「成果物」を含む日記 RSS

はてなキーワード: 成果物とは

2019-10-12

anond:20191012060522

芸術とかアートを語って解説する人って相手がそういうのわかってない前提でバカにして馬鹿にされたくなかったら認めろってスタンスなの?

成果物王族とか貴族むけとかそうでないものもあるってそれ完全に別ものの話してるよねなんで混ぜてるの?

フェラーリとかマセラッティとかあるけどもちろんダイハツ軽もあるってそれもはや工業製品自動車商品またはその道具をつかった価値や付帯するサービスの話じゃないよね

自動車本体自体の話をするのにタイヤが四つとか発明とか動摩擦とか燃料の話または税金や維持費の話をする尺度だよね

パトロンつけて大聖堂の絵を描くのに生活費がという意味の分からない構図から伝統音楽を奏でることで生計をたててる人までまぜてなんの話なの

ここだけにかぎらず全体的にそういういいかげんな基準で「わかりやすく」してくれてるのがその程度のものなのだったら現代アートってそういうもんだねって理解なんだけどたぶんそれで正解なわけだよね

そういう口先で取りつくろって問答が面倒になったらはいはいお前の勝ちっていわれたら勝利宣言するようなのが現代アートってわけね

それだと腑に落ちる

2019-10-04

anond:20191003174050

いちおーグレー判断受けた俺が通りますよっと

んっとねー、これはねー、もうねー、諦めるしかない。

俺も正直、いつクビ切られるか分かんない。コミュ力も、成果物矛盾、ヌケモレだらけ。関係者の皆さんみんな辛そう。申し訳ない。

ただ、変なとこで間違いとか見つけるのがうまかったりして凸凹ってこえーなって思う。

そんなんでごまかしが効くのも今だけなので、いずれクビにはなるだろうねぇ。

なんでこんな話をするかと言うと、なんか凸凹がうまく合う仕事あんじゃねぇかなぁと思うんだ。

なんかね、ウチらって生きてる世界が狭いらしいよ。マジ。

知らない世界で見える光景や、そこで生きるためのスキル全然違うらしい。だから、まあ、職安とか、転職サイトとかで診断してみるといいよ。

2019-10-03

anond:20191002233757

ぜんぜん「誰でも書ける」じゃないけどな。

あと、たとえば日本人ならだいたい「誰でも日本語できる」けど、美しい言葉や心を動かす日本語意図的に作り出せる人はそうそう多くないわけだし、現代なら「写真を撮る」はスマホでそれこそ誰でもできるようになったからこそプロフォトグラファの価値が上がるわけで。

「誰でもできる」からと言って成果物価値コモディティ化するってことは別にないんじゃないのかなあ。

文字も大体の人が書けるけど「書家」は別途存在してるし、筆耕さんなんてのもいるよね(減ったけど)。

2019-09-29

リーダーの部下に怒りが収まらず悩んでいる

長いので最初にまとめ

愚痴です。

ざっくりいうと、

という話です。詳しく書きすぎて身バレしそう。

これまでの経緯(長い)

私は、昨年とある小さい企業入社し、入社10ヶ月ほどで管理職となった。入社直後の配属先は5名前後の開発チームで、タイトルの「元リーダーの部下」とはそのときにチームリーダーを務めていた人物である

入社先の会社自体設立から10年程度経過しているが、当初は社長のツテなどで社員を雇っていたようで、開発チームにはいわゆるプログラマとして働く人のみで開発のマネジメント経験のある人はひとりもいなかった。ちょうど数年前から事業ちゃん収益化しようとしているところだったが、これまで社長自身の旗振りによって動かしていた開発チームも、社長多忙となり直接見られないことから一応リーダーとして立っていたようだった。

私は前職ではそれなりの規模の企業で、受託案件プロマネを数年間やっていたこともあり、今の会社面接の際はそのマネジメント経験を非常に買ってもらえた。そういう経緯もあり内定をもらい入社したので、最初はやってる業務内容を教えてもらいながらこちらもチーム運営ヒアリングしたりして状況把握につとめた。初っ端、タスク管理方法について聞いてRedmineを見たところ更新されているチケットほとんどなく、営業チームから要求がたまに書かれるだけのものになっていて「おぁ・・・」となったが、そういうところから運用ルールを決めて周知して回して…と地道に進めてきた。

2〜3ヶ月もすると、開発チームのメンバーとしてマネジメント会議に私が参加するようになり、他部署との依頼や業務調整など、すべて私を通してやってくれるようになった(それまでは、営業部門の人が開発メンバー個別に聞きに行く、という形で情報共有もされていなかった)。

それでも、名目上、チームリーダーとしては彼を立ててはいた。もはや彼のリーダーとしての仕事は進捗確認するためにチームメンバー招集すること(進捗確認自体は私がやっていた)と、全社会議で開発チームの進捗をみんなに報告することだけであったが、私が管理職になったことを機にその仕事も私が引き取り、他のプログラマたちと全く同じ立ち位置になった。

話は変わってチーム全体のことだが、開発チームにはさまざまな勤務形態で働く人がいることと、私の前職ではデスマーチ的な働き方が横行していた反省から、チームメンバーには極力割り込み業務をさせない・会社全体の状況はできるだけこまめに共有する・定期的にメンバー個別に話を聞ける時間を作る、などメンバー安心して働ける環境づくりを心がけてきた。また、開発プロセス品質についてそもそも知識がないメンバーもいたので、個人個人能力底上げができるよう、タスクの洗い出し方から設計書の書き方、テスト項目の作り方など教えながら一緒にやってきた。実装インフラ設定などは逆に私よりも知識能力がある人たちだったので、道筋を作ってあげることでこれまで「それなりに動く程度に作って終わり、バグが報告されたら手が空いたときにやる(結局できない)」みたいな感じだったのが徐々に改善されてきたと感じている。

ただ、彼だけは例外だった。最初の数ヶ月で、彼自身ハンドリングさせる仕事を振ってはいけないと分かってはいたため、彼にアサインする仕事は必ず私が最初に介入し、進め方・タスクの洗い出し方・スケジュール…とすべて打ち合わせで明確にし「いつまでに何をする」をきっちり決めて(スケジュールは彼の見積りさらバッファを山積みして)あとはやるだけ…な状態に持っていく。また、彼は誰かにまれごとをするとそちらが最優先になる自分タスク管理をできない人なので、一切他のタスクを振らないようにしていた。それでも期日になると、成果物が出てこないか、終わってないものが出てくるか、そもそもタスクがなかったことになっている。終わったと本人が言っていても、当初やることに合意したはずのもの実装されていなかったり、適当実装だったり。リリースすると客から指摘が来て、それの対処にまた数週間かけるのである(次の開発を開始できないためまた遅延する)。

そんな状態なので、開発工程ど真ん中でも頻繁に介入して立て直しをする必要が出てくる。立て直しをするときにはできるだけ彼の心を折らないよう、「このまま進めても遅延するリスクが大きいので」と伝え、振り返りの体で「ここでもう少し見積りのための調査を詳細にやっておくべきだったね」「次はこうやってみよう」と立て直しのために必要作業を一部実際に自分でやってみせ、他の部分を明日いっぱいぐらいで作ってね、作ったら一緒にレビューしようね、という風に毎回新人教育のような気分になりながら進めるのである。当然私自身が持っている仕事に支障が出るので週末にやるのである

長くなってしまったが、ここまでは日常業務光景であり、組織作りや案件炎上しないための立ち回りなどは私の仕事だと認識しているので努めて冷静に対処しているつもりである。怒鳴ったことは一度もない。

私が怒りを覚えていること

私が怒りを覚えてしまうのは、彼の仕事上での振る舞いである。

発言が、仕事茶化すようなものだったり、自分タスク他人事のように言ったりする。そしてそれは状況がシリアス(彼の能力不足に起因する遅延が発生している状況など)になっても変わらないため、非常に癪に障る

これまでのことをすべて列挙するときりがないが、直近に行った、彼が進めているプロジェクトの仕切り直しのための打ち合わせ(私と彼の一対一)での発言特にひどく、タイトルの通り怒りが収まらない状態が続いている。

  • 遅延しているプロジェクトを立て直すためにタスク課題の再洗い出しを指示すると「それやらないといけないの?」「何日かかるかわかんねえな」「洗い出してちゃんとやろうとすると終わらねえよ」(立て直すためにそれを指示しているのに)
  • 課題なんて実装してみないとわかんねぇだろ」(調査期間にやったことの振り返り時)
  • その立て直しの打ち合わせ(冒頭で、スケジュール見直して仕切り直す旨を伝えた)が終わると、周りのメンバーに「スケジュールが延びた〜」とうれしそうに話す(私が事前に営業さんたちに説明して頭下げて…という話をしたにも関わらず)
  • それを指摘するとヘラヘラと笑いながら「いやいや言葉のあやだから〜」と返事する

よくブチ切れずに済んだなと思いながら、このように調子に乗ったままだと彼は負債再生産を繰り返して会社に害為す存在になることがわかっているため、きっちり〆ておく必要があるのかなとも思う。反射的にそういうアクションをとれない自分が恨めしい。とはいえ過去就業規則全然守らないことに対して説教したときヘラヘラしてたし、金銭的な処分をする権限はないし、自分には彼をどうにかするのは荷が重いな…と迷いに迷っている週末。

人手不足の折、やるべきタスクはたくさんある中で、彼の手もまた人手だと思いながらやってきたけど、私の負担けが増えてモノができないなら思い切って切る判断もあるのかなと思う。結論が出てこないけど、直近指示したことが予定通り出てこないならまたそれに対して立て直しをしないといけないと思うと心が重い。彼を担当から外すにしても今他に空いている人はいないし、彼にさせる仕事も思いつかない。担当から外したら外したで「身軽になった〜」と喜ぶのだろうか。それを想像してしまいまた怒りがこみ上げ無限ループに陥るのやめたい。

2019-09-28

上司カスすぎる。

馬鹿すぎて辛い。

いないほうがマシで、コイツのせいで仕事は増えるし止まるし成果物ゴミになるし、とっとと転職して消えてほしい。

2019-09-19

LIGの件をライター仕事だとカウントしていらっしゃる?それをカウントするとしても1件だけでここまでわかったような口調でしゃべれる?自由やらせてもらったのにまともなクオリティのものを出せなかった挙句編集長のrepublic1963に後ろ足で砂かけた季刊クリルタイ入れたら2件?

2019-09-17

anond:20190914192949

クリエイティブな職についていれば、気持ちとか努力はどうでも良くて、

成果物だけで判断されるものだと思ってる(自分もそう)んだけど、

動機や志がそんな大事か?死ぬ思いで書き上げましたってゴミみたいな文章と、

本業が別の人がちょっと書いてみたよって書いた名文なら前者を評価するのか?

だとしたら君は才能ないのに「こんなにも頑張ってるのに」ってまちがった方向に評価を求めている。

2019-09-11

anond:20190911180223

俺は特に恨み無く警備員やっとるよ。

もう納期までに無理矢理成果物ひり出す作業しなくて済むと思うと天国だ。

人それぞれ。

2019-09-10

Aという企業成果物を納品する

Bという企業とCは準委任契約を行い、Aで成果物作成する

Bは非常駐で指示はA

とBの人に普通に説明されたがヤバそうだと思った。

2019-09-09

優しすぎて気持ち悪い

大学音楽サークル所属しているが、そこが優しすぎて気持ち悪い。

去年までは結構厳しく、練習も週4か5ぐらいはあった。その反動で今年からはゆるいまったりサークルに体質を変えたが、その変化に未だに馴染めないでいる。

人数が減っているなかで新入生や下級生が大事とはいえ、彼らに合わせすぎだろう。初心者のペースで練習を進めていたらそれ相応のものしか出来上がらない。

無理せずやろうと言うけれど多少は無理をしなければ成長しないだろう。

大事なのはクオリティじゃないと言うけれど、成果物が形になる以上クオリティ以外の何が大事なのか。

総じて今のままでは結果が出せない。いや、結果を出せなくても(出さなくても)いいから皆で楽しめたらいいと思っている。そして何よりもこの楽しむことを是とする、皆で手を繋ぐぬるま湯のような雰囲気気持ち悪くて仕方がない。

大学生の課外活動で結果を出すという統一された目標がないならもっとドライ関係性でもいいだろう。そこに異を唱えたら異分子のように扱われる。

どうせあと少しで引退だが、不完全燃焼で終わりそうだ。

2019-08-28

全てのSWエンジニアプログラミングをしなくなる未来

勤めている会社組込みソフトウェア開発で、matlab simulinkを使ってモデルベース開発をしているメンバがいる。

simulinkでは、scratchレゴのmindstormのようにブロック図を書くと、ソースコード自動生成される。

それを聞いたとき、直接ソースコードいじれないなら細かい調整が利かなさそうという印象と、プログラミングしないエンジニアってろくなもんじゃなさそうという印象を持った。

そこから気になってモデルベース開発を調べてみると、ブロック図でシステムを作り込むので設計者の意図が他メンバに共有されるハードルが低かったり、システム問題が発生したらブロック図つまり上流工程修正させるので場当たり的なコード修正による時限爆弾のようなバグが増えにくかったり、確かに感心するようなメリットがあることもわかった。

場当たり的なコード修正が後々の大きな問題となってプロジェクト工数を食いつぶす経験がある諸兄は多いと思う。

モデルベース開発みたいな、設計成果物を与えればあとはAIプログラミングしてくれる未来はすぐそこまで来てるのかもしれない。

それはそれで面白そうだと思う反面、いままで培ったプログラミングスキル不要になるのは寂しいなと老害のような気持ちも湧いてくる。

SWエンジニアプログラミングをしなくなる未来、ぼくたちは幸せを感じているのだろうか。

2019-08-25

説明する側と説明を受ける側で必要文書は違う

設計書はアウトプット

それをインプットにした場合成果物プログラム

設計書を理解するための文書要件書であり、アウトプットである設計書ではない

2019-08-10

ドラクエ映画

どんだけが実績あろうと乗り気でない人間に無理にオファーし続けるとひどい成果物が帰ってくる、ってあるある案件な感じがして、あん山崎貴が悪いとは思えんのよね。

2019-08-07

何故あいちトリエンナーレはここまで社会の関心を持つようになったのか?

報道や各種メディア個人が様々な媒体で伝えているこの事柄に対して、私個人のごく私的見解など、どうしようもない話の一部になるのだろうけれど、つらつら書いてみようと思う。

検閲

今回発生した問題検閲問題ではない。現在紙面やネットで騒いでいる検閲という問題は、当事者の手を離れた部外者による場外乱闘であった。扇情的な展示に対して、権力を扱う不用意な政治家が、自制せず権利侵害する発言を行ったことは大問題であるが、ここまでくるともはや展示云々ではなく、国家自治体による権利侵害(の実行又は脅迫)という、大事問題だが、別方向の問題として切り離して考えるべきで、後述する問題を覆い隠してしまうことになる。展示を取りやめたのは、大量の抗議や脅迫犯罪予告により、芸術祭にかかわる方々の安全を確保できなくなったという状況に陥り、該当展示の実行委員会(実行キュレーター)の同意なしで中止に至ったという顛末理解している。

税金使用したイベントについて

芸術市場が大きい欧米諸国に対し、日本国は元々芸術品の売買に対して諸国のような減税優遇措置をとっておらず、バブル期を除き、民間ギャラリーを経由した売買や、流通操作伝統工芸品を大型百貨店の展示場で、国内のみ通用する相場販売する程度であったが、バブル期90年代の大型公共投資連続からハード面での地域振興策資金コンプライアンスの両面で実行が不可能になった自治体における「少額で、短期間で既存インフラ活用でき負担が少なく、運が良ければ国際的知名度を上げることができる。」ツールとして、この10雨後の筍のように芸術祭が乱立する事態となった。そこでは、ノウハウのない自治体が、自称地域文化担い手である新聞社に丸投げ、そこからコネ採用された力のないキュレーターは、自身の貧弱なコネクションで囲い込んだ微妙作家しか呼べず、投下した税金の割に貧相な芸術祭になった場合自治体が運悪く山師に金を預けてしまい、多額の不適切支出泣き寝入りになった場合。など皆さんが思っている以上に税金使用したイベントにはトラブルが多い。税金が投入されるイベントは前提条件として・補助金申請等の手続煩雑・大小の自主規制や、地域ルールに縛られる・税金が原資なので、疲弊した財務状況の自治体では開催不能批判を招く場合がある。税金芸術より生活政策資金が回されるのは当然である所詮流行りの水物なのだが、皆さんが思っているより所謂コスパの良い地域振興策なのでなくならないだろう。

表現の自由

今回の問題では、アートと異なる展示がなされているという意見が多く出ているが、大きく表現の自由と括られる中でも、その自由の元に「どの媒体で」「どのような手段で」「どの程度の深度で」、成果物として表現しているかは人それぞれ、所属する社会により異なるという点。またアート政治と不可分であるが、極端な扇情アジ)を行わなくとも、その行為そもそも自由行使しなければ表現できない、自由平和な状況でなければ創作活動はできず、人の創造性を発揮できない点が大前提であり、自由の中で個々人が世界との関わりの中で何らかの美醜混じった真理を見つけ、それを昇華したのがアートとすると、今も表に出ない問題の一つ、表現の自由行使する媒体手段の衝突という背景が見えてくる。

新聞社や論壇を中心とするジャーナリズムは、文字を用い、抽象化している諸概念文章化し、権利自由を、守り、啓蒙し、扇情したりするわけだが、小説などと異なり「直感的に察する/察させる」機能は弱く、相手文字化、文脈という論理化してしまった問題に対し、「同意するか」「同意しないか」の二者択一を求めてしまう。そして問題となった展示は、実行委員会の多くが学者又はジャーナリズム出身という状況で、同じ表現の自由でも、性質が異なる表現を行ったことが原因にあり、一般市民が考える「アート」とイコールにならなかった。「これはアートではない」という声である表現はしているが、アートではないと。

ステートメント芸術、或いはキャプション芸術と呼ばれるもの

アーティストと名乗る作家にも問題がある、この「ステートメント芸術」と揶揄される表現は、業界に詳しくなれば詳しくなるほど根深く、呪いともいえる。

アートという行為物質/空間/映像/音楽意図が伝わるよう、意識特定ベクトルへ向けるよう誘導し、表現しなければならない所なのだが、その実力がない作家の中に、延々とそれらしい説明文を付けて意味づけする行為や、文脈という補助要素を主要素に持って来て、実態だけを見ても理解不能となる。そのような作家は大体退場していくのだが、言葉が主戦場ジャーナリズム界隈と親和性が高いので、変な形で融合してしまうことがある。

文脈を追うのが現代アートだ」という解釈誕生である。一面では事実だが、全てではない。

ビジネス世界でこの行為を言い換えた表現としては「ストーリー」という言葉がある、そしてこれを最大限活用した米国企業セラノスの末路は多くの人を巻き込み凄惨ものであった。

・何が問題だったのか

監督芸術キュレーター経験がなく、自身の分野であるジャーナリズム文脈解釈した表現を、芸術祭ねじ込んだ為、酷く食傷を起こしてしまった。

食傷を起こしてしまった後の対応が、構造理解している人の不足で収まっていない。

食傷を起こした理由は長々と書いた。経緯として自分たち表現の自由最前線で、他の作家は何も考えていない。ように捉えられてしまキュレーション自由世界におけるジャーナリズム優越性)をしてしまったのが原因にあると考える。結果、津田氏がFM番組発言したように「自分一人ならナイフで刺されてもいい覚悟だが、関係のない人を闘争に巻き込んでしまった」という発言につながっている。

表現自由であるから闘争を持ち込むなとは言えないが、徹底的なゾーニングと仕掛(言語化できている主張表現に容易にアクセスできる導線を作る)ことが必要であった。言語化できている(と思われる)主張表現に対して、実態が追い付いていなかったのではないだろうか。

不特定多数威圧行為は、少数で行う創作活動にとって凶悪暴力であり、過去も多々あり、これからもなくならない。すべての事柄に寛容な社会など来ないし、永遠に付き合わなければならない。

②をわざわざ書いたのが、今回の騒動で最も被害を受けている、他の参加作家に対して謝罪対策を行っているのかよくわからない状況だからである

・誰が最も被害を受けたのか

昨日声明文を出さざる得ない状況に追い込まれた、他の参加作家である。それぞれの表現を深化させて今日を迎えているが、キュレーターバランスを取らず、独自プレイヤーとして創作活動我田引水した結果。必要のない状況で、自身作品を見てもらうという重要事柄を達成されないまま原理原則論確認や主張を行わされたのは、イベント主催者として責任が重大である表現の自由大事だと言うに決まっている。また、作品撤収せざる得ない状況に追い込まれ海外から参加者に対して、展示機会を奪った結果になった事も忘れてならない。マスコミが何をキーヴィジュアルとして記事にするか理解して、扇情的人形を配置しているのは明白で、記事を見た輩が抵抗/抗議を通り越して、挑発解釈してしまった訳である撤収した2人は、必要のない場面で・積極的日本側の行為に抗議を行う・無視した場合自国内で起きている扇情的民族主義の標的になることを避ける。2者択一判断に迫られた。

昨日声明に協賛したのは参加作家全員でないだろう、検閲を受けたわけでもない、こういうキュレーターミスによる騒動に対してのスタンス作家ごとに異なるのは当然である

・なぜここまで注目が集まったのか

芸術本質的生活必需品とは言えない。生活環境が改善し、可処分所得余暇がある状況下で初めて人は関心を持つようになる。今の日本問題は起きているが、ネットで百家争鳴する位この国は文化的に成熟しており、得体の知らない世界に関わりを持ちたい気持になったのは素晴らしいと思う。物事の全ては飛び込んでこそ妙が分かる。威圧脅迫はださく醜悪である。そしてアートはこんな長文も飛び越えて一瞬であなた感性に突き刺さる力を持っている。

2019-08-02

anond:20190802010342

嘘を疲れても信じてあげてえらーい!

真面目な話どうすればいいんだろうな。

喧嘩になってもいいなら嘘ついた証拠を並べて事情聴取とかだろうけど…

成果物を提出させるとか、連絡した相手にその人から連絡があったか確認して裏を取るとか…

2019-07-25

取引額が大きいほど待遇を悪くする世界

ここのブコメ自分世界常識と違いすぎて怖い。

https://b.hatena.ne.jp/entry/s/twitter.com/in_roun_in/status/1153904750598877184

成果物を納める仕事取引額が1000円なら8割引かれて、1000万円なら4割でOKとかって普通でしょ。逆なんてありえるの?そんなところに誰も納めないでしょ。

その世界では100個買うから1個おまけしてよーとかは通用せずに、100個買うなら1個は中古にするよーみたいな感じなんだろうか。

無能社員を切り捨てるな、組織責任だという論調もあるがここまで来たら完全に共産主義だな。

2019-07-20

「命は平等」って喚きたがるやつってつまり

平等から他人成果物は無条件で利用できるべき=自分は何もしないが他人自分のために奉仕するべき っていう

価値のない存在を上位に置いた貴族主義要求してるだけ

anond:20190720054311

そんな理性的な話が通じる相手じゃないんだって

大手会社勝手に送りつけられてくるあの手の人達成果物見てないと実感わかねえだろうなあ。

2019-07-18

[]7月18日

○朝食:なし

○昼食:パン

○夕食:ケンチキ

調子

むきゅーはややー。

仕事はグッダグダだった。

今まで別々仕事をしていたチームが一堂にかいし、

このプロジェクトを総括している人たちが作った工程表に従って、全員の成果物を収めるべき場所に収める仕事なのだけど。

たとえ話をしちゃうと、カップヌードルを作る仕事だとすると

「1.三分間待つ」

「2.カップヌードルの蓋をあけ、ヤカンの中身を注ぐ」

「3.コンロの火をつける」

「4.水が湧くまで待つ」

「5.ヤカンに水を入れる」

みたいな感じの、順番がぐちゃぐちゃで意味不明になっていた。

もう誰がどうみても破綻したスケジュールで、開始一分ぐらいでほぼ全てのチームから「どうなってるんだ!」という問い合わせ電話殺到したらしく、電話が繋がらず大変だった。

結論としては、こんな破綻したスケジュールでは何もできないから、全部忘れて仕切り直すことになった。

なんかもう笑うしかないわ。

ヒューマン・リソースマシーンスイッチ

古戦場なのでグラブル優先。

グラブル

とは言っても、8箱(拳と短剣(光に変える予定))を集めるだけのユルユルプレイ今日は6箱開けた。

古代布351/400。虹星晶1382/3300。碧空の結晶255/460。

お仕事つらい

今日お仕事頑張ったけど、もうそろそろつらい。

毎日、怒られ、呆れられながらもお仕事続けてる。

客先常駐なんだから、正直首にしてくれたらいいのに、そういうわけにも行かないらしい。

つらいよー。もっと違う仕事がしたいよー。もう怒られたくないよー。

そんなことを思いつつ、成果物うんこなことを怒られ、謝りながら、陰口言われながら明日孤独に1日を過ごすんだ。

そして束の間の金曜日の夜を楽しみながら、いつものように月曜日を恐れながら過ごす休日が始まる。

お仕事つらい。

2019-07-16

どうやって仕切ればいいんだ?

単位という長期のプロジェクトで、一品モノの製品を作る仕事をしている。

ただし確度95%くらいで、つまりほぼ毎回のようにプロジェクト炎上する。

炎上理由はハッキリしていて、プロジェクトをある程度まで進めないと、客も作る方も「結局、何が欲しいのか」が見えてこないのに、契約の都合上、予算納期絶対に動かせないから。

まあでもこれは大した問題じゃない。てか、そういうもんだと割り切るしかないので。

それに、あんまりムチャクチャタスクが積み上がった時点で

「期日までにできるのはこれとこれとこれだけ。1日24時間しかないんだから、こんなん全部できるわけねーじゃん。てか間際になってこんなタスク押し込みやがってふざけんな」

という趣旨でキレるなり泣きつくなりするか、逆に「なんとかしてくれ」と客が怒ったり泣きついてくるタイミングを見計らったりでしのげてるし。


俺が一番頭を悩ませているのは、作業請負で入ってもらっている作業者の勤務態度だったりする。

年配のベテラン格になればなるほど、

自分ときが頑張っても頑張らなくてもプロジェクトの成否なんて変わらない。だったらそんなこと関知せず、とにかくここにできるだけ居座ることだけ考えたほうがカネになる」

という態度の奴、つまり最初から最後まで無気力試合を決め込む奴が増える。

ハナからそんなふうに仕事されちゃ、リーダーとしてはたまったもんじゃない。

そしてそういう奴でもなんとか動かそうとすると、結局オメーテメーの、暴力的マネージメントをするしか手がなくなる。

今日どこまでやると決めたタスクは基本終わらせるまで絶対さないとか、成果物の不備を指摘するときは敢えて強い口調でダメ出しして詰めまくるとか、叱責はわざと周囲の全員の手が止まるくらいの剣幕で怒り上げるとか。

まるでふてくされた不良中学生を怒鳴りつける体育教師みたいというか、それこそ鬼のリーダーどころか鬼より怖いリーダーを演じないと、スキあらば遊び始めるからあいつらは。

なんでこんな憎まれ役をやらなきゃいけないんだよ、マジでしんどいわ。


そこに来て、昨今はパワハラにうるさい情勢になってきたわけで、とうとうこの前、上司から

「お前『そこ』以外は本当に頑張ってるんだけどな、面倒見いいし」

と、遠まわしに苦言を呈されてしまった。

そうなるともう、俺としては怠け者を動かすために打つ手がなくなる。

てか、なんで俺ばっかり悪者みたいな流れになってるんだよ?

そんなことばかり考えている。

2019-07-14

物を作る。原料を加工して成果物を作る。紙に書いたりデータを作るではなく、モノを作りたい。

しかし、ものづくり機械化されてる。伝統工芸品でも、職業にして食べていくのは難しそう。

どんなものづくりなら年収300万で働けるかな。

2019-07-13

GitHubうpするときフレームワークを使ってる場合はどうするの?

ITエンジンニャは個人開発の成果物GitHubに置かなければならないが、PHP(ですみません)でLaravelなどのフレームワークを使っていたら、フレームワークソースアップロードするの?

それともcomposer.jsonフレームワークから差分のみ?

Composerを使っていない昔のプロジェクトフレームワークから差分だけアップロードして、ドキュメントCakePHPいくつを入れてそこにこのソースを放り込んでねみたいに書くの?

っていうか自分とこの稼働中WebサービスDBテーブルとかホイホイ公開するものなん?

2019-07-07

anond:20190513102534

別にどうでもええと思うけどまあこっち派かな。

何度も誤字脱字繰り返すアホなんて趣味でも仕事でも俺は相手しないのでそういう意味で指摘し続けるやつも建設的な目的ではない暇人だと思うが、

それはそれとしてそんなことを大変な被害みたいに言うのはどうなんだ。指摘されることすら被害だっていうなら気が付いて指摘せずにはいられんやつも被害受けてんだろうと。

直す気がねえなら読まずに捨てればいいだけで(俺はそれぐらい直す努力しろよと思うが・・・ 単純ミスだらけの成果物って仕事でも趣味でも合理化出来ないだろ)、

そういう反応が来ること自体耐え難いっていうのはただの甘え

そんな自分に都合のいい反応しかこない場なんてこの世にねえよ

2019-07-06

7payのセキュリティ審査って何をやってたんだろうか

ここ連日騒がれている7pay。

パスワードリセットリンク送付先のメールアドレスに対して設計上の問題脆弱性が発覚して大変な事態に発展しています

昨日の会見では社長ITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています

また、会見内で「セキュリティ審査実施した」と明言がされました。

https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html

セキュリティ審査実施していたにも関わらず、何故今回の問題が見逃されたのか。

非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います

セキュリティ審査とは

その名の通り、サービスローンチ前に実施する、脆弱性問題がないか審査の事・・・だと解釈しました。

審査」というとISMS辺りを連想しちゃいますね。

一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます

以後脆弱性診断と記載していきます

実施した」とはいっても、どういった内容を実施たかはわかりません。

ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチ脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います

通常、脆弱性診断というと、以下のような項目があげられると思います

抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います

詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています

LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティスプラウトなど。

ただ、今回の脆弱性診断が外部ベンダ実施されたのか、内部で実施されたのかはわかりません。

以下、推測をつらつら書いていきます

外部ベンダ発注したが、コスト削減のために対象を削りまくった

脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります

Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます

また、数量計算ベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。

お願いすれば見積もり時にステージング環境で動いているWebサービスクロールして、各ページの評価を付けてくれるベンダもあります

規模と見積もり内容にもよりますが、100~200万といったところでしょうか。

スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。

プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います

これ以外にWebSocketを使っていたり、別のサービス連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります

Webサービス200万、スマホアプリ(iOSAndroid)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。

脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。

そしてこれをそのまま発注するかと言われると、多分しないでしょう。

セキュリティお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。

経営層は中々首を縦には振らないでしょう。

会見でも明らかになったことですが、社長ITリテラシはあまり高そうにありません。

こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。

また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。

いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。

削れるものをあげていってみましょう。

例えば、iOSスマホアプリ実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からアクセスは基本不可であるためです。確か。

そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセスインターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います

・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。

プラットフォームも、ベンダによります実施しなくとも良いとも思います

ベンダ説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います

Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います

サーバコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。

そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。

ワイドショーでは「不正海外IPからで、国外からアクセス許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります

実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います

Webサービスですが、ログインログアウト処理は必須でしょう。また、新規登録情報変更、退会処理も重要です。

パスワードリセットどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。

ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。

ただ、NRIにはNRIセキュアというセキュリティに特化した子会社存在しています

もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います

ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。

NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります

別のベンダ発注したことで、抜け落ちた可能性はゼロではないかもしれません。

また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料セブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断セブンに委ねられます

考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・

ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます

特定ベンダと、ツールを用いた定期診断を実施してもらう契約をしていた

この可能性もあるのかなと思います

使ったことはありませんが、SecurityBlanket 365というサービス自動での定期診断が可能なようです。

ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダ逐次依頼する脆弱性診断よりかは安く済むはずです。

ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。

ツールの手が届く範囲での、XSSPoC、ヘッダの有無など、ごく一般的脆弱性診断になると考えられます

でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。

セブン内部でツールを用いた診断を実施していた

脆弱性診断ツールOSSのものもあればベンダ販売していたり、SaaS提供しているものもあります

OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります

ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。

有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います

SASTになると、RIPS TECH、Contrast Securityなどでしょうか。

上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。

こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。

ただし、社内のエンジニアに任せる事になるため、片手間になってしま可能性があります

また、ツール使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います

・・・とは言ってもセブンにはCSIRT部隊ちゃんとあるんですよね。

https://www.nca.gr.jp/member/7icsirt.html

『7&i CSIRT は、7&i グループCSIRT として設置され、グループ企業に対してサービス提供しています。』と記載があります

また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています

グループ企業情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査分析リスク情報の共有、ならびにインシデント対応活動を行なっています。』

という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。

組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会情報管理委員会のどこかに所属しているんじゃないかと思われます

日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバー専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。

なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います

会見内で言われた二段階認証検討事項に上がらなかったのかなあ・・・と。

まあ、今でも機能しているのであれば、の話ではありますが。

で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。

https://www.7pay.co.jp/news/news_20190705_01.pdf

これを見ると内部のCSIRT機能していなかったか力不足判断されたかどちらかになるのかな・・・と。

実際はどうだかわかりませんけど・・・

診断を実施したがどこかで抜け落ちた

これも有り得る話かなあ・・・と。

関係者が多いと情報共有にも一苦労です。

開発やベンダCSIRT部隊情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧表現で伝わっていなかったとか・・・

ベンダ実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。

問題認識していたが上申しなかった/できなかった

7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応時間を取られることになります

そういった事を許さな空気が出来上がっていると、まあ中々上には上がってきづらいです。

これも十分にありえる話ですかね。ないといいんですけど。

セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった

どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。

そこで思ったのですが、情報セキュリティ基本方針個人情報保護方針を元にしたチェックリストのようなものセブン内にあって、それを埋めた・・・みたいなことを「セキュリティ審査」と言っていたりするのかなと思ってしまったんですね。

でもこれはセブンペイの社長個人情報保護管理責任者ということで、ISMSPMS等で慣れ親しんだ単語である審査』を使っただけかもしれません。

そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業・・・

そもそもやってない

大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・

というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。

そういえばomni7で以下のお知らせが上がっていましたね。

https://www.omni7.jp/general/static/info190705

『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。

もしくはわかりやす対策提示しろと言われたのかもしれません。それなら仕方ないんですけど。

パスワード定期変更を推奨する因習はいつ消えるんでしょうか。

以上。

以下追記 2019-09-08

一部typoとか指摘事項を修正しました(役不足力不足 etc)。

ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。

所詮「人のつくりしもの」だよ

監査なんて取り揃えた書類通りになっているかどうかなので、監査受けているかセキュリティ的に大丈夫ってことじゃないよ

そんなに監査が万能なら監査できるくらいの人が作り出せば完璧になるはずだろ

ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・

一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性問題がないか審査の事」、つまり脆弱性診断」を指していると仮定して本エントリを書いています

そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。

監査貴方記載する通り「ある事象対象に関し、遵守すべき法令社内規程などの規準に照らして、業務成果物がそれらに則っているかどうかの証拠収集し、その証拠に基づいて、監査対象有効性を利害関係者に合理的保証すること」です。

貴方の言う「監査」に近いことは「セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ このエントリーをはてなブックマークに追加ツイートシェア

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん