  |
はてなキーワード: 見積もりとは
https://prtimes.jp/main/html/rd/p/000000011.000023488.html
●>このプロジェクトには、GO所属だけではなく、大手広告代理店や民放キー局出身で、メジャーなCM制作に多くの実績を持つ6名のクリエイティブディレクターが参画しています。
これはすごい。よく集めた。
広告代理店が出す、この人たちの人件費の見積もり単価考えるだけでも2000万なくなるんじゃないでしょうか、ぐらい。一流クリエイターズ。
●>「はじめてのTVCMプラン」では、制作からメディアバイイングまでを一気通貫して提供。2,000万円〜の広告予算で、最短2ヶ月で業界最高水準のCMを納品することが可能
これが安い。
普段テレビで目にする全国放送のCMをつくって流すには、普通 2~3億円かかる。高いと思ったでしょ?そう高い。キー局の放映料はまじで高い。
だからそれが払えるメジャー企業・商品、or ソシャゲとかでじゃぶじゃぶ儲かってる企業しか普通はCMを打てないんだよ!
ただまあ、色々聞いている限りだと予算2000万だとたぶん全国放映は無理で、急に安くなる地方局のみに出稿するパターンだろうね。
●>デジタル領域では当たり前の、KPI設定から数値分析までのPDCAを実施します。さらに「CMO代行プラン」では、デジタルとテレビの融合によるマーケティング予算の全体最適化を実施。
ここまでやってくれるのはすごい。
これ、広告代理店でこれ頼むと、別部署が出てきてオプション価格で見積もりがまたボコーン!ってあがるから。ここまでやりますよ!
っていうのはすごい。
ーーーー
2.(大手)広告代理店が受注、オリエンに基づいたTVCMの企画やメディアバイイングのプランニング→
3.プランの承認が取れたら「制作会社」がTVCMを制作・納品 ※メディアバイイングは代理店の仕事
なの。マーケティングが入ったら2.の部分の事前リサーチと、3.の後として事後リサーチが入るのね。
これをひっくるめて、価格を億単位からしか発注できなかったTVCMを、大幅に引き下げて参入しやすくなったということね。
これはすごいよ!
さて、
ところで、
今回発表した人たちの担当範囲って「2.」のプランニングとマーケティングなんだけど、
PRしてる部分は「3.」の部分「業界最高水準のCMを納品」まで入ってるんだよね。
通常、ここの部分は慣習的に全広告予算の10%が直接制作費に割り振られるようになっている。
つまり、全体予算2億円だと、2000万を制作会社はもらってそのお金で「業界最高水準」のクオリティのキレイとかカッコいいとか高品質な映像を納品するわけね。
なんでたかだか30秒の映像つくるだけで2000万かかんのって思うだろうけど、
撮影現場にはCMの場合50人~とかスタッフがいたりして(映画の撮影現場のメイキングとか見たことあるでしょ?あんな感じ)、
もちろん、デジタル技術が発展し続けてるから、人数が少なくても良いものはできる時はあるけど
物理で美術セット建てたりすれば大工の世界だから金はかかるし、
あるいはCGつくるにしてもそのCG部分には人件費がまたかかるからね。
で、
それで、
全体予算が2000万とすると、制作費は10%として200万?
さてこの発表の影で誰が何を思うかは、
温泉に誘われても嫌いという嘘をついて断り包茎を隠し続けていたからである。
コンプレックスということもあり誰にも話せないことなので、ここでみんなに話を聞いて欲しい。
そして、包茎に悩んでいる方がいたら一度、軽い気持ちで良いから読んでほしい。
---
今までの人生、包茎のまま過ごしていき、今年で33歳になった。
世の中の男性で包茎に悩みを抱えている人は多いはずだが、そのまま放置している人は意外と多いと思う。
包茎手術を受けようが受けまいが、もちろん個人の自由であり、僕が他人のアソコについていちいち文句を言うことはない。
"今後の人生で、どれだけの女性と出会い、どれだけの女性と関係を持てるのだろう" と。
ただでさえモテない自分だが、包茎ということでさらに恋愛にも億劫になっていた。
今まで付き合った彼女は数少ないが、その中でも包茎がコンプレックスで夜の営みをせずに別れた女性が大半だ。
国勢調査によると35~39歳の人が5年間で結婚できる割合が約15%らしい。
ただでさえ出会いが少ない上に見た目もオジさんになり、包茎のせいで自分への自信も無くて、一体いつになったら結婚できるのだろうか。
もし付き合えたとしても、夜の営みの途中で「え…。包茎じゃん…。」と相手に思われてしまわないか、不安で仕方がなかった。
自分が女性と付き合っても上手くいかないのは、自分の包茎に対するコンプレックスからくる自分への自信の無さだと自覚はしていた。
ただ、包茎手術に対する敷居はかなり高く感じでいた。
包茎手術をしてから人生が変わったという噂も聞くが、その反面、値段が高いとか、失敗したとか、そういう噂も聞くことがある。
何より自分の大事なアソコに何かをするというのは正直怖いと思っていたが、覚悟を決めて包茎手術をすることにした。
ちなみに包茎手術への一歩を踏み出すために背中を押してくれたのが、永井さんというデザイナーの方だ。
本人とは面識がないが、ブログの記事を読ませてもらい、手術を受けるきっかけとなった。
いち読者が勝手に紹介をして良いのかは分からないが、それがこちらのブログ。
https://note.mu/hirotonagai/n/n4833667a8c6d
この男性、永井さんという方は、本業はデザイナーをしているようだが、とにかく包茎情報にアツい。
話し方も上手く、内容も面白いが、包茎手術を受けることに背中を押してもらえた。
包茎手術はいきなり施術を受けるのではなく、事前にカウンセリングを受けてから手術を受けるか否か決めることができる。
一度行ってみてから最悪怖かったらそのまま受けなくていいや、という軽い気持ちから僕はカウンセリングへと向かった。
一つのクリニックだけでは、大事なアソコを預ける身として不安なので、念のため三つのクリニックへと足を運んだ。
カウンセリングに行って初めて知ったのだが、包茎手術には複数の治療法があるらしい。
皮を切断して短くするだけと思っていたのだが、ざっくりと言うと5パターンある。
・環状切開法
アソコの余っている包皮を中央部分で切除して吸収糸で縫合する方法。最も一般的である。
たるんだ皮膚を直接取る方法。中間部分にクビレがあるような方におすすめされている治療法である。
・根元法
根元部分の皮膚を切り取って、前方のたるんだ皮膚を根元に引っ張ってくる治療法。
切るのは怖い、傷跡が残るのも嫌だという方には切らない治療法もある。
・その他
基本的な包茎手術は前述したような内容だが、オプションで亀頭を増大させたり、吸収糸を使ったり、ナイロン糸を使ったり、色々あるようだ。
僕が実際にカウンセリングに行ったクリニックは、この3つ。
・上野クリニック
昔、雑誌の広告に出ていたことや、タートルネックを広告に使っていて、男なら誰しも知っていると思う。
・ABCクリニック
包茎手術について調べていた際に見つけた。初めて聞く名前だったが、全国展開をしているようだ。
・東京ノーストクリニック
Q&Aサイトで包茎手術ができるクリニックについて質問をしたところおすすめされた。
まずは事前予約を済ませてから、上野クリニックにカウンセリングを受けに行った。
建物の外観は至ってシンプル。医院内は木目調のアーバンな雰囲気で受付の方も優しそうな雰囲気。
まずはフォーマットシートに個人情報やアソコの状態を書き込み、センシティブな内容も含め色々と質問をされる。
初めて会った人に自分のアソコについて語るのはとても不思議な気分だが、新しい人生の第一歩として、真剣に答える。
メニューについて問診がある。吸収糸を利用するか否か、裏スジを残すか否か、亀頭増大のためにヒアルロ酸注入を行なうか、など。
一応、下半身はフルチン状態で待ってくれと言われたので、大人のお店のような気分で先生の到着を待つ。
“女性だったらどうしよう”と思われている方もいるかもしれないが、包茎手術の先生は基本的に全員男性だと思う。
ノリが良さそうな優しい雰囲気の男性の先生が登場。コンプレックスについての話だが、初対面で打ち解けられる感じで安心。
簡単なチェックが終わると選択コースの見積もりを提示される。金額はあるていど想定していたが、正直安くはない。
この見積もりで問題なければ当日そのまま施術も可能とのことだが、僕は他のクリニックにもカウンセリングを予定していたため、一時撤退。
上野クリニックでの包茎手術の料金はプランによっても異なるが、大体70,000~150,000円くらい。カウンセリングとアフターサービスは無料。
美容形成術などメニューは大体100,000円から600,000円くらい。亀頭増大や亀頭強化は大体150,000円くらい。
他にもアソコを立派にするオプションが結構あった。僕はそこまで考えていなかったため、あまり覚えていないが。
次に向かったのがABCクリニック。
電話や当日の対応は特に可もなく不可もなく、至って普通。事務的な感じだが、別に気になるほどではない。
店舗の場所は周囲のビルにまぎれていて入口も目立たないので気兼ねなく入れる雰囲気。
クリニック内はすっきりと小洒落た印象。
お決まりのアンケート記入から始まり、他医院での包茎手術経験の有無、サイズが気になるか、夜の営みの経験、アレルギー、自慰行為の回数など、案外リアルな内容を書き込む必要がある。
ちなみに事前予約なしで飛び込みでカウンセリングも受けられるらしい。
服を脱いでベッドに横たわり、色々と診察を受けた後に、複数のオプションを説明され、今日直ぐにでも手術した方が良いと言われた。
他にもカウンセリングに行っているので一時撤退を伝えると、なぜか5,000円を請求された。
無料カウンセリングと言われていたのだが、なぜか5,000円を請求された…。
どうもカウンセリング自体は無料だが、医師による診察は初診扱いとなり費用がかかるとのこと。
この5,000円は当日手術を受けた場合の金額に含まれるということで、一時撤退する場合は先に5,000円を払う必要があるらしい。
後日手術をするのであればその際に5,000円分を値引きするとのこと。
無料カウンセリングというややこしいトリックに見事にハマってしまったが、仕方なく5,000円を支払い一時撤退。
包茎手術の料金は幅広いプランがあり、50,000~500,000円程度。
どうやら他のクリニックにはない独自のメニューがたくさんあるらしい。
自宅に帰ってから詳しく調べていたが、ABCクリニックでは3,30.3プロジェクトなるサービスがあり、来院予定の3日前の予約であれば包茎治療代が50,000円から30,000円になるらしい。
さらに、その他すべての治療が30%引きというキャンペーンも行っているとのこと。確かにコスパは良いのかもしれない。
ただそれは嘘という口コミもいくつかあった。確かに僕もカウンセリング時に言われてないし、謎に5,000円取られたし真相は分からない。
また、キャンペーン情報を記載するのは医療広告ガイドラインに抵触する可能性があるということで、広告用の別サイトも多数あると口コミに書かれていたので、よく分からない。
正直5,000円取られた時点でもう嫌になっていたというのが本音。
上野クリニックやABCクリニックのようなメジャー感はないが、Q&Aサイトで質問をした際には、信頼の高い包茎クリニックと聞いている。
ABCクリニックのように謎に5,000円取られるのは嫌なので、事前に電話でカウンセリングについて詳しく聞いたが、料金についてなど、こと細かなこともヒアリングできたので、安心して来店を決めた。
外観は薬局のような感じの緑色の看板があり、大通り沿いということもあり知っている人は知っている、という感じでちょっと入るのをためらいそうな雰囲気もあったが、そこまで問題ではない。
そして包茎のカウンセリングは3回目だったが、何度来ても慣れないと思った。
受付もカウンセリングも全て男性だったので安心。話をじっくりと聞いてくれて、アソコの状態もチェックしてくれて親切な印象。
色々なオプションを付けた方が良い、手術後に何があるか分からない、といったことで少し恐怖心を煽ってくる感じがした。
ただ、本当に丁寧な人なだけだった可能性もあるが、勧誘っぽさが少しあった。
すぐに手術出来るとのことだったが、どのクリニックにするか迷っていたのでお決まりの一時撤退。
自宅に帰って詳しくと調べていると、どうやらこのクリニックには医師がほとんどいないらしい。
予約が入ったところで様々な場所に医師が飛んでいっているらしい。ネットの情報なので事実かどうかは分からないが。
切らない包茎手術もあるので魅力を感じていたが、切らない包茎手術はあまり良くないというネットの情報もあった。
亀頭のブツブツや性病の悩み、亀頭増大に関するプランなど、複数のプランがあった。
これだけオプションが揃っているから、色々と勧めてきてくれたのかもしれない。
ただ、僕がしたいのはオプションではなく、包茎手術だけだからな、と思った。
3つのクリニックについて、ざっくりまとめるとこんな感じ。
・上野クリニック
雰囲気が良い
値段は少し高い
・ABCクリニック
値段が安い
即日手術を推してくる
・東京ノーストクリニック
勧誘がしつこい
少し入りにくい店構え
しばらく考えてから、僕は上野クリニックで手術を受けることにした。
決め手は一言で言うと安心感。色々とクリニックに行って、何が決定打と言われると曖昧だが、直感でそう思った。
おそらく対応の良さだったり、ネームバリューがあるので元から知っていたということもあるかもしれない。
手術後も24時間対応の無料相談サービスがあったり、アフターケアも充実しているので、本当に対応が良さそうと思った。
---
そして今、これを書いている今、上野クリニックで包茎手術をしてからちょうど1ヶ月程度経過している。
手術当日では手術内容の確認だったり、再度料金の説明を受けたり、やっぱり丁寧な印象だった。
アソコにスプレー式の麻酔をしてから手術開始となり、1時間程度で終了した。
手術終了後には、アソコに包帯が巻かれていた。どうやら施術は成功したようでとりあえず一安心だったのを覚えている。
痛み止め等をもらい、入院とかはなく、その日のうちには終わり。
無事に包茎手術は終了したが、しばらくは自慰行為も女性との夜の営みも出来ない。
手術当日はシャワーで洗えないし、包帯は毎日取り替えて清潔に保つ必要がある。
痛み止めを服用しながら、2週間程度でやっとお風呂に入ることができる。
僕の場合は1ヶ月経過してもう傷口は完治したが、しばらくは担当医師に相談をしながら経過を見ていくのが良いと思う。
アフターケアもしっかり面倒を見てくれたので良かった。改めて上野クリニックの優しさを感じた。
正直、包茎手術をする前の僕は、本当に包茎手術をしたところで男として自分に自信が出るのか、不安にも思っていた。
もし失敗したらさらに自信が無くなりそうだし、それこそ一生女性と関係を持つことは出来なくなるのではないか、とも。
「案ずるより産むが易し」
今回、包茎手術をしてこの言葉の意味が痛いほど理解できるようになった。
今まであんなに悩んでいて、あんなに自分に自信が無かったのに、今では自信に満ちあふれている。
まだ彼女はできていないが、きっと今の自分は以前の自分よりも良い顔をしていると思う。
上野クリニックの言葉を借りると、"ひとつウエノ男に"なれた気がする。
包茎手術に悩んでいる人がいれば、手術に躊躇していないで、すぐにでも治してしまった方が良いと思う。
意識高い系のいかにも仕事できなそうで職場や案件たらいまわしにされてるの丸わかりの増田とか、使えなさ過ぎて業界から追い出されてシコシコ技術ブログとか書いてるんだろうなっていう元ITエンジニアって肩書のブロガーとか自称業界人の皆様たちのおかげで、絶賛20代30代がいなくなり、40代50代の脳みそ壊れたオッサンオバサンばかりと少子高齢化のあおりを受けまくってるIT業界
そんな彼らが「IT業界がダメになったのは国や社会の責任だ!」と鼻息荒く早口でよく責任転嫁をしているが、彼らに「じゃあ昔のIT業界ってどんな風な仕事の仕方だったの?」っていっても口が裂けても答えてくれないことが多いのは周知の事実だと思う
だから、これから運悪く新卒でブラックにあたって職歴に傷がついているからIT業界に仕方がなく来るしかない、という第二新卒の方々や、IT業界に来たいんだ!という奇特な新卒やダ学生の増田向けに、まだ日本がITでは世界2位だったころは、どんな風な仕事の仕方だったのかを、知ってほしいからこれをかこうと思う。
増田が大好きで大好きで仕方がないweb系も、始まったのは実は92年くらいからで、その当時のweb系も合わせてどういう仕事なのかを知ったうえで、貴重な若い人生を無駄にしないように将来を考えてほしいと思う。
例えば業務用ツールの案件の場合、顧客はIT知識やましてやシステムのことなんて何も知らない
だからコンサルが「客の職場に常駐して」まず業務のヒアリングから始めていた
今でこそコンサルなんて半グレやヤクザみたいなのが業界の4割くらいしめていて詐欺師の代名詞みたいになっているが、当時はそんなことはなくちゃんとした技術者も多く、故に顧客がコンサルにまで正当にお金を払う文化が存在していた、この時点で信じられないとか発狂する増田もいるだろうが、真実なので落ち着いてほしい。
顧客は自分の会社ではあるけど現場でどんな業務が行われているかが見えてないケースさえ昔は多かった
まず業務手順の整理や確認をして行く、「SEとセールスエンジニアが常駐して」ヒアリングと現状の手作業の事務の工数をはじきだしていく。
今でこそセールスエンジニアとか茶飲みに来た営業の横にくっついている愛想悪そうなオッサンがやる気なさげに右上のタイムスタンプ数年前の資料かえただけのものをバサっと投げつけて技術わかってない客を見下しまくって喧嘩を売ってるような態度のエンジニア上がりとかが業界のセールスエンジニアの6割を占めているが、当時はそんなことなく、ちゃんとした一般常識や教養や礼儀や共感性が人並みにある健常者の技術者上がりも多く、故に顧客が常駐しているセールスエンジニアに正当にお金を払う文化が存在していた、この時点で嘘だ!主語がデカい!とか発狂する増田もいるだろうが、真実なので落ち着いてほしい。
現場の運用が把握して業務の棚卸しが始まる、無駄な業務を実施していることがここで判明してくる
だから、業務で発生している課題がハッキリして来る、システム移管時に何の業務が対象になるかが判って来る。
現状の客の業務ワークフローをドキュメント化して客に示して行き、詳細な機能要求仕様書も起こして行く。
今でこそIT業界のエンジニアたちが口をそろえて「それは客がすべきことだろ」と震え声でわなわなしながらブツクサ、ICT知らん奴は人にあらずみたいな商売と人様を舐め腐ったことを言うことも多いが、昔は顧客には本業の仕事だけに注力をして貰いたいのがベンダーとしての考えだったわけだ。これはwebサービスとか自社サでやるweb系の始祖であるところとかも一緒
課題が顕在化して来ると今後起こりうる可能性のある課題まで浮かび上がってくる、そして要求要件が固まると客にコストの提案が始まる
今までの業務コストとシステム化やシステム改修によるコストの差を示して行き、構築見積もりもここで概算を提示する。
概算見積もりの段階で高いと言う客にはここで終わりにはなってしまう。
OKなら、ここまでの見積もりコストを人権費と経費を基に計算して15%乗っけて完了、ドキュメント類は報告書として残して行く。
「なんでドキュメント類なんて残していくんだよ!ICTを知らん猿如きに!!!」って発狂するIT業界の現状の人間も甥が、理由はこれによって「顧客は競争入札が可能になるから」という至極まっとうなビジネスとしての理由がある。
こういうの今はBtoGでもめったにやらないだろうけど、大体すべてIT業界ではこれくらいが当たり前だった。増田が邪教の如く忌み嫌うウォーターフォールって奴だ(省庁は年度を跨ぐと手続き面倒だからデ通サが多いけどね)
さて、ここまで詰めてくれるわけだから、下流側は昔はコーディング設計書さえあった時代、マシンの性能以外を除けば、プログラマーとしてはこれほど助かることもない、綺麗なコーディングに注力できるから、だから昔の日本人プログラマーのコーディングは、芸術レベルで美しかったといわれる理由がこういう仕事の仕方が昔は当たり前だったからだ
昔のアメリカ以外で太刀打ちできる国は地球上に存在しないとまで言われていた時代の日本のIT業界を支えたSEやエンジニアたちは、ここまでやりがいのある仕事をする。
そりゃ年収一本当たり前だわな、これだけできれば。
今のIT業界の仕事の回し方なんて、アジャイル至上主義のweb系とかも見てもらえばわかるが、昔と比べればもはや学園祭の焼きそば屋レベル
上記のような仕事をされると困るから、そういうのが憎くて憎くて仕方がないみたいな奴らしかいないIT業界に、それでも来たいというのならどうぞご自由に。
え?海外いく?行けるわけないでしょコネもないのに。夢みたいなこといってないでパソコンの前に座るような不健全な仕事しないで汗をかいて働きなさい。
ネタバレにはならんと思うけど一応注意
戦艦の名前出てくるたびに、未だに女の子の絵が浮かぶのはアレとして、結局は超短期間で難しい見積もりをする話だ。
先月末に、要件もロクに見えていないシステム開発の見積もりを、短期間でやっていた身としては目頭が熱くなると共に、菅田君演じる天才数学者の才能と熱意に嫉妬する。
知り合いにがん保険勧められて、消化器周りに心配もあるし入っても良いかと考えてネットで見積もりしたりしてるのだけど
月3500円を30年とか払って、いざガンになると受け取れるのが一時金100万円と入院や通院によってもらえる1万円程度の日額
何度ももらえるのかと思ったら初回だけだったりする
これ、計算すると払込後にガンになったら126万円払って100万プラスアルファが返ってくるだけなんだけど貯金した方がよくね?
それとも60とか65歳になる前に100%ガンになると考えてるのか?
統計的に二人に一人がガンになる時代というものの期待値50%なら全然ペイしないし二人に一人分の保険金が保険屋の収入になってるだけじゃね?
https://togetter.com/li/1385121
生命保険は日本生命とか第一生命とか、死んだとき、病気のとき、ガンのとき、にお金出すよ!ってやつ。
今回のケースは生保じゃなくて損保!損害保険ね!車の保険、火事の保険とか、被害を受ける可能性がある!だから保険で守ろう!って保険ね!
古くは地中海で貿易するやん。船沈むやん。保険かけとくやん。そんな感じ!
そいで、じいさんがボケて徘徊して電車止めたときの保険とか、ゴルフの保険、介護保険、ドローン保険、とか色々あるよ!痴漢冤罪保険とか変わったものもあるし、なんと海外には胸毛がなくなったときに備えて胸毛保険とか、幽霊保険とか、アメリカにはエイリアンとUFO保険みたいのもあるよ!すごいね!
そいでマンション一室購入したとか、一軒家購入したとか、そういう場合は皆さん大体火災保険入ってるんだ。地震保険は低い。
ここから本題!
マンションなりアパートなり賃貸に住んでる人!おそらくアパート貸す人なり、大家さんなりが火災保険は入ってる。建物の所有者な!で、建物を直しますって感じかな。
アパート借りるときに大家さんなり不動産屋さんに火災保険に入れって言われた?それはオーナーさんの物件に傷つけたら、直しますって保険ね。大家さんへの損害賠償ね。
気づいた?誰も君の持ち物に保険かけてないねん。だから君が自分で保険かけて守るしかないねん。
でな、何をすればいいか!火災保険の家財に保険かける!これでおっけー!もちろん保険会社もけち臭いから、気をつけてな!まあ、保険乱用されるのも困るからね。
まあでも、大地震なり大災害だと、保険会社が払うお金一兆円とかニュースでやってたから、堪忍な!保険会社もがんばってんねん!東日本大震災だっけかな。
今回みたいに火事や地震で全部駄目になってたら全部でるよ!全部ってのは保険かけてる金額の全部ね!一人暮らしなら家財何百万とかが全部でるよ!
火災でなくても、犬がテレビ割ったとかボケたジーさんが洗濯機を壊したとかでも保険でるから上手く使ってな!何度も繰り返すと知らんぞ!がはは!
まあ、あまりどこどこの保険会社はどうのとか言えんのだが、安いのは安いなりにトラブル多いかな!これはこうで保険でませんとか、そもそも対応悪い遅いとか。あとこいつ凄くガツガツくるなーって保険の人いたら、注意な!安いだけが取り柄だったりするから、他でも見積もり取って他の会社の人にこの内容だとどういう場合に保険でないか聞いたほうがええで!
あと10月から火災保険値上げするから、入るなら早く入りな!どの会社も値上がりするからな!じゃあな!
ああ、自分の建物なり、家財守るのは火災保険でええんだが、他の家に火を移らせたってのは火災保険の中の類焼損害っての使うんや。
今回のケースだと出荷元のじいさんが火災保険つけてて類焼損害入ってれば普通に保険会社だしまっせ。それか焼かれたほうが火災保険入ってるか。
マンションだと引っ越せばトラブル起きてもまあ後は知らんぷりできるからなー。類焼つけてないことが多いかなー。年間千円二千円とか何百円の違いやけんけど。
一軒家だと、失火責任法って知ってます?ぷーくすくすって出来ないからな。
あとあれや、自分ちが原因で下の家に水漏れだのした場合は、個人賠償保険な。これは火災保険とか車の保険とか、どこで入っててもおっけー!
説明してて、あれやな、保険って面倒くさいね!アメリカの州によっては保険とか株とか小中で勉強するらしいが、日本も勉強したほうがええな!
今度こそじゃあの!
ウチの部門はウェブアプリ、PC・Android・iPhoneアプリとかを浅く広く手掛ける、まあどこにでもいそうなソフト屋。
でも客とは対等というか絶対言いなりにならないを方針にしていて、具体的には持ち帰りで作業を死守している。
ちなみに大規模案件に作業人足を貸し出して数字を確保するような、いわゆるSESも、上位の会社の言いなりになるという意味で論外である。
とにかく、「無駄な努力に要注意。努力する前にできることは色々あるでしょ」というのがモットー。
その代わり、単価は安めに設定してお買い得と思わせるようにはしている。
で、ウチの「会社」ではなく「部門」と書いたのは、残念ながらSESメインの「人貸しの人でなし」部門や、組み込み部門とかもあるから。
とにかく、ウチらのようなありきたりのソフト屋から見て、組み込み屋の仕事内容は驚愕モノだ。
何が驚きって、契約内容を全く吟味せず、仕様についても客であるハード屋の言うことを基本的には丸呑み。というか完全にハード屋の言いなりである。
それこそウチらの感覚からすると「なんでそんな仕様変更を受けてきたんだよ、跳ね返してこいよ」と言いたくなるような状況でも、淡々と受け入れて仕事をするのだ。
不安で夜寝られなくなるみたいなことは全然なさそうだし、それどころか昼休みは盛大に昼寝する余裕ぶりだったり。
更に客から「量産ラインを作る前の品証なんで、こちらで作業お願いします」と言われたら、一ヶ月でも二ヶ月でも客先に泊まり込んで付き合うのだ。
少なくとも単価については詐欺かボッタクリに近い。
とにかく、我々とは何もかも逆。
というか、組み込みはそういう人しか生き残らない感じが半端ない。
なんでこんなことになってんの?
「見積もりで設置不可が判明するかも知れないので余裕を持って工事日を設定してください」言うので、一週間で工事が設定を出来る所を二週間余裕を持って申し込んだ所、見積もりの業者が来たのが工事設定日の前日w 一週間で工事出来る言ってるんだったら、見積もりはその前に出来ていないとおかしいよね? となんとなく思ったが、もう既に品物は届いているw 諦める
しかもその日も業者は16時に来ると言っていたのが実際に来たのは19時。遅れる事を連絡してきたのが16時30分、3時間も遅れる事が判明しているのならもっと早く連絡して来れないかと思ったけど、まあ諦める
で、それでも無事に見積もりが済めば良かったけど、そこで、住宅が古く専用の電線を引く工事が発生し明日一日では予定時間に工事が終わらない事が判明
エアコンが壊れている状況なので、どうにか食い下がって18時から6時間掛けて工事をする事をその場では約束させたけど、後から電話では「10時から12時で工事します」みたいな事を言っているので、どうやら配線だけで工事を終わらせる予定に変更したらしい
てか、きちんと見積もりを前もって想定通りの時期にやってくれていたら、明日設置工事出来たよね?
まあ、明日の流れ次第だけど、今は彼らの依頼元に今日までの事をねじ込んでやるというその妄想でニヤニヤでもしないとやってられない
後のトラブル回避のために2人(あるいはそれ以上)の間で事前合意が存在したことを保証するサイトの概要
PCやスマートフォンなどでサイトにアクセスし、行為者となる予定の人物が新規合意書作成ページにアクセスすることで新規プロジェクトが生成される。
日時やIPアドレス等をハッシュ化しユニークな、部外者に推測されないURLを生成する、この作成ページに個人情報を含めてはならない。
この作成ページにおいて、行為の開始予定時刻や終了予定時刻見積もり、予定されるセックス内容やその他特約をフォームに入力していくことで合意書を作成する。
作成完了後に入力内容は編集不可能となり確認ページとなる。そのURLを参加予定者間でシェアする。このページは24時間経過後、あるいは作成者によって削除が可能。
合意書を作成した当人および他の参加予定者は、同意書に納得したならその確認ページの最下部に用意された合意書送付先に
各々のメールアドレス等を入力する、LINE等のSNSにも対応させることが望ましい。
入力した連絡先に契約内容と、内容に同意するならクリックするユニークなリンクを作成する、絶対に推測可能なものにしてはならない。
アクセス先には本当に同意するかという質問と、Captchaを用意、さらにその後で同意するかを再度問う。
この作業が全員分完了した時に当事者の合意が取れたものとし、その旨を全員に送付し同時に同意があったことを保証するページを入力内容とともに作成。
このページを人為的に削除する方法は用意されず、民事時効となる20年経過後に自動消滅する。
ただしこの合意書にも個人情報を含めてはならない、入力した当事者らの連絡先などをハッシュ化することで再現可能なUUIDを文章内に含める。
後のトラブル回避のために2人(あるいはそれ以上)の間で事前合意が存在したことを保証するサイトの概要
PCやスマートフォンなどでサイトにアクセスし、行為者となる予定の人物が新規合意書作成ページにアクセスすることで新規プロジェクトが生成される。
日時やIPアドレス等をハッシュ化しユニークな、部外者に推測されないURLを生成する、この作成ページに個人情報を含めてはならない。
この作成ページにおいて、行為の開始予定時刻や終了予定時刻見積もり、予定されるセックス内容やその他特約をフォームに入力していくことで合意書を作成する。
作成完了後に入力内容は編集不可能となり確認ページとなる。そのURLを参加予定者間でシェアする。このページは24時間経過後、あるいは作成者によって削除が可能。
合意書を作成した当人および他の参加予定者は、同意書に納得したならその確認ページの最下部に用意された合意書送付先に
各々のメールアドレス等を入力する、LINE等のSNSにも対応させることが望ましい。
入力した連絡先に契約内容と、内容に同意するならクリックするユニークなリンクを作成する、絶対に推測可能なものにしてはならない。
アクセス先には本当に同意するかという質問と、Captchaを用意、さらにその後で同意するかを再度問う。
この作業が全員分完了した時に当事者の合意が取れたものとし、その旨を全員に送付し同時に同意があったことを保証するページを入力内容とともに作成。
このページを人為的に削除する方法は用意されず、民事時効となる20年経過後に自動消滅する。
ただしこの合意書にも個人情報を含めてはならない、入力した当事者らの連絡先などをハッシュ化することで再現可能なUUIDを文章内に含める。
結論から言うと、これは「福島は安全管理」という結論ありきのニセ科学である。なお、普段から科学科学と唱えている皆様にはおわかりだろうが「福島は安全」の否定は「福島は危険」ではないので注意されたい。
セシウムとストロンチウムはそれぞれアルカリ金属、アルカリ土類金属であり、化学的、生物的動態がまったく異なる。しかしながら、農産物に関してセシウムからストロンチウム量を見積もる際、これは考慮されておらず、不適切である。(そもそも考慮して見積もりを行うための理論があるのかという問題はあるが)
以下に放射性炭素やカリウムの話もあるが、こちらも骨に特異に蓄積するストロンチウムと全身にまんべんなくたまる炭素やカリウムの話を比べるのは適切でない。
そもそもが、最初は「米は全量検査しているからより安全」というロジックであったのに、いつの間にか「見積もれるから(少なくともある程度の統計学的確率で)安全」というロジックにすり替わっていることも問題である。まさに「こいつ100万で壺買うタイプ」が騙されやすそうな論理展開である。
まず、「被曝した場合にできた甲状腺がん」と「なにもなかった場合の甲状腺がん(例えば韓国のスクリーニング検査)」を比べるのは適切でない。前提が異なるからだ。例えば外的要因により短いタイムスパンで成長したがんが存在する可能性がある。それでも検査は症状が出てからでよいかどうかというのは韓国の事案などとは別に議論されるべき問題である。
次に「そもそもが被曝の程度からして甲状腺がんの発生には影響しないことは過去の疫学研究でわかってる」とのことであるが、この手の検査で期待されるのは(少なくとも検査を受ける側が期待するのは)「対象の95%に影響がなかった」ということではなく、「全員に影響がなかった」かどうかを確かめることである。例えば福島の人口から考えて4sigma - 5sigmaの統計は必要だろうが、この確率で低線量被爆に関してものを言っている文献は発見できなかった。存在するならばぜひ教えてほしい。もっとも、じゃあ99.994%大丈夫ですよと言われて全員が納得するかというのはさらに別の問題ではある。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
もう年々食べに行くお店が尽きはじめてる
幹事はそれぞれ持ち回りで1回はやる
お互いに言ってないけどこのくらいで用意してくる
繁華街は栄えてるし、お店も無いわけじゃないたくさんある
2500円くらいのコースから初めて年齢上がるにつれて予算あげたり
昼のランチもあったりビュッフェもあったりしたので一概にこの値段じゃない
独身の子の家で鍋パーティして材料費を割ったら一人1000円ほどっていうのもある
2000円-2500円コース→大学生や若い子が多くて煩い場合あり、だいたいイタリアン
3500円コース→洋食、和食(鍋含む)、中華と選べる、半個室や個室があって騒がしさと分けられる
ビュッフェやバイキング→ホテルのものなので美味しいが予算的に3000円台は昼になる
個人宅(独身の子の)→もちろん準備や後片付けを手伝うがキッチンが狭い、包丁1本しかない
結構いろいろやりきった感があると思う
あとやってないのはBBQかな
宿泊を伴うのはしたことがないけど6人いると生理日のバッティングの関係でできないことが多い
何店舗くらい行ったんだ?って1○年×6回って計算したら70~80店舗くらいに行ってるってことに気づいたわ
そりゃ行きたいなって思ってた店、あんまり無くなったなって思うわ
>安い、安すぎ等
競合店舗の多いからコースの相場としてはすごい安いってわけじゃないし。
社会人&私の年齢層ならもっと高い値段の店舗でも・・・って話は分かるんだけど、同じ会社の同僚同士とかじゃないし価格帯としてはこのくらいになってしまうかな。
そもそも女子会コース自体、飲み放題や品数多くしてオプションいっぱいにしても男性ほど飲み食いしないし、安めに設定されがちだと思う。
いつも二次会とか誕生会前に集まるときに何しようって思ってたのでいいかも。
リムジンかー、前に話題になった時に調べてたんだけどあんまり興味なかったー。
>また行きたい店はないのか
行ってるよ、同じ店で誕生会をすることもあるし、別の友達と普通に食事として利用することもある。
反対に、普通にお店に行っておいしかったから誕生会コース利用こともあるよ。
>レンタルスペース
準備と片づけするのがめんどいのでお店にしてるところあるので、料理+部屋でコースを同じくらいの見積もりになってしまうと家でいいかなって思ってしまう
>同じ店に通えば
季節によって食べたいものとか違うし2か月に一回は全然常連でもないし、無理かなあ
やったことあるよ、いい年してみんなでラウンドワンでバスケとかしたよ
>三回に一回1万コースは
たぶん、難しいだろうなあ
誰の時にやるのかっていうのもあるし、予定が合わなくて全員そろわない時もあるし
いいね、ランチ会にしたことは何回かあるよ。ホテルとかフレンチとかも良かったよ
