  |
はてなキーワード: NRIとは
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
給与がかなり厳しい故に人材の質も高くなく、あと人がとにかく多く、社屋が暗い
給与がかなり厳しいがどうもトップレベルマネジメントや管理職の品質がいいようで会社としての対応はしっかりしている印象
一方でワーカーは続々流出中とのこと
よく知りません
同社出身の人は鬼のようだったり目がすわっていたりという人が多く、恐ろしい環境だったのでは・・と推察
よく知りません
よく知りません
異様な落ち着きがある。公家でしょうか。儲かっているのかは謎
昔はつらそうというイメージ、今はニュースをはたりと聞かず。どんな会社になったんだろう
一人一人はしっかりしていて良い人なのだが組織がややこしすぎて働くのは大変そう
営業現場はいろいろあるようですが、同社系IT人材は優秀で動きの良い人が多い。やはり激しい環境でふるいにかけられているのでしょうか
A- 日本IBM、NTTコミュニケーションズ、アクセンチュア、野村総研(NRI)
B+ NEC、日本HP、新日鉄住金ソリューションズ(NSSOL)、日本総研(JRI)、大和総研(DIR)
B NTTコムウェア、伊藤忠テクノソリューションズ(CTC)、電通国際情報サービス(ISID)
B- 三菱UFJインフォメーションテクノロジー(MUIT)、みずほ情報総研(MHIR)、
C+ JSOL、農中情報システム、SCSK、日立システムズ(HISYS)、日立ソリューションズ(HISOL)
C NECソリューションイノベータ、ニッセイ情報テクノロジー、JR東日本情報システム(JEIS)、
C- オービック、TIS、オージス総研、富士通エフサス、シンプレクス、
D+ 三菱UFJトラストシステム、三菱総研DCS、兼松エレクトロニクス、都築電気、
D 損保ジャパン日本興亜システムズ、インフォコム、セゾン情報システムズ、日商エレクトロニクス、
コベルコシステム、IIJ、ネットワンシステムズ、パナソニックインフォメーションシステムズ、
菱化システム、JRシステム、富士通システムズイースト、東芝ソリューション、富士通FIP
D- ユニアデックス、NECネッツエスアイ、日立産業制御ソリューションズ、
三菱電機インフォメーションシステムズ、MS&ADシステムズ、NTTソフトウェア、
NTTアドバンステクノロジ、JFEシステムズ、テクマトリックス、三井情報、第一生命情報システム、
ソニーグローバルソリューションズ、ワークスアプリケーションズ
E+ 富士通システムズウエスト、富士通マーケティング、三菱電機インフォメーションネットワーク、
中央コンピュータシステム、ティージー情報ネットワーク、リンクレア、ジャストシステム
E NECフィールディング、NEC情報システムズ、富士通BSC、日本情報通信、
住友電工システムソリューション、JR西日本ITソリューションズ、
E- 富士通ネットワークソリューションズ、日立公共システム、NEC通信システム、
F+ 日立ソリューションズ・クリエイト、キヤノンソフトウェア、さくら情報システム、
トヨタコミュニケーションシステム、エクサ、アイネス、TKC、CAC、CEC、SRA
F クオリカ、NSD、DTS、さくらKCS、東邦システムサイエンス、菱友システムズ、
自分の下にいる人間がうまく仕事を回せていない時に、ただ嘆いたりディスったり、「仕事なんだからやれよ!」などと言うばかりか、品質を上げろだの、理想とされるべき論を語ってみたりして、ウザがられている人がいるらしい。
下にいる人間がうまく回せていないのに、現実に即した解決方法を提示できず、言いたいことを言ってるだけの状況てのは、ハサミを上手に使えなくてキーキー言ってるだけの残念な園児そのものだなあ。。
と思ったんだけど。
視点の高度をもう少し上げると、こういう系の人は自分自身が「できろ」と言われて「できた」タイプなんだろうけど、「人をうまく使うことをできろ」と言われてもそれは出来ない。そうしたスキルを養う教育プログラムが存在しなかった(あるいはあったけど機能しなかった)。て話でもあって、「できろ」が上流から下流に流れていくという、美しい川の流れのような風景ですね。
-----
追記
なんかそこそこ反応があってうれしいっすね。
ブコメの指摘にあったとおり、「できろ」は下記で読んで状況を端的に表す良い言葉だなと思って使わせてもらいました。
http://itpro.nikkeibp.co.jp/atcl/column/15/060800143/091000013/
この記事が面白いのは、優秀な人間を採用してたっかい給料払って、「できろと言われてできるのが俺たちエナールアイィィィィィーーー!ミライソーハツゥゥゥゥーーー!!ヴォーーー!!!(デス声)」みたいなイメージ(違ったらゴメン)の組織であるNRIの人が書いたってところだと思うんだよね。
ブコメにもあった通り、「できろ」が最後に行きつくのは末端で、末端層はそれに応えるか死ぬかしかないのが現実だろうと思う。最上流層がこの問題を改善しようと思わない限りどうにもならないわけだけど、上流層は「できろ」という便利な手駒を捨てたくないだろうなあと思う。
誤解の無いように言っておくと、このエントリは件の「できろ」の人だけをディスっているわけではないっすよ(最初はディスってやろうと思って書き始めたけど)。彼は「できろ」の加害者であると同時に被害者でもあるんだよなあ。というところをフォーカスしたかったわけです。
タイトルを「バカもハサミも」にしたのは、"使う側の責任"というニュアンスが強まるかなと思ったから。あんまそれっぽくならなかったみたいで日本語難しいれす。
自分もよくミスリーディングなネタ建てることあるので、半分自戒も込めて。
http://japan.cnet.com/news/business/story/0,3800104746,20419009,00.htm
「首都圏は電子マネー保有率がほぼ100%--地方は「WAON」がシェア拡大中」
出だし
「首都圏に住む人の電子マネー保有率が98.6%(前回調査時は82.8%)とほぼ100%に達したことが、
野村総合研究所(NRI)の調査で分かった。NRIが8月26日に発表した。
首都圏を除く地域でも、札幌市で75.0%(同61.4%)、東海で65.7%(同42.9%)、
近畿で77.8%(同56.5%)、福岡県で68.3%(同51.8%)といずれも6割を超えたという。」
これだけ見れば、最初の方しか読まない人、タイトルだけしか見ない人は、
「ついに電子マネー皆所有時代到来か!!」と誤解するだろう。
しかし、小生は未だに所有していない自分の親などを見ているので、
「んなわけないだろう」と疑念の念を持って読み進むと、
最後の方に
「調査は6月18~22日、北海道(札幌市のみ)、首都圏(東京都、神奈川県、千葉県、埼玉県)、
東海(愛県知、三重県、岐阜県)、近畿(大阪府、京都府、兵庫県、奈良県)、
福岡県の18歳以上の男女2250人を対象にネットリサーチサービス「TrueNavi」をもとに実施。」
とある。
要は母集団が「ネットアンケートに協力するような層、ネットや新サービスリテラシーの高い人」
なのであり、「相当にバイアスが掛かった調査」である、と言わざるを得ない。
ネットアクセスが少ない高齢者、この層は通勤ニーズも少ないので、
高齢者も含めた全世代平均では、保有率は押し下がるはずである。
この調査で確実に導ける「結論」は、
「首都圏では交通系カードが優勢、地方では流通系カードが優勢」ということ「だけ」であり、
「普及率」については、全く信憑性のない調査、と言わざるを得ない。
自分の周囲を観察した限りでは、「せいぜい所有率7割」といったところではないか?
野村総研が「保有率100%」というリリースをしたのか、あるいはCNETがそのような
タイトルを付けたのか知らないが、仮に野村総研が「保有率100%」というタイトルを
付けたのだとすれば、その真意を疑ってしまう。
いやすくも日本有数の調査機関が、「母集団のバイアス」という統計学の基礎のようなことを
知らなかったとは思えない。
穿った見方をすれば、「電子マネーが皆所有段階に達しましたよ」と発表することによって、
電子マネー関係各社の株価の上昇を狙う(つまり親会社野村證券の援護射撃)という
「意図」が隠されているのではないか、とすら感じてしまう。
俺だけじゃなく社員全員な。
これからは社長ひとりでやっていくってさ。
それなりに求人を紹介してもらっている。
しかし、応募しても書類選考すら通らない。
面接まで行けたのは1ヶ月で1社だけ。
(そこは最終で落ちた。)
前々職は上場企業、国立理系卒(旧帝じゃないけど)、高度持ち。リーダー経験もある。
年齢的には厳しいかもしれんが、スペック的にはそれほど問題ないと思っていた。
データやNRIは無理でも中堅どころであれば書類選考くらい通ると思っていた。
正直、認識が甘かった。
また、ブラックに身を落とすことになるのか。
もう少し安心できる仕事に就きたい。
71 フジTV JAL/ANA(パイロット) モルガンスタンレー BCG
70日テレ講談社野村證券(IB/リサーチ)MRINRI(コンサル)メリルリンチJPモルガン
69 TBS 三菱商事小学館三井不動産三菱地所DIR(リサーチ)
68 電通 テレ朝 朝日新聞集英社JBICDPKDBJ三井物産リーマンUBS 日興citi
67 JAICA テレ東博報堂読売新聞共同通信準キーJR東海日本郵船みずほ(GCF/証券)東証アクセンチュア(戦)P&G(マーケ)
66 東電 NHK 住友商事時事通信毎日新聞新日鐵ANAソニー旭硝子 新日石農中味の素
65 JAL 本田技研商船三井任天堂東急不関電東京ガス新潮社産経麒麟麦酒松下電器信越ソニーMEドコモ富士フイルム
64 JETRO 東京建物伊藤忠JASRAC地方電力JR東大ガス住友不三菱重工旭化成サントリーJFE大和SMBC東京海上
63P&G(非マーケ)三菱化学丸紅シェルオラクル三菱UFJ信託新生銀(IB) 東宝JRA日本IBMシャープキヤノン日産 DI
62 JR西メトロ川崎重工アサヒ信金中金日本生命松竹NTTデータリクルート日立富士ゼロリコー三井化学住友化学
61 森ビル ADK東芝マイクロソフト住友信託地方局IBCS日本HP NRI(SE)
60 住友金属神戸製鋼みずほ信託鹿島三菱電機豊田通商東レコニミノコマツニコン
59 NTTコム大成豊田織機資生堂マツダ住友電工オリンパス松下電工三菱東京UFJ
58 MS海上新政府系金融日東電工帝人三菱マテリアル住友3MNTT東西KDDI 清水
57 大林 竹中みずほ(OP)SMBC損保ジャ三菱倉庫政令市役所NECキーエンス
就活のときに参考にしたのだが、冷静に考えてみると、要は学生の作った人気投票。
これって社会人が見たらどう思うのだろう。。
【2008卒確定版(高学歴用民間版)】(金融/コンサル/商社/マスコミ/デベ/海運/メーカー/インフラ/その他)
73 GS McK
72 MS ML Fidelity BCG Bain JAL/ANA(パイロット)フジテレビ
71 日銀 UBS DB JP LB BAH AT.Kearney RB AC(戦) Deloitte/TC NRI(コンサル) 日本テレビ
70 野村證券(IB/FE/リサーチ) Barclays 日興citi 野村AM ADL Monitor MRI P&G(マーケ/ファイナンス)
--------------------------------------------------------------------------------------------------------
69 DBJ Monex 朝日新聞 集英社 電通 テレ朝 小学館 講談社
68 citibank(法人) みずほ(GCF) JBIC 日経新聞 読売新聞 TBS テレ東 三菱地所 三井不動産 日本郵船 商船三井 新日石 JR東海
67 東証 松井証券 三菱商事 準キー 博報堂 旭硝子 任天堂 新日鐵 JFE 東電 関電
66 みずほ(IB/FT) 三菱東京UFJ(戦財・国金・FT) 三井物産 NHK 共同通信 川崎汽船 トヨタ 本田技研 ソニー 信越 味の素 中電 東北電 九電 JR東 昭和シェル 東ガス JRA JICA JETRO
65 三菱東京UFJ(IB) 時事通信 東京建物 東急不 キリン 日産 キヤノン 三菱化学 住友化学 松下電器 花王 富士フイルム 北電
--------------------------------------------------------------------------------------------------------
64 農中 新生銀(IB) 住友商事 伊藤忠 毎日新聞 産経新聞 サントリー 三菱重工 旭化成 三井化学 デンソー 住友電工 住友金属 JR西 大ガス
63 大和SMBC 東京海上 三菱UFJ信託 ADK 住友不 野村不 住友3M ブリヂストン アサヒ 富士ゼロ 日立(BM) 出光 中国電 四国電 北陸電 JASRAC NRI(SE)
62 日本生命 みずほ信託 丸紅 地方新聞 森トラスト 三菱倉庫 川崎重工 神戸製鋼 東芝 資生堂 王子/日本製紙 東レ JT 鹿島 リコー 日本IBM アクセンチュア(非戦) Oracle NTTデータ
61 JA共済 三菱東京UFJ 日本政金公庫 住友信託 MS海上 リクルート 双日 三菱電機 日清製粉 J&J 日本リバ 日本hp NTTコミュ 日立(SE)
60 SMBC みずほ(OP) 野村證券(OP) 損保ジャパン 中央三井信託 第一生命 豊田通商 地方局 森ビル 住友倉庫 ヤマハ発動機 帝人 日清食品 明治製菓 シャープ NEC 富士通 大成 清水 DNP NTT東西
