「企業自体」を含む日記 RSS

はてなキーワード: 企業自体とは

2019-05-06

anond:20190506035847

大して帰ってきてないよ?

設備投資もむしろ法人税を減らしたところ思いっきり減ってるよ、この30年。海外進出が進んだのもこの30年だな。

貿易収支もも赤字黒字を言ったりきたりするぐらいまで日本産業弱まってるよ。他の所得収支とかで一応は黒だが、むしろ企業自体が弱まってる。

税金以前に金回りが悪く儲からないところから企業は逃げるってことだし、儲からないところの企業なんかどんどん弱体化する。

日本産業が弱り切ったところで、財政政策をしたら、本当に財政破綻になる。

2019-04-02

anond:20190402151809

そういう日本人って、駐在族なのか、留学生とか現地採用で生きてるタイプのどっち?

駐在族ならその企業自体がそういう体質っぽいし

留学生とかならそいつ個人がそういうやつなんだろうけど

2018-08-29

anond:20180829191800

できるとは思うけど、例えば

公教育相当の教育企業にさせるのだとしたら、

教育が専門ではない企業自体に行わせるのは効率が良いとは言えないのでは。

学校での教育ってのは、学校でないとできないからやってるというよりは

ある施設でまとめてやったほうが効率的という観点で見ることもできるんじゃないだろうか。


だとしたら、中卒で入社し、ある程度給料が少ない代わりに

定時制高校などに通うための特別配慮をさせるとか、

既存定時制高校とは違ったそういう働き方・学び方にあったものを新しく作るとか

そういう方向もあるのではと。

2018-04-02

anond:20180402112451

だったらヨドバシエクストリーム便を使わないとか、そもそもヨドバシ通販は使わないとか、ヨドバシという企業自体から買わないとか、そういう方向に行くべきでは?

水の箱買いがどうのこうのという話に限定されるのもおかしな話

だって、水の箱買い自体がいけないわけじゃなくて、それで労働者に過剰な負担がかかるような態勢なりプランなりがおかしいのだから

2018-03-16

2020年卒予定のそこのお前へ

シュー活うんちマン

(どっちのうんちでSHOW!! Vol.28535)

1353年9月2日

文責:ちんちん

うんち vs うんち

対戦結果:

482948294820948 対 895で見事うんちの勝利





1. 就活情報ゲ~

就活とは、「良質な情報」を利用して「正しく動く」奴が勝つゲームねんど。

a) 「良質な情報について」

「良質な情報」:内容の正確さ+自身キャリア価値観構成に影響を与える

から情報信憑性が高い順に

インターンシップ:直接来社してオフィス社員を見れるので雰囲気が直で知れるので一番会社のことを直で知れる。この雰囲気きっもと思ったらその直感は正解で、受けなければいいんだ。大体こーゆ感じの人とはうまくやてけるが、こーゆーのんNGって嗅覚があると思うけど、それが一番わかるのは実際インターン行って雰囲気を知ることなんだ。あと他インターン生とのコネクションを作っておくことで就活情報を交換し合えるし、他インターン生のいいところをパクリまくって自分も優秀な人材になろ~とするインセンティブが生まれるンダ

OB訪問社員生の声を聴けるので裏表を聞き出すことができる。ただし特に気になる企業については特に複数人に聞いて確証性を上げること。

ちゃんとしたニュースニュースから企業の体質・雰囲気垣間見れることができるっっちゃ

Ex) 某社での過労死事件

→この件から想定されうる要因や職場環境

仕事第一プライベートで気晴らしをするなんてレベルじゃないほどのハードワーク、プレッシャー

・そーゆーどあほうなことするレベル倫理観持った奴のあつまり。どんなけ仕事有能で社会的地位が高くても人間としてはどあほ~の集まりあほ

・そーゆーことがまかり通ってしまう社内環境/文化相談できる環境・自浄作用がない、そしてヴォイスアウトは限りなく難しく、またしたとしても黙殺されてしま雰囲気

まーこんな感じ。

まともな就活セミナー/説明会セミナー形式になるといーことしか言わんけどまー社員もいるし雰囲気垣間見れる。ごみみたいなマナー講座とか有料の奴に行くくらいならうんちぶりぶりしてたほうが有意義。ぶりッ貯

教授に聞く:先輩がどんな就活してたのかとかいろいろしってるはず。失敗例も含め聞き、自分ならどう乗り越えることができるか追体験すること

企業HP採用用のHP普通HP両方):見えない部分はあるにしろウソは載ってないので。もちろんよく映える部分しか載せてないのでそこには注意すること。

キャリアセンターOB訪問先を知ったりES添削してもらったり面接練習してもらったり。ただし企業を紹介してもらうときはあまりあてにしない。人によって知識や相性にばらつきがあったり、しょーみキャリセン的には就活浪人さえせずに最悪就職さえすればいいだけなので自身の思い描くキャリアに沿った企業提示してくれるとは限らない。

まともな口コミサイト就活サイトなどのwebページ(詳細は後述):ごみサイトも多いので注意

就活に関する情報玉石混交すぎてぱっぱらぱ~って感じなので、なるべくインターンOB訪問を重ねるなどして自身の「足」を動かした情報を最優先すること。

・ちなみになんでうんちみたいな情報があふれてるかってゆーと就活で儲けようとしてうんちマンがいっぱいおって、そいつらがインターネットにうんち情報を垂れ流しにしてるので良質な情報アクセスするのは難易度が高い。「就活」でググってみるといかにパッと見有名でSEOに強いだけのすっかすかの情報トップに表示されて時間の浪費かがわかる。まーじで小手先就活マナー(笑)とかどーでもいいっつー乃

結論:なのでうんちには触れないこと。くさいし

おすすめサイト:まあまあ良質な情報があったり有意義サイト

オファーボックス自己prとか入力したら企業から選考オファークルド企業自体はあん大手どころはこないけど、ES書く練習になるから絶対利用するべき

外資就活トップ大学がよく受ける外コン、外銀、日系大手などの企業情報インターン情報就活レポートがのってる。この辺常駐してる学生雰囲気に慣れてついていける人材になれば、日本企業ならどこでも内定とれるんだ。

Vowkers:社員口コミサイトの中で比較的まともなとこ。

Onecareer:大手企業インターン説明会など

Goodfind:ベンチャーインターン説明会など

WantedlyIT系企業を探したいならここ。

b) 「正しく動く」ことについて

自身の思い描くキャリアに合ってるであろう企業内定をもらうことがゴール。

それを成し遂げるために必要だと感じることだけをすればいい

もっけー言うけどわけわかんねえビジネスマナーノックは2回?3回?はどっちでもいいんじゃしばくぞ)とかほんとに社員が書いてるのかあやc口コミサイトでその会社を推測したりとか、他就活生と比較して悩むとか、そんなことしてたら就活で儲けようとしてるどあほうのいいカモ。人の苦境につけこんで商売しようとしてるどあほうにはうんちを授けよう。(ペタッ

業界職業なんて今から決めたり悩む必要は全くない。インターン選考時はおもろそ!って思ったところに受けまくって範囲を広げまくって、選考中/内定後に絞る作業に移ればいい。免許取る前にどんな車乗ろうかな!?。。って悩むのに時間かけんのってあほらしすぎ(面接時とかES時の業界志望理由とかはそれっぽい事言おう。どーせ企業側に就活生の将来の幅を狭める正当性なんてねえっちゃ。

・いろんな人の人生追体験して、おもろそうな人生イメージを膨らませる。本とかウェブインタビュー記事とかあるやろ。それを読んで自分はどのアンテナに反応する人間なのか知る。どんな仕事してる時が人生おもろそうか考える

2. 社会必要としている人材

日本では新卒一斉採用という謎方式メジャー。まじ会社にとってのメリット謎。しかし凡人にとっては大変ありがたく、専門性特になくても、新卒カードさえあり、その「会社」が必要としている専門的人材でなく、「社会全般必要としてそうな人に成りきれればてーげーの企業にいけるど。勝ち。(もちろん専門的スキル必要会社部門も多々ある)

→「社会必要としている人材」に思われる/見られるように意識

⇒じゃーそれってどんな人材だよ??

社会必要としている人材=基礎学力+対人スキル+何かを成し遂げた実績(おれがかんがえたむてきのほ~て~しき)

・基礎学力

あほなやつは取りたくないもん。だからほとんどの企業ではWEBテストとかやってる。対策は容易。

これが本当のSPI3だ!

ってゆー系のspi本3周くらいしたらよゆー。この努力を惜しんで内定ほしいとか言うてるどあほうは、筆記試験通ってないけど路上運転ばっちりやから免許ほpって言ってるどあほう。必要最低条件。

・対人スキル

円滑なコミュニケーションがとれるかどうか。TPOに応じた適切な言葉キャッチボールがとれるか。

まあこーゆーコミュニケーションとかマナーとかは、インターンとかOB訪問、なんなら本選考面接を通してどんどん実践してミスして恥をかくことでじわじわうまくなっていくもの。わいは素をぶつけてみようという思いで臨んだ社長面接で落とされて、tシャツビーサン面接行ったらあかんのか・・!!という大切な気付きを得た。感謝感謝ぐわあ~。とにかく失敗して恥をかい内省することを繰り返す。

・実績

いかに崇高な入社後のビジョンとイケイケな自己PRとかしてても、でそれにたどり着くために在学中にあなたは何やってきたんすか?ってのを証明するために必要なのは何かしらの実績であったり結果がいる(体験だけではインパクトにかけるから何かしら外部のお墨付きがほしい)。

じぶんでなんとかする。1から100レベル盛るはいーけど、0から1はシンプルな虚言癖マンになるので、小さくてもいいから使えそうなネタを集める。自分の好きな事を突き詰めてそれを外部に認めてもらう(表彰とか)だけでいいのさ

就活とは

かになりたいという単なる「手段」であって、「目的」であったり「ゴール」ではない。

→どんなことやりたいか?という理想イメージを膨らませまくり、それにたどり着くまでの道程しかない。

→ただその道程にいろんな”気づき”であったり”出会い”がある。( ̄+ー ̄)

期限はあるものの引き返したりいろんな道をキープして楽しむことができるんだ!たのP!pppppppppppp

・どの軸が自分にとって適切か考えよ~

ワークライフバランス収入・働きがい・職種業務内容・勤務地・潰しが効くかどうか・・・などいろんな軸があるので自己実現するために近そうなそれらの最大公約数となる企業からばしばし受けていく。べつにイチブジョジョーしてるからとか、ホワイティ~な会社っぽそうだからといって自分にとってよさげなんかとはなんら関係ない。世間バイアスを一切排除し、自己実現するために使えそうで快適なハコ(会社)を見つけてそこに居座るための作業くらいのイメージ。ちなみにわおいは「おもろそうなとこ」っていう軸だけで就活してたら選択肢が3個くらいしかなかったんご

\\\\\\

あとがき1

わいは見事就活にしくじり今はハケンやってるんご

みんなも頑張ってな!!

あとがき2

ここに書いてることが使えるかどうか、自分のドタマでかんがえよ〜。使えそうなとこだけ切り取って、違うよなあっとことはボコボコに叩いて議論すればいいじゃん?

2018-01-29

anond:20180129183854

わざわざ削るのは謎すぎるが

適切な対応=全額返済を発表済み

責任所在明確化企業自体責任があるのが分かりきってる

って事じゃない?


それよりこの文面だと、2月13日まで資産凍結が続く可能性が有るなー

脱税してたり隠し財産持ってる億り人のみなさんは、そちらの方が不安なんじゃないか

2017-04-29

PS5が2018年後半なんて噂がどうのこうの言われてるけど

PS3ときPS4の時点でも、性能の半分も引き出さないまま新しいものを出すのかって思うと

今はちょっとした技術が増えただけで新しいもの新しいものってなるから物を大事にする気が企業自体にないんだなって感じる。

大事にしているのはそのハードが好きなユーザーコレクターだけというね。

2017-04-16

http://anond.hatelabo.jp/20170416164855

企業自体やばい上司やばいか知らんが、くだらんことでいちいち怒るような所は早めに転職したほうがいいよ

2017-03-23

開発職なのに開発できない

とある自動車部品サプライヤーに開発職として就職したはいいが、派遣請負社員コントロールする仕事しかしてない。

Excel工程管理表を目の前に、どこに外注するか、どうやって客先を納得させる"ご説明資料"を作成するか延々と考えている。


僕ら若手には外注から上がってきた成果物を精査することすら難しい。

外注から上がってきた成果物を、そのまま他の外注に流し、

外注から飛んできた質問を、そのまま他の外注に流すことしか出来ない。


私の上司は非常に優れた人物だし、技術的にも凄まじい。

けれど、私がこの人のようになれるというビジョンは全く見えない。


企業自体は非常に大規模で、私が技術的に何も出来なくてもリストラされることはないし、問題なく昇給するだろう。

(東芝のような状況を除けば、だけれども)

ただ、大学院時代の実績が評価されてやっとたどり着いたと高みだと思うと悲しい。

2016-11-28

電通自殺ちゃんは東大卒って事で一定地頭があり

電通でイジられる程度には女性としての容姿が整っており

電通という企業自体はそれなりの知名度と規模と実績の伴う組織だった

こんな環境でも自殺するってことは、就職さえ上手く行けばとかもっと可愛ければみたいな理屈が全く通用しないって証明したんだな

2016-06-24

EU離脱確定のついでに

耳が痛くなるほど今日EU離脱の話で持ち切りだ。

だがしかし、これは英国問題ではなく日本関係する風評被害を喰らったような事態である

これにより日本株価の急激な暴落が発生。リーマンショック以来の世界恐慌らしい。

心配されるとしたら就職難が増えることである

自分現在学生ではあるが、売り手市場となった就活現場にこれが上乗せされるとなると、成績優秀者及び学歴レベルが高い者だけが生き残る社会になるのかもしれない。

こういった危機感を持っただけでは危ういが、それよりも心配になるのは特に就職率が高いことを公言していた大学であろう。

中小零細企業がどこまで生存できるのか分からないが、今後企業自体の存続危機も見込まれるはずだ。

採用基準ベースとされていた大卒、そしてその大卒の大半が大学キャリアセンターなどを利用して就活していたに違いない。

もし今後本格的に就職難で売り手から買い手市場へと変化してしまったら、困るのは学生などの若い人材である

昔のように資格がなくても働けるわけでもなく、実力+有力な資格必要とされるだろう。

そこから考えるとすれば、日本では中学生高校生の進路先として普通科学校ではなく、高専のような職業に直結したカリキュラムに基づいた教育に流れてもおかしくない。

将来的には学校の授業で早い段階から自分人生設計について考えさせるようになり、その職に就くための具体的な教育が徹底されると予想できる。

これは悪いことではなく、これまでに行わなかったツケによる改善の機会であると思う。

2016-04-26

OAuthのことを1ミリも知らない俺が

OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324

http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html

OAuth がうまくいかない理由と、既存サービスゼロデイ攻撃方法

OAuth とは

認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。

OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。

おことわり

前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。

言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたお気に入りOAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。

また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法OAuth を使っているサービス利用者であっても、また自ら OAuth ベースサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。

記事の構成

この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。

この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。

この前書きのあとは、まず OAuthセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。

その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。

最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。

責任ある情報公開

いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーOAuth ベースサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースシステムの主要なセキュリティ欠陥は非常に蔓延しています。

筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。

というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。

ここで言及されている情報やリンクされている情報は今のところ既存のサービス悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のもの破壊するのではなく改善することを目指してください。この記事は、自社サービス不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。

想定する利用形態

この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。

まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。

ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッショングループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。

ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。

ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的営業部門メンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。

問題点

セキュリティ関連
認証情報の盗難 / アクセス権の詐称

トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティアプリサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:

上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。

さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:

  1. ユーザサードパーティアプリ/サービス (たとえば AFCP) を訪ねて、特定のサービスと統合したいことを知らせる。
  2. AFCP は、EVS でホスティングされた特別なログインページを出してユーザに EVS の認証情報を入力させる。
  3. EVS は、その指定したアクセスレベルユーザが本当にサードパーティ (AFCP) へ与えたいのか確認する。
  4. EVS は AFCP に一種のトークン (複数の場合もある) を提供し、各種 API コールに使えるようにする。

このトークンユーザの認証情報ではありませんから、そしてひとりのユーザひとつアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。

この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。

(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)

(略: そうした詐欺を企業自体が後押ししているような風潮もある)

(略: スタンドアロンアプリなら、ログインを詐称する必要すらない)

この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザ組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?

クライアントアプリユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザインストールするネイティブアプリすべての信頼性に自分で責任を負う。

さらに

クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。

基本的に言って、OAuthセキュリティガイドラインは、OAuth を利用する開発者ユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。

私の知る主要な OAuth ベースサービスはほぼすべて、ここに概説した手法で攻撃可能です。

OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者管理者に「OAuthもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。

OAuth サービスに偽装

OAuth ベースサービス設計でよく見かける間違いは、ブラウザ用に、パラメータひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリサービスユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローOAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。

「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。

EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に FacebookGMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebookユーザは全員 GMail に対して Facebookのもののふりをすることができてしまうということです。

この問題は、OAuth エンドポイントユーザウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。

ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。GoogleOAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローひとつあります:

client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)

Citrix もこんな間違いをしています:

(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)

Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースサービス開発者でさえも似たような状況で潜在的ヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。

サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービス一般的にいって独自の「SDK」を提供しており、サードパーティ開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。

この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアント機密情報を取得する脅威」に分類されています。しかしサーバウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームOAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレード参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。

おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。GoogleOAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントウェブブラウザベースアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフロー標準的ブラウザ用のエンドポイントコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。

前掲のセキュリティ文書は、 このエントリーをはてなブックマークに追加ツイートシェア

2016-02-15

うわー。

数ヶ月前に右翼だの左翼だの(このへんのことに興味が無さすぎて知識が薄い)ではてなやらまとめブログやらに載りまくっていた某氏の勤めていた某社との取引禁止になった…。

すげえな、個人でやったことが、もちろん企業自体監督不行届とか処分の甘さとか社内セキュリティポリシー問題とか色々あれど、ここと取引したら反社会勢力と見なされかねないのでやめとこうねリストに載ってしまうのか

恐ろしいな。

あと、事件から半年経たないとそれを反映できない制度(我が社が変なのか、我が社が指示を仰いでいるなにがしかの仕組みがなのかわからない)のゆっくりさ加減もびっくりだ。忘れていたニュースを思い出させて貰った。

2015-09-11

から鬱陶しい

弊社の定時は8:30で、フロア60人くらいの社員は全員7:30くらいに出社してる。おじいちゃんは朝早い。

企業自体はすごく大きいので、若い人とか外国人とかまあいろんな人がいます

それで、最近一部の若い人が9:30くらいに出社するようになったの。

それ自体は既に裁量労働からいつ働いても制度的には問題なし。

ただやっぱり心情的に嫌な人がいるみたいでそれが鬱陶しい。

会社についたら、「私の若いころは定時前に来るのが当たり前だったのよー」とか

事故にでも遭ったのかと思ったー」とか、もともと10時出社って宣言してあるのに。

「早く会社来たほうがいいよー」とか、朝眠いし。

もうねー、ほっといて欲しい。

いつ来てもいいって部長も言ってるじゃん。

毎朝うるさい!

2013-02-20

おいでよ ピペドの森2 ~バイオ生物系)の進路・就職について~

http://anond.hatelabo.jp/20130220004202

の続き

進路に関するQ&A

ここはぼくが今までの経験から進路について思うことをQ&A方式で書いておくね。

もちろんぼくの個人的意見から絶対に正しいとは言い切れないけど、結構参考になると思うよ。

少なくとも、単に合格実績を上げたいだけの予備校進学校進路指導よりは何倍もいいと自負しているよ(笑)

Q.バイオを学ぶにはどういう学部学科があるの?

A.バイオ系は広い。

対象は野山に出て動物植物を追いかける研究もあれば、研究室毎日細菌相手に実験ってのもある。

また、研究目標も基礎研究と応用研究がある。

基礎研究は「生命現象の追求」が目的

一方、応用研究とは、「基礎研究で得られたものを利用して人類利益をもたらすための研究」のこと。

応用研究をメインにしているのは、医療系(医学部保健学部薬学部歯学部)・農学系・工学バイオ系。

基礎研究をやっているのは主に理学部だけど、理学部だけってわけじゃなくて、応用系の学部でもそれに近い研究室はある。

から基礎は応用系の学部学科に行っても学ぶことは可能だよ。

逆に、理学部では応用は絶対に学べない!これは要注意!!

また、よく基礎研究高校勉強で言うところの「基本」と勘違いしている人がいるけど全然違う!

高校教科書に出てくる練習問題の基本問題ってのは単に簡単な問題ってこと。

一方、基礎研究とは応用研究に比べて簡単ってわけじゃなくて応用性を持たないってこと。

応用性がある方がおもしろいと思うか、ない方がおもしろいと思うかは人それぞれだからそのあたりは

きちっと考えた方がいいよ。

大学学問は興味がなければ苦痛なだけだから・・・

文句を言ってもそれはきちんと選ばなかった自分が悪いわけだからね。

あと思うのは、最近では「環境」って名の付く学部学科結構あるけど、ぼくはそこには行かない方がいいと思う。

だって中途半端なことしかできないから

18歳人口が減っているのに、大学学部学科が増えているのは単純に収入源を確保したいだけなんだ。

からそういう新設学部に行ってもきちんとしたことを体系立てて勉強するのは難しいし、就職でも企業判断

できないから、かなり不利になってしまうことが多いよね。

きちんと環境について学びたいなら、工学部農学部のような100年以上の学問体系を持った学部に入ってそこで

きっちりと勉強すべきだよ。

そしてそういったことができる企業官庁に入って仕事として環境をよくする方向を目指すべきだと思うよ。

環境系の学部に入ってもう技術は身に付かないだろうからね。

Q.バイオ系の学生卒業後の進路はどうなっているの?

A.医学部以外は基本的には大学4年生になると研究室に配属になってそこで卒業研究をやるよね。

たいていの場合学生は一人では何もできないから先輩から教わりながら研究をやる。

大卒学部卒)で就職する人はこの時期に就職活動をするんだ。

就職活動時期は3年生の後半~4年生の前半だよ。

バイオ系の場合就職先は自分で見つけなければならないよ。

高校生の中には「そこそこ以上の大学なら、理系就職は推薦制度があって特に就職活動をしなくてもあっさりと

有名企業に決まってしまう」と思っている人がいると思うけど、それは主に工学部電気電子機械系で

かつ大学院生場合なんだ。

バイオ系は基本的に推薦制度がないから自分で探さないといけないんだ。

しか大卒学部卒)の場合バイオ企業理系職(研究開発職)に就くのはまず無理だから文系的な職種

公務員教員に行く人だけが大学院に進学せずに就職活動をしているね。

一方、バイオ企業理系職(研究開発職)や国公立研究所研究者を目指す人は大学院に進学する。

このとき就職希望者は大学院最初の2年だけ大学院に行って(修士課程という)、就職していくのが一般的

このとき就職活動時期は修士1年の10月~修士2年の夏くらいまで。

じゃあ、肝心の就職実績はどうかと言えば、これがかなり厳しい・・・

バイオ系の企業って主に製薬系と食品系に別れるけど理系職の採用なんて1社あたりせいぜい

15人程度しかないんだ・・。

そのたった15人の採用枠を巡って数千人が応募するわけだからかなりの激戦だよね。

しかバイオ系の企業自体数が少ないからさらに激戦に・・・

から多くの人は希望通りの進路はとれないんだ・・。

せっかく高校時代に夢を持ってバイオ系に進学したのに6年も経ってから希望が叶わなかったなんてそれはないよね・・。

でもそれが現実なんだよ・・・(汗)。

ほんと厳しい・・・

じゃあ、希望就職ができなかった人はどうするかってことなんだけど、人それぞれだよね。

希望じゃない職種就職する人や無職になる人、仕方なく博士課程まで進学する人。

バイオ系の学部学科HP就職先をきちんと書いていないHPが多いのはこういう理由なんだろうね・・・(汗)。

公立研究期間を目指す人は博士課程に進学する。

3年で卒業(修了)できる場合はかなりのやり手であって、+1~2年くらいは修了は遅れることは

当たり前だと思った方がいい。博士課程はきちんとした研究成果を上げないと修了できない制度から

博士に上がる前に自分の力量をきちんとわきまえておかないと何年経っても修了できなくて

ドロップアウトってことはよくあるんだ・・・(汗)。で、めでたく修了できても就職先はないことが多い。

研究所就職できたとしても、ふつうポスドクって身分になるんだけど、そのポスドクになるのはかなり難関で、

なれたとしてもポスドクは2~3年の任期制からその間にきちんとした研究実績を上げられないと

あっさりクビになってしまうんだ。もちろんそこでクビになったら別の就職先なんて見つけられるわけない!

だって30歳近くになって会社勤めしたことない人を雇いたいって思う会社なんてあるわけないでしょ・・・

ドロップアウトが待っている・・・

基本的研究者世界芸能界スポーツ選手世界だと思った方がいい。

ほんの一握りのできる人だけがのし上がっていけて、他の能力のない人は消されていくんだ・・・

かなりの覚悟必要だよね。

Q.大学院入試院試)は難しいの?

A.バイオ系の場合大学院入試院試)は大学入試と比べるとものすごく簡単。

そのまま同じ研究室で上に上がるだけなら、院試前に1~2ヶ月勉強すればあっさりと受かってしまものだよ。

同じ研究室にそのまま上がっても入学後の1日の生活基本的には変わらないよ。

から、同じ研究室大学生大学院生という身分の違う学生が2種類いることになるんだ。

おもしろいでしょ?

別な大学院に行きたい場合は、行きたい研究室先生と事前にメールとかで連絡を取ってその研究室挨拶に行こうね。

院試も外部受験だと内部で受けるよりハンディはあるけど、研究室訪問をしたときに何とか院試情報を先輩から

聞き出して(先生からは聞かない方がいい)、有利に受験を進められるようにしようね。

注意しないといけないのは、大学院には2種類あって『研究大学院』と『専門職大学院』があるんだけど、

バイオ系の学生が行く大学院ふつう研究大学院研究大学院は「単に研究をのみするところ」なんだ。

一方、専門職大学院とは、最近注目されている法科大学院会計学大学院のように「特定専門職に就くために

いろいろな先生からいろいろなことを学ぶところ」だよ。

法科大学院司法を目指す人を養成するところだし、会計学大学院会計士を目指す人のために大学院だよね。

よくある勘違いは、研究大学院なのに専門職大学院のような期待をして進学することがあるんだけど、

これは大きな間違いだよね、研究大学院はいろいろなことは学べないよ!普通特に資格も取れないよ。

あくま研究第一主義だからね。

Q.バイオ系の教授研究室にいる学生をどう思っている?

A.悲しいけど、ただの「使いっパシリ」としか思っていない先生が多い。

大学先生ってのは自分研究室研究業績が上がることで、自分の名声もあがるシステムになっているから、

できるだけ多くの学生研究室所属させて、その学生にいろいろ研究させたいと思っているんだ。

研究室基本的生活って、毎日に朝9~10時くらいから夜11~12時まで実験ってことが多いから

人を雇おうとしても激務すぎて労働者は寄りつかないし、先生給料を払わなければならいから

タダで使える学生研究をさせて研究室の名声を上げようと考えている先生が多いよ。

先生も安定している職業じゃないから、いい研究成果を出せないとクビになってしまうこともあるからね。

から先生必死なんだ・・・

もちろんすべての先生がそういうわけじゃないから、どの先生につくかはきちんと噂などをゲットして考えた方がいいよ。

失敗するとマジでヤバいからね。

Q.ぶっちゃけ、どういう進路がお得?(またはバイオ系と電気電子機械系ならどっちに進んだ方がいい?)

A.こういう質問が出るのは将来のことをあまり考えていないからだよね。

そういう場合はまず自分がどういうことをしたいのか、あるいはどういうことをしたくないのかを

きちんと考えるようにすることが先決だよ。もちろん、一人で机に向かって考えるだけじゃ答えは出ないから

いろいろな人と話したり、バイトをして職業について考えてみたり、ネットでいろいろな噂を見て判断してみるのがいいよね。

それでも決められない場合、あるいは同じくらい魅力があると思える場合は、ぼくだったら次のようにするよ。

まず、医療研究がしたいなら、医療系の学部医学部保健学部歯学部薬学部)に進む。

どれも難関だけどね。

医療研究医療系の学部に進学しないとまず無理だからね。

それ以外のバイオ系の学部では人を対象にした研究基本的にはできないから入学

フラストレーションたまるだけだよ。もちろん医療系の学部と言ってもいろいろあるし、学部大学

よってもやっていることが全然うから自分のやってみたいことができるような大学学部を選んでね。

そのための情報集めは怠らないように!!

医療研究に直接興味がないなくて、バイオ系と電気電子機械系を天秤にかけるなら、

何のためらいもなく電気電子機械系に進学すべきだと思うよ。

やはり日本電子立国からこれらの学科だったら就職に困ることはまずないからね。

学生1人に対して求人企業が10~50社くらいあるから引く手あまただし、この系統だったら

推薦制度があるからかなり楽に就職先を決められるからね。

確かに最近は推薦制度でも絶対採用されるわけではなくなりつつあるけど、それでも普通に就職するよりも

はるか楽だからね。

ついでに書くと、機械メーカーへは機械系よりも電気系の方が入りやすいし、

電機メーカーへは機械系の方が入りやすいらしいよ。

まあ、自分が何がやりたいかが大事だけどね。

一番悲惨だと思うのは、基礎研究に興味がないのに理学部に進んでしまう人・・・

別に生物学科に限らず理学部は基礎研究しかしないから、「人の役に立ってこそ研究」と考えている人は

理学部には絶対に行ってはいけない!間違って入ってしまった人は再度大学受験をやり直して応用系の学部に行くか、

2~3年生で応用系の学部に編入する(制度があるかは微妙)。

大学院で応用に移ろうとする人がいるけど、院試の科目が違いすぎてなかなか受からないし、受かっても

就職では企業学部時代にどんな勉強をしていたか大事にするから、かなり不利になってしまうよ。

ぼくの個人的見解としては、基礎研究に興味があっても、学部はとりあえず応用系に進んで、

きちっと技術資格免許を取得したうえで、同じ学部にある基礎の研究室に行くか、理学系に進学するのが

いいだろうね。

基礎しかやらない理学部に入ってしまうと技能とか資格免許は取れないものから教員免許以外)、

将来を考えるとかなり損をしてしまうことになるからね。

もったいないよ、そんな人生は。

以上

 
アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん