はてなキーワード: 事象とは
最近やたらとニュースで見かけるが、あんなの「当たり前」と冷ややかな目で見ていた。
・昨今話題の二重払い。新しい契約に入っても、古い方は半年続けてくださいなんて言うのはザラ。お客さんに何のメリットもない。(商品にもよるが)
・営業の締切が金曜の時はチャンス。明言しないが、土日の手続きでも金曜の日付を書いてもらう。そうすると活動できる日が2日増える。
・締切間近でも契約0件の場合、親戚・友達は何とかならないかと詰める。営業本人がダメなら、管理者がなんとかする。
・膨大な量のデータを載せた会議資料を作るが、会議中におさまりきらないので省きまくる。(改善しないのか?)
・土日出勤当たり前、振替休日は取ったふり。他人のPCで仕事。
・セキュリティ管理されてる執務室は20時までしか在室できないので、PCを持って仕事のできる部屋で業務継続。
・経費削減と地域に配るチラシ数千枚を夜な夜なプリンターで印刷している。紙とトナーの補充、紙詰まりと格闘するバカバカしさ。もちろんサービス残業。
非効率でコンプライアンスぎりぎりを攻める管理職、残念な営業達、昔はこうだったとふんぞり返る再雇用のオッサン。自分が疲弊していくのを感じたし、こんな所で自分の将来のキャリアを描くことはできなかった。他人に胸を張れない事象が目につくのも辛く退職した。
同業他社に転職したが、あまりの違いに驚いている。給与も働きやすさも上がった。業界内での転職が非常に多いので、話題の某社の面々は不適切な営業に手を染めずに転職してはどうだろう。
韓国の件だけど、自分がここ10年ぐらい関わっている安全保障貿易管理(輸出管理)の分野が日の目を見て嬉しいと思う反面、不正確な報道やツイート拡散も目につく。
そこで、頭の整理も兼ねて、今回の事象に対する輸出管理担当者の考えを、ここに遺しておこうと思う。
■輸出規制ではないのか
最近の報道を見ていると「ホワイト国を外れても輸出はできる。だから「輸出規制」にはあたらない」というのが日本政府の言い分であり、最近のネット言説の潮流となりつつある。
しかし、それはあまりに形式的な論であり、輸出にかかわる企業側の手間、輸出までの期間を考えると、実質的な「輸出規制」に値するものだと私は思う。
ここで日本の輸出規制について触れておくと、大きくわけて(1)リスト規制と(2)キャッチオール規制という2つの規制に分かれている。
貨物の性質に着目した規制。たとえば精度の高い工作機械なんかは、核兵器開発に転用される可能性があるので、広範に規制されている。フッ化ポリイミド、レジスト、フッ化水素もこのリスト規制に引っかかる。
原則は輸出案件(契約)ごとに許可を取る必要がある(=個別許可申請)。
ところがこの個別許可申請というのが曲者で、今どき申請は紙ベース。添付する契約書面の内容はもちろん、誤字脱字等についても事細かにチェックされて、まあなかなか許可が下りない(90日以内というルールがあるにはあるのだが)。あと許可申請先は経産省の安全保障貿易審査課という鬼のように厳しい部署であり、厄介。
それじゃ企業の経済活動が成り立たないよね、というわけで、一定場合については「包括許可」という、文字通り包括的に許可を与える制度を設けて、簡単に輸出できるようにしたわけ。
特にホワイト国向けの「一般包括許可」という制度は、なんだろう、鈍行列車に対する新幹線みたいなもの?あるいはディズニーランドのファストパスみたいなもので、電子申請もできて、許可もスムーズに下りる。申請先も全国の経済産業局や通商事務所で済む。経産省の審査課に比べると遥かに楽。
韓国についてはすべてのリスト規制貨物について「一般包括」が使えていたのを、7月1日からはフッ化ポリイミド、レジスト、フッ化水素について使えなくした、つまり個別許可申請が必要とした。
そして8月28日からは韓国がホワイト国を外れるので、すべてのリスト規制貨物について個別許可が必要となる。たとえば等級の高いベアリングはリスト規制貨物なんだけど、それ1つ韓国に出すにも、いちいち経済産業省に申請が必要となってしまう。
(正確に言うと3品目以外については「特別一般包括」という制度を使うという手がある。ただし経産省検査官の監査を事前に受け入れなければならなかったり、いろいろ面倒くさい)
■結論
つらつらと書いてきましたが、とにかく個別許可申請というのは、言葉上のイメージより遥かに面倒くさいものであり、許可までに時間も掛かる「実質的な輸出規制」に値するものなのですよ・・というのが私の考え。
フッ化ポリイミド、レジスト、フッ化水素を取り扱う企業について考えると、おそらく案件ごとに個別許可申請して、許可を取って、船を手配して・・・と悠長なことをやってられるような貨物ではなさそう。デカものの工作機械であれば、1件ごとの個別許可申請でも商売が回るのだが(面倒くさいことは変わりない)。
さらに、個別許可申請では「誓約書」という、勝手に転売しない旨をうたった文書を相手方から取得する制度がある。これ、相手方が誓約書に反して転売した場合は日本の企業が責任を問われるという鬼畜な制度であり、具体的には罰金や輸出禁止処分等のペナルティを課されてしまう。だから工作機械メーカーなんかはGPSを機械に埋め込んで、相手方が機械を動かし場合はすぐ分かるようにチェック体制を整えている。
しかし、フッ化ポリイミド、レジスト、フッ化水素にGPSを埋め込むわけにはいかない。もし韓国企業がこっそり転売をしたら、彼らを信じてわざわざ輸出許可を取った自分たちにペナルティが課されてしまう。こんな状況下でわざわざリスクを取って輸出をするかというと、韓国向け輸出自体をやめてしまうのではないだろうか?
上記3品目については日本政府は輸出許可を出さないような気がする。もちろん不許可処分を出してしまうと大事になるので、企業の自粛を求めるようなやり方になるとは思うのだけど(そういうことが何度かあった)。その意味でも「実質的な輸出規制」に値するものだと思う。
顧客の性質に着目した規制。簡単に言うと経産省が発行しているブラックリスト(外国ユーザーリストという)に載っているか、輸出された貨物を核兵器開発等に使用した前科があったり、今回使用しようとしている顧客については、リスト規制と同じように経産省に許可申請をしなければならないとする制度。輸出企業は、顧客の名前や契約書、HPを調べて、安全な顧客かどうかを確認する義務があるというわけ。
ホワイト国向け輸出の場合はそもそもこのキャッチオール規制審査が免除されていたのだけど、ホワイト国から外れると、この審査も行わなければならない。
・・・ただ、担当者の実感としては、この審査自体はさほどの手間ではない。企業によってはホワイト・非ホワイトの区別をつけず実施しているところも多いと思う。
■ホワイト国を外すこと
ちなみに、ホワイト国というのは現在27カ国あって、国際的なレジームに加入しているかどうかが基準になっている。核だったり、ミサイルだったり、生物兵器だったり、汎用品の軍事転用だったり。自分がこの仕事を始めてからは、ブルガリアが追加されたことがあったと思うけれども、基本的には4つのレジームに入っているかどうかがメルクマール(と、自分は教えられてきたし、安全保障貿易管理の資格試験でもそのような模範解答とされている)。今度インドが入るんじゃないかと数年前から言われてはいる。
ところが韓国は巷間言われているような北朝鮮への横流し疑惑があるとはいえ、4つのレジームから脱退したわけではない。にも関わらず差別的な取り扱いをするのは、明文化されていないとはいえ、ルールを逸脱した運用だよなあ、と思うところはある。
■今後の着地点
本丸はフッ化ポリイミド、レジスト、フッ化水素の3品目だとすると、これらについては引き続き個別許可申請を必要とする一方、今後アメリカの仲介を受けて韓国をホワイト国に戻すというのは、着地点としてありそうな気はする。けど、今の内閣と嫌韓世論からすると、それも難しいのかなあ・・・。
感情の問題で済むうちはそういう無邪気さがあってもよいかと思うがもういい歳したおっさんなので気を付けるべき。
情動のままに行動して自分や環境にまだ経験値のないことを得る、まだ経験値がない故失敗は織り込み済みであること。
その経験の少なさが時期的に若い外見によって充分に理解される、または関係者が同年代であり同様の経験量である場合。
充分な時間により当該事象以外に経験値があり、転用や応用によって失敗の回避を期待されている、または関係者がその要領を得ているのにおっさんはもっていない齟齬により関係が破綻する。
おっさんが無知でかわいい場面はおっさんが故に経過年数による収入や職位、権利、物理的資産の量をその価値や運用について「無知」なため「利用」しやすい場合、利用にあたり接触が多くなることを好意と感じるその関係についてのみ。
その情動が何を目的として、どういった手段や運用によって生活に関わるかを経験値としてもっていないため。
デートの時間をどこに置くか、会話をどうするかなど指針がないためそれを策定するための手段が目的と化し、恋愛の目的である相手との継続的かつ親密な関係性をいかに築くかということがその基準となりそれを構築するための行動が恋愛であるという視野の狭窄から脱する機会を得られる可能性が少ないため。
自己の生活とパートナーとの共同生活を割り振る割合などを経験値として重ねるか、理想とする生活像が明確でありそれを共有できる状態であるところに至るまでは失敗を繰り返す可能性が大きい。
可能性であってそれらの手段化した目的をタスク的にこなすためのパートナーとして成立する場合もある。
しかし今回のそれは「新しいことに気づいていく」と言っている場合は手段さえも模索なので、うまくいく可能性は非常に低い。
具体的に恋愛だけを成功させるために必要なパートナー像は、あなたのもっている物理的な価値を利用しようとしてくれる女性を見つけて期待する期間内に枯渇しないようその支出を調整することだ。
人間の本能か遺伝子かわからんが手段も目的もなく好きという状態を得た人間の理性が解決方法も着地点ももたずに楽しいだの、新しいだので行動するのはただ迷惑をかけて申し訳なく終わることを繰り返すだけになる。
歴史的な〇〇が関係してる/してない、で考えるのをやめた方がいい。経済はつながってるんだから、歴史的な事象は何でも、間接的には関係してると言える。
関係しててもしてなくても、歴史的な事柄は起こってしまったことは変えられない。こういうのの再発防止は、ちゃんと郵便局名と担当者の名前を出して処罰すればいいだけだ。その他の議論は、全部目くらまし。
吉本興業のごたごたが、「パワハラ」と認識されたことで、よくわからない方向に向かってる。
「宮迫さんが、『反社会的な組織からお金をもらっていない』と嘘をついていた」から、
そのあとの吉本興業の社長の会見も、「ああ、この人ならパワハラをやりかねん」という印象が補強されたと思う。
宮迫さんと亮さんの会見以降、この問題が完全にエンタメ化したんじゃないか。
宮迫さんと亮さんのしゃべる姿は、かなり見応えがあるし、「超人気芸人が所属の大手事務所からパワハラを受ける」という、分かりやすくスリリングな内容だった。
ぶっちゃけ、「闇営業」とか、何が問題なのか、素人にはわかりにくい。
「半沢直樹」みたいなビジネステーマのドラマや映画でもよく取り上げられるし、
「パワハラやめましょうね〜」と、厚労省が啓発してて、広告が駅に貼ってあったりする。
そして、かなりの人数のビジネスパーソンが、上司から理不尽なことを言われたりして、鬱憤が溜まっている。
パワハラのムカつき、イラつき、憤りはかなりの人数の人が容易に想像できるし、共感できる。
その事象の悪質性が高いから話題になるんじゃなくて、「あー!俺もわかる!」「それ、腹たつよな!」と、共感できる話だから、話題になってるんだなと。
「闇営業の話はどこ行ったんじゃ?」と突っ込まずにはいられない。
「本当かどうか」「より重大かどうか」みたいなことはどうでもいいのだろう。
そもそも、あの会見だけだと、宮迫さんと亮さんが言ったことが本当かは、見ている一般人にはわからないじゃないか。社長の発言の録音もないわけだし。
ほぼ時を同じくして、吉本ほどではないけど、炎上したのが「レペゼン地球」の「パワハラザホルモン」
DJ社長が所属タレントのジャスミンにパワハラをしたと、グループぐるみで自作自演をした件にも、通じる部分があるなと思った。
「本当にパワハラを受けた人の気持ちを考えろ!」と、憤っている人もいるが、
本当にパワハラを受けたのなら、Twitterに書き込まずに弁護士や労働組合など、然るべき機関に相談すべきじゃないのか?
昔は、ひろゆきが「うそはうそであると見抜ける人でないと(掲示板を使うのは)難しい」と言っていたが、
日本国民の大半がネットユーザーになったことで、「ネットに書かれた情報には嘘が含まれる可能性がある」という大前提を忘れてしまったんじゃないかと思う。
レペゼン地球が打ち出した炎上商法はとても示唆に富んでいると思う。
「嘘かどうか」よりも、「共感できるかどうか」で、善悪、真偽を判断してしまう人が増えすぎたことを茶化しているのだと勝手に推測している。
レペゼン地球が、「パワハラ」というテーマを扱ったのも、このテーマが共感性が高く、話題になると踏んだからだろう。
さらに、Twitterで告発、ネットメディアが本人にアプローチして話を聞いたことを記事化するという流れもここ数年で定番になったが、
レペゼン地球のDJ社長に対するパワハラ告発を受け、ネタバラしの前にメディアがDJ社長本人に取材していたが、そこでDJ社長はパワハラの事実を認めていた。
メディアの「裏どり」も結局は本人にコンタクトして「やったんですか?どうなんですか?」と問いただし、
本人が言ったことをそのまま文章にして流しているのだから、それはTwitterのスクショを貼るのとあまり変わらないだろう。
レペゼン地球の自作自演に胸糞が悪くなった人が大勢いたが、その理由は「自分が騙された」ことをはっきり示されたことと、「ネットで告発」を否定されたことだろう。
「ネットに嘘が書いてある」なんて、正直めんどくさくてしょうがない。
毎日流れてくる情報が多すぎるから、もっと楽して情報を摂取したいし、いちいち「これは本当か嘘か」なんて考えることはとてもしんどい。
だから、ネットの住民は、ネットに書かれていることを、いとも簡単に信じて、憤るようになったし、
「本人が声を発して喋っている」というだけで信ぴょう性が勝手に爆上がりする。
警察などの専門の機関が調べたことよりも、ネットにただ書き込まれたことの方を信頼しているようにも見える。
さらに物事の良し悪しが「共感できるかどうか」で判断されてしまうので、有名企業のパワハラを告発されたら、「悪質だ!」と一気に吹き上がるが、
無名の中小零細企業のパワハラを告発しても、宮迫さんほどの有名人でも大手企業所属でもない限り、問題にする人は少ないのではないか?
そんな民衆によるあやふやな判断基準で、本来社会的な制裁を受けるべきではない人が、炎上したことで職を失ったり、社会的な信用を失ってしまう。
「ネットで告発」の危うさを、レペゼン地球は再認識させてくれたのだと思う。
ネットでこれだけたくさんの人が書き込んでいたら、自分の保身のために「ネタバラし無し」のガチな嘘をつく人だって、大勢いるはずだ。
より重大で深刻なのは、そういう嘘の方ではないのか?
16年参院選・長野選挙区で最も低投票率 松本市を歩き、有権者に聞いた
https://www.excite.co.jp/news/article/Mainichi_20190718k0000m010224000c/
> 「政治に期待できないから、投票率は低くなるんだろう。『選挙に行かない』と言う声もよく聞く。介護を充実させるとか目に見える結果がないと」。
>投票には行くつもりで、政治家には具体的な行動を期待している。
正直ここを読んでいて呆れ果てた。
投票に行かない=白紙投票と同じ=どの様な政党や候補が当選し、その後の政治でどの様な主張をし、法律や増税等が行われてもそれらを全て私は信任する。
それなのにこの様な発言をしている時点で投票と言う趣旨すら理解していないのではないのかと思った。
投票自体国民が候補を通して直接的に意思をぶつける事が出来る数少ない場であるのだ。
投票に行かない人はどの様な結果が後々議会で決められても全て私は信任していると言う事を認識しておいた方が良い。
参院選の場合最低6年は文句を言う権利すらないと言う事を自覚しておいた方が良いだろう。
例えば、巷で話題になっている自身の身にも降りかかるであろう消費税問題や高齢者は年金問題等と言う政治的な事象に対しても文句は言えない。
それらがどの様な方向に行っても私自身選挙に行かずに投票と言う行為を投げ出した為、全てその当選した候補や政党の意志に全て賛同をしている事になる。
はてブ見てると分かるだろ?
プログラミングってのはまあ大体ちゃんと動いてるよねっていう状態でも色んな書き方ができる
でもそれを人は指摘してしまうんだ
指摘されたら議論するか素直に従うかだが、低コストなのは素直に従う方だ
しかしプロジェクトの進捗とそういう品質はトレードオフにあるから、そのバランスを見て指摘するかどうか・修正するかを話さなければならないが
進捗に対して興味がある人というのは想像以上に少ない
受託開発ならまだ締切に対する絶対性は強いんだが、事業会社になると何故か過剰品質に傾倒してしまう
そしてそれでいいと皆が思うようで、ヤキモキするのはPMや経営者だ
OSSの場合はむしろその役割を考えると高品質で然るべきだから
プルリクエストは上手く動くんだが
それを急がなければならないシーンで使用すると重しになってくる
というわけでプルリクエストは難しいんだ、使う者のおかげでね
なんか海外サービスからのSMSが届いてないことに気づいた。以前使ってたdocomoはデフォルトで勝手に拒否設定になってるクズだったので、同じようなことになっていないかとSMS拒否設定を確認することにした。
なんとOCNのSMS拒否設定はダイヤルからしかできないらしい。 https://www.ntt.com/personal/services/mobile/one/voice/option/07.html ダイヤルしたら「ネットワーク暗証番号」を求められた。そんなものは設定した覚えはないが、とりあえず心当たりがある番号を数回入力したが駄目だった。
ググると https://support.ntt.com/mobile-one/faq/detail/pid23000005ik が出てきて「ネットワーク暗証番号の初期値はOCNマイページにてご確認いただけます。」とのこと。リンク先を開くとOCNマイページに飛ばされが、「ネットワーク暗証番号」という文字列は何処にも無い。というかこのご時世に画像の文字やボタンがゴロゴロしてる。OCNの技術は20年前で止まっているようだ。いろんな画面を開いて閉じてして、やっと何処に書いているのかわかった。「ご契約のSIMカード/端末」のリストの下に※の注釈として「※音声対応SIMをご利用のお客さまは「ネットワーク暗証番号」が設定されています。初期値は「****」になります。」と書かれていた。そんな重要な情報が注釈書き???OCN頭大丈夫?
なにはともあれネットワーク暗証番号がわかった。SMS拒否設定の解除をしよう。改めてダイヤルしてネットワーク暗証番号を入力する。するとこういうメッセージが流れた「ネットワーク暗証番号がロックされています」。数回しか試してないのにロックされたようだ。KSG。というか一発でこれ通せる人間いるのか?そもそも https://www.ntt.com/personal/services/mobile/one/voice/option/07.html にはロックされるなんて一言も書いてないぞ。
ロックされたものは仕方がないので解除しよう。解除の方法は電話しか無いらしい。さすが日本最大のインフラのグループ会社だ。ゴミすぎる。電話を書けると自動音声のガイダンスが流れた、が、ネットワーク暗証番号がどれなのかわからない。仕方がないので「その他」を選ぶ。
オペレータに繋がり事情を説明した。ここでOCNの長ったらしいお客様番号を口頭で伝える。なぜ手前の自動音声のタイミングで入力させないのか?わざわざ言い間違えや聞き間違えの発生する口頭で伝えさせるのか?頭が悪いにも程がある。オペレーターが担当部署に繋ぎますと、違う部署へと繋がれた。まぁ、順当だ。
別のオペレーターに繋がった。何やら様子がおかしい。「SIMのロック」とか「ロック画面」というフレーズがオペレーターの口から出てくる。今回の対象はダイヤルによって変更するSMS拒否設定のはずだ。SIMのロックやロック画面などスマホが介在する仕様など一切ないはずだ。このオペレーターは何もわかっていない。仕方なく事象と状況とサービスの仕様をこちらが説明する。どちらがオペレーターかわかったものではない。何度もスマホの機能だと誤解するオペレーターを抑えつつ、なんとか理解させることに成功した。自社のサービスの仕様くらい自分たちで理解しておいて欲しい。結局このオペレーターでは対応できないので別の部署に繋ぐとのこと。さすが分業が進んだ図体だけでかい組織、対応できない部署の仕事を失わせないために客である私に無駄足を踏まさせたわけだ。
やっとテクニカルサポートの部署に繋がった。最初からそうして欲しい。「状況の確認をさせてください」と宣いつつ、先のオペレーターに説明したことを繰り返し伝える。さすがOCNだ。最高の情報連携システムを使っているようだ。一通りの話が済み。やっとロックを解除できることになった。オペレーターは言った「解除まで2営業日かかります」と。
は?
なんで2日も掛かるの?OCNの部署間はモールス信号でも使ってるの?いやいやモールス信号は古いとはいえ近代の無線を使った通信方式だ。そんな遅いわけがない。きっと伝書鳩を使っているんだ。今からオペレーターが手紙を書き、担当部署宛の鳩を確保し、飛ばすのだろう。7payの問題も起こった昨今だ。きっとサイバー犯罪対策にアナログにしているのだろう。
そもそも禄にドキュメントにも書かれていない「ネットワーク暗証番号」なるものが数回間違った程度でロックされてしまうこと、検索してもヒットしないこと、サイトのリンクが不親切極まりないこと、その程度の操作に何日も掛かること、オペレーターがサービスを禄に理解してないこと、諸々のクレームを入れた。そうするとオペレーターが謝罪をしてきたので「謝罪はいらないので上申してちゃんと組織として直させろ」と伝えた。俺って優しい。
いま私は40代になりますが、20代から続いている症状にちょっとした悩みを持ってます。
同じ症状をお持ちの方もいるのかな?あるいは改善した人などがいればどのように行ったか聞かせて欲しいと思い書いてみます。
私はずっとIT業界で勤めており、仕事も趣味も含めてキーボードを使用する頻度は人より高めな人生を過ごしてます。
30台はブロガーとして数年はほぼ毎日ブログの更新などもしてました。
さて症状なのですが、20代後半辺りから右手の指がしびれるようになってきて、以下の専門病院に出向いて調べてみましたが
・整形外科
・神経内科
・心療内科
体や神経、骨・心に特に異常はなし。
手の使い過ぎと言われたので、あまり使わないように数か月過ごしましたが事象は改善せず。
40代になってから左手の指もしびれが出始めており、スマホを操作する時も指がピリピリして
最近は指を使っていない時も痛みが出るようになっており、この文章を書いている時も
軽い痛みをもって書いています。
周りの人の何名かに相談もしてみましたが、なかなか良い結果に繋がらなかったので
ここに書いてみる事にしました。
これは何という病名で、どのようにすると改善するかご存知の方は是非ご教示頂きたく。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48