  |
はてなキーワード: 情報システム部門とは
残当な結果として派遣が基本の中小SES企業に就職が決まった。
そこの人たちはみんないい人で派遣だから見下したりするってことは全然しないんだけど
給与とかボーナスの額を聞くと爆笑できるぐらいの格差があった。
30代で年収300万台でこき使われるの限界でコンサルファームへ転職した。
Fラン出身の俺からしてみれば新卒だったら学歴フィルターで絶対切られるような場所に入れたの驚き。
研修中によく言われること
「お客様からしたら一人前のエンジニアとして見られるちゃんとしろ」
「クライアントからしたら職位でこれぐらいはできるだろと見られるからちゃんとしろ」
やること
あれ?なんかSESと似てね?
給料は冗談抜きに2倍になったし、知名度も〇〇勤めてますっていうとかなり驚かれる。
本質的にやってることって客のシステム考えて作ってってことで対してかわってねーなと思う
なのでSESでヒィヒィしてる人はコンサル業界目を向けてみるといいかも
はっきりいってやる気は給与に左右される、クソ給与でコンサルの仕事もエンジニアの仕事もやってらんねえ
単純に金がよければやる気も気力も湧いてくる。
https://anond.hatelabo.jp/20210228121158
あれから約1年。久々に見ると、それなりに反響があったようだ。
記載の通り、自分は某国立と名の付く病院を辞め、現在は民間企業の情報システム部門のエンジニア職だ。
辞したことは後悔していない。待遇も収入も向上し、環境が良くなり、第一、今の職場は同僚が良い人だ。
上場企業であり、海外の売上が高く、企業名は誰でも知ってると思う。
公的な機関での医療情報の世界から飛び出て、客観的に前職を見つめることができる今、はやり前職は特殊(というか閉鎖的)だったと思わざるを得ない。
前職で目を疑った出来事の1つが、アルバイトの非常勤職員に物理的・精神的暴力を振るう医療情報技師がいたことだ。
しかも、さらに上の管理職に露見しないような場所で行われていた。
上司に対する不満を、上には言えないものだから、立場の弱い職員もしくは請負業者にぶつけていたのだが、現在の職場ではそのようなことは有り得ない。
現職は、ハラスメント対策には非常に厳しく、社員1人1人の意識もそう荒んではいない。
暴力行為なんて私は想像を絶するのだが、国の機関(法人とは言え)で行われていることを目の当たりにしたのがショックだった。
請負業者の社員が頻繁に退職する理由は、おそらく、これだった。
外部業者にも内部通報ができるのだが、制度を教えていなかったと思う。
というのも、某国立病院にいた時、常勤職員であるというのに病院のことを何も知らない人が一定数いたからだ。
業務を切り分けているというより、そもそも責任を含めて時短勤務の非常勤職員(要はアルバイト)に丸投げする例は多々見た。
責任に応じた給料が支払われているという意味では今の職場はちゃんとしているし、逆に言えば、前職の某国立病院はそうではなかった。
縁故採用は賛否両論がある方法で、招聘した人物にも責任が発生するから安心感があるという側面もあるが、反面、
機能しない人物だと後で判明した場合でも、責任問題にされることを恐れてか、仕事はアレでも評価はなぜか良好で管理職に順調に昇進させられるケースが発生する。
事実、某国立病院ではそういう人がいて、その人は周囲からも管理職からも「何をしているのか分からない人」と言われ、すぐに終わりそうな単純作業を深夜まで必死に頑張っていたりしていた。
縁故で呼んだ責任もあるだろうが、トップが実務を理解していないのも一因だ。
呼び入れた人物が評価者なのだから評価は恣意的になるし、組織全体としてはガバナンスの欠如である。
「公募採用」では縁故は禁止されているが、おそらく、どこの独法も似たり寄ったりだろう。
実務経験ゼロ、かつ業者に実務を丸投げする中途採用の情報専門職が行う医療情報(応用情報研究のくせに)の研究なんて、どれほど有益なのだろうか。
今の職場は能力的に適正に評価された人物でないと昇進ができないから、まだ健全だ。
02/03追記
思い出しついでに、追記する。
国立と名の付く某病院の職員のことを思い出すと、考え方というか意識も公務員特有だった(みなし公務員ではあるが)。
何が特有かと言うと、端的に言えば傲慢な意識だ。全員がそうではないが、民間の今では見ることはない気質だった。公的機関の常勤職員というのが彼らの最大のステータスだから。
とにかく勉強偏重な人間が多いから、細かいミスに気付くのは良いが、ある旧帝大卒の人なんてExcelの設計書に余計な半角スペースを1つ見つけるだけで罵声を浴びせかける。そんな些細な粗探しをしても実務的な効用は一切ないのだが、その人物を満足させるためだけに時間を割く必要がある。ただ、IPA資格の高度を複数持っているし旧帝大卒だから、管理職からの評価は高かった。
医療安全講習は全職員が受講するが、「心理的安全性」に関する講習を聞いたであろう直後に非常勤職員に罵声を浴びせかけるところを見たので、学歴があることはイコール知的とは限らないのだな、と思ったものだった。
その人が、自分が知ってる中では一番偉そうな態度の人だった。ただ、管理職に対しては素直で従順だった。縁故採用で入職した人物だから、評価が悪くなることもない。
相手が常勤職員か、請負業者・非常勤職員で態度を露骨に変える職員はそれなりにいた。
これもやはり現職とは違う。
既に書いたが、自分ではない。
けど、同じ業界にいて同じ境遇の人物がいるというあたり、この業界の閉塞性、将来性の無さ、排他性、旧来型の権力構造…を感じた。
まともな職場もあるかもしれないけど、私が見た医療情報の世界は腐っていた。
既に権力を持った層にはいいだろうけど、何の将来性があるのか、分からん。
バイバイ、医療情報技師、診療情報管理士、そして医療情報学会。
2022.01.21
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
「いやー、参っちゃいました……」
先日、筆者が懇意にしているITベンチャー企業の取締役からこんなメッセージを受け取った。
彼女が取締役を務めるこの会社は、企業向けのクラウドサービスを提供している。ある日、大企業の情報システム部門から引き合いを受けたとのこと。話が進み、受注する流れに。ところが彼女はその後に先方から言われた一言に驚く。
「このサービスの構築と運用に関わる、技術者の経歴書を提出してください」
パッケージの教育プログラム利用に独自の書類提出を求める大企業も
クラウドサービスを利用するのに、相手方の技術者の経歴書を求める。何とも理解に苦しむ話である。この情報システム部門の担当者は、クラウドサービス、いや、サービス提供型のビジネスモデルを分かっているのだろうか。
これまでの受託型のシステム開発のお作法そのままに、悪気なく相手に経歴書の提示を求めている可能性も否めない。クラウドサービスの事業者を、請負や派遣やSESのベンダーと勘違いしているのであろうか。そうであるにしても、個人の経歴書や履歴書を求めるのは契約形態によってはNGまたはグレーであるが……その点についてはいったん脇において話を進める。
製造業型のプロセス&ルールを踏襲する情報システム部門の問題地図
筆者も最近、似たような経験をした。当方が提供する、とある人材開発・組織開発プログラム(テーマはDX関連)に関する話だ。これは、れっきとしたパッケージサービスであり、金額、申し込み方法、支払い方法はWebサイトに明示している。
ある日、ある大手製造業の情報システム部門から申し込みがあった。そこまではよい。
まもなく、その部門の経理担当者(と思われる方)から一通のメールが。ファイルがいくつか添付されている。取引先登録書類を提出せよとのこと。お約束のように押印欄まである。
半分はネタだと思うけど、この記事を見ると本当に似たようなシチュエーションはあるんだろうなあ
https://enterprisezine.jp/news/detail/15208
メタップスは、情報システム部門に所属している会社員514名に対し、1人で社内ITインフラを担当する、いわゆる“ひとり情シス”に関する実態調査を実施した。
「Q1.あなたの会社では、現在社内のITインフラを担当している人は何人いますか。」(n=514)と質問したところ、「1人」が11.4%という結果になったという。
“ひとり情シス”のうち6.8%は、従業員数「1,001~5,000名」の大企業に勤務
Q1で「1名」との回答者に、「Q2.あなたのお勤め先の会社・団体の従業員数を教えてください。」(n=59)と質問したところ、「1,001~5,000名」が6.8%という結果に。従業員数が「1,001~5,000名」規模の大企業であっても、“ひとり情シス”となってしまっている会社が存在する実態が明らかになったとしている。
“ひとり情シス”の約半数が「1人でITインフラを担当している中で課題を実感」
Q1で「1名」との回答者に、「Q3.1人でITインフラを担当している中で、課題を感じることはありますか。」(n=59)と質問したところ、「かなりある」が16.9%、「少しある」が28.8%という結果になったという。“ひとり情シス”の45.7%が課題を感じていることが分かったとしている。
“ひとり情シス”が感じている課題、「セキュリティ面が不安」が59.3%、「業務の負荷が大きく、手が回らない」が51.9%
Q3で「かなりある」「少しある」との回答者に、「Q4.あなたは、1人でITインフラを担当している中でどのような課題を感じますか。(複数回答)」(n=27)と質問したところ、「セキュリティ面への不安」が59.3%、「業務の負荷が大きく、手が回らない」が51.9%という結果になったという。
「プレッシャー」や「トラブル時に解決できる自信がない」など不安の声も
Q3で「かなりある」「少しある」との回答者に、「Q5.Q4で回答した以外に課題に感じることがあれば教えてください。(自由回答)」(n=27)と質問したところ、「プレッシャー」や「トラブル時に解決できる自信がない」などの回答が得られたとしている。
50歳:予算がない
34歳:疲れが見えてしまう
58歳:プレッシャー
本調査では、社内のITインフラを1人で受け持っている企業が一定数おり、そのうちの約半数が課題を感じている実態が明らかになったという。同社は、“ひとり情シス”が抱えるセキュリティ面や業務負荷の課題に対して、「メタップスクラウド」によって、効率化やセキュリティ面の強化を支援していくとしている。
Nutanix × ネットワールド対談 ニューノーマルを見据えて企業が目指すべきVDI環境とは?
SpecialIssue
2021/07/01 09:00
コロナ禍で急きょ、業務継続のためにVDI環境を導入してテレワーク対応した企業は多い。だが、今になって急ごしらえの環境による生産性の低下、運用負荷などの問題が顕在化し、新たな課題となっている。今回は、ニュータニックス・ジャパンのエンタープライズ営業統括本部長である江副桂太氏と、ネットワールドのマーケティング本部インフラマーケティング部データセンタソリューション課で業務に従事する金谷宗也氏に加え、多くの企業にテレワーク環境の導入を後押ししてきた総務省テレワークマネージャーの家田佳代子氏をゲストに迎えて、テレワークという働き方が定着するニューノーマル時代を念頭に、今後のあるべきVDI環境の姿をテーマに語ってもらった。
――これまでを振り返って、企業のテレワークに関する動向や変化はありますか。
家田 私は6年以上前から総務省テレワークマネージャーとして、企業のテレワークの相談に乗ってきました。当初の目的は生産性向上が中心でしたが、働き方改革関連法案の成立からはそちらにシフト。さらに昨年のコロナ禍で、その対応のために多くの企業が付け焼き刃的にテレワーク対応を余儀なくされた、というのが現在までの流れです。日本テレワーク学会では、この20年の取り組みで普及が進まなかったものが、この1~2年で一気に進んだという話をしています。
家田 佳代子 氏
家田 企業別の傾向では、まず大手が取り組みをスタートして、中小企業に降りてきました。業界別では、IT系の企業から始まり、大手ゼネコン、設計・デザイン会社、また、AI、ARなどの技術の普及で工場系の企業にも浸透してきました。コロナ以降は、医療・介護系が目立ちます。これはクラスターの発生が施設全体の閉鎖につながるためです。
家田 当初は、何をしてよいのか分からず、仕組み自体から教えてほしいという相談が多かったです。今は、導入したシステムが適切なのか見てほしい、あるいは、急きょ対策することになったが、どんなシステムが推奨されているのかなど、システム寄りの相談が中心です。これは大手も中小も同様で、相談を受ける先も情シスではなく、人事や経営企画からの相談がほとんどです。これも働き方改革を目的としているためだと思います。
――お客様のニーズに対応されてきたニュータニックスさんは、昨年の緊急事態宣言時と、現在とで変化を感じますか。
江副 コロナ禍以前のリモートワーク環境は、ノートPCの置き忘れ、データ漏えいといったセキュリティ対策の観点から、シンクライアントなどデータを端末に残さないVDI環境を検討されるケースがほとんどでした。コロナ禍では、ほぼ自宅で作業するので、従来のFAT-PCでも大丈夫という認識から、VDIから戻すケースもあります。その理由は単純にコストで、他に管理性などの理由もありますが、コスト比較ではPCの単価がかなり下がっているため、十分ではないかと考えられるようです。
江副 桂太 氏
――家田さんは、テレワークマネージャーとして120件以上もの企業のテレワーク導入をサポートされてきたわけですが、FAT-PCとVDIの導入傾向はいかがですか。
家田 かなり以前から大手企業の多くはVDI環境を導入されています。その見直しの時期に差し掛かったところで、FAT-PCとVDIの選択を検討されるわけですが、VDIを選択する第一の理由はセキュリティですね。VDIに対して中小企業はハードルの高さも感じています。まず、専用サーバーが必要であることが大きいと思います。
――急きょテレワーク環境を導入して一段落した今、浮き彫りになってきた問題点は。
家田 システムのほか、マニュアル化、チェックシートなど企業自体の運用体制を含めて環境が整備されていないため、情報システム部門の方に、さまざまな相談やクレームが寄せられて、残業を余儀なくされているというケースが目立ちます。また、人事評価と労務管理にも問題が出ています。
江副 コロナ禍対応で、事業継続を第一に考え、他のことにはある程度は目をつぶっても、いち早くテレワーク環境を実現することを最優先にシステムを導入したケースが多かった。そのため、拡張性や管理性などは考慮されていませんでした。そこで、今になってVDIのサーバー追加などをしようとすると、苦労するケースが見られます。旧来のやり方で作業すると数カ月掛かることもありますが、その間に人の流動があると状況も変わってしまいますから。Nutanixを基盤とするVDIソリューションが選ばれるのも、そうした拡張性などの高さが評価されたためと考えています。
江副 緊急事態宣言下では、保守作業に人が出せないことも課題です。その点でも、Nutanix製品は、もし故障しても自動的に修復する機能を備え、データは保護されています。最悪、すぐに駆け付けられない場合でも時間的な猶予があります。以前であれば、当日4時間以内に駆け付けなければならない、ということもありましたので、お客様にとってもわれわれにとっても、安心感を提供できるものと自負しています。
江副 アプリケーションの観点では以前、VDIは業務使用がメインでしたが、コロナ禍以降はWeb会議などのコミュニケーションが加わりました。これらはシステム負荷が大きくリソース追加が必要になった場合、それが容易なNutanixのメリットが生きます。また、昨年はみんながPC調達に一斉に動いたことで、供給不足が起こりました。その際も、リソースプールから優先順位に応じて割り当てできたことが、お客様に評価されています。
さらに、FAT-PCではWindowsアップデートやパッチの適応など運用の問題もテレワーク環境では難しい作業です。VDIならセンターから一括して実施、統合管理ができるというメリットがあります。Nutanixは1台でも、10台でも、100台でも、同じ画面で同じオペレーションで管理できることが大きな特徴で、1人でも運用することが可能です。
――一度導入した他のテレワーク環境から乗り換えるユーザーはいますか。
江副 テレワーク環境に限らず、今は、全面的なシステムの切り替えを決断するのは、難しい時代だと思います。そこでスモールスタートして、パフォーマンスや業務要件が合うのかをチェックした上で、拡大していくというケースが多い。Nutanixはスモールスタートが容易で拡張性が高く、IT投資を最適化できるというメリットを提供できます。
金谷 Nutanixが優れているのは増設が容易なことで、実際、昨年から今年にかけて既存のNutanix環境に増設したいという問い合わせが増えました。特に、人が出せないという状況下で、簡単に増設できるというNutanixのメリットが活きています。同時に運用担当者に負荷を掛けない容易な管理、サポート品質も高く評価されています。
金谷 宗也 氏
家田 ユーザーにとって、しっかりしたサポートが受けられるという安心感はとても大きく、特に、コロナ禍ではシステム担当者が自分でサポートに出向くよりも、サポート料を払ってもベンダーに頼みたいというニーズが強いようです。
――ポストコロナを考えた時、どのような観点でテレワーク環境を整備すべきですか。
家田 まず、性善説/性悪説(徹底した管理)のどちらを選択するかという観点からはじめ、ゴールを決めて、それに向かって最適なシステムを選択することが、後戻りしないための方法です。セキュリティの確保は第一ですが、がんじがらめであることは使い勝手を損なうのでバランスが大切です。スモールスタートは投資を無駄にしないためにもとても有効な手段で、各部署から選抜した人でスタート、問題がなければ全社展開します。システム以外では、上司と部下でコミュニケーションをしっかりとることをお勧めしています。
――FAT-PCとVDIの選択で悩まれるお客様には、どのようなアドバイスを。
江副 セキュリティ確保を目的にVDIを導入したお客様が、セキュリティに目をつぶってFAT-PCに戻すような選択はするべきではないでしょう。仮に使い勝手に問題があれば、用途に応じてクラウドの選択もある。われわれも、クラウドサービスとしてNutanixを利用できる製品をリリースしているので、オンプレ、クラウドを含むハイブリッド環境で、お客様が適材適所に使い分けるというニーズにもしっかり対応します。
PCかVDIかの比較論は多いのですが、最終的にはシステム全体で見た時のアプリケーションをどうするか、基幹系を含めたDXなど、全体の中の一つの要素にすぎません。そこだけを見て判断すべきでなく、全体最適解という観点で選択されるようお勧めしています。
金谷 当社でも、何が目的なのか、セキュリティの強化なのか、働き方改革なのか、それともBCP/DR対策なのか、お客様の本来の目的を判断した上でディストリビューターの立場ならではの最適なシステム提案ができると考えています。
江副 ニュータニックスは、これまで主にHCI分野でビジネスを展開してきましたが、VDIに絡む部分でも、プロファイルを置くような領域でFiles(ファイルサーバー機能)を提供していますし、追加コストなしで利用できるハイパーバイザー「Nuatnix AHV」も活用いただければと思います。
金谷 最近、VDI導入の相談を受けた時は、Nutanix Filesも一緒にご検討されているお客様が多いです。お客様としても、ベンダーが異なるとサポートが別になって面倒と感じるようで、インフラ部分はニュータニックス製品で統一したいというケースが目立ちます。
"IT土方"って多重下請け構造のSIerを指してるんだと思うんだけど(差別用語イクナイ!)ここからの脱出はどうしたら良いんだろうね。
自分はこの業界にはあまり詳しくないけど思った事をつらつら書いてみる。
増田は、GAFAとかメガベンチャーとかに入り込むのは「茨の道」だと感じてると思う。
増田のスキルセットが分からないけど実際の所そうかも知れない。
面接とかでGAFAとかメガベンチャーに所属している人のこれまでのキャリアを聞く機会も結構あったけど、正直に言ってSIerのn次受けとかで経験を積んだ人はほぼ見たことがない...
Openworkは結構おすすめできるサービスで、体感としては3割くらいは本当の事が書いてあると感じてる。
直接知り合いが居ないような企業の生々しい情報が3割でも得られるなら儲けものだよね。
https://www.vorkers.com/company_list?field=&pref=&src_str=&sort=3
増田から見て転職できる可能性がありそうで、待遇が良さそうな企業を探してみてはどうだろうか?
あとは、Openworkに乗らないような小企業だけど儲かってる会社とか無いかな?
n次請けって、自分に支払われた対価を中抜きされてるから給料が安くなりがちなんだと思うんだけど、中抜きされない方法とか、むしろ自分が中抜きする側に回れる方法がないかとか考えてみてはどうだろう?
3人くらいでSESをやってる企業で、特別なスキルがあったわけじゃないのになぜか某社の情報システム部門から一次請けしてた企業とか見たことある。
あれは、少なくとも社長はだいぶ儲かってたんじゃないかな...
うーん、書いてみたけどやっぱり良く分かってない業界のことだから薄ーい内容になっちゃった!
GAFAとかメガベンは儲かる企業だけど、それに囚われずに色々な手段を考えてみる事が重要だと思う。
逆にスタートアップとかは一見するとGAFAとかメガベンに近い業界に見えるけど、最近は過酷で儲からない企業の方が多かったりする!
「メガベンチャー」とか「SES」みたいな企業の「属性」じゃなくて、
「製品の改善が売上に直結する業態の会社はどこだ?」とか「発注元が支払った額がどのくらい中抜きされずに支払われる会社はどこだ?」みたいにビジネスモデルに注目したほうが良いと思う。
増田に幸あれ!!
我
多忙な日々だった。
1日の勤務は所定で8~6時間だけど、超絶な詰め込みの仕事だった。
完全に、常勤と同じ働き方だった。
ちなみに、私以外の職員はエンジニアでない常勤職員が多かったけど、ほぼ定時に帰っていた。
最初は定時で帰れていた。
自分自身の生き方として、私は病気になった家族と一緒に過ごしたかった。
それに、多少は前職の製造業(IT事業がメインだったが)で貯蓄を作れていた。
裕福では全然ないけど。
人間関係は悪くなかった。
どちらかと言えば、上司・同僚も良い人たちだったと思う。
工数の概念はないし、納期ものんびりペースで調整させてもらうことができた。
開発の経験もあったし、Excelは当然のこと、AccessもVBAもSQLも余裕中の余裕だから、現場の仕事では人気になれた。
だから、常勤職員が絶対にやりたがらない電話対応とか、ヘルプデスク対応も、進んで自分からやった。
最初は定時で帰れるように他部署と調整しつつも、上司に提案したりして、新しい仕事も掴みとっていった。
でも、どんどん苦痛になっていった。
非常勤は基本的に雑用ばかりを押しつけられ、楽しそうなやりがいのある仕事は全部常勤職員が取っていくからだ。
でも、仕事の量はどんどん増やされていく。
「残業をつけずに働いたほうが働きやすいよ」とか、「ここの職場では常勤職員と同じように働いても大丈夫なんだよ」とか、
暗に、常勤職員並みにに働くことを求められたことは頻繁にある。
あと、信じられないことも言われた。
「常勤職員並みに働かないと、来期の契約は結ばない可能性がある」
だって。
情報システム部門の管理職(部長・室長)は、現場の仕事の実態を何も理解していなかった。
これが大きな問題だった。
管理職に、システムの実務を経験したことのあ職員が皆無だったのだ。
職員のスキルの実態については、自分以外は誰もAccessさえまともに使えなかった。
Accessを起動してテーブルを参照できるレベルの職員のことを、上司は「Accessができる」と高評価していた。
Accessが使えればSQLも自動的に理解できる、それくらい簡単なのだと言っていた。
バカかよ。
私とは別に委託業者もいて、ヘルプデスクは基本的には業者が対応していた。
私が辞めたあとは、全部そちらに丸投げするらしい。
ヒラの職員からは、「いなくなったら職場が大変になるね」と言われた。
「下の人間がやる仕事」、「外注に回す仕事」と思っているらしい。
SESを馬鹿にするわけではないが、ヘルプデスクに技術的対応ができるSEなんて、ほぼいないのが現実なんだけどな。
上は、ITの実務・現場対応に関しては、「自分たちの仕事ではない」という意識らしいのだ。
辞めた後、私の個人携帯にはヘルプデスクの外注業者の方から、度々、「教えてほしい」のメールが来る。
でも、自分もそうだったのだ。
私は、これでも、やりがいを持って働いていたんだ。
最初はね。
公的機関(とある病院)で情シス部員として、もう何年か勤務しているが、なかなか酷い。
公共機関全部が一緒じゃないことは分かっている。
理由は単純で、正職員が「定時で帰りたいから」と、「やっかいな仕事はやりたくないから」(正職員のくせに)。
あと人によっては、実務担当職で採用されているのに「研究がしたいから」を理由に請負業者に丸投げしている(口では言わないが、見てたら分かる)。
ちな、請負業者は契約を切られたくないから、理不尽でもやらざるを得ない。
医療情報部的な部署がある医療機関になると診療情報管理士がいることもあるのだけど、
ITとか全然知らない人も多いので、文書とか診療情報のことに関しても、
「ITとか全然分からないから」ということで「保守・運用管理」だけが契約範囲の業者に丸投げする人もいる(管理士の仕事なのに)。
ただ、診療情報管理士が個人的に丸投げしているわけではなく、当病院では部署ぐるみ。
実際はできないから投げているのではなく、雑用だと決めつけ、やりたくないから、投げているのが実態。
正職員を甘やかしている。
まぁ、でも、当院の診療情報管理士について言えば、とりわけ、丸投げとか「これは私の仕事じゃない」とすぐに逃げたりするのですけどね(システム職ではないが)。
「システムのことなんて分からない」と言えば、すぐに誰かに押しつけれる(請負業者に)。
請負・非常勤が大変な状態になっていても、「役割が違うから」と手助けすることは一切ない。
反対に、正規職が大変な時は、請負・非常勤は手助けをするように求められる。
医師・看護師が怒っても責任も含めて丸投げしているのが現状だから、改善しない。
現場から怒られるのは責任の重いはずの正規職員ではなく、半分は組織の外側にいる請負業者の社員と非常勤職員。
逆に、忙しい人間を尻目に、半日以上も政治の雑談したり、業務的に必然性のない資格の勉強をしている職員も実際いる。
不健全でしょ?
で、「自分、公務員だぞ、いいだろ」という態度出てるんですよ。
そのくせ、指示されなければ何もしないのだけどね(当院について言えば、これは管理士・事務方に多いな)。
「発注側」という高みに立って上から目線になっているのもあるし、
端から見ていると「自分たちは公務員で誰もが羨む天上人」という意識があるようで、
「公務員になれたというゴールを達成」したものだから、自己研鑽するという意欲さらさらない(実際にない)。
ちなみに、自己研鑽をしなくても怒られることはない。評価も下がらない。民間企業ではありえないぬるい職場。
あと、簡単な帳票を作成する作業でさえ、業者に頼らないといけない。
ああ、あと、公的機関は予算は全部使い切るのが基本なのも一因かもね。
手が空いている人もいるのに、請負・非常勤に実務はそちらにふって、業務中に業務に関係ない資格の勉強をする人もいるのだけど、
請負・非常勤の存在がないと、そういう仕事の仕方は成り立たないでしょ。
腐ってるけど。
ちなみに、非常勤職員は1年の任期付きなのだけど、確信犯的に継続を繰り返して任用することが普通になっている。
「時短勤務をしているだけの常勤職員」のはずなのに、経費の安い非常勤にしているだけ。
あとでも書くけど、特定大学のある研究室の就職の受皿になっているせいで、競争試験が形骸化している。
医療情報学会経由かつ、その大学の人間が優先的に採用されるのが実態。
こういう人は大抵がSE実務の経験はないけど、「研究だけはしたい」奴ら。
帳票作れば多少の業務改善もできるのだけど、そんなこともできない。
ただ、研究は大好きらしいので、医療情報学会とか論文の書き方は詳しい。
研究>>>>>>>>実務
という優先順位。
大丈夫、仕事が溜まったら請負業者・時短勤務の非常勤職員にねじこめばいい。
こうして、
という構図ができあがる。
医師や看護師の実務を改善してそれを研究成果にする、なら納得するのだけど、
外部業者・請負業者に分かりやすい資料を作成させて説明させればいい。
そりゃあ、自己研鑽を義務づけたら自分たちが大変になるのが分かってるから、上司ぐるみでちゃんとやらない。
DXもくそもない。
だから、やらない。
だったら、やらないほうが楽だよね?
現場の医師・看護師は大変だけど、「別業務で大変だから」とか「できない」と言えば、何とでもなる。
実態は、暇で手の空いてる人もいるけど。
ちなみに、現場の医療職が怒っても、電話は受付対応は非常勤職種と請負業者に全てやらせている。
これについては、ある診療情報管理士の正規職員がこう言っていた。
「電話や受付対応をすると怒られたり、トラブル対応のために走り回って調べないといけないから、やりたくない」
「専門知識がないから対応できない」とか「正規職員の業務に差し支えるから」、という理由なら理解できる。
でも、そうじゃないのは見れば分かる。
ただただ、高ストレスの仕事で仕事の種類として嫌だから、えり好みしているだけ、なんだよな。
病院という組織の立場に立って責任ある地位にいるから高い給料を貰っているのに、ね
回答の責任も丸投げし、現場の怒りは請負業者・非常勤職員に対応させる。
博士課程で採用された人は、「私、博士卒だから給与はいいですよ〜(笑顔)」と言ってた。
6時間勤務のはずの非常勤職種にも、常勤職員には与えないような詰め込みの仕事、残業が発生しやすいトラブル対応の仕事を与えることも普通。
見る限り、時短勤務の職員が残業をする率が高く、申請もきちんとしていない(あまりきちんとやると「なんで多いんだ」と怒られる)。
人の入れ替わりが多く、どんどん人が辞めていく。
でも、直接雇用しているわけじゃないから、何も問題視はされない。
でも、こうなって一番困るのは、現場の医師・看護師・コメディカルなんですよ!
まぁ、これも大きいよね。
能力じゃなくて出身大学で取るものだから、実務能力も関係ないし、公正な競争もない。
クビにすることもできない。
ちな、公的機関(独立行政法人も)は、採用にあたっては必ず公募をしないとけない。
「博士課程保持者」とかね。
実際は博士課程の人間じゃなくても十分できる仕事なのだけど(そもそも実務の仕事に博士課程は必要とは言えない)、
特定大学の特定研究室の就職の受皿になっているから、要するに、特定者に便宜を図った不公平な採用が行われいるんですよ。
法令遵守してんのかよ。
で、来た博士課程の人と言えば、院卒なのに実務的な対応能力なんて無いんですよ。
実務を担う職種に研究職を無理矢理ねじ込んで研究活動してるもんだから、現場から問合せが来ても他の誰かが代わりに対応しているのが実情。
現場の医療職からの問合せに対して、受付対応・回答(調査をさせたりも)を請負・非常勤職種にやらせ、
正規職はコア業務へ集中したいからと称して、ネットのニュースサイトをずっと見ていたり、資格の勉強をする者もいる。
なんだろうな、こういう意識の持ち方は公務員特有だという気がする(当然人によるよ)。
ああ、そいや、正職員の方々の中には、情報収集に熱心な人がいて、
管理する立場でもないのに請負業者が記録している対応の履歴を業務時間中にやたら細かく見てる人も、一定数いる。
職務上は明らかにする必要ない行為なのだけど、そんな時間をわざわざ作る余裕があるから不思議。
情報収集に熱心なのは、重たい仕事が自分に来ないよう注意してるからだが。
現場対応はできればやりたくないから請負業者・非常勤職員にやらせる、これは本当に多い。
正規職員のイスはもらった。大変なことは別の人にやらせて、楽もしたい。でも、しっかりとした給与も退職金も福利厚生もほしい。
それが実態。
だって、年間の予算全部使い切らないと次年度から減らされますから。
当然、予算で買っている。
なぜMacか?
当人達いわく「かっこいいから」「Macがいいから」だそうです。
でも、「Macがほしいから」というだけの理由でMacを買ってました。
こういうことをするのは大抵、公的機関で純粋培養された職員です。
職場全体は慢性的に赤字なのだけど、経費は使い切るものという意識があるようで…。
無駄遣いすぎることが分かっているので。
あぁ、あと、ブレードサーバーわざわざ買った人いるけど、
あんまし使ってらっしゃいませんね。
研究費は使い切るもんだという意識もあるみたいですが、それにしても無駄遣いでは?
業務効率化も糞もないのに、ボーナス満額もらえるんですよね、国の財源で!
DXなんてできない、というより、DXなんてそもそもやる気がない。
こうしている間にも、医療職はどんどん疲弊しているというのに。
くたばっちまえ。
これが、お前らの言う、コミュニケーション、コラボレーション、コーディネーションの本当の姿だったんだな?
言っても何も変わらないんだ。
だから、ここに書いて残す。
事務の常勤職員(正職員)になれれば業務時間中に日がな一日資格の勉強してる人もいるくらいで、自由に仕事をさせてくれる!
業務中に資格の勉強をするってことは他の業務に対応できる余裕があるってことなのだけど、
そういう余裕をつくること前提で非常勤職員の財源を確保して、実際に手を動かす実務は非常勤職員にやらせて、
自分たちはイスに座って直接対応はしないという前提で「あれやこれや」「こう言っておけ」とか机上の理想論を言うだけだもんね。
職場は情報システム部門なのだけど、特定の大学の研究室の就職の受け皿になっているせいで、上の方々は学会つながりか研究室出身の人が主。
「実務より研究」が優先なので、実務の専門職なのに研究ばかりしてる人もいるよ!
なのに実務の面ではエンドユーザーの前に出たがらないって。笑
(上司に言われた時だけ出てくれるけどね)
研究内容を見させてもらったことあるけど、病院での実現をどうるかについては一切言及がなく、
学部レベルの卒論程度の上に、学会でも相当叩かれていたのに、それで科研費が支給されるという。
医療機関という医療の最前線の組織に勤務しながら、現場での実現性を考慮しない研究が許されるなんて、「コネ採用だからこそ生まれる事象」だよね!
だから、正規職員になれればすごい楽ができるし、うまみがある。
自主的にサービス残業をする職員は「頑張っている」と認められるしね!
大変な人がいても、自分のチームのことじゃないからと、放置プレイもできる!
医療情報技師のコミュニケーションも、コラボレーションも、コーディネーションもあってないようなもの!
そんなのただの理想論!
部署に届く窓口の役割はすべて請負業者のSESに担わせて、後ろに隠れる人の多いこと!
(だから、正規職員になれればストレス面ではすっごい楽なんだよねー、だから、うまみがある)
(実際そうだった)
あと、これも言われた。
「常勤職員と同じくらいの業務量をやらなければ、来期は契約しないから」
え?笑
ちなみに、その方は某学会の委員会の座長も務めるくらいの偉い先生だよ!
「労基法なんて、どうでもええ」
とも公然と言うくらいよ!笑
もう、うけるよ。笑
いやいや、非常勤職員って年収200万円台で退職金もなくボーナスは3万円ポッキリで福利厚生もないのだけどね。
常勤職員は一番ヒラでも年収400万はもらってて(しかも勤務成績に関係なく確実に昇級する)、病院が赤字でも経費ガバガバに使えて、その上で国の財源でボーナス満額もらっているし(当然今年も)、退職金も福利厚生もきちんと貰えるし、リフレッシュ休暇は100%取得するし、とにかく休みが多いね!
(現場から問い合わせが来ても、「それは窓口の非常勤(or 請負業者)」という姿勢を貫くのが正規職員だよ!)
給与と責任のバランスで言えば、正規職員は本当にコスパがいい!
でも、年度の予算を削られなくないから予算は毎年必ず消費するし、
「こんなに人いるの?」っていうくらい非常勤職員いっぱいいるよ!
(そして、正規職員は自分がやりたくない仕事は非常勤にふればいい、責任も含めて一切全部)
こんなの世間にあるんだな、ってびっくりしたよ。
「コロナだし黙っておけ」と言っていたよ!
(紹介状が必要な病院のせいか普通はコロナ患者がこないし、入院も減ってる)
他の病院の医療職は大変だから表向きは大変そうにしておけ、だってさ………
「非常勤職員」が給与が安いのは責任・負担の差によるものだと思っていたのだけど、
「誰がやってもストレスを感じる仕事・やりたくない仕事は、まっ先に非常勤職員にやらせられる」
これが非正規雇用の実態なんだって、身にしみて分かったなぁ^^
ストレスで身体をやられやすい職務・立場ってあると思うのだけど、そこって給与には一切加味されないの??
不思議ー
パグではなく、タイムアウトなどでメールが不着になることは有りえます。
その上最近は、スパムメール防止フィルターに誤ってかかる本物のビジネスメールがあります。
最初の1通目は確認しないと、システム上タイムアウトからスパムメール防止フィルターにご認識されたまで様々な理由で付着になります。
とくにコロナのため4月は混乱期でした。本当に謝罪文を出したIT企業もあるため、今はピーク状態です。
みなさま、連絡の確認は気をつけて。
よくあるのはTLSが1.2のためセキュリティー認証が通らず、不審なサイトからのメールとご認識され不着になるなどが昔からよくある理由です。
自分の勤め先は、自席のPCから直接Webを見ることができなくて、外へつながってるサーバへリモートデスクトップで接続して仮想マシンでWebを見に行くようになっている(こういう説明で合ってるのか?)。
仮想マシンはWindows 10なので当然ライセンスが必要わけだが、うちは金がないのでライセンス数が少ないらしい。
(「らしい」というのは、ちゃんとした数を聞いたことはないものの、仕組みを導入した当初は各部署から1台だけしか接続できなかったから、たぶん少ないのだろうなと)
なので仮想マシンへ接続しっぱなしな人が多いと悪影響があるわけだが、そういうことを知らないオジサンたちはWebを見るにしろ見ないにしろとりあえず今日も仮想マシンへ接続したままだ。
https://anond.hatelabo.jp/20170818083135
こんにちは、これを書いた本人です。
今日仕事から帰ってきて、普段は平日に見ないはてなブックマーク見ようかと思って見てたら、なんかいきなりホットエントリー入りしてびっくりしました。
普段は増田は書かないので、途中まで読んでて「なんか見覚えあるなー」と思ってたら自分でした。こういうことってあるんですね。
その後どうなったのかについて気にしてくれてる人もいたので、ざっくりですがどうなったか書いておきます。
WEB系企業を辞める(元エントリー)→ベンチャーに行くも一年で辞める→ベンチャーに行くも事業縮小の可能性が見えてきて一年で転職→再びベンチャーへ…
という流れで「ジョブホッパー」に磨きがかかった感じです。
とはいえ2年前のあの状況を考えると、何が起こるか分からないという感じもあるので、本当に人生は運次第だなぁと思ったりしています。
元エントリーの次のベンチャーなのですが、辞めた理由としてはこのような感じです。
人を大事にしていないというのは色んなことがあったので割愛しますが、30人規模のベンチャーだったので、経営陣にはもっと人と向き合って欲しかったなと思ってます。
経営だけ頑張っても会社は続かないし、従業員の話だけ聞いても会社は続かないと思うのですが、せめて従業員との約束は守って欲しいし、出来ないならちゃんとフィードバックくれよと。
事業が当たるかどうかは入ってみないと分からないこともあると思っていて、自分の場合は残念ながらうまく当たりませんでした。色んな要因があるので、これは仕方が無い。
この会社では一般的な課長級まで出世したこともあり、マネージメントって難しいなとか、採用って難しいなとか短い時間だったけど色々と学びました。
「ベンチャーに行くも事業縮小の可能性が見えてきて一年で転職」についてなのですが、会社も中の人も好きだったし、やりがいを感じていたのだけど、事業縮小の憂き目にあって転職をしました。
ここでは課長級で入社して、部長まで昇進したのだけど、自分のやってきたことが(最後に携わっていた)ポジションでは活かせないこと、会社の業績が厳しいのにそこそこ高めの給料をもらうのも気が引けるということ、色んな理由がありました。
今でもこの会社のことは好きだし、本心としては辞めたくないけど辞めたという変な感情も残っていて、複雑な感じです。
なんと役職はありません、そして年収も数十万円ほど下がりました。
しかし担当している業務も幅広く、エンジニアリング・人事総務・採用・情報システムを担当しながら、プロジェクトマネージメント業も増えていきそうです。
こうやって文章にすると何やってる人なのか分かんないし、めっちゃ大変そうだけど、今まで働いてきた中で一番楽しかったりします。今はね。
元エントリーの会社にて、最後の方はめっちゃ悩んでいたけど、その悩んでいた経験があるからこそ人事として仕事が出来るのかなとも考えたりします。
とはいえ、自分にとっては今の会社は大変なこともありながらの良い環境ですが、やはり合わない人もいれば退職者もいます。
今は人事として、(自分の経験も踏まえて)退職を慰留することがベストな行動ではなく、退職してもまた戻ってきてもらえるような関係作り、戻ってきたいなと思えるような環境作り・組織作りが出来れば良いなという想いをもって頑張っています。
ちょっと話は逸れるんですが、少し前に全裸監督で話題になった村西とおる監督が「死にたいときには下を見ろ。俺がいる」とよく言ってますね。
見たからどうなるんだというのはおいといて、気持ちも気分もどん底になった時こそ、ちょっと頑張って周囲を見てみることって大事だなと思います。
私は今40手前で大学中退だし10社ぐらい経験あるんだけど、ちゃんと生きてるし、紆余曲折ありながらもやりたかった人事・情報システム部門の仕事が出来ています。
給料だって、2017年の8月に比べれば、だいたい150万ぐらい上がった状態を維持しています。
年々社会環境は変わっていくけど、まだ何とかなる。だいじょうぶ。
もう一つ、これは人事として採用面接を行う候補者の方にも伝えていることなんですが、転職は「マッチング」だと私は考えています。
ざっくり書くと、自分のやってきたこと・やりたいこと、企業側のやって欲しいこと・求めている経験が合うかどうかです。
転職活動をしていると、お祈りされまくって物凄く気持ちが落ち込むし、自分に合う会社はないんじゃないか、もうダメなんじゃないのかって思ったりすると思うけど、マッチしないだけなので必要以上に気にしない方がメンタルにも良いです。
そして、自分自身も「企業を選ぶ側」であるという意識を持って欲しい、だからマッチングなんだと。
そういうのもあり、残念ながら不合格となってしまった方には、何が理由だったのかを話せる範囲で伝えるようにしています。
これは今まで自分がたくさんお祈りをもらった中、企業側からは理由が開示されなかったので余計に悩んで苦しんだという想いからというものです。
元エントリーがちょっとバズってるのが嬉しいのはあるんだけど、一番嬉しいのは「仕事がツライ・転職活動がツライ」と感じている人に対して、多少でも救いになってれば本当に嬉しいです!
ちなみに元の話書いた後も野菜は食べてないし瞑想もしてないけど、運動はした方が良いなと思いながら、最近になってやったリングフィットアドベンチャーは三日坊主です。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
- 会社の情報システム部局が配布した業務手順書に、出所の怪しいソフトウェアが紹介されていた
- 今のところ実害は出ていないが、社内に何か潜伏してしまったのでは?と不安になる
- 私の勤務先は、全国に支社があったりする、まぁまぁ大きな会社。
- 最近オフィス系ソフトウェアの統合クラウド環境が整備され、全社的に統一的なIT環境が整備された。
- 情報システム部門からメールデータ移行の手順書が配布され、手順書の中にeml形式をpst形式に変換するツールが紹介されていた。
- ソフトウェアの配布ドメインは microsoft.com 。ページタイトルは「EMLファイルをPSTにエクスポートするためのEMLからPSTへの変換 - 公式ツールキット」
- 私はそのソフトをインストールしようとしたが、天性の直感がそれを妨げた。
- ドメインをよく見ると、 gallery.technet.microsoft.com 。マイクロソフトのコミュニティポータル?である。
- そこにあったソフトウェアはマイクロソフトでなく、いちユーザがアップロードしたソフトにすぎない。
- アップロードしたユーザ名は日本人っぽいが、紹介文の日本語が機械翻訳っぽい。
- そのユーザのアクティビティみても、類似の機能(ファイル変換系)を持つソフトをアップしまくってるのみ。
- ここでexeを分析したかったのだが、残念ながら趣味プログラマの私には荷が重い。私の技術力で分かったのは次の通り。
* アップロードされていたソフトは、 mailsware社 製の EML File Converter というソフトのVer2.0、とメタデータから推測された。もしくは、それにさらに改造を加えたもの。
* ちなみにmailsware社のページで配布中の最新バージョンはVer2.4。
* (ネットワークから遮断したPCで)インストールして動作させると、ちゃんと機能してくれるっぽかった。
* でも、不要と思われる itextsharp.dll とか interop.domino.dll とかも入っている。(ほかの変換系ツールと開発を共用しているのか?)
- ここからは技術力でなく、ぐぐる力である。主観と憶測が多いため、話半分で。
- そもそも mailsware社 も怪しいよな、と思う。
* ホームページ上は2014-2019を謳うがドメインは2017取得。
* 会社の所在地のストリートビューにはそれらしいオフィスは見当たらないほか、サイト上の地図が不自然に感じた。
* Ver2.4インストーラを見たところ、 recoverytools社 が実際にはソフトを作っていると思われる痕跡。
- recoverytools社 これもまた怪しい、と私は思う。
* Twitterアカウントもあるが、そちらではNYの会社と謳っており、LinkedInアカウントではLA所在と記載するなど。
* Twitterでは(ヒンディ語の(内容の薄い)ツイートをリツイートしたりも)
* ドメインは2002年からあるが、当初から売地。2017年に今の状態。
- など、確たる証拠は見つからないまでも、このあたりはSNSを辿っていくと、怪しいと思えるアカウントしか出てこなくて、三文小説のようで結構面白い。
- 情報システム部門には情報を上げて、当該ソフトの紹介は手順書から消してもらった
- ダウンロード数は1000超えてるし、わが社でも10人やそこらは気づかずにインストールした人が居るのでは
- なんか、怖いなー。って普通に思いました。
辞めてから数年、もう時効だと思うので、情報システム担当(社内SE)として勤務していた会社での「不本意だった仕事」について書いてみる。
「年賀状を印刷したいんだけど、やり方がよくわかんないんで教えて?」とか「新しいパソコンを欲しいんだけど、○○さんのお勧めってある?」とかの質問くらいなら、仕事中の雑談レベルで答えられた。
だが、自宅用のノートパソコンをいきなり仕事中の私の前に持ってきて、「なんか変なのが出るんだけど」とアダルト広告表示マルウェアに感染した画面を見せられたときは、仏の○○と言われていた自分もさすがに青筋が立った。
「息子がいじってたみたいでさ、もう高校生だからこういうの興味あるのかな」などと言っていたが、それにしては人妻熟女系の広告ばかり表示されていたのは、そういう趣味のご子息だったのだろうか。
そんな社員の一人が同業他社に転職したことが判明すると、その社員が使っていたパソコンを調べて機密情報を横流ししていないかどうか調査せよという社長命令が下った。
確かに情報漏洩対策として導入した資産管理ソフトだけど、本当にそういう目的で使うことになるとは思わなかったな…と、辞めた社員ともそれなりに親しかった私は複雑で心が重い気分だった。
結果として情報流出はなかったのだが、辞める前のネット検索の履歴に「退職 円満」「労働基準監督署 契約 異なる」などとあって、暗い気分になった。
導入した基幹システムのトラブルが短期間に相次いだため、開発を行ったSIベンダーを裁判で訴えることになった。
ちなみに、現場担当者の私としては、トラブルが多かったのは事実だがSIベンダーの対応は誠実であり、解決に向かう道筋も見えている状態で、責任や費用を云々するよりもまず協同して安定稼働に持っていきたいというのが正直な思いだった。
だが、そうした状況を社長に理解してもらうことができず、社長はSIベンダーを訴えた。もちろん訴えるまでにいくつかの段階を経てはいるのだが、私としてはいつのまにか裁判が決まってしまったという印象しかなかった。現場の言い分を聞く前にいきなり社長がSIベンダーに怒鳴り込んだ、という感じ。
そして私は、裁判に際して、基幹システムがどのようなトラブルでどれくらい停止し、それによって本業にどれだけの損失を与えたか、という資料を作るはめになった。
そうしている間にも基幹システムのトラブルは収まらず、その対応に追われながら(しかも裁判のおかげでSIベンダーの手を借りることも難しくなり)、1ミリも本業に関わらず1円の儲けにもならない資料を黙々と作成するのは苦行であった。お世話になったSIベンダーの担当者の顔が思い浮かび(もちろん彼らとは裁判以降縁が切れてしまった)、心苦しさでいっぱいだった。
弊社は一部上場企業で部署にもよるが残業も少なく、サービス残業なんて以ての外という比較的ホワイトな職場。
だが割りとガチガチなところもあり、その一つが会社PCの私的利用禁止。
たとえ業務時間外だろうと会社PCでエロサイトなんて言語道断、プライベートなメアドにアクセスしたりするのは当然のこと、業務に関係すること以外利用するのは禁止という徹底ぶり。
正しいのだろうが、窮屈に感じているのも確か…
昼休みに会社のPCで業界系のニュースを見るついでにはてなブックマークのトップページから気になる記事に飛んで、はてブコメントとか見てたんですよ。
ただ、そこにはNHKや朝日とかだけでなくtogetterとかヨッピーの記事とかも入っちゃってたんですよ。
で、ログ解析している情報システム部門から「増田さんは業務外の利用が見られます」と部長までクレームが行って、結果、部長に呼び出されて説教されたわけ。
確かに正論だし、お叱りは粛々と受け止めざるを得ないんだけど…
いきなり部長にまで苦情が行くのはどうかなー、と思わなくもないというか。
でも、わざわざ逆恨みしやすい方法を取る情報システム部門もどうかと思わないでもないか。
うちのオフィスは周りに何もないので昼休みに外出するなんてできないし、オフィスで昼寝するかスマホ弄るしかないんだよね。
ただ、スマホの画面を他人に見られるのはあんまり好きじゃないから会社のPCでニュース巡回してたんだけど、今後はスマホ弄るしかないかな…
アラフォー世代と話してると「昔は仕事中にブラウザゲーしてたw」「エロサイト巡回とかしてたw」とか聞くことがあるんだよね。
そういう会社の風土があるのか、それともそういう時代だったのか。
煙草も吸わない私は業務時間中に大っぴらにサボることもできないし、同僚との雑談もあまりない仕事場なので粛々と仕事をこなして定時を終えるしかないんだよな。
まず「大半」を強調しておく、もちろん尊敬に値する素晴らしい人も「まれに」いる。
かつてインフラ系とフロントエンド系のエンジニアを職業としていた。
いまはまったく別の職種、ユーザー側として常駐しているSEにリクエストを出すこともある
今の立場になり他者として技術者と対面すると、SEをしていた時は気づかなかったことが、いろいろ見えてきたこともありまとめておきたい。
最後にもうひとつだけ。下記にあげたものは職務遂行能力とは直接関係ない。技術職・事務職を問わず職務遂行能力はあって当たり前であり、なければ配転や契約打ち切りとなる。ここにあげるのはどちらかというと社会集団的あるいは企業文化的の枠組みでなぜIT技術者が軽く扱われるかについて考察している。前置き長くてすまん。
これはよく言われるので一例のみ。質問に対し字句通り答える。質問の言外の意味を察しろとは言わぬまでも質問の上のレイヤーさえも推測しようとせず字句にそのまま答えるので相手にとり会話の流れをつくっていくことが非常に困難となる。
たとえばシステムやアプリケーションの不具合について質問すると「これはこうこうこうでこうなっています」(話のすじみちはとおっている)と答える。仕様についても「仕様ではこうなっています」と「こうだからこう」ではただ「こうなっている」と解決策を示すこと無く今の状態を記述する。何か規定されたルールを絶対の所与のものとして、過去にそれがどのような目的のもとでつくられたかに関する想像力が及ばない。「こういうことをしたいのだけど…」と聞いたら「それはこうなっています」と答えることのある種の異常さに気づいてない。現在時点を中心に狭い範囲の時間軸しか認識・理解できないという意味では猫や犬などの動物に近い。
見方を変えればモノ(ソフトウェアやシステム)をつくる職種が徹底的に「as is」ベースの思考というのも何が深い原因があるのかもしれない。
興味範囲外のことについて広く知識収集せよとまでは言わないが、興味が無いことについてバッサリと切ってしまうので話が広げにくい。たとえば営業系の社内システムを保守しているのに営業の職務内容については自分に関係の無い話としているなど。そうした指摘をしても我関せず、えてして自分の雇用契約(派遣契約、期間雇用契約)などを理由に理論武装しているが個人的に考えたくないのが見え見えである。
一部前項とも重なるがここで言う教養とは業務知識やいわゆる(公務員試験などの)一般常識レベルのことではなく社会人になってからの学び、つまり文化・芸術や歴史に対する理解が低いの。せいぜいゲーム、アニメ、マンガ、あるいはテレビのバラエティなどのサブカルチャー方面に造詣が深い程度である(もちろんこうしたサブカルチャーを馬鹿にする意図はないよ)。
そう言ってしまえば文化資本が家庭環境、周りの環境が云々と言い出すひともいるが、自分はこうしたものを身につけるのはむしろ社会に出てからと思っている。よく言われる「うちの職場は休憩時間にはパチンコや風俗の話しかしない奴ばかり」と言うのは自らの選択の結果であり親や周囲の人間のせいではない。
ここであげるかどうか迷った。というのもこれは技術者にかぎらず日本の社会人の多くに共通する問題かもしれないから。
もちろん過去の自分もこれにあてはまる言動をした可能性があるのでそれについて弁明はしない。
一般に日本のIT技術者は他国のそれに比べて低所得と言われているがそれもむべなるかな、現在の待遇は不思議でもなんでもない。
なお、ここであげたIT技術者は、自身の経験から企業や団体の中の情報システム部門、ユーザー支援のために外部から雇用あるいは派遣されているSEなどを対象にしている。開発委託先や運用委託先のシステムベンダーの担当者、などについても一部当てはまるかもしれない。
マーチ文系。語学系・国際系の学科ではない。女。TOEICは当時800点。
仕事で英語を使いたいと思って、募集条件が「TOEIC720点以上」の会社にエントリーしまくった。
会社説明会では、大きなキャリーバッグを引きずっている疲れた顔の学生に何人も出会った。
声をかけてみると、彼女たち(圧倒的に女子学生が多かった)は「国際○○学部」とか「グローバル○○学部」の学生で、
「日本人だけど英語が使える枠」を探して、全国を飛び回っている、ということだった。
3年間英語しかやってこなかった、英語しか誇れるもののない学生が殺到する。
私は結局この枠に入れなかった。
夏採用で中堅メーカーに拾っていただいた。面接ではTOEICのことは何も聞かれなかった。
今は情報システム部門にいる。
部内で一番英語ができるのは私なので、
海外の工場への諸連絡を受け持っている。テンプレメール作ったり。
英語を使えない人に囲まれているからこそ、英語を使う仕事をもらえているんだと思う。
まあまあ満足している。
「担当者は40代後半の情報システム部門の方」って私の今の案件と同じだなと。
Windows server 2012 standardを2008にダウングレード出来るって言ってるのに、
今まで出来なかったんだから出来ないの一点張りで、Microsoftの窓口に相談して確認しても「可能」との回答。
MySQLに限らないけど、「GPLは営利目的では使えない的な思い込み」は止めて欲しい。
先週、システム開発の提案で客先に行ってきた。
当方、30前半のSE。対応してくれた担当者は40代後半の情報システム部門の方。
提案したシステムの規模はそれほど大きくはなく、お客さんからもあまり予算はないと言われていたため、RDBMSに「MySQL」を使ったWebシステムを提案したところ、「それほど可用性は求めてないし、無料で使えるDBの方がいい」と言われた。
あぁ、商用ライセンスを購入すると勘違いしたんだな、と思ったので、「MySQLはGPLライセンスもあるので無料で使うことができますよ」と説明したところ、担当者の顔が険しくなった。
「GPLだとソースコードを公開しないといけないんだよ?たとえMySQLのソースコードを改変していなくても、MySQLを使ったソフトウェアであればソースコードを公開しないといけないし、それを企業で使おうとすると犯罪になるよ。」
「だからウチでは重要なシステムはOracleを使っているし、重要度が低いシステムPostgreSQLを使ってる。」
「たまたま提案先がウチだからいいものの、他の企業にそんな提案すると恥をかくし、あなたの会社の信用も堕ちる。」
いろいろ言われたけど、要約するとこんな感じ。
「確かにGPLだと他の誰かにMySQLを使ったソフトウェアを頒布する場合はソースコードも渡さないといけないですが、今回は御社に導入するWebシステムですから問題ないですよ」
とは返したものの、
「Webシステムなのが問題なんだ。システムを使う人にソースコードを公開しないといけないんだよ。TOPページとかにリンクを貼るの?ソースコードはこちら、みたいなの。ありえないよね?」
「システムを使った社員がソースコードを持って帰って公開したらどうなるの?機密情報の流出だよ。」
と捲し立てられてしまった。
心の中では「Webシステムだと利用者全員にソースコード公開とか、なわけねーだろ」と思いつつも、相手の勢いがスゴいし反論するための明確な情報を持っていなかったので一旦持ち帰って再検討することになりました。
http://www.ipa.go.jp/files/000028332.html
英語が苦手なのでIPAが公開しているGPLv3の日本語訳で確認したところ、「0. 定義」の項目に以下の文言があった。
著作物の「コンベイ」(convey)とは,プロパゲートに当たる行為のうち第三者が複製すること又は複製物を受領することを可能にする行為をいう。ただし,コンピュータネットワーク上での単なるやりとりであって複製物の伝送を伴わない場合は,コンベイに当たらない。
そりゃそうだよね。てかWebシステム利用者にソースコードを公開しないといけないとか誰が言い出したんだよ。
で、結局提案はPostgreSQLに変更しました。ライセンス云々関係なくPostgreSQLに統一されているんだったら運用コスト面でその方がいいし、MySQLを提案したのは俺がPostgreSQLより得意だからってだけだから。
ライセンスについては調べたことを担当者に伝えるかどうか思案中…。
ここまで捲し立てられたのは初めてだったけど、今までもお客さんから「GPLだけど商用ダメなんじゃないの?」って言われたことが多いんだよね。
もう一度言うが
