われます。先日のAWS(クラウドサービスの大手企業)の講演会で発表があったようにです。
ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。
これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます。
それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。
ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレのセキュリティ対策を行っておくべきだったと思います。結果論ですが。
それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策は無駄になります。コストを考えると、私が経営者でもそう言う判断をしたかも知れません。
KADOKAWAの業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。
何故かと言うとシステムとは投資と費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。
しかし、それ故に内部的なセキュリテ対策の投資はしておくべきだったと思います。
以上の様にエンジニアのレベルととかは関係ありません。基本的には経営者の経営判断の問題です。エンジニアに責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。
ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループに経験豊富なエンジニアがいて、一足飛びにクラウドへリフトアップができそうなら、既存の自社サービスのセキュリティ変更に投資はしないと思います。
逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIerの支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然とシステムは分離されていたでしょう。
そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートしたかも知れません。
ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います。
先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。
なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。
これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。
すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります。
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
最初の報告ではデータセンタートラブルってことだったらしいし、データの保全って書いてますし、
たぶん下記に類似する状況で、弁護士と各事業部のえらい人と役員で相談中なんじゃないですかね
デンマークのホスティング事業者、ランサムウェア攻撃で全顧客データを失う
https://cafe-dc.com/security/danish-hosting-firms-lose-all-customer-data-in-ransomware-attack/
> 原因について
> データセンターの移行後、以前は別のネットワーク上にあったサーバーが、すべてのサーバーを管理するために使用されている企業の内部ネットワークにアクセスするように配線されていました。
>内部ネットワークを通じて、攻撃者は中央管理システムとバックアップ・システムにアクセスしました。その後、攻撃者はすべてのストレージ・データ、レプリケーション・バックアップ・システム、セカンダリ・バックアップ・システムにアクセスすることができました。
そもそもニコニコ静画以外アクセスできる模様。 "AccessDenied" になってたのも現在はちゃんとリダイレクトされとるし
(追記:再度確認したらまだ AccessDenied になってたりしたわ)
あとKADOKAWAの全システム(全サービス)が落ちてる訳じゃ別になさそうよ
単なるホームページで落ちてる(臨時ページにリダイレクト)はKADOKAWAオフィシャルサイトだけっぽいし、
フツーに考えたら、
『ダウンでイベント飛ばしとかしちゃったので、ステークホルダー()にお出しして良い情報を弁護士と各事業部のえらい人と会議してしてまとめてます。ちょっと待ってね』だと思うよ
なんでニコ関連だけなく、単なるホームページ含めたKADOKAWAの全システムが復旧しないのかは知らん
素直に考えれば、分散させて無かったか、内部トラブルとなんらかの攻撃のタイミングが重なったが原因だと思うけど、
マジでスーパーハッカー()やガチテロリストに現在進行形でなんかやられてるのかも知らんし
増田の所属する事業部は8年前にスタートした新規事業部。約50名が所属。
本業は男女比率6:4くらいだが新規事業部は1:9で女性が圧倒的に多い。役職者も1人を除いて全員女性。
男女比7:3だった前職や他と比較して、女性ばかりの職場の良いところを挙げていく。
前職では高いところの物を取る、荷物を運ぶ、というような仕事は男性がやることになっていた。そして書類の整理とか電話対応、飲み会の店決め、事務用品発注は女性。とくに雑務に関しては明らかに男女で役割があった。増田はそれが結構嫌だった。
今の職場は小柄な女性でも高いところは脚立を使って自分で取ってるし(近くに男性がいても)、重い荷物は台車を使うか女性数人で協力して運んでいる。
増田は171cmあってスポーツもやっているので小柄な細身の男性と比べたら肉体的に出来ることはそう変わらない。
それなのに前職では男女で仕事が異なることに違和感を覚えていたので、今は過ごしやすい。
前職でもあからさまなセクハラは無かったが「女の人としてどう思う?」とか「こういうのは女の人の方が得意だから」とか言われるのが地味に嫌だった。別に女性を代表してるわけじゃないしと毎回思っていた。
また、声を荒げる人がいない。前の上司は男性で縦にも横にも大きく、本人も自覚なく大声で話したり注意するので毎回ドキリとした。今はそういうのは全く無い。
③時間に厳しい
上司、同僚たちが介護や育児やらで忙しいので、始業ギリ出勤、終業時間になった瞬間に帰宅するのが普通。
終業5分前からみんなトイレを済ませ、通勤用の靴に履き替えて、鞄を足元に置いてスタンバイしている。増田は入社当初、始業20分前には席に着いていた「早く来るな」という同調圧力に屈した。もちろん嬉しい。
前職は始業ギリに出勤なんてあり得なかった。
みんながみんなプライベート優先なので喫煙室や飲み会、ゴルフで話が決まるようなことが全く無い。(そもそも飲み会がない)
手順に従って意見を言って、妥当性があれば採用される。社内政治に腐心する必要がない。
以前の会社は仕事以外のことでも上司の評価が変わるので、気を遣う時間が長くて結構疲れていた。
付与される有給25日、毎年全部使える。使っていないと周囲から使うように促される。増田は2週間休んで海外に行ったりしている。
上司によると、「育児や介護している人だけが有給やフレックスを使うから不公平感が生まれる。全員同じくらい休めばそのようなことはなくなる。」とのこと。残業もほぼない。毎月平均して3時間くらい。
総務部の友人によると、有給をMAXで使ってるのは増田の所属事業部くらいだという。
⑥嫌なやつがいない
上記のように余裕がある職場なのでみんな大らか。少しいる男性社員もこの雰囲気に馴染めるタイプの人なので柔和だし接しやすい。
たまに変な人(悪口を吹聴する人、上司に過剰な媚を売る人)も異動して来るが、そのうちに毒気を抜かれて馴染むか、半年くらいで他の事業部に行く。本業の事業部にはギラギラした人がたくさんいる。
前職は日本型企業だったので、どんなに有能な人でも女性であれば課長止まりだった。
今は部長も他の役職者も女性ばかりだし、自分も真面目にやっていけばキャリアを築けるんだと安心出来る。
転職前は女性ばかりだと陰湿だったりするのか?とか少し思っていたが杞憂だった。
上司によると、立ち上げ時は全員女性で本業ではお荷物とされる時短社員や育休明けの社員が少なくなかったらしい。
そういう人達と、フルタイム勤務の独身の人達が公平に働けるように色々調整したら今の形になったという。
書いていて思ったけど、今の社会では育児や介護が女性に偏重しているから、女性だけで仕事を回すには今の事業部のような形にせざるを得ないんだよなぁ。
プライベートも仕事に捧げ、育児も介護も妻に丸投げできるような人ばかりが出世していったら、なかなかこんなふうにはならないと思う。
男性にも子供はいるし、親の介護がある人もいるし、それこそ体が弱い人だっているのにね。
増田は独身で何のしがらみもないけど、今の働き方は本当に良い。
いつ戦線離脱する人がいても良いように常にバッファがあるので、産休や介護休職に入る人がいてもそんなに仕事が増えた感じはしない。
あと、体の不調を同僚や上司に相談しやすいのも良い。おかげで仕事の調整をしてもらいやすいし健康的に働けている。
給料は31歳で役職なし、残業ほぼなしで年収550万くらいだから給料も悪くないと思う。
とにかく、転職して良かった!
あたり前のことだけど、選挙で投票するときは候補者の経歴は調べるべきだ。
昨日辞職した愛知県東郷町の井俣憲治は日栄出身だった。日栄なんて言われても若い人はピンとこないだろうけど、かつてあった商工ローンという中小企業向けの消費者金融で銀行から融資を受けられない零細事業者が年利30%という今から考えると目玉が出るほど高い金利で金貸しをしていた。
90年代後半に返済が滞った債務者に「目玉と肝臓売ってでも金返せ」と脅迫まがいの取り立てをして逮捕者を出すという、ナニワ金融道そのまんまな金貸しだった。実際漫画の真似をしたんだけど。当然パワハラも横行していたような伝説のブラック企業である。
そんなスーパーブラック企業出身なら、ああいうパワハラしても当然だ。多分自分が若い頃に上司にされたパワハラを職員にしたのだろうし、日栄時代にもそんなの毎日やっていたのだろう。そんなブラック企業出身者が町議時代も含めると4回も当選するなんて驚きである。今で言えばビッグモーターの幹部が選挙に通るようなものだ。
そんなわけで、選挙のときはちゃんと候補者の経歴調べてから投票しろよ。なんとかハウスやらなんとかホームで営業成績ナンバーワンとか、ピカツーで事業部長したとか、M菱電機に何年もいたとかそんなのに投票するなよ。
既に基礎自治体の議会にはそういうのもいそうだし(維新との親和性が高そう)、M菱電機にいたっては立民か国民民主あたりから国会議員いてもおかしくないけど。
それよりも実際的に向き合わなきゃいけないのはそういうリーダーの元で起こる不幸ですよね
新卒 or 20代 で 事業部長 とか 子会社の社長に抜擢 とかそういう会社で働いてきたので、
そんな良いものじゃないぞって言いたい
抜擢する以上に若者の可能性を食い潰しまくってるベンチャーが大半
ベンチャーでいちばんキツかったのは基地外役員の無茶振りや安月給ではなく、
良いように使われちゃった子たちと街中や別の会社や案件で再会した時に、
『IT嫌いになった』とか『鬱病だったけど、最近回復した』とか言われたことだな
ワイはいちおう自分の権限で出来る範囲で勉強出来る・チャレンジ出来る仕組みは作ってあげたつもりだったが
それでもやっぱキツかったな
基地外役員のご子息ご息女も同じ目に合うと良いんじゃねーかなって思う
次点は新卒 or 20代 で 事業部長 とか 子会社の社長になるものだから、
その被害にあった人の話を聞くのもそこそこキツかった
やる気出ね〜
事業部が「こんな風にしたいんだけど」って言ってくれたら全力でそれをサポートしたいけれど。
契約書見てねー、で終わり。こっちであれこれ検討しても結局リスク負うの会社だし。
どーーーでもええと思ってしまう。
Xで「飲み会で話した知らんオッサンが事業部長で、単身赴任解除してもらえました」みたいなツイートがバズってたんだ。
それに対して「そういうのは仕事ぶりで見ろよ」みたいな意見を見たんだが
実際仕事だけで人事決められるって相当キツいよな。
同じ会社でも営業みたく会社への貢献度が数字でドーンと出しやすい人もいれば、コーポレートで守る側の仕事をしてる人もいるわけで。
対外的に貢献度とか成果をわかりやすくアピールしにくいポジションの人間は社内プレゼン能力を活用するわけだけど、それって飲み会で事業部長と仲良くなるのとどこまで違うんやって話だし。
どうあってもピラミッドになっていく組織の中で多様な働き方を実現するには人脈みたいな裏技の存在こそ重要だと思うんだけど、増田はんはそのへんどう思われまっか
VBA嫌いのExcel師(営業事務)なんだけど、その程度のことをVBAでやろうとするヤツを駆逐したい。
お前は営業や他のユーザーの理解度を自分レベルだと勘違いするのをやめるべき。
うちの会社はVLOOKUP(最近はINDEXとMATCH)組めるのが「Excelできる」と名乗っていい最低限のラインで、営業と営業事務では名乗れないやつはほとんどいない。でもVBAは使える人は稀。
基本はその「難しくてもVLOOKUPの知識を駆使すればなんとかなるレベル」でExcelを組まないと破綻する。
うちの会社の一事業部は複数の会社に発注をしていて、そうすると会社ごとにデータを比較して見たいのに項目や項目順が違って簡単に比較できない、ということがよくある。
その場合マッピングと呼ばれるデータ項目の統一化が必要なんだけど、会社によって合算したいデータがそれぞれ別の方法でしか取れないとか、合算値に余計なデータが入ってるからrawデータ取ってきて件数はレコード数でカウントしないといけないとか、まぁ色々出てくる。
全取引に対してのデフォルト対応としての統一マッピングはしてるけど、そういうのはVBAでやらずにSaaS使ってるし、ものによって重視する値が変わるので例外が2割くらいある。うちの会社はその辺りの裁量が営業に認められているので例外も多め(なおオンリーワンになりたいためだけに特殊対応した奴は一人を除いて矯正or自滅済)
そういう融通をきかせるのにExcelの計算シートでマッピングするのは絶対。
あとVBAだと営業側が「どういう計算をしてるのか」とか「正しい数値が出てるのか」が確認できない。
っていうのは例えば100円3件と150円2件の仕入れにうちの取り分2割乗せて720円として見せたかったのに、『=100*3+150*2*1.2』って数式書いたせいで660円になっとるやんみたいな。こんなんよくある眠い時のヒューマンエラーで、VBA書く人ならやらかさない、なんてことは絶対ない。
しかも営業がこういうのの修正とか提案用にちょいちょいと列増やして数式入れようとしても「マクロ壊れるからやめて」とか言われる。営業が自分で調整可能なら1時間以内でできるものでも、VBA書いた人に依頼しなきゃいけないんだと、書いた人の通常業務との兼ね合いで1週間待たされたりする。
営業に金稼がせるためには営業の利便性と裁量は必須で、Excel利用者に裁量権が認められてないVBAのツールなんか全体最適化されてないクソ。
※なお裁量大きいからってあんまり好き勝手するとやらかした時に他の助けも得られず(やれることに限界がある)自滅ルート
自分も軽くVBA習得してるんだけど、フォルダ内のデータ一括読み込みとシートの分割統合の関数代わりにしか使ってない。しかもただの効率化なのでVBAが死んだところで手作業に戻せる範囲。
他人が保守できるように作るのならVBAなんか入れるべきではないし、VBA入れないなら計算シートは必須。あと計算周りを大掛かりにやるならSaaS入れてDX検討すべき。
