はてなキーワード: プラットフォームとは
これは単に自分の金が惜しかったからだ。誰しもが持っている感覚。自分が稼いだ金を誰かに渡すなんてとんでもない。
そういった気持があるが故に、人生で寄付をしたことが無かった。
神社へ御賽銭を投げることはあった。それもせいぜい10円だ。でも、それでも10円でさえも自分には惜しいように思えた。
なにかのタイミングで人に奢ることはあった。でもまぁ、それも人が食べた食べ物を自分が払ったまでである。
「人間関係を買っている」とも言えるかもしれない。寄付や喜捨の類ではない。
それくらいの感情しか持ち合わせていないので、寄付はしたことがなかった。
さて、京都アニメーションである。京アニの事件はとんでもなく衝撃的だった。
詳細は省くが、アニヲタの心を打ち崩すには十分だった。
自分はアニヲタなので、京アニの事件でメンタルの調子を崩された。
かろうじて人格は保てたものの、自分の中にあったアニヲタとしての成分は破壊されたのである。
そんなこんなで1ヶ月近くアニメを視聴することができずに、今日に至った。
この1ヶ月の調子は最悪だった。
「アニメを視聴することとは一体なんなのか?」
「なぜ俺はアニメを視聴しなければならないのか?」
「アニメを見ていて壊れる人間が居るというのに、俺はアニメを見ていて壊れない保証はあるのか?」
といったような、良く分からない疑念に苛まれていた。無駄に悩んでいたのだ。
アニメなんて見たければ見れば良いし、見たくなければ見なければ良いのだ。
そこに損得勘定なんて必要ない。見たいか、見たくないかで考えれば良いのだ。
にもかかわらず、アニメを視聴できなかったのは何故だろうか?
自分もこれは申し訳ないと思っている。学生の頃は許されていた気がした。
ところが、今は社会人である。金を稼いでいる。そんな人間が違法視聴するってどういうことなんだろう?
でも、視聴するアニメによってプラットフォームを分けるとか、本当に面倒臭い。そんなことを自分が管理できるとは思えない。
そんな怠惰もあって、違法視聴することが人生の習慣に組み込まれていた。
「1銭も業界収入に益していない人間が、このような事件を経験した後に、何もできないままに、何もしないままに、どうしてその恩恵に預かることができようか?」
と思うのだ。
例えば、あなたが「見知らぬ子供に奴隷労働をさせます。その利益であなたは毎日遊んで暮らせます。どうしますか?」と聞かれたときに、
はっきりとは「見知らぬ子供を奴隷労働させる代わりに、毎日遊んで暮らしたい!」と答えられない時に感じる罪悪感と似ている。
アニメを視聴する度に、この罪悪感に付きまとわれていたのだ。
正直に言って自分は限界だった。日々すり減っていく精神。しかし、アニメを視聴できないことにはメンタルも回復できない。
薄々はこの気持ちに気付いていた。しかし、目を逸らしてきたのは、その解決方法が京アニへの寄付であると初めから知っていたからだ。
寄付すると金を払わなくてはならない。しかも、それなりの金額でないとあまりにも情けない。
大きめの金額は正直言って払いたくないのだ。それでも、心の中にある罪悪感は消したい。
けれど、ようやく決心が着いたのだ。
あまりにも不調で、不調なのがとても辛かったので、それを治したい意味でも寄付をした。
1万円である。
1万円か、という気がする。1万円はちょっと少ないのでは? という気が凄くする。
正直自分も3万円くらいは寄付したかった。どうせなら5万円払いたいし、10万も払いたい。
100万円は想像ができない。なぜなら手元に100万円も無いので。
自分の手取りは21万である。このうちの1万円を払うことには、果たしてどれほどの価値があるだろうか?
自分は十分に義務を果たせているだろうか? 3万円はいくべきだろうか?
アニメを違法視聴しても大丈夫だろうか? そもそも違法視聴しなければいいのでは?
なぜ違法視聴をしてしまうのか? 学生時代ならいざしらず、社会人の今になっても違法視聴しているのは何故か?
警察が来そうな法は侵さなくても、これくらいならバレないだろと違法視聴している人間も、かなり意地汚くないだろうか?
と、なんやかんや思って、京アニに1万円を寄付した後は、アニメを2話ニコニコで視聴した後、違法視聴するのを止めた。
止めた。止めたったら止めた。止めた。
これだけ言ったのだから、止めた。
どんなにまともに頑張ろうとしても、違法視聴しているという自己認識が頑張りを阻んで来るので止めた。
すると京アニ事件以来、全く見れずにいたアニメが視聴できるようになった。
京アニの事件が起こり、寄付をして、違法視聴を止めて様々な配信サービスに課金し、それと引き換えにアニメを視聴できるようになった。
感想は最高である。俺は「アニメを視聴する権利」を買っている。俺のアニメ視聴を咎める人間はこの世界のどこにも居ないはずである。
これまでは悪かった。違法視聴をしていた。この世界には俺がアニメを視聴していることに対して怒る人間ばかりだったと思う。
でも、今は違う。京都アニメーションへは寄付をしているし、普通に配信サービスへ正当な金を払っている。
1万円寄付をしたが、これは過去への贖罪である。1万円が???
1万円は安くないか?
……
いま追加で2万円を追加で寄付をした。合計3万円だ。
再来月には昔の友だちが結婚式を挙げるらしいのだ。
そこで3万円を包む。これによっても許されるだろうか????
いま、金を払って視聴しているけども、とても楽しい。コンテンツに金を出すのを躊躇うようになったらダメだ。
どこまでも意地汚くなってしまう。清廉に生きたい。業なく死にたい。
もう大丈夫だ。アニメを視聴できる。これからは漫画も買って読む。違法には見ない。
多分読む量は減るだろうけど、違法には読まない。
アニメは課金して視聴するし、漫画はKindleで買って読む。
そうすることにします。
昨今流行りのNTTの退職エントリの大半において、NTTの評価は
・福利厚生は良い
・人も良い
・待遇も悪くはない
・的外れなセキュリティ対策にガチガチに縛られていて作業効率最悪
という感じなのだが、まさにその通りなので、退職する気はないが、現役社員として実例を示しておく。
私が所属する組織では、ここ数年で情報セキュリティインシデントが多発している。
具体的には、取引先のベンダーA社の情報が、B社に開示されてしまうという情報漏洩だ。
その大半が、弊社の独自システム(以降「システムX」と呼ぶ)上、あるいはその周辺で発生している。
システムXは、弊社と多種多様なジャンルのベンダーが仕様書やソースコード、バグ票やQAコメントのやりとりなどを行うためのプラットフォームなのだが、その歴史は古く、運用開始は2000年代前半。
運用当初から現在に至るまで無秩序な機能の追加や他システムとの統合を繰り返した結果、その全貌を知るものは最早いないのではないかという複雑怪奇なシステムとなっている。
それゆえに情報管理・権限管理の仕組みは非常に難解で、「どうぞヒューマンエラーを引き起こしてください」と言わんばかりの罠が方々に散りばめられている。
「A社宛の起票のつもりだったが、なぜか権限設定に不備があり、B社も閲覧可能になっている」といった具合だ。
さらにシステムXへのユーザアカウント追加/削除や権限設定は、これまた極めて複雑かつ前時代的なエクセルフォーマットに記入してメールで申請しなければならず、この申請方法に起因したヒューマンエラーによる情報漏洩も後を絶たない。
日本語の読み書きとITパスポートレベルの知識があれば、わが組織で発生している情報セキュリティインシデントの癌はシステムXだということがわかるはずだ。
システムXの問題点を洗い出し、別のシステムでの代用を考えるのが筋道であろう。
現に、開発プロジェクト単位でシステムXを使わずにbacklogやJIRAといった権限の管理が容易かつ確実に行えるシステムへの移管が進んでいる。
問題。情報セキュリティインシデントの多発に伴い、社長や直属役員からお叱りを受けた組織長が取った対応策は何か。
もちろん本日記のタイトルからお察しの通り的外れなのだが、その度合いがヤバい。心して聞いてほしい。
・メールやシステム(システムX以外も含む)で社外に添付ファイルを送信する際は、課長職以上の管理職から送ることとする。
・具体的には、係長以下の社員が添付ファイルの所在および送信方法の下書き(メールやチケット)をメールで管理職に送り、管理職が先方に送信する。
・・・え?
システムXが糞過ぎてヒューマンエラー多発してるだけなのに、全てのファイル送信を管理職が送ることで何か解決するの?
というかメール/JIRA/backlog/Redmine etc・・・で日に何十も何百もファイル送信が行われるのに、全部管理職を経由させるの?
ログファイル1件、スクリーンショット1枚送るのに課長にメールで依頼して、対応を待たなきゃいけないの?
働き方改革だ、業務効率化だと言っていたのはどこの誰でしたっけ?
もうね、怒りを通り越して笑いがこみ上げてきたよ。
この対策(笑)が意味を成さないこと、むしろ無駄に人手をかければ更にヒューマンエラーが発生する確率が上がることくらい、ちょっと賢い小学生でも理解できる。
気づいてる管理職も大勢いるはずなのに、誰も異論を唱えず、淡々と部下に"ルール"として周知する。
多くの部下を抱え、毎日大量のファイル送信が必要な管理職は、ノートPCを持ち帰り、帰宅後だろうと年休中だろうと遠隔でファイル送信の対応に追われている。
わが組織に「ボトルネック生成によるヒューマンエラー促進法」が施行されて数日後、めでたく情報セキュリティインシデントが発生した。
具体的な内容と原因については知らされていないが、推して知るべしといったところ。
いっそのこと、ファイルは全部組織長が送信したらどうっすかね?むしろ、社長にしますか?いや、それでも危ないから、全部手渡しにしましょうか?(鼻ホジ)
某自動車部品会社で8年ほど働きましたが、思うところあって少し前に転職しました。
なお、基本スペック
これらの事は、どんな会社でも規模の大小によらず多かれ少なかれ共通する点でもありますし、私の恨みつらみを知っても楽しくないと思うので(あるいは、本ポストをご覧いただいている方が求めているのはまさにそういう心の闇なのかもしれませんが)、具体的には書かないでおこうと思います。ここではあまり話題にならない自動車業界の雰囲気を自分が見てきた範囲で書こうと思います。
世間一般でも言われていることですが、ここ数年で自動車業界に他業界(主に、家電、IT)から転職する人が増えましたし、業界内でも転職する人も増えたように思います。極端な例ですが、全員が転職して部署がなくなったという例や、部署のほぼすべてのメンバーが他社からの転職者という例が知る限りでも複数ありました。
車がハッキングされたり、NVIDIAが自動車向けの半導体をリリースしたり、Teslaが電気自動車を販売したり、自動車メーカー各社のプラットフォーム戦略が軌道に乗る等、技術面、ビジネス面での変化があり、従来のビジネス手法や開発手法が通用しなくなったのも世間の評判通りです。一方、価格競争や、納期対応、カーメーカーを頂点にした厳しいサプライチェーンマネージメント等はあまり変化がないように思います。また、価格競争のために、製品原価を1円~10円下げるために数千万円~数億円の開発費・設備投資費を費やすという取り組みや、車種・グレード固有の個別最適化の設計・開発等、自動車業界らしい取り組みもまだ多く残っています。
まずは、実際のところは下っ端~中堅目線でどう変わったかというところを書きたいと思います。
いろんな人材が自動車業界に入ってくるようになり、いい意味で多様性が生まれたように思います。従来の自動車業界は、業界内で少々転職する人がいるぐらいで他業界からの転職者は多くはなかったらしいです。
逆に、新しい流れを受け入れることができず、取り残されている人も一定数います。知る限りでは同業他社も同じ状況のようです。そのため、せっかく生まれた多様性をうまく活かせていないようにも感じていました。ただ、これは現在の自動車業界で働き盛りの40代の方々が若手のころは自動車業界は画一的で発展性がなく、斜陽産業だといわれていたこともあり、解消にはしばらく時間がかかると思います。それに、どこの業界・会社にも新しいトレンドになじめない方はいらっしゃるようですので、ある程度は致し方ないかと思います。足の引っ張り合いの末に死屍累々のあり様の携帯端末ビジネスよりはよっぽどましかと。
従来の自動車部品メーカーの開発は自動車メーカーが主な関係先でしたが、ITに近い技術が利用されるようになり、開発が自社のみで完結しなくなり、業界外や社外とのかかわりも増えましす。そのため、僕が業界に入った時に蔓延していたお客様の言うことは絶対という雰囲気がいくらか軽くなったように思います。また、個人の業務では、ソフトウェアベンダー、コンサルティング会社、欧米のベンチャー企業とかかわることが多かったです。ただ、家電業界が斜陽になった当時、景気がいい自動車業界に参入してきた会社が多数ありましたが、ビジネスモデルや開発手法のあまりの違いや、既存ビジネスへの参入の難しさから、多くの企業が撤退もしくは苦戦しているというのも現状です。
他業界から転職されてきた方に関して言及すると、仕事の進め方や、客先とのかかわり方が他業界とは大きく異なることもあり、年齢・経験によらず苦労されている方や、心が折れてしまった(隠語)方も多数いらっしゃいます。
ここからは、国内自動車業界の本当によくないと思う点なのですが、新しいブームや技術が発生した時に、社内の中堅以上の方が、否定的な見方をしてしまう雰囲気がやはり業界全体に漂っている点があると思います。えてしてそういった考え方や雰囲気は伝染するもので、新しく業界に入った方もそういった考え方に染まってしまったり、現実を嘆いて業界外に転職していってしまうこともあるようです。一方で、家電業界や携帯端末業界の衰退・ビジネスの変化を目の当たりにして、新しいトレンドを取り入れる必要があると考える人も年々増えているように思います。
やや突っ込んだ話になりますが、最近は新しいトレンドをCASE(Connected/Autonomous/Sharing/Electromobilityの略)とまとめて呼ぶことが多いですが、初めに大きな変化を国内の自動車業界にもたらしたのはElectromobilityであったように思います。2010年代から、自動車の電動化により、すべての車がEVもしくはHVに置き換わり、エンジンやトランスミッションの巨大市場が失われ、モーターやバッテリー、充電コンバーターの巨大市場が生まれるといわれていました。ただ、EVの航続距離を延ばす根本的な電池の容量問題への解決策が見えないことや、充電スタンド等のインフラ整備が進まないこと、ハイブリットのみならず、グリーンディーゼルやダウンサイジングターボ等により、EVでなくても燃費改善策はあること等の背景もあり、当初思われていたほどEV関係の市場が伸びないということが2015年ぐらいから明らかになってきました。逆に、自動ブレーキに代表される、既存のACCや車線逸脱警告、周辺監視等の技術の延長に位置するマーケットは大きく伸びたというのが実際のところです。
そのため、当時EV関連事業に巨額の投資を行った方々の間では新しいトレンドは絵に描いた餅という固定概念が植え付けられおり、なかなか手が出しにくい状況になってしまったという点も、新しいトレンドをなかなか取り入れれない原因になっているように感じられます。また、上に書いたことを否定するような文章になってしまいますが、多種多様な製品があるため、大半の製品では新しいトレンドとは無関係に従来と変わらない方法・技術を用いて開発を進めることも多く、変化は全体から見ればまだまだ小さいため、多くの企業がトレンドに乗り遅れていることに対する直接的なデメリットを受けていないという状況のようです。
次に、働いてみてワークライフバランス等はどうだったかという話をしたいと思います。研究・開発職のワークライフバランスは言うほどは悪くないと思いますが、市場不具合対応時や、納期対応時はかなりの残業が必要になることは間違いないと思います。特に、製品リリースの直前には、ストレスや睡眠不足から心身の健康を崩す方も度々いらっしゃるようです。営業や工場の製造部門は納期遅れが業績等に直結してくることもあり、工場とお客さんとの往復や、残業対応が迫られていることが多いようです。さらには、中堅以上の層に暴力的な人も多く、部署によっては罵声や怒号が飛び交うという話も実際にあります。自身も、初対面の人に打ち合わせ開始5秒で怒鳴られたことがありますし、そのまま数十分にわたり罵声を浴びせられたことも幾度となくあります。ただ、最近は世間の風当りがきついことや、容易に転職が可能となったこともあり、そういった雰囲気もここ数年で多少はましになったかなと感じます。
人材育成に関しては、かつては人材の流動性が非常に低い業界であったため、技術や方法は先輩や上司から業務を通じて学ぶ、既存の技術を知っていて当たり前という雰囲気もかなり蔓延しています。そのため、個別の技術に対する系統だった教育プログラムが用意されていなかいという問題もあります。新しく業界に入った方に”そんなことも知らないのか?”という発言をしたり、それを理由に攻撃して精神的に追い詰めてしまう人もかなりいます。何にせよ、全体的に人材育成が苦手な業界ではないかと思います。特に、組み込みソフトウェア関連技術に関しては、かつては客先の要求仕様にのっとってV字開発プロセスを通すことが開発のほぼ全てを占めていたこともあり、C言語の基礎(自動車業界のソフトウェア開発はナビ等の一部を除けばほぼすべてがC言語です)や組み込みソフトウェアの基礎に関する研修はなく、開発プロセスに関する研修ばかりという会社もかなりの数があるようです。そのため、基本が押さえられておらず、基礎設計が悪く、手戻り発生で開発工数が爆発、不具合を垂れ流すというコンボもごくまれに発生している様です。
ここ数年、自動車業界各社の業績が良かったこともあり、春闘のボーナス満額回答や、ベア、過去最高益等の景気のいいニュースが多かったですが、2018年下期から中国市場の減速等により各社が業績の下方修正をする等、景気にやや陰りが見えているのも事実だと思います。まだ、各担当レベルの仕事や、給料への影響はそれほどは感じられませんでしたが、このままの状況が続くと数年程度で何らかの影響が出てくるのではないかと思います。
一方、人材採用という側面では、根本的な人材不足解消の目途が立っておらず、多少の業績悪化があるとはいえ、しばらくは雇用が豊富にある状況は続くと思います。サブプライムショックのような世界的な不景気が発生すると、一旦は雇用が絞られる可能性がありそうですが、その後の景気回復に伴い、数年で回復すると思います。車は数年~15年程度で必ず買い替える消耗品であり、家電製品より高価ということもあり、景気が悪くても最低限の需要と市場が生まれ、景気が回復すると需要が回復する業界ですし、新興国の需要の伸びはこれからなので、中長期的に見れば伸びしろのある業界だと思います。ただ、外資系企業の国内市場進出が進んでいることや、業界内の買収・統合や事業移管が進んでいることもあり、会社によっては価格競争等に敗れ、売り上げが激減するリスクやリストラのリスクはありそうです。また、まだ例は少ないですが、国内で救済的買収を行う会社が見当たらず、外資系ファンドの傘下に入った会社も出始めています。ですので、転職先の会社選びが非常に重要になってくるのは間違いなさそうです。
他の業界の方と一緒に仕事したことはあるものの、他業界で仕事をしたことがないので、何とも言えないですが、自身の業界全体の未来を不安視されている方が業界をまたいで転職してくるのは十分にありだと思います。また、米中摩擦の今後の動向次第では、自動車業界全体の業績に悪影響を与える影響もありますので、30代で転職を迷っている方は興味があればこのタイミングで自動車業界にトライするのもいいかもしれません。うまくいかなければ、他の業界に転職すればいいと思います。一度は自動車業界に来たものの別の業界に転職していった方や、別業界からの出戻りもあるようです。
不条理で世知辛い業界ではありますが、個人的に携わったテーマは楽しく取り組めたので、自動車業界で働いたのは間違いではなかったかなと思います。緩やかにですが変わっていく業界ではありますので、近い将来に今よりは働きやすい業界になると思います。今後の伸びしろもあり、まだまだ楽しむ余地がありそうですので、転職先も自動車業界にしました。ただ、国内の世界的某大手自動車部品メーカーも受けましたが、面接をしている最中にここも結局は同じか………と感じてしまったこともありましたので、外資系の企業にしました。
https://www.gizmodo.jp/2017/11/emoji-unicode10.html
きっとこれニャ。🐈よかったら見てニャ
具体的に絵文字がどのように変換されるのか気になるという人には、Emojipedia(絵文字ペディア)が役立つかもしれません。
AppleやGoogleなどのOS、MicrosoftやSamsongなどのデバイス、FacebookやTwitterなどのプラットフォームによって、
絵文字が文字化けしていても特に気にならない場面もあれば、気になって仕方ない...なんてこともあるかもしれません。
この先も安定そうなサービスってどこだろう。
1600冊以上のデータがある。同じものを複数買いたくないのでどうしても何らかのデータベースを作りたい。
しかも、ISBNはあるけども通販限定などで書店に並ばない本も持っているため既存のデータベースにない本はISBNを入力する形でプラスしたい。
できたらスマホ(Android)からデータのチェック(持ってるか持ってないか、既にWebで予約してるのかetc)をしたい。
いろいろサービス調べてみたけれども。
ブクログ→Android向けアプリのサービスを終了した。信用できない。
読書メーター→エクスポート機能がない。サービス終了するときにどうしようもない。
ブックフォワードの愛用者だったがスマホアプリがここのところかなり不安定なので心配。
もはやマイクロソフトのAccessとEvernoteあたりを組み合わせて自力でどうにかするしかないのだろうか。
誰か助けてほしい。この1600冊をこえ、日々成長し続けるデータの山を、どうにかしたい。
同人誌はISBNとか何もないので最近買ったやつだけはAccessで管理(サークル名、タイトル、サイズ、発行日、ジャンル、CPをデータ化するようになったらダブり買いがなくなった。イベント当日は「サークル名/タイトル/発行日」だけのExcelファイルをスマホから参照できるようにしといて、不安になったら見るようにしている。非効率なので改善したい)
ヴィレッジブックス社とかのISBNはあるけど書店で見かけたことない本もAccessで管理
電子書籍→プラットフォームを絞ってはいるがデータ化が面倒になるくらい大量に買うので今のところ放置
しています。やはり普通の本もAccessでやるしかないのかな。はてな民ならすらっと代替案持ってきてくれるかなと思ったら特に代替サービスがないみたいで目玉が飛び出そうです。
出版社はNetflixみたいに「こういう系統の本読んでるおまえならこの本も好きになるだろう。ここで買えるぞ」とかいうのを表示してくれるサービス作れば売り上げ上がるんじゃないか…
ドラクエ11がSwitchで追加要素山盛りで発売されるけど、
さんざんPS4と3DSであれこれ凄い凄いとスクエニは言っていたのに、
Switchへの移植に盛り込まれた要素が贔屓だらけという話。
結局の所、ドラクエというネームブランドで不完全版を売って実験して、
そこそこ売れるという実証ができたから、今度は不完全な実験用じゃないものを販売という。
Switchも持ってるから買うつもりだけど、やり方としてはユーザーを馬鹿にしてるんだなと感じる。
目新しいものを入れないと売れないって言う人もいるんだけどさ、
そもそもプラットフォームが違うのだから、目新しいものも何もプレイしたことない人なら
無印であっても買うでしょって。
それなのに、目新しいものがー目新しいものがーという主張がよくわかんない。
どっちにしても新要素がいくつも入ってるので購入はする。
据え置きゲームにおいては「戦国無双」のパクリとの誹りを免れない「戦国BASARA」だが、
「戦国BASARA バトルパーティ」でスマートフォンというプラットフォームに移り、「戦国無双」のパクリからようやく脱却した
では「戦国BASARA バトルパーティ」がどういったゲームかと言えば、
今作には、ギルド内でレイドボスを倒す「討伐隊」というコンテンツが存在する
「討伐隊」で倒したレイドボスからは一度だけ報酬を受け取れるが、
それが何故か7月15日午前0時頃より、報酬を無限に受け取る事ができるというバグが発生
討伐報酬の中にはゲーム内通貨の他に、無償石(赤宝玉)や武将ガチャを回せるチケットも存在した
当然、運営は黙って見る事はなく、同日午前1時前頃よりメンテナンスに突入した
だが、六時間近くに渡るメンテナンスの結果はロールバックでも回収でもなく、
バグを潰しただけであった
「バグの産物には一切手をつけないでね!」という注意だけがされるようになった
【お知らせ】
臨時メンテナンスにて対応を行なった「討伐隊の報酬を繰り返し受け取れてしまう」不具合についてお知らせいたします。
本不具合により繰り返し入手してしまったアイテム/小判につきまして、後日運営にて対応を行なわせていただきますので、使用しないようお願いいたします。#バトパ— 戦国BASARA バトルパーティー公式 (@basara_bp) 2019年7月15日
現在運用中のシステムに、ガチャチケットを増産できるバグが発生した
その間に一部のユーザはバグを利用して不正にガチャチケットを増産した
果たして、その一部のユーザが善人であると信じて「そのチケット使わないでね!」と忠告しただけでおしまいにするだろうか?
というか正規なチケットと不正なチケットが混じってるままメンテナンス終了してチケット使われたら履歴辿るの死ぬほど面倒くさくない?
メンテ伸ばしてその一時間の間にログインしたユーザ洗い出して、資産の多い順にソートして怪しいやつをピックアップして精査してBANした方がよくなくない?
このネットワーク社会で今どき性悪説を採用してないとか情報セキュリティスペシャリスト取ってないクソド底辺ドカタプログラマじゃない? おーん?
(ちなみに自分は情報セキュリティスペシャリスト2回落ちた)
かくして、15日の一夜を越した「戦国BASARA バトルパーティ」には、
一部の不正☆7武将パーティと、極一握りの虎王信長廃課金パーティが殴り合うプロレス会場となり、
正直者と健康的な生活の者と虎穴ダッシュ勢が馬鹿を見る結果となった
ぼかぁ筋肉ムキムキで髪がボサボサでお見合い経験すらないKKO(黒田/官兵衛の/おっさん)が実装されてなかったらマジになってなかったと思うよ
プラットフォームはニコニコdアニメ支店。なのでコメント付きで見てる。
今作は期待できるのが多くて、忙しいクールになりそう。
いつもの異世界転生、ではなく転移。作画は綺麗。内容はいつもの異世界転生な気がする。
ジャンプ原作らしい。コメント見てる限り原作の評判は良いので楽しみに見ると思う。
ちょっとぼんやりした感じの作画が良い。ラノベ原作なんだろうけど、エロゲ原作っぽい雰囲気を感じる。
エロにどのくらい振るんだろう?
可愛い絵柄に…ロボ!? しかしロボも丸っこくてかわいいデザインになってる。SEが魔法で動いてる感じがして凄い良い。
一話での掴みはバッチリ感が良い。期待大。
純粋にバトル物になるのか、平和な感じになるのか、それとも鬱アニメ的な展開になるのか。どれもありそうで楽しみ。
女子高生が散在するアニメではなかった。あそびあそばせと男子高校生の日常と合わせた感じってコメがあった。分かる。
ギャグのノリも悪くないので、とりあえず見る。
適合者なので見る。2話も見たけど結構エグくて、今までとちょっと雰囲気変わりそう。
日常パートが3、4期は少なかった記憶なので5期はどのくらい入れてくれるんだろう?BD買ってしないフォギア見ろってなる可能性もあるけど
今作からシンフォギア見るってのはあんまりオススメ出来なさそう。のっけのミイラや2話の感じから1期を強く意識した展開になりそうな予感なので。
原作も好きなので見る。サバイバル知識はガチ。絵柄は可愛い。ちょっと下ネタが多い。
お父さんの声は大塚明夫さんしかないよなと思ってたら、やっぱり大塚さんで安心した。
ショートでさっくりやるのかと思ったら、30分枠。でも全然楽しく観れる。流石動画工房。
原作を読んだことある。15分のショートアニメだけど、15分で良い感じ。テンポが良くて楽しく観れる。
ジャンプ原作だったはず。原作漫画は良い評判を聞いていたのだけど、結局読まずじまいでアニメを観てる。
荒廃した未来で再び近代文明を目指しながらサバイバルをするみたいだけど、OP見る感じジャンプよろしくバトル展開もあるっぽい。
ゲーム制作者がゲームの世界に、魔王となって転生?したっていうどっかで聞いたことがあるような設定。ただ感情を抑制するスキルが発動したりはしないらしい。
https://ai-scholar.tech/deep-learning/matrixflow-191/
この人は文系でも使えるAI製品を売り出してデータサイエンティストを全部失業させたいとか言ってる。
で1年くらい昔の話で申し訳ないんだけど、この人こんなことも言ってる
https://twitter.com/tdualdir/status/964134918266605568
この人の言ってる「DNNが任意の関数を表現できる」ってのはディープニューラルネットワークの層を深くすればするほど複雑な表現に対応できて任意の関数に近づけるってことだよね。
関数をテイラー展開して項を増やせば元の関数に近づくみたいな話。万能近似定理とか普遍性定理とかいう名前のやつ。たしかに昔から言われてる。
でもどれくらい深くすればうまく近づけられるかってことは何も言ってなくて、既存の手法よりもうまく行く理由もわかってない。
無限に深いDNNならどんな関数も表現できる、なんて言っても実際にできなかったら使えないじゃん。
だからこそ研究者が現在進行形でいろんなニューラルネットワークを試してうまく行く条件を探してるわけ。
https://www.slideshare.net/masaakiimaizumi1/ss-87972719
は目的の関数が一定の条件下ならDNNが他のどの手法(最小二乗法とか)よりも一番うまく近づけられることを証明したって言ってる。
つまりこれまで分かってなかったことを部分的に解明している。全然違う話。
書いてある数式が難しくて理解できなくても日本語のとこだけ読むだけでも全然違う話をしてることがわかると思うんだけど。文系ならともかく理系ならわかるでしょ。
数学ができるかよりも機械学習で何ができるのか理解してそれを活用できることが重要ってインタビューの中で言ってるけど、本人が理解してないじゃん。
何ていうかさ、知ったかぶってAIに強いですよってアピールしたかったのかなって感じ。最近AIブームで目立ってるAI人材ってみんなこんな感じ。
数学に強い理系って経歴をこういうハッタリにしか利用できないのは悲しいよね。
AI理解の解像度がこの程度の人間がソフト作ってAIを全くわからない人間に「はいあなたみたいな文系でもAI使えますよ!」って売りつける構図なんだけど、
作る側も使う側も何も分かってなかったら成果出るわけないしすぐ飽きられそうなんだけど。
それともまだグーグルのAutoMLでも実現してない全自動で最適なニューラルネットを学習してくれるAIプラットフォームを自分でゼロから作る予定なのかな?
無限に複雑なDNNなら任意の関数を表現できるって話とどういう条件でDNNが他の方法よりうまく行くって話の違いが分かってない状態じゃ厳しそうだけど。
これもゴールドラッシュのときにツルハシを売る奴が一番儲けるってやつなのかな。
でもよく考えたらこの手のソフトって昔からあるよね。結局使いこなせずに「コンサルタント」とか雇って月単価いくら万円で常駐させてしまうのはいいほうで、たいてい飽きられる。
手を変え品を買え同じことの繰り返しってことか。なんだ。
まあデータサイエンティスト全部失業させたいってのは同意。こういうハッタリが増えればすぐAI幻滅期が来てブーム終わるし。
日本ではほぼ注目されていない言論の自由論争「GabによるMastodon参入問題」がついに本格化した。
Gabはこれまで北米のオルタナ右翼の巣窟と化し、ユダヤ教礼拝所襲撃の予告へ使われた結果、AppleやGoogleのプラットフォームやWebサーバー関連企業から締め出されるという問題を起こしていた。
「言論の自由」は尊いが、極右SNS「Gab」の存続は許されない
https://wired.jp/2018/11/02/gab-offline-free-speech-alt-right/
これらの締め出しによりGabはフォークすることが自由であるコピーレフトなAGPLライセンスで提供されるMastodonへ参入を表明するという施策を打ち出す。
それへ対してMastodon創始者のEugen Rochkoは不快感を示しMastodonコミュニティーとして声明を発表した。
Statement on Gab's fork of Mastodon
https://blog.joinmastodon.org/2019/07/statement-on-gabs-fork-of-mastodon/
しかしこのEugen Rochkoによる声明は一部に誤りがある。
Most servers in the fediverse are already blocking the Gab domains
分散SNSサーバーが形成するFediberseネットワークの殆どのサーバーはGabをブロックしていないのである。
そもそもGabがMastodonをフォークすることが判明した際、まずEugen RochkoはMastodon自体へGabをブロックする機能を追加しようとした。
しかし、これはAGPLライセンスの元で提供されている自由なMastodonには相応しくない判断としてMastodonコミュニティーはEugen Rochkoの提案を棄却した。
GabをブロックするかどうかはMastodonを含んだ各々の分散SNSサーバー管理者が判断すべきことであり、既にMastodonにはドメインブロックの仕組みがあるので、各々の分散SNSサーバー管理者の判断でGabをブロックすべきだと反論されてしまったのだ。
Eugen Rochkoはこの反論を渋々了承し、今度は「MastodonクライアントアプリへGabをブロックする仕組みを導入しよう」とMastodonクライアントアプリ製作者たちへ対して提案した。
これもまた前述したAGPLの兼ね合いの反論が起きたが、一部のMastodonクライアントアプリ製作者は協調しGabをドメインブロックした。
そして実際にMastodonフォークのGabがデプロイされていることを確認したEugen RochkoがMastodonコミュニティーとして出した声明が前述の「Statement on Gab's fork of Mastodon」である。
誤りがあると指摘した部分もそうであるが、Mastodonコミュニティー全体はこの声明に同意していない。
Eugen RochkoはGabを憎むあまりAGPLとしては踏み込みすぎた発言を繰り返しており、度々非難されているのだ。
各々で違うルールが運用されている分散SNSサーバーが形成するFediverseネットワークには統一したルールはなく、当然ながら統一した意思というのも存在しない。
コピーレフトなAGPLライセンスのMastodonをフォークしたGabはFediverseネットワークへ自由に参入することが認められているし、Fediverseネットワークで(現地法令に違反しない限りは)自由な発言も認められている。
Eugen RochkoがGabへ対して不快感を示すのは非常に理解できるが、Eugen RochkoがしようとするGabへの対策がMastodonを含んだ分散SNSの自由を脅かすものになってしまっているのが問題である。
MastodonとGabの問題は「自由を守るため自由を脅かす可能性がある」というリベラリズムにとって非常に興味深い現象に発展している。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
コミックDAYS…月額960円。講談社系の漫画雑誌13誌。直近の数号分は読める。
マガジンWALKER…月額500円。角川系を中心に他社もふくめて漫画雑誌数十誌と一般誌多数。今号と前号のみ読める。
ジャンプ…月額900円。週刊少年ジャンプと月刊のジャンプGIGA。定期購読開始後のバックナンバーはいつでも読める。
ヤンジャン…月額1300円。週刊ヤングジャンプのみ。過去一年分のバックナンバーのみ読める。
集英社は早急に「集英社の漫画雑誌ぜんぶ読める+バックナンバーは前号まで」で月額1980円のサービスを作れ。
そして角川は講談社に頭を下げてコミックDAYSのアプリUIをマガジンWALKERでも使わせてもらえ。
いったいいつになったら集英社講談社小学館秋田書店角川で合同の漫画雑誌定額プラットフォームができるんだろうな。永遠に無理か。