  |
はてなキーワード: エラいとは
はてブも匿名ダイアリーもTwitterも、余裕で生きてる人しかいないなぁ。
余裕で生きてるくせに、1人で生きるには寂しくて、自慢したり、他人を批判して持論を押し付けあって、心底楽しそう。
私の周りの人もそう。忙しくて息もつけなくて死にそうな人もいるけど、エラい先生ほど、些細なことを大きな事件にしたがる、余裕のある生活をしている。
生きて、そして働くことができていることは、私にとって奇跡だ。
希死念慮をなんとか抑えて、もやし食べながら、なんとか生きている。
残念ながら雇用期間が決まってるので、3年後はどこにいるかわかんないけど。
能力のない人も、向上心のない人も、生きていけない世界に住んでいる。
ただ生きているだけで、息をしているだけで許される世界に生まれたかったわ。
じゃあねばいばい、余裕のあるみなさん。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
これはもう単なる愚痴というか、前々から思っていたことで、でも傍から見たら病人の開き直りにしか見えないだろうから、読まなくて結構なんですけど。少なからず不快になるだろうし。書いて発散するタイプなので書くだけです。
結論からですけど、「病気で働けないわりに旅行やコンサートは行けるんだね、都合の良い病気だね」 みたいなことを言って病人を追い詰める人は、本当に消えて欲しいですね。せめて黙っててほしい。
私(統合失調症、手帳二級、年金受給してます)は幸運ながら言われた事はないですが、これらの言葉はネットはじめ、病気に理解のない人からほんとうによく目に耳にします。
でもさあちょっとだけ考えてよ。
・決まった日に決まった時間に決まった場所に行かなくてはならない
・休むと周りに迷惑がかかる
……という仕事と、
・急に取りやめにしても途中で帰っても誰になんの迷惑もかからない
……という遊びじゃ、難易度が全然違うでしょ。まずそこが想像できてない人が多すぎるんですよ。
私は今、週に3度病院にデイケア(作業療法のことで、心のリハビリみたいなものです)に通いながら、心身に障らない程度にライター仕事やイラストレーター仕事をちまちまとやっていますが、それでもそこに行き着くまでには相当時間がかかりました。数年単位の入院を繰り返したり、毎日沢山薬を飲んだり。ちなみに今も、今後再入院の可能性はじゅうぶんにある、と主治医からハッキリ言われてます。
そんなふうに、健康な人の3分の1くらいの時間と労力しか仕事や治療に割けないのは、前述したように、仕事は生半可な体調やメンタルではできないからです(治療も同じです、病院の主治医や担当スタッフと話し合ったり相談して通わせてもらってる身なので)。
そもそもコンサートや旅行だって、私らメンタル病みには娯楽であると同時にリハビリであり社会復帰の訓練でもあるんですよね。1人で人混みを歩く練習。1人で満員電車に乗る練習。決まった時間に始まるライブへ、途中で体調を崩すことなく参加するっていうのも訓練ですね。仕事だって途中でダウンしたり職場までたどり着けなかったらアウトなんですから。
あと、その「働けないけど遊べる連中」、多分大半が、遊びの途中で具合悪くして無念のなかタクシーで家に帰った、みたいな苦い経験一度はしてると思いますからね。少なくとも私はそうです。皮肉混じりに「都合の良い病気」なんて言われるけど、こちとら都合が良かったことに対して毎日感謝と安堵しながら生きてますから。
……というかね、病人からたまのささやかな楽しみを奪わないでくれ。
毎日一年中部屋に閉じこもって布団被ってりゃ満足なんでしょうかね? 同じ働けないでも、楽しみがあるのと無いのとじゃ何もかも全然違いますよ。別に働けない連中を叩きたいなら叩いてくださって私は一向に構わないけど、そうやって叩かれて外に出ることをやめた病人を、間違っても「引きこもり」だなんて言わないでくださいね?
もちろん働かなくても遊べる時点で、経済的に恵まれていることは分かっています。親の脛かじりと揶揄されても、お小遣い程度の金しか稼げない私には反論の言葉がありません。でも親はいつか死にます。そうなれば障害者年金と生活保護でなんとか凌ぐしかない。短期的には恵まれているけど、長期的に見れば腰抜かすほどカッツカツですよ。そもそも厄介な病気抱え込んじまった時点で人生ハードモードなわけで。簡単に「良いご身分」なんて、ちったあ想像しろよ。イマジンだよイマジン。
……なんか死ぬほど口悪い上に悪い方向から開き直ってるし被害者意識バリ強な文章になってしまいましたが、実際これが私達の見てる世界の1面でもあるので。ほんとうに書いてストレス発散したかっただけですね。次からはチラシの裏に書きます。
(あと最後、これも前々から思ってたんだけど、「働いてる」ってそんな尊重されることか? 頑張ってるねエラいねってされるようなことか? 結局自分の生活のために働いてるんでしょ? 少なくとも私は徹頭徹尾自分のためだけに働いてる。別に社会奉仕とかじゃないじゃん? 働けない障害者叩かずに居られないほどストレス溜まってんなら会社辞めたら?となりますねまあ)
■追記(のような返事のような)
・あの犯人手帳持ちだったんですね。知らずに書いてた。同じく精神疾患持ちの友人がTwitterで都合の良い病気ですねって言われていて怒りのまま書いたんですけど、いや偶然ってあるもんですね。精神病への偏見が深まらないといいが。
・「休んで好きなことしていて申し訳ない」って思ってるってのは精神的に休めてないから、私ほどとはいかなくても開き直るのも大事だと思います。人生に休養は必要。
フリー写真とかフリーアイコンサイトとか、世の中にはたくさんあるじゃないですか。先日、立ち上げたばかりのブログのファビコンに使えそうなフリーのアイコンを探してたんですよ。
大手のサイトにはグッと来るものがなかったから、google画像検索に「free」のワードを入れて検索したら、かなりしっくり来るモノを発見した。やったーと思って元サイトを開いたら、free icons libraryという聞いたこともない海外サイト。
タイトルにフリー入ってるからいいやろ!と思ってアイコンをダウンロード……しなかった。知名度の低いサイトに出会った時はとりあえずリサーチしないとね。
トップページを開くと、「アイコンの重要性は〜」みたいな長文が書かれている。「必要なもんはダウンロードできるで」とは書いてあるけど、creative commonsみたいなワードはどこにも書かれていない。
で、配布されているアイコンをいくつか調べてみると、getty imagesのロゴがバッチリ入ってるモノがあった。堂々と。
こういうサイトに引っかかったらエラいことになるんだろうな。恐ろしや。普通に検索しても出てこないけど、google画像検索で調べる時だけ出てくるようなサイトは結構あるみたいだから、大手素材サイトにいいのがないからgoogle様の力を借りようかな〜とか安易に考えちゃダメよ。
エロ動画ではない。エロ画像である。なにせこれは20年以上前の話だからだ。
当時、Windows ユーザの間でもモデムとテレホーダイの併用でネット接続が普及しつつあった頃だった。俺は貧乏学生だったけど、常時接続された環境でのうのうとネットワークを使っていて(誤解を避けるために最初に書いておくが、俺は工学系だが情報系の専攻ではない)、Linux で独立したサーバを組んで研究室に設置し、テレホーダイタイムに家の PC98 で hterm を走らせてターミナル接続し、emacs でメールの読み書き、kermit で小さいファイルのやりとりをしているような、そんな感じの日々だった。テキストターミナルだけ、って、今の人には信じられないかもしれないけれど、メールとネットニュースの読み書き、あとはサーバの管理を行う上では、これで何の不自由もなかった。まあそういう時代だったのだと思っていただきたい。
おそらくここを読んでいる方の多くは ネットニュースという言葉を聞いてもピンとこないと思う。誤解を恐れず簡単に言うと、オープンかつ分散的なネットワークで構成された5ちゃんねる、みたいなもの……かな。5ちゃんねるはオープンでも(ネットニュース程に)分散的でもない(いや内部では分散されているんだろうけどね)し、投稿は匿名で行われるわけだけど、ネットニュースは個々のサーバが独立して運営されていて、上流のサーバとの間で NNTP によるバケツリレー方式でニュース記事のファイルが転送される。ネット上を流れているニュースグループとその記事の数は膨大なもので、そこではほとんどの場合所属や名前をオープンにしたやりとりが行われていた。日本では fj.* ってのがあって…… void 氏とか lala 氏とか、何かまあ色々有名人物がいたわけだ。何か投稿する際にびくびくしながらやっていたのを今でも思い出す。
いや、まあ fj の話はよろしい。あくまでここではエロ画像の話だった。先のネットニュースのニュースグループには comp.*, news.*, sci.* 等があったわけだけど、これらの枠組みに入らない、もしくは入れたくないような話題に関して収納する目的で alt.* というのが作られていた。この alt.* はある意味無法状態に近くて、alt(言うまでもなくこれは alternative の略である)は実は "Anarchists, Lunatics and Terrorists" の略である、などと言われた位だった。そしてこの alt.* 内には alt.binaries.* というサブグループが形成され、そこに様々なバイナリデータが流されていた。ただし、ネットニュースはテキストしか流すことはできないので、バイナリデータは uuencode(この頃まだ Base64 なんてなかったので)でテキスト文字列に変換され、分割されて投稿されていたわけだ。
で……長いな前置きが。要するに、alt.binaries.erotica.* というサブグループがあって、ここにエロ画像が大量に流れていたわけだ。勿論、大学や企業のニュースサーバはこんなグループを購読したりはしないわけなのだが、あるときに噂が流れたのだ。**大学のこのサーバで、どうやら購読しているらしいぞ、と。アクセスのあからさまな制限がされておらず、見てみると……うわー、あらかた購読してるじゃん。まさに宝の山であった。ちょっと考えて、俺は自分のサーバ上でスクリプトを書き始めた。
alt.binaries.erotica.* には、様々な性的嗜好に合わせた画像のサブグループがある。ガチムチホモの絡みなんてのはお呼びじゃないので、見目麗しそうな女性の画像がありそうなグループをまず選び、そこの記事を一定時間間隔(traffic を徒に増やすのはさすがに気がひけたので)で自動的に採取、結合し、uudecode でバイナリに変換して HDD にストアする……そういうスクリプトを書いてみた。たまたまある目的で、データストア専用の HDD をサーバに付けたところだったので、そこにバイナリを溜めるようにして、ちょっとわくわくしながら眠りについた。
翌日、早めに研究室に行き、他の学生がいないのを確認して HDD の中身を見ると……おー、溜まっとる溜まっとる。中には外れもあってスカトロやら妊婦やらエラいものも混じっているわけだが、さすがにこれは人力で弾くしかない(今ならそこも自動化するかもしれないが)。数日で HDD 一杯にファイルが蓄積されたのだった。さあ、めくるめくエロライフの始まり始まり……と思ったのだが、そうはならなかった。結論から言うと、俺は1、2週間でそれをやめてしまったのだ。
まず俺は洋ピンマニアではなかった。そして、エロ画像ってのは飽きる。最初は、今風に言うと「これは俺の嫁」みたいなのを選んで、精選版画像アーカイブみたいなのを作ろうかとも思ったのだが、そういうところにそういう食指をそそられる画像ってまぁ流れてこないんだな。圧倒的に多いのは「ノイズ」。人力ノイズリダクションに嫌気がさしてしまったのだった。おまけに HDD は逼迫してくるし、結局あるところで意を決して、HDD を unmount してファイルシステムの再構築。すかーっと容量が空いたそのときが、実は一番快楽を感じた瞬間だったかもしれない。
不動産屋です。15年後のことはわかりません。
しかし、現在の話はできるので、レインズみながら考えよう。とりあえず、岡山市と仮定します。
土地鑑ないので自信ないけど、駅から歩ける一番近い中古戸建てが100万円。修繕必要と書いてあるけど、1984年築だから使えるものと想定。土地143.17㎡、建物43.88㎡。小さいけどこれでよいと仮定。仲介手数料や所有権移転費用を入れても、だいたい120万円で買ったとしましょう。
建物が小さいので、かなり手を入れてもリフォーム費用は莫大にならないと思う(どこまでやるかで全然違うけど)。自分だったら400~500万円でおさめるとする。
総予算600万円くらい。住宅ローン+リフォームローンで500万円借りるとして、月々の支払いは3万円くらい(ボーナス払いとかはもちろんナシ)。地方都市だったらこんな感じではなかろうかと思います。15年後には払い終わってるから、そのときの不動産事情はある意味どうでもよいはず。
ただし、リフォームの場合は床をはがしてみたらエラいことになっていたり、買い取ってみないとわからないリスクがあるので、それは前提で。
働き方改革だの残業削減だの言ってるけど、営業マンだけは一向に定時で帰れないのはなんで?
未だに見込み残業代というサビ残前提のクソみたいな制度でゴリゴリ残業させて、場合によっちゃ飲み会、お付き合い、挙句の果てに安い日当で出張させて。
なにが働き方改革だよ。働き方改革するなら、まずクソ労働時間が長い営業マンを全員定時で帰らせてから言ってくれよ。
朝9時から夜9時~10時まで働かせるなんて普通じゃねーぞ。家族との時間はどこにあるんだよ。刑務所の作業時間より長いじゃねーか。
「18時なので帰りますね」
「あ、もう時間ですね。ではこのへんで…」
とお互い定時で営業マンを帰らせないと駄目みたいな空気になれよ。これこそ働き方改革だろ?
なのに現実は「営業マンに定時なんて無いぞ。ハッハッハ」みたいなクソみてーなオッサン営業マンに合わせなきゃいけなくてよ。
私の話ではない。
いわゆる上級官僚の天下り先の仕事の一例として、たまたま知ったことだ。
また、コネの力と言っても「コネの力でイージーモードの人生を手に入れた」ではなく「コネの力があると人生はイージーモードにできる」が近い。
某切り込み隊長が「コネってのを誰からに気に入られると人生がイージーモードになる仕組みであると勘違いしている輩が多い」と言っていたが、その意味が飲み込めた。
しかし、やはりモヤッとしたものが払拭しきれないので吐き出させてもらいたい。
とある公共財産を社会的に役立つ形で活用したビジネスをしている会社がある。ちなみに創業者は元官僚とかではない。賢い人っているものだ。
さて、腐っている公共財産が役に立ち、税外収入を産むとなると基本的に自治体も断る理由はないのだが、下記のような問題がある
飛び込み営業が例えば県の部長クラスに「いい話があるんですよ!」で会ってもらえるか。
また「あの話どうなりました?滞ってないですよね?」なんて話ができるか。答えはNO(らしい)
「だれの損にもならず」「理屈としては誰が話しても推進する話」なのだが、まず話の場を設ける、それを継続的に設けるためにコネの力が必要だということだ。
そこで知人の登場である。彼は全国の地方公務員に知己がいる。というより多くは元部下、または元部下の部下だ。
そりゃ話聞くよね。
官僚の天下りってなんのために受け入れてるんだよ、て、これだよ。なるほどね。
さて、時給10000円のお仕事の内約はこうだ。
およその労働時間は1500時間(話から推定)程度なので年収は1500万ほどになる。
ちなみに彼の退官前の官僚ランクからすると天下り先の給与はやや高めらしい。
滞ってる、または新しい開拓先があればそこに務める知人をリストアップ、県内行事などを確認した上でアポを取る。
知人に会い、発破をかける。ついでに部下を紹介してもらいコネを広げる
もともとあまり旅行好きではなかった彼だが、1年で航空会社の上級会員になったと言っていた。コストはゼロ、全て経費だ。
いかがだったろう。
「誰が考えても良い話」を「行政の非効率に対して継続的に働きかけることで通せる」のがコネの力の一旦だ。
まさに、彼に類似した人間にしかできないことだ。人材の有効活用、適材適所である。
いや、それってなにかどこかおかしいんだけど。
版権物同人を売ってたり、版権イラストを月額性のサイトで上げたりしている奴ってなんで取り締まられないの?
有名所だと馬娘とか一部禁止といいつつも、二次創作でどこまでやってもいいのか境界線をあやふやにしているし
そういう半端な線引きは面倒臭くなるだけだし、そういう微妙な線引きするぐらいならいっその事二次創作全部禁止にすればいいのに。
的な事を某所で呟いたら「それをすると供給側と受給側が終わる」「同人界隈がエラい事になる」とか色々言われたけど
グレー行為を続けていないとバランス保てませんって時点で、それは根本的に崩れていない?
スポーツならルール違反しないと勝てない。会社なら労働基準法破らないと会社経営できない。みたいな意見じゃない。
そうしないとバランス保てないと言うのなら、いっその事崩壊してしまえばいい。
別にファンアートの一枚や二枚をピクシブやツイッターに上げた物まで、しょっ引けなんて言いやしないけど
二次創作で金取るのはどうよ。
「二次創作のエロ同人を読んだ事がない者のみが石を投げよ」なんて言われたら、何も出来ないけど。
正直な話、二次創作で食っているクセにデカい顔している同人作家ばっかりで嫌気が差すから。という半分私怨混じりの意見で言っている。
自分の意見が100%正しいとは思っちゃいないけど、少なくとも間違っていないとも思っている。
ありがとう、優しい人。お母様具合はいかがですか?お薬の副作用、出方が千差万別です。私がしんどくてたまらなかったお薬(アルコールで溶かしてある)でも、入院しているとき別の患者さんに聞いたら「酔っ払って良い気持ちだから何回受けても良い」と、何の副作用も出ない!なんて感じでした。なので、どこが辛いかお母様ご本人に聞いてあげるのが手っ取り早いかもですね。
もしFECというお薬を使ったなら、副作用明けのカレーがたまらなくごちそうです。ビーフシチューでもいい。
これからの季節、痺れたり痛んだりが辛くなります。辛いところを撫でてあげて、あたたかい飲み物を作ってあげるとお母様の喜んでくれるかも知れません。
うちは祖母と私とが乳がんで、私自体は家族性ではなさそうなのですが姉がいます。姉は毎年健康診断でエラい目に遭っているようです。妹が若年性乳がんで、なんて聞くとお医者さんも熱が入りますもんね。
相変わらず登場するこういう記事を書く人と、それを支持する人に伝えたいこと。
(※福島の米『食べて応援は自殺行為』とまだ信じている人に伝えたいこと https://gendai.ismedia.jp/articles/-/57961)
あんたらは原発事故前に、原発を安全だと考えていたの危険だと考えていたの? 充分危険だと考えていたなら、どのくらいそれを訴えていたの? 安全だと考えていたなら、事故についてはいまどう反省してんの?
「科学的に安全です」「政府が保証します」……悪いけど、そういう「信頼」は一回全部吹っ飛んだのね。で、「安全」を繰り返していた事故前と同じ口調で「安全です」と今繰り返す人たちが、仮に「科学的」に正しく「公的」な保証をしたとしても、それをどう信じろと言うのか賢いあなたたちに教えてほしいわ。さらに、事故の収拾もつかず原因もまだ本当には究明できていないのに(だって誰も「現場」に入ってないんだからね)、アンダーコントロールを叫び安全です風評被害です黙れとか言いながら、こっそり基準値オーバーの放射性物質を海に流そうとしてたような人らをどう信じればいいのかも教えてくれ。科学的にいかに安全を保証しても、それを運用する人間が信頼できないとき、それは「危険」になる、というのが原発事故から私らが得た教訓だったんだよなあ。「想定外」なんて逃げ口上がまかり通るうちは、エラい人らの言うことを鵜呑みにしろなんて無理でしょ。
というわけで、信頼取り戻すのは、自分らが嘘ついていました・バカでした、ってことをまず認めることからしか始まらないよ。要は誰吊るのって話。それ無しに、信頼が全部元通りになるなんて妄想は捨ててくれ。科学がどでかい事故起こした直後に、「科学ガー!」って意見振りかざして愚民黙れ、みたいな。それってギャグじゃん? そゆこと。
