  |
はてなキーワード: スプラウトとは
健康のためも兼ねているなら、サラダ油は外すことと、マグロなどの大型魚はやめるべきだな。よく肘の高さまで(指先から肘までくらい)の長さの魚にしろと言われる。たくあんなど漬物はごく少量にして、無機リンが多い市販のとびっこやたらこ・めんたいは避けた方がいいかな。スプラウトはブロッコリースプラウトを選んだり、他にも芽キャベツを入れるなどアブラナ科の食材を増やしつつ、塩は美味い天然海塩にするとさらに良くなる。刻み海苔を必須にするか、アカモクなど他の海藻系も入れよう。
🍣前置き
週末になると無性に寿司が食べたくなって、大体はスーパーの安売り、たまに有名回転寿司のテイクアウトを買って食べていた。
正直、安売りでもコスパが悪くて、貯金はたまらない一方で体重ばっかり増えてきていつか辞めなきゃいけない習慣ベスト5に入っていた。
あっさりさっぱりで、シャリがなくても代わりに入れた野菜で満足感も高い。
さらにレシピを少しずつ変えるだけで、バリエーションがめちゃくちゃ多くて飽きが来ない。
これはもう🍣には戻れないなと思って、自分なりのマリネチャートを作ってみることにした。
・まずは刺し身をA~C郡から選ぶ
・オイルを選ぶ
・スパイスを選ぶ
・塩味を選ぶ
・混ぜる
以下、それぞれの説明。
・A郡(あっさり)
あじ、しめ鯖(光り物)
甘エビ
・B郡(存在感)
ぶり、はまち、かんぱち(脂乗りの悪い硬そうなのはA郡としてもOK)
・C郡(食感)
これらをスーパーで安売りされているもので組み立てるのがベター。
🙅♀不向き
個人的には、カワハギもキモ付きならそのまま食べることをおすすめしたい。なければA郡。
・A郡(うまみ)
・B郡(食感)
新玉ねぎ
・C郡(薬味)
万能ねぎ
カイワレ
生姜千切り
刻み海苔
🍣オイルを選ぶ
・ごま油
・サラダ油
🍣スパイスを選ぶ
・酢
・黒胡椒
🍣塩味を選ぶ
・塩
・しょうゆ
・ポン酢
ここでいう塩味は、そのまま塩の味という意味ではなくて、料理に対する塩分の調整のこと。
料理をする人なら気づいたかもしれないけど、実はここまで味付けという意味での塩分は加えられてない。
調理工程は基本的に適当に混ぜるだけ。慣れてくれば15分くらい。
ただ、一つだけやっておいたほうがいいのが刺し身の水抜き。
水分が抜けることで、食感が良くなるのと臭みも抜いてくれる。
キッチンペーパーを広げて、その上に刺し身を並べて全体にできるだけまんべんなく塩をふる。
その上からキッチンペーパーを載せて軽く押し付けて10分まつ。
塩の量は目分量だけど、高い位置からふりかけるのが全体にかかりやすくてよい。
あとはトライアンドエラー。少なめから始めてちょうどいい量を見極めて下さい。
強いて言えば、刺し身全体量の2~4%くらい。(刺し身100gなら塩2~4g)
ただし、水分がペーパーに逃げるので、かけた塩の大体半分はペーパーの水分に逃げます。
葉物野菜も、塩を振ってから手で絞って水分を出しておくと、あとでベチャッとしなくていい。もちろんしなくてもいい。
・刺し身切ってペーパーに乗せる。
・調味料用意。
ウマー(゚д゚)
🍣その他のコツ
・刺し身と野菜はA~C郡でそれぞれ役割が違うので、各グループ一種類ずつは必ず入れることを意識する。
ないときは仕方ない。きっぱり諦める。
刺し身は柵でも切り身でも。柵なら薄めに切る。それよりも安さが正義。
薬味はできるだけ細かく。
・レモン汁はアホみたいにかけてもいい
酢の酸味と違ってとにかくさっぱりするする感じの酸っぱさがクセになる。
初回はこれだとかけ過ぎだなって思う倍いっていい。
生搾りだと苦味があるかも。(試してない)
厳密にどうかなんて知らん。他の料理との食べ合わせを考えた時に選べば良い。
健康気にしている人は少なめ。
外食風のガツンとした料理が食べたければ、思ってる量の倍入れる。
もちろん健康には悪い。オリーブオイルは飲んでも太らないなんて嘘。
🍣塩分気になる人
人間の体内の塩分濃度は0.9%と言われているので、食べ物全体に対して1%の塩分を意識すると良いです。(全体で300gなら塩1g)
当然ご飯の分の塩味が必要になるので、塩味グループから少し足す。
できればお酢も足したほうがいい。
その分水分が増えるので、ご飯に刻み海苔をかけてからマリネを乗せるがおすすめ。
焼海苔を手でパタパタ畳んで、折り目でちぎりながら最後はハサミで細切りにするとめちゃくちゃ簡単に刻みのりが作れる。
刺し身を選ぶときも、品質はそれほど気にせず値段だけで行ける。
さらに安いとき買っておけば冷凍もできる。解凍は自然解凍、もしくは前日から冷蔵庫解凍。
刺し身なのにそのまま食べないということが何より大正義。
🍣はこれでもう買わないでOK。
🍣を食べたいときはお店。
必要なものは、カイワレ大根の種と育成容器、そして小さな暗所だけ。
ちょっとやる気になった時にでも10分くらいで育成セットを準備して、あとは一日一回10分、育ち具合を見ながら水を交換するだけ。
収穫して食べられるようになるまで7~10日くらい。
早朝でも深夜でも思い立った時に世話をすればよく、夏でも冬でも当たり前のように育ってくれる。
失敗も少なく短期間で努力の成果が出るカイワレ大根は、小さな成功体験を絶えず供給してくれ、自己肯定感がみるみる高まっていく。
一人暮らしの弱者男性にとって問題となるのは、やはり野菜不足である。
男性はなぜか積極的に野菜を食べようとしないため、男性の一人暮らしはだいたい食生活が荒れ、肌荒れや体調不良、メンタル不調へとつながる。
少量とはいえ、ビタミンCを中心として野菜から摂取できる栄養素を補ってくれる。
あるいは、育てたカイワレ大根を引き立てるためにサラダを食べる習慣が身につくかもしれない。
栄養状態を改善することは、肌の汚さを解消するだけでなく、健康寿命を延ばしてくれることにもつながるだろう。
カイワレ大根を育てることで、この2と3に答えられるようになる。
しかも趣味としての意外性が高く、質問してきた相手は必ず「なにそれ~(笑)」と食いついてくる。
「アニメ」「ゲーム」などという残念なドン引き趣味しか回答できない他の弱者男性とは一味違う、人間的魅力を醸せるのである。
カイワレ大根の種子にもノーマルタイプのほか、紫カイワレ、ピンクカイワレ等の亜種もあり、単純ながら奥が深い。
ブロッコリーやマスタードといった他の種類のスプラウトにも手を出せる。
容器の自作で種子を偏らないように分布させ、より立派なカイワレ大根を育てることも目指せる。
どこまで育ったら食べるかと言ったタイミング、仕上げの日照方法等、小さなコツがいろいろあり、工夫をすればカイワレ大根は短期間で必ず答えてくれる。
さらに、そのまま摘んで食べてもちろん美味しいが、収穫後の食べ方・調理法にこだわることもできる。
簡単・お手軽にもかかわらず、趣味として深めていくことができるカイワレ大根育成は、軽い趣味として理想的と言えるだろう。
・5段階評価:4
・あらすじ
帝国兵に追われる一行を助けてくれたサーカス団のアンネリーエとフリッツ。
助けてくれたことと聖城でサーカスを披露してくれたことへのお礼のため一行はフェスティバルのために一時的にサーカス団員としての活動を始める。
フェスに向かう途中、フリッツが盗賊団をやっていた過去が明らかになるも、アンネリーエは出自や過去は関係ないととく。
過去にアンネリーエが父親から団長の座を継いだ時に引き抜きをかけたライバルサーカス団の妨害、そして彼等の起こした魔獣騒動の後始末などを経て、アンネリーエのサーカス団はフェスを優勝し、団員たちも戻ってくるのだった。
・印象に残ったセリフ
アンネリーエ「人の出自や過去は舞台では関係ないって言ったでしょ?」
部下のフリッツが元盗賊だったことが判明した時、自分をある意味裏切った元団員達が帰ってきた時と繰り返し使われたセリフ。
・印象に残ったキャラ
アンネリーエ。
サーカス団の団長として、ドラゴンテイマーというパフォーマーとして、キス魔の女の子、若くして父親から団長の座を継いだことを不安で自身がない様、と幾つもの顔を見せてくれた可愛いキャラだった。
特に団長としてフリッツや引き抜かれた元団員達を許すシーンは尊大な雰囲気でそれでいて可愛くて好き。
・感想
面白かった。アンネリーエというキャラの魅力を描くこと一辺倒になっているのだけど、それをちゃんと書き切っててとてもよかった。
ドラゴンテイマーというパフォーマーとしての魅力、それから舞台の外ではキス魔で誰から構わずほっぺにキスをするエッチなところ、団長として全員を許す優しいところ、親から立場を継いだことを不安がるところ、どれも多層的なキャラ付けになってて可愛い。
元団員が戻ってくることをあっさり認めるところは特に良くて、自分はこういう時にぐちぐち色々なことを連呼しそうなタイプなので憧れる。
・5段階評価:1
・あらすじ
夢で見たお告げのためにホウライという街に向かう一行は、仙花焔職人のスオウと出会う、
彼は春節のお祭りのために仙花焔を作っていたのだが今年は竜脈泉のマナが枯れてしまったため上手くできないという。
竜脈泉の様子を見にいくと、たしかにマナが枯渇しておりその影響で魔獣がホウライの街を襲おうとしていた。
そこに街を作ったドラゴンのホウライ様からのお告げを受けて帰ってきた風来坊のクガイと再開する。
彼と共に再び竜脈泉に向かうと、マナを食い荒らすヴァルファレールが復活していた。
ホウライ様と100年前からの仲間であるキリン族のジョフクがヴァルファレールの周辺のマナを仙花焔の技術により取り除くことで打ち倒せると助言する。
ホウライ様とジョフク様の助けにより街は守られ、スオウの仙花焔が夜空を彩るのだった。
・印象に残ったセリフ
・印象に残ったキャラ
特になし。
・感想
色々と設定が出てきたが、スオウの家族にエピソードがどうにも上滑りしてしまい、のめり込めなかった。
故郷は大事なものだから、そこの住む街の人や全部を大切にしようという言いたいことはそりゃ大切なんだけど、もう少しそれを実感が持てるように描写して欲しかった。
スオウ、クガイ、シャオレイ、リンユー、ジョフク、ホウライとキャラが多いせいで、特にシャオレイとリンユーは状況説明セリフしかなく、キャラがいる意味が汲み取れなかった。
ジョフクやホウライといった圧倒的な強者が出てきて解決する展開も、それながらクガイやスオウが人間的な非超越者的な目線で語るところも、対比になってるように感じれず、総じて薄味だったと感じた。
・5段階評価:4
・あらすじ
死を司るタナトスに攫われ彼のためだけに舞を踊らされ続けていたフェリーチャを助け出したドラゴンのファントム。タナトスから逃げる最中にユーディル一行と出会い行動を共にする。
ムムはファントムがフェリーチャを助け出したのは同情ではなく恋心にあると見抜くが、ファントム自身は過去の経験とフォレスティエとドラゴンという種族の差から身をひこうとする。
故郷に帰ったフェリーチャだが、タナトスの手によって壊滅していた。
タナトスの独りよがりな愛を否定し、ファントムとフェリーチャは共に生き続けることを誓うのだった。
・印象に残ったセリフ
ファントム「頼む…… 俺に気づかせないでくれ。愚かな夢を抱いていることを……。」
フォレスティエに恋をしてしまったドラゴンが自身の気持ちに気付きたくないと独白するシーンのセリフ。
ドラゴンとそれ以外の愛はドラガリアロストの根幹だけにそれを悩むのはらしいシナリオでよかった。
・印象に残ったキャラ
ムム。
愛に生きるドラゴンの先輩としてファントムに道を示すところが印象的だった。
・感想
面白かった。大人しそうだけど舞が得意なフェリーチャと、独りよがりでそれを独占するタナトスと、ただただ自由に日の下で踊る彼女がみたいだけのファントムの三角関係ものだった。
何より過去の経験から愛に素直になれないファントムが可愛い。恐ろしい見た目なのに可愛いと思わせるのはまさにシナリオの力だった。
レギュラーキャラも、同じく愛に生きるドラゴンの先達としてムムが大活躍したのも、ゲストキャラを立てるだけでなく、レギュラーキャラもキャラ立ちを補強する良い展開だった。
最後に二人がハッピーエンドなのも好みだし、好きなシナリオだった。
・5段階評価:保留
・あらすじ
異端の異端審判者を名乗るクーガーとその相棒のハインヴァルトが突如村中の人間が一人の少女ラトニーだけを残して消えた事件を追うために聖城近くの禁断の図書館で情報収集を始める。
調査の結果、村の人々は禁断の図書館に本として納本されていた。
呪いを解くために調査を継続した結果、ラトニーこそが全ての元凶であるニャルラトホテプそのものであった。
ハインヴァルトの機転により窮地を脱し、村の人々も解放したが、偏在するもう一人のニャルラトホテプがハインヴァルトと同化する。
・印象に残ったセリフ
とくになし。
・印象に残ったキャラ
とくになし。
・感想
決め台詞を噛みがちなハードボイルドになりきれないクーガーと、魔術の研究のために本を読むのが好きなハインヴァルトのコンビはどことなく仮面ライダーWぽいのが面白いクトゥルフシリーズの初回シナリオ。
ハインヴァルトがニャルに身体を乗っ取られて終わるという、びっくりするぐらい話が途中なので感想の書きようがない。ラトニーに関しても本人としての登場は一瞬で、殆どがニャルによる変身だし。これからシャドウオーバーメイデン、晩夏の使者に続いていくんかな?
男性同性愛の二次創作を好む人たちにヒットしそうなキャラ造形だけど、この辺は当時の熱も込みで楽しみのは難しいなあ。
・5段階評価:3
・あらすじ
フォレスティア達のお祭りスプラウトバンケットに参加した一行。そこでリュカは幼馴染である次期族長候補のララノア、アロマの研究に長けたシャストと再開する。
他種族ヒューマンであるユーディル一行が参加することに難色を示す族長たちの意見を変えるために、お願いを叶えてくれるエッグハントに参加することに。
アートを学びたいフルルと協力しながらゲームを進めていくが、タマゴを魔獣に奪われて困っているドラゴンのシームルグを助けるためにエッグハントを中断する。
無事卵を取り返すも、エッグハントに優勝できるのはただ一人。リュカはエッグハントの優勝によるお願いでの命令で他種族間の仲を取り持つのをヨシとせず、フルルに優勝を譲る。
しかし、シームルグを助けた功績からユーディル一行はフォレスティアに認められることになる。
・印象に残ったセリフ
特になし。
・印象に残ったキャラ
シャスト。
研究のためなら族長たちの無茶な命令も聞いてきた、ってくだり、絶対エッチなこともされたに違いない……
・感想
ララノア、シャスト、フルル、リュカと四者四様の願いを、ユーディルの王の立場から差配していきつつ、ドラゴンの問題も解決してて、短いシナリオの中にいろんな要素が詰まってて良かった。
特に他種族に関するお話は今後も出てくる要素だし、ほんわかしたお話の割に結構重要だったのかも。
ただ、要素が多い分薄味なのも事実で、まとまってはいるものの、もう少し濃い味のシナリオの方が僕は好きかな。
「仙境の空へ」
・5段階評価:4
・あらすじ
キリン族が過去に使っていた伝説に道具仙宝を封印して回っているキリン族のサンゾウと弟子のヒューマンのゴクウと出会う。
ゴクウが仙宝の力に飲まれて暴走してしまうも、サンゾウは師匠として何度でも導くことを誓う。
・印象に残ったセリフ
サンゾウ「私は私を信じます。私の…… 私たちの未来を信じます!」
ゴクウとの関係を悩んでいたサンゾウが良い意味で保留して未来を信じると誓う言葉。
・印象に残ったキャラ
サンゾウ。
疑似家族ものが好きなので、親代わりってキーワードだけで好き。
それだけじゃなく、親としての自分と、師匠としての自分の狭間で悩む姿が良き。
・感想
シナリオの構造としていては単純で登場人物もサンゾウとゴクウの二人だけとシンプル。
それだけにサンゾウの気持ちや、ゴクウの気持ちの描写が多くて満足。
特にサンゾウの親代わり兼師匠という立場に悩むくだりは可哀想だった。
二人の関係値は続きがあるみたい。まあ西遊記モチーフなのに堺正章、夏目雅子、おヒョイさんの三人しか登場しないわけないからそりゃそうか。
・5段階評価:3
・あらすじ
ユーディル一行の元で鍛冶屋をするが、地元で決着をつけそこなていたロッカ族のラズリーと鍛冶の実力を比べるため大会に参加する。
三姉妹は熊型のドラゴンアルクトスとのトレーニングでより力を付ける。
ラズリーとの勝負に勝った三姉妹は偉大な父親を超えるため今後も鍛冶の腕を磨くのだった。
・印象に残ったセリフ
特になし。
・印象に残ったキャラ
ルジィナ。
末っ子なのだけど、唯一父親から鍛冶の才能を受け継がなかった、と本人が思い込んでる思い込みの激しい子。
実際には鍛冶の水で締める工程の才能を継いでおり、次女と長女の工程の間を繋ぐ大事なポジション。
空回りしてる様が可愛かった。
・感想
三姉妹の微笑ましいやりとりが続くほんわかのんびりストーリー。
特に自分だけ才能を継いでないと誤解して空回りしてた三女のルジィナが可愛かった。
三姉妹それぞれの可愛いを描くのが主題で他のことはおざなりだけど、ソシャゲのシナリオとしては僕はこういうものだと思うし好きだ。
・5段階評価:2
・あらすじ
宝探しに島にやってきたユーディル一行は、宝を守っていたエルモ、それを奪おうとするタコ魔獣のバルバリアと出会う。
バルバリアに宝を奪われてしまい圧倒されるも、歌で魅了するドラゴンセイレーンの強力でそれを倒す。
・印象に残ったセリフ
とくになし。
・印象に残ったキャラ
とくになし。
・感想
ソシャゲあるある夏のイベントは水着実装キャラの紹介になるから薄い、の典型的なシナリオだった。
水着キャラの紹介と状況説明が大半でお話しらしいお話しがなかった。
とはいえ、その水着キャラに僕の好きなジュリエッタがいたのでそこは良き。
ジュリエッタ好きなんだけど、ここで話がほぼほぼ終わりなんだよなあ。
エルフィリスとの関係がなにか進展するエピソードを見たかった…… 見たかったなあ……
「Melodious Summer♪」
・5段階評価:2
・あらすじ
従者であるためと言い訳をして水着で楽しむことが出来ないでいるクラウだったが、セイレーンの歌を楽しむ姿勢に感化し、夏を満喫するのだった。
・印象に残ったセリフ
長い時を生きるクラウは嬉しかったことも忘れてしまっているのだけど、それを思い出す一幕から。
忘れるって寂しなあ。
・印象に残ったキャラ
クラウ。
ヒューマンとは異なる寿命を生きることの寂しさ、長く生きると楽しいことも忘れてしまう寂しさなど、もの悲しいエピソードから前向きになる展開で可愛かった。
・感想
主役のはずのセイレーンを食ってしまうほどにクラウの出番が多く、ドラガリの全体的なシナリオにもかかっている展開だった。
とはいえ、水着ガチャキャラの販促という側面はモロ見えで、シナリオの縦軸は薄く、キャラ萌え全振りなのもそれはそう。
・あらすじ
今までのやり直したい過去に向かうが、度々アスラムと名乗る謎の男に邪魔をされる。
仮面をつけたゼシアのところへタイムスリップしたところでクロノスが本性を表す。
アスラムが時間移動した起点である未来へ飛ぶも、そこではユーディルに全てを殺されたと語るナームがいた。
クロノスを倒すも、この未来で何があったのかはわからないままだった。
・印象に残ったセリフ
本編中ではずっと敵でほんわかエピソードがないのでこう思ってたんだなあとしんみりした。
・印象に残ったキャラ
アスラム。
時を巡って孤独な戦いに身を投じるの、格好いいけど悲しい。
その後の時系列がキャラストーリーで描かれてるんだけど、めっちゃ鬱いシナリオでかわいそうだった。
・感想
正直よくわからんかった。
ユーディル達が負けた未来からやってきたアスラムとクロノスとが交差するんだけど、この未来の話が何かあったことしか分からずモヤモヤする。
普通にメインストーリーと時間軸も繋がってるしで、イベントストーリーだけどこれ単品でどうこう言うエピソードじゃない感じかな。
アスラムのキャラエピソードとも絡んでるしで面白いけど、複雑だ。
・5段階評価:3
・あらすじ
突如姿を消したラトニーを追って不老不死の村ティンソムの村へ向かうクーガーとハインヴァルト。
村に向かう途中でラトニーを回収し、むらに宿泊することになる。
クーガー達は彼女の目論見がラトニーの内に眠るニャルを使った何かであることを見抜き、暗躍を阻止する。
・印象に残ったセリフ
クーガー「辛くなったり、悩んだりしたら、とりあえず笑っちまえ。」
直球でベタなメッセージだけど、まだ何も悪いことは起きていないという前置きありきなのが印象強い。
・印象に残ったキャラ
ハインヴァルト。
・感想
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
煮炊きすると水分が抜けてかなり食べやすくなる(=原料換算のグラム数を稼げる。煮たら容積が減るから余計原料が必要になるというのは不合理な考え方)
・ソーセージやハムと汁物に入れる(キャベツと玉ねぎと人参のコンソメスープ、シチュー)
・煮物(おでんの大根、じゃがいも、ロールキャベツ/ポトフのキャベツ、玉ねぎ、人参)
・粉ものといっしょに食べる(お好み焼きのキャベツ、もやし/餃子にニラ、キャベツ/ほうとうのかぼちゃ、ネギ)
・肉といっしょにする(鍋物のネギ、青菜、きのこ/焼肉の茄子、玉ねぎ、キャベツ、もやし、きのこ、芋)
でも煮炊きした野菜ばっかり食べてると、たまにあーっレタス食べたい!生野菜足りない!となる。人間は贅沢だというわけではなく、たぶん焼く煮るでなにかが壊れたり捨ててしまうから。自分は煮た野菜抜きが続くと腸にくるし、生野菜抜きが続くとこんどは胃がダメ(VCだけじゃなくキ○ベジン的な酵素とかありそう)
なくなるとおもうよ。
というか採算がとれない確実に。
先見の明がある農家の人はハウスを一昨年、またはその一年前の冬ぐらいら手控えてる。
今年の冬もハウスをやらなければいけない農家や、ハウスをしてしまった農家はまじめに地獄だと思う。
それどころか、今年は漁業のような事業でさえ採算がとれなくなる可能性がある。
物価に転嫁するところと、LEDライトでの集魚灯みたいな設備投資をするところと分かれているみたい。
ハウスも古タイヤを買い付けてそれを燃して…なんていう設備投資をしたひとがニュースになってたけど、
付け焼刃だとおもうな。
原油はすくなくともあと半年は現況維持をするとおもうので、この冬で経済的に相当厳しい一次産業の人がでてくるとおもう。
ビニール一枚で温室を保ちつづけることがいったいどれだけエネルギーが非効率的かとも思うので、
これからは地産地消だとかいいながら運輸費を削った流通形態になるとおもうよ。
儲かるところはあまり影響がないキノコ栽培とかそこらへんで、
他はずいぶん変わるとおもうな。
