はてなキーワード: コンフィグとは
ノートPCなのに個人ユーザじゃなくて共通ユーザにしている会社はマジで滅びてくれ
「その人がいなくなってもログインできるようにしておきたい」
だったら共通ユーザを追加した上で普段は個人ユーザをちゃんと使え
今時MicrosoftだろうがAppleだろうが小規模から大規模にいたるまでユーザー管理の方法を提供してくれてて
そのユーザー管理に基づいていろんなソフトウェアが準備されてあるんだから
それをちゃんとおとなしく使ってくれ
まぁノートパソコンを事務員が使う場合は「知識がない」という理由で仕方がない部分はある
一番最悪なのはサーバー系でそれをやってるアホはマジで滅びてくれ
EC2やAzureでサーバー建てて、初期に作られるroot権限持ちのユーザーをそのまま使い続けてて
おまけに10人とかでその秘密鍵を共有してるアホは今すぐPCを返却して無人島で暮らしてくれ
もしくはちゃんとしたところでちゃんとしたサーバー運用を学んで来てくれ
ユーザー管理をしっかりしてないサーバーは運用から何からめちゃくちゃで手が付けられん
yumやaptでupgradeしようとするとエラーになって、そのエラーがなんなのか分からないのでずーっとアップグレードされてなかったり
コンフィグファイルがぐっちゃぐちゃで誰も何が起きてるのか把握できてなかったり
共通ユーザのホームディレクトリはもちろんめちゃくちゃで、/etcや/varに至ってもゴミファイルが大量に放置されてたり
最近、IT系の不祥事が多発してるけど多分この手のゴミ屋敷が時限爆弾みたいになって発火してるのが大半だと思う
これやってるやつはすぐにPC返却してくれ
・色んなこと満遍なくやりたい
・やべー案件に何年も磔にされたくない
これが多様なサービス、アプリを作ってみたいという話なら高単価SESに行くしかない。
かなりの経験を積んだベテランじゃないと入れない世界で出身学部も見られるから相当に厳しいと思う。
フロントやバックエンド、インフラなどもやってみたいという話なら自社でウェブサービスを運用している上場企業に正社員で入るのがいいだろう。
ただし正社員ということはリリース日には何が何でもサービスインさせる立場になるということでもある。定時退社の社風であっても進捗上がってないなら稼動上げて対応ということは普通にある。
派遣で入ればそういうことは無い。上場企業ならコンプラ厳しいからね。でも数ヶ月程度、長くて数年のスポットになることがほとんどなので長期的にはどうなんだろうな。
ここでは俺の経験を踏まえて「自社でウェブサービスを運用している上場企業に正社員で入る」という前提で話す。
アピールすると良いのは使える言語、インフラの知見、構築と運用の経験。
全部が強い必要は無い。どれか一つが強くて他はまあなんとか程度でいい。逆に言うと全くダメですが一つでもあると厳しい。
使える言語では、C#,Javaを大きめな規模のバックエンドとして使ってるとこが多い反面、対応できる人はフリーにも派遣にもたくさんいるのでちょっと弱い。SIer出身でコード書いてたなら当然できるよね、というレベル。
今ならtypescript(javascript), pythonあたりができてgo あるいは Rust勉強してます、というのがけっこう強い。
分かってると思うが言語が使えるというのは、まっさらなPCを与えられて主要なウェブフレームワークをセットアップしてローカルホストを立てるとこまでを含む。
JavaならSpringboot+gradle+JUnit、PHPならLaravel、pythonならdjango、typescriptならNode+React+knex、あとJestかDreddも入るかな。
インフラ知識では、クラウド、オンプレ両方のメリットデメリットを把握しているとよい。
AWS,Azure,GCP,Oracle Cloudのどれでもいいけど実際に使った経験があるとよい。俺は個人でGCPを契約してkubernetesとVM、LBを使っている。
ネットワークの知識は薄くでも持っていた方がよい。HTTPとかcookieとかセッションとか知りませんCORSって何ですか?レベルでは無理。まあここら辺はウェブサービスを作れば必ずやるので大丈夫だろう。
LetsでSSL証明書を作ってopensslで検証してnginxに適用してHTTPS化ができるならアピールになる。
dockerはもうそろそろ使えて当然のレベルになってきているので必須。実際ウチではdockerが分からない使えない人は面接へ進めないようになっている。
構築と運用では、予算内に収まるような構築と運用、サービスインした後のトラブルシューティングの経験があるとよい。
常にコスト意識を持っていることが必要。クラウドは油断すると100万程度すぐ飛ぶ。コスト意識が無い人を運用担当として採用することは絶対にない。
トラブルシューティングで重視されるのはベンダー対応よりもエンドユーザー対応の方。
サービスを早急に復旧させること、そのためにどういう仕組みが必要なのか、構築するところから語れる知見があるとよい。もちろんそこにもコスト意識は必要。
CI/CD、PrometheusやDatadogによる監視とアラートについて語れるとよい。
CI/CDを扱うということは当然gradle,maven,yarn,シェルスクリプトは書けて使えてwebpack,minify,Jenkinsのコンフィグもできるということである。
どうだろう、かなり雑に書いたが雰囲気は伝わると思う。
あ、git使えないは論外。もし使えないなら今すぐ使えるようになるか諦めるかのどちらかで。
https://b.hatena.ne.jp/entry/s/togetter.com/li/1983333
これ見て思いつきでブコメしてる人多いからちゃんとまとめておく
ファミコンより前まで遡ってもいいけど面倒なのでファミコンからスタート
ファミコンは B A の順番
Aで決定、が多かったように思うがSTARTの方が多かったかも?
スーファミも B Aの順番で、Y Xが増えた
これも決定はAを使う
メガドラ2になってX Y Zが増えたが、基本的にはA B Cを使う
いや、Aでも決定できたような気はするけど基本的にCを使ってた
なので一番右側のボタンで決定というのはスーファミと変わらなかった
プレステはご存じの通り□ △ × 〇
NINTENDO 64は・・・BとAが左側で縦並び、Cが4つで右側に配置
あんまり遊んでないから記憶が定かじゃないが、決定はAを使うことが多かったように思う
ただ、このコントローラーのアナログスティックは使ってみると非常に使い勝手がよくてみんな真似した
プレステはDUAL SHOCKで実装、セガもマルコンで実装した
ニュースを騒がせている中祐二という天才が作ったナイツっていうゲームに付いてくるのがマルコンなので覚えておくように
ただ確かこの辺から海外でかなり広まってきて、×ボタン決定の話を聞いたような気がする
続いて湯川専務のドリームキャストだが、なんと上段「X Y」下段「A B」の配置に変更
つまり伝統的に使われていた決定のCボタンが無くなり、4ボタン制に以降した
マルコンを踏襲してはいたが真ん中に拡張パッドがあったりケーブルが下から出ていたりして今でも最強のコントローラーだと思っている
とはいえ、Cボタンが無くなったために決定ボタンはAボタンに変わった
つまりは左下が決定になった
ただPS2の登場で勝てる要素が全く無く、セガは退場することに
さて、セガ退場から約3年後に発売されて全然売れなかったのが初代XBOX
ボタンの並びはドリームキャストと同じ「X Y」「A B」の並び
当然Aが決定なので左下決定ボタン
セガの社員が引き抜かれたんじゃないかな?と思っているが真偽を知る人はいるだろうか
コントローラーは・・・形容しがたいが・・・でっかいAボタンの左下にB、右にXで上にY
決定はAだった、と思うがこれもバイオハザードぐらいしか遊んでないから覚えてない(誰か情報求む)
プレステ3は初代と同じ
XBOX 360も同じ
任天堂はWiiを出して、またしても形容しがたいが、十字キーの下にA、一番したに1と2、トリガーが付いてるような形
当然決定はA
このあたりで海外ではXBOXが売れてきた&米国では×がチェックの意味になるから×が決定になりつつあって
プレステ4は初代と同じ
XBOX Oneも初代と同じ
変えるのはいいんだ!PS4のときだけキーコンフィグさせてくれ!アホ!
XBOXは同じ
Nintendo Switchも、まぁ同じ
64のときにAを左下にしたからセガがドリームキャストであの形になったと思っていて
ってなったのにゲームキューブでは明後日の方向に向かいやがった
しかも、その辺を踏まえてXBOXコントローラーが出来たと(勝手に)思ってるから
またDQXから入ってきた人が国産JRPG感覚でMMOやってんなと思ってしまったので
FF14のバトルコンテンツとそれに挑む戦闘関係の予備知識書き殴ることにした
https://gist.github.com/mizchi/77182cd8e0e9ffe6b2959d3ddb58de87
大前提として各種のアクションや特性の説明をお読みにならず謎のスキル回しをしてみたり、味方の逃げ道や敵を殴る場所を潰すプレイヤーがこのタイトルには大量にいる。
突入制限がILくらいしか無いせいなのか、突入できたらクリアできて当たり前であり、そこまで付き合うのは先駆者の当然の努めだとデカい声も慢性的にある。
高難易度と区分されるものに限らず、要所を外すと連鎖的にその後破綻する要素が存在する行き先が結構あり、また「今後それを基礎知識として下敷きにする」事を求められる側面がある。
目下わかりやすいのは相手の詠唱が終わるまでに規定量のダメージを出せ、というダメージチェック要素。
基礎性能が改められようが装備が強かろうが人間の操作が乗算要素なのでシステムを理解し対応しない人間は率直にダメージが出せない。
ダメージディーラー等と言われる火力職は仕事が火力を出すことなのでタンクやヒーラーの倍程度は「出すことができるはず」だが、先述の人種はそれら未満ということがままある。
例えば近接職は123(12)コンボを淡々と刻んでいるだけでタンクやヒーラーとは明らかに違う数字が出るはずだが、1ばかり叩き続けた猫パンチモンクなる世界最低火力の人間が己を知らぬまま現役の高難易度コンテンツに混在し大変可哀想な事になったりした。
冒頭またDQXと軽率にDisったのは主にここの話で一応MMORPGというジャンルでして、PC版がベースにあってどう頑張ってもPS版はPC版をPSでなんとか遊ばせてもらっている範疇を越えない。
このジャンルはキーコンフィグからUIレイアウト、タイトルによってはBGMや低負荷モードとのスイッチング等まで自分でいじれるのでいじってくれ。
繰り返すが初期UIレイアウトはクソなのでまずは自分が見やすいと思う様にさくっと整理し、その後自分の習熟やメインに据えるジョブによって都度弄り続けていくものなのでまずそういう概念を持ってほしい。
視野が広い狭いなどの人間性能を問う前に弄れるもの先にいじってから人間性能のせいにしてくれ。お前そのホットバーガン見してないとスキル回せないのそもそも本番くる段階にねえからよ。
そしてそれを教えないで貴方はそれでいいんだよそれが普通だよと言ってるクソ共は引退してほしい。
UIが固定やごく狭い選択肢から選ぶだけの事が多いコンシューマとの絶対的な違いで、ここを履き違えるとバトルコンテンツはほぼ不幸が約束されるがまともな導線が無い。
マッチング促進の為にグループ分けされたルーレットマッチングがあり、ごく一部除外されたもの以外は自分の開放済みのどこかに当たるシステムがある。
これには1回/日ちょっとした報酬が設定されていて「突入したら15分20分で片付く」日課の一つくらいの認識の人が多い。
未踏や周回の浅い後発、先述の声がデカい人が合体事故を起こすのもこのシステムだ。
他に実績報酬や自己満足などの目的でグループ分けすら無い闇鍋マッチングにエントリーするメンターという属性を持った人もここに加わる。
ちょっとクセがあり、特定の要素をこなせない限りクリアできない行き先に当たると
日課をやっているつもりの先駆者からすると日課が破綻する。実際にストレスを覚えるようだ。もう行き先が分かった段階で面倒・無理という気持ちが出るが、コミュニケーション問題として別で扱う。
未踏者は大体死ぬが他者に手厚いケアをされている事がままあり、下手に認識できてしまっていると「自分はこんなにしてもらっているのに出来ない」と自己強迫要素が生まれるらしい。
元記事の様に寝ている間に終わってしまう事に謎の凹みを認識するものも多く、さりとて「じゃあ君が落ちたせいで破綻して全滅リスタートすればよかったですか?」とはならない。
それら諸々新規ならではのまとまらない感情の動きを声のデカい奴が概ね台無しにしていく。
過剰ILによって装備性能が行き先ごとにほぼ上限値であることや、各種アクションの基本性能が当時のそれから見て大分底上げされている関係で適切に近い立ち回りをすると型落ちコンテンツではロールが破綻する為、最新拡張まで8年分のコンテンツを消化して尚基本のきすら無いプレイヤーが大量にいるのを思えば大分マシでありがとう
人的背景がこれくらいなければそういう方向に視野が向かないのは明らかに開発の怠慢だね、と再確認できた。ユーザーコミュニティ丸投げの現実を再認識できたので感謝する。
それはそうと元記事の人はそういう体験ができてよかったですね、と置いておくが
下限コンテンツクリアをしたから当時と同じ経験ができるわけじゃないことは無限に言っておきたい。
本人はわからないかもしれないが最大7人にあらゆる先行者としてのバフ(累積した知見)が乗っているし、基本アクション類は度々強化されまくっているし、もはや整理されて存在しないアクションが多々ある。TPというもう一つのリソースもかつて存在していた、MPは今のような割合性ではなく回復量にシビアなステータス選択が必要だったり、タンクやヒーラーは防御回復と攻撃時にモード切り替えをしていました。今は全て存在しません。
更に言えば実装当時未実装だったジョブは概ねバカみたいな性能を有しているので、後発ジョブを入れれば入れる程ヌルくなる。
新しい経験をしたことと、旧き人の当時の体験を追体験することは決してイコールではないという話は極論すると
型落ちする前は最先端だったのでそれはもう最先端コンテンツに行く覚悟のある人がわちゃわちゃしていたんですよ、という話を避けては通れないのでそれをどう伝えるかはよく悩む。
後進の人々には遊びやすくなった今を遊んでもらえればいいのだけど、なぜだか「追いつきたい」を越えて「同じ目線に立ちたい」を抱くよね。それ呪いだし絶対に成立しないから病みますよ。
漆黒のヴィランズが好評だったのはこれまで重ねてきたFF14の歴史(政治や戦争を嫌う傾向、その割に勧善懲悪が好き、なんだかんだ自分が主役でいたい人たちには不評な2年だった紅蓮)とナンバリングFFが不甲斐ない中で14はFFを背負えるのでは?という評価に向かっていったからだと思っているので、漆黒から入ってきて無限に見た「漆黒が面白いと聞いたのではやく漆黒をやらせろ」という人たちはもうスタート地点から違うモノだという認識をずっと持っている。
今では暁月のフィナーレが総括だと言われるようになったが、総括は漆黒で暁月は次に向かうためのスタートで総括ではないかと今も思っている。6.0は広げてなかった部分まできれいに畳もうと躍起になった割に泣きの延期をしてみたり、言ってる事とやってる事の食い違いが要所にありすぎる。インゲームだけを見て吉田直樹の話を聞いて納得感得られれば幸せなのかもしれない、と思っているので今後も抱えていくと思う。
日頃からゲーム体験がどうしたこうしたと言い続けていたし、今も掲げられていると認識しますが2年程前に漆黒のID道中ボスBGMをバンドアレンジに一括変更した理由そろそろ説明あってもいいんじゃないですか。
71IDの最後のボスでようやく初対面するはずの楽曲のアレンジを道中から流される事はゲーム体験の毀損には当たらないんですか。
macだとカーソル移動させる時にctrl+aで行の先頭、ctrl+eで行の末尾とかできるけど、Windowsだとそういう無いの?
検索したらカーソル動かすのは矢印キー、行の先頭へ移動させるのはHome、行末へはEndとか出てくるけどWindowsでプログラミングしてる人はそれでカーソル移動してるの?
ctrl+f,b,p,nとかでカーソル移動させるのに慣れすぎてて、ホームポジションから手を離す以外にカーソル移動させる方法しかないのが信じられなくて増田に書いてみた。
AutoHotkey(?)でキーコンフィグできるみたいだけどそういうの導入してるのかな。
capsとctrl入れ替えるのにCtrl2Capとかわざわざソフトインストールしないといけないってマジ?
ctrl+dでdeleteしたいよー。
何か暗黙的にWindowsでプログラミングする時にはこういうツール導入して、こういうキーボードショートカットに変更するよみたいなことがあれば教えて欲しい。
そういうは特に無くて慣れの問題なら、Windowsのキーボードショートカットはそういうものだとして受け入れることにするよ。
ちなみにIDEはとりあえずVisual Studio使い始めた。
ps3ばっかやってた
でもグッドエンディングはインフェルノじゃないと見れないらしい
そこまでやりこむモチベがわく出来じゃなかったのでここまで
まあ300円分は楽しんだ
鬼門のカミーユのラストステージのいっこまえで数回稼ぎをして、それでもびびってオリジナルモードでドモンをやった
edfでなれたカメラの左右操作と逆でコンフィグでかえられないからずっと違和感あった
戦国無双的なミッションに加えて陣地支配をするのがくっそめんどい
飛び道具がほとんど役に立たなくて、Gガンダムでもないのに肉弾戦ばっか
なんとかドモンのオリジナルモードはクリアしてオリジナルモードがどんなもんかだいたいわかった
なんとなくクソゲー扱いされてる印象で、個人的にクソゲーじゃないだろと思ってたけどまあクソゲーではないと思う
まだクリアしてないけど
メタルギアの名前ついてるのにステルスゲーじゃないただのプラチナげーアクションだったってことによる不評かな
プラチナゲーと思えばこんなもんかというかんじ
カメラワークはクソ
ロードできるだけかんじさせないようにしてるけど逆にそれがストレスなかんじある
いろいろ細々したやりこみ要素あるっぽいけど軽くイージーで1週してやめる予定
オペレーターが沢城みゆきなのがやだな・・・ビジュアルと声があってない
おばさんくさすぎる
そういう意味ではインセクトアルマゲドンのオペレーターの声はかわいかったな
3時間くらいでクリアできるかなと思ったけど、4時間くらいでまだ1/3だから、たぶん10時間以上かかりそう
日曜にクリアしたい
無線が三角ボタンで飛ばせるってわからなくて最初バカ正直に全部ボイス聞いてた
結構会話パターンあって設定とかあるんだなと思うけどまともに読むきにならない
さっき4日ぶりにシャワーあびた
あーあとサッシ工事業者がたぶんクローゼットの扉に傷つけたからそれも電話した
おなかすかなかったから
今となっては本家牧場物語より牧場物語してるんじゃないか?という悲しい話まである海外産インディーゲーム・スターデューバレー。
ドット絵グラフィックの温かみ、いい感じのレベルデザイン、やることの多さ、自由度の高さ、継続的なアップデート……と、非常に魅力が多く、俺は3データ合わせて200時間くらい遊んでいる。
そして、海外産インディーゲームの例に漏れず、スターデューバレーにもmodコミュニティがあるです。Steam公式でサポートされてるわけじゃないから、ちょっと導入なんかはめんどくさいんだけど、とはいえちゃんとそれ用のソフトなんかもあって、頑張れば俺みたいなズブの素人でも扱えてしまう。
その名もStardew Valley Expanded!
エクスパンド、拡張というワードチョイスからも推し量れるが、このmodは「原作の雰囲気を尊重しつつ、要素を増やす」っていうのをコンセプトにしている。
This mod features 26 new locations, 160 new character events, 12 new NPCs, a new village, 800 location messages, reimagined maps and festivals (all maps), a huge remastered farm map, a new world map reflecting all changes, and many miscellaneous additions
曰く、
・26の新たな場所
・新たな村(これは未実装)
・800のロケーションメッセージ(フィールド上の一点を調べると短いメッセージが出るやつ)
・それらを反映した地図
・その他細かい追加多数
地形はかなり変化するし、キャラクターも増えるし、イベントも増えるし、なんなら魔改造と呼んでもいいくらいのデカい変化をもたらすわりに、プレイ感覚がそう変わらないのは、原作リスペクト故なんだよな。
製作者によるMod解説がいい感じなので一部引用する。スターデューバレーをひと通り褒めたあと、こんなことが書いてある。
But the problem with memories is that we'll never experience that world for the first time again.
しかし、初回に味わったあの世界をまた体験することができないっていうのが、記憶の悪いところです。
I aim to give you, the player, that sense of adventure and unknown once more. Through this mod, I want to immerse you in the world ConcernedApe created.
僕はあなた、プレイヤーに、あの冒険と未知の感覚をもう一度与えたいと思っています。このMODを通じて、ConcernedAoe(原作者)がつくった世界に浸ってほしいんです。
完全に"愛"なんですよね。
実際かなり愛を感じる。
新キャラにも全然違和感ねえし、正直どこが原作でどこがmodなのかわからなくなってくる感じすらある!
そんで、エクスパンディッドのもうひとつスゴいところは、原作以上のペースで更新されていること!
年に2回くらいはデカいアップデートがあり、細かいアップデートは長くて2ヶ月に1回くらいはある。すげえ精力的なんですよね。
さあエクスパンディッドの魅力を具体的に語るぞ!と思ったが、本質的に原作と融合・癒着してるから全然語れねえな。原作の良さをそのまま伸ばす感じなんすよ、マジで!
ただ、併せて使うとこれもいいですよってMODも紹介されてて、それらもまたすげーいいんですよ。
緯度の概念を導入して、夜をより暗くできるDynamic Night Timeが個人的にはかなり好きで、もうコレなしには戻れない。季節によって日が暮れる時間が変わるんだけど、それが月割りじゃないんです。毎日ちょっとずつ日が短くなって、また長くなって…っていうのを体験できるんですよ!
春の間は鉱山を6時くらいに出てもまだ多少明るかったのに、冬になると6時に出た日にゃあもう真っ暗、ああこの季節感よ!
夜を暗くできるのも実にいい。コンフィグで四段階暗さを変えられるんだけど、もう黙って一番暗い4ですよ。チョー暗くなんの。夜に外で作業するのはかなり難しいってレベルになる。気持ち良すぎる。
季節感って点ではSeasonal Villager Outfitsも相当いい。
原作だとどの季節でもみんな基本的にずっと同じ服なんだけど、これを入れると四季と天気に合わせて違う服装になってくれる!
地味なんだけど、こういうのが大事なんですよお!夏は涼しげな軽装、冬はモコモコ着込んでいる!それがいいよ、それが人間らしさってやつですよ。
季節感なんだよな要は。
季節感なんですよ。俺は牧場系のゲームに季節感を求めてるんだと思う。冬の朝の薄暗さ、夏の夕方の長さ、秋に日が短くなり始めた時の焦燥感、春の気楽さ!
全部味わえるんだよな。
これエクスパンディッドの話じゃねえな。
でもとにかく、良いんですよ。
スターデューバレー エクスパンディッドと、その推奨併用MODを入れたスターデューバレー 、メチャクチャ良いんですよ。
本家の1.5アップデートも取り込んだらしいし、いままた最初からやってんだけど、4週目なのに充分楽しいもんな。エクスパンドされたって話のJojaマートルートに、4周目にして初めて挑んでみようと思います。
昔は時間をかけて稼ぐのが当たり前だったけど、現代人の時間感覚からいうともう無理なんだなって思った。
ゲームをじっくりと楽しむための一要素ではあるけど、今にしてみるとただ足止めをくらってるだけの感覚。
大して何も起こらない広大なフィールドを歩いているときも同じ。
一昔前に流行ったRPGの焼き直しが次々に発売されてるけど、ちょっとこれはきついなって思うことが多い。
開幕SSRリセマラして俺tueeeeee状態で無双する喜びもなしにいきなり多方面から足止めのストレスをくらったらゲームを楽しむきになんてならないよ。って、最近のユーザーは感じてしまうと思うんですよね。
で、コンフィグいじってたらお金とキャラ強化ポイントがMAXになる項目見つけたのだけど、それでやっと普通のゲームになったなって感じてしまった自分に驚いてしまった。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
2年半ほど経ちますが、空前のNTT退職ブームなので便乗しちゃいます。
まず既知の通りNTTグループは社員数約28万人と非常に大きな組織であり、その中で研究所はエリート中のエリートが就く位置にある。つまり上記の方達は警察でいえばキャリア組にあたる方達にあたる。以降キャリア組と呼ばせていただく。
一方で、私は地方のノンキャリア警察官のようなポジションにある子会社(大株主は研究所)出身なので、その分際でこのようなエントリーを書くのはおこがましいかもしれないが、
キャリア組層のエントリーなのに共感できる部分がとても多い上に、すでに [ 10年勤めたNTTを退職しました(無能編) https://anond.hatelabo.jp/20181126192228 ]のようなノンキャリアそうな人(←失礼はご愛嬌)のエントリーもあったりしたのでちゃっかり便乗させてもらう。
データとデー子もこんな感じなのだろうか。ぜひ知りたいものだ。
FPSみたいなジャンルが見た目リッチになって若い子がやりだしたのなんて最近よ。
昔のオンラインゲームはキーコンフィグなんてないのが普通だったんだよ。
運営は日本でも開発してるのは韓国ばかりだったし、少しすると台湾・中国とかも増えてきたけど。
そんな訳で日本人の細かい要望なんて通らないけども遊んでいくしかない。
だから今の基準でいえば全部糞ゲーだし理不尽なマゾゲーばかり。
そんな中で他人とヒィヒィ言いながら助け合い殺し合いながら進めていくのが当たり前だった。
それが、何々は糞、とか選り好みしてネトゲイナゴする根性なしが増えてから、サービス開始前の祭り状態を楽しむだけのジャンルになって衰退してしまったけどね。
どんな量産ゲーでもある程度コアな部分まで進めばシステムの深さや楽しさが感じられるもんなのに。