  |
はてなキーワード: SPAとは
はてブのホットエントリ(総合)で月内に数多く[あとで読む]タグを集めたエントリ
202あとで/2672users ブログ: 「平常に戻る」ことはない - イギリスNESTA(科学技術芸術国家基金)より | okuranagaimo.blogspot.com
144あとで/741users 電子情報学特論:Chromiumのアーキテクチャを解き明かす - Google スライド
142あとで/2292users 0403「NY感染体験記(未確定)」|qanta|note
132あとで/1569users イラスト図解! これが新型コロナウイルス(SARS-CoV-2)だ|ぬまがさワタリ|note
124あとで/1229users [PDF]COVID-19への対策の概念 | 東北大学大学院医学系研究科・押谷仁
116あとで/578users API 設計ガイド | Cloud API | Google Cloud
116あとで/1677users 緊急事態宣言から3週間 流行状況はどう変わったか(忽那賢志) - 個人 - Yahoo!ニュース
114あとで/911users 米ジャズプレーヤーが解き明かす“J-POP”の正体、音楽的アイデンティティ(KAI-YOU Premium)
114あとで/609users Google Cloud Platform のトレーニングコース、ハンズオンを 1 か月間無料で提供 | Google Cloud Blog
111あとで/506users ドキュメント作成スキル向上を目指す人向けおすすめ記事まとめ - Qiita
106あとで/970users 月例マグコミマンガ大賞2020 - マッグガーデン / 2月期 入選「賢者の教室」朝野茶柱 | MAGCOMI
104あとで/668users 論文の読み方 / How to survey - Speaker Deck
103あとで/617users SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita
102あとで/452users Git / GitHub を使用したチーム開発時のガイドラインを制定しました | Developers.IO
102あとで/1032users 「日本人は幻想を抱く」新型コロナと闘うウイルス学者の『情熱大陸』のドキュメントがすごい!(追記あり)(水島宏明) - 個人 - Yahoo!ニュース
100あとで/549users Mr. ベイエリア on Twitter: "自分は機械学習を学びたい全ての人類に(CourseraのAndrew Ngのコースをやった後に)Andrew NgのStanfordのCS229の講義を見ることをオススメしてるんですけど、その講義の2018年度バージョンが公開され… https://t.co/OUokFft3ea"
97あとで/600users 自宅で学ぼう!AWS 初学者向けの勉強方法 6ステップ! | Amazon Web Services ブログ
96あとで/435users 文字コード再入門 ─ Unicodeでのサロゲートペア、結合文字、正規化、書記素クラスタを理解しよう! - エンジニアHub|若手Webエンジニアのキャリアを考える!
95あとで/406users “アカウント作成後すぐやるセキュリティ対策” 編を公開しました!- Monthly AWS Hands-on for Beginners 2020年4月号 | Amazon Web Services ブログ
94あとで/538users 大幅にリニューアルされた Next.js のチュートリアルをどこよりも早く全編和訳しました - Qiita
94あとで/1004users 「一生役に立つ」人に質問するときに覚えておきたい…とある大学の授業で配られた『質問の仕方』のスライド - Togetter
93あとで/1447users ヨーロッパでコロナに感染して入院した話 - にゃんぶろ
93あとで/782users これからは「一番最初に思い出してもらえるブランド」しか生き残れない|池田紀行@トライバル|note
92あとで/2071users 一人暮らしで新型コロナウイルスにかかった話|RO|note
88あとで/794users 見ずして死ねない日本の伝統建築10選
87あとで/1317users リモートワークが 超快適になる製品9選 〜仕事に本気なあなたに〜|村上僚|note
86あとで/425users 「AIをどう習得したのか教えて」と大募集し、技術者から集まった記事49本を紹介 - 週末スペシャル:日経クロステック Active
86あとで/809users API 設計: gRPC、OpenAPI、REST の概要と、それらを使用するタイミングを理解する | Google Cloud Blog
86あとで/778users Gitでよく使用するコマンドをGIFアニメで解説 | コリス
85あとで/395users TypeScript 練習問題集 · GitHub
85あとで/2211users コロナの影響でスーパーで買うカツオの刺身が美味すぎる。|すずきまこと|note
もう数ヶ月前から、なんのきっかけだったかも忘れたがTwitterで某氏をフォローしていた。
そのうちに温泉+貸切+マッサージ受け放題のスパが都内某所にできるツイートが流れてきた。
温泉施設がいつでも使える上に、貸し切りにでき、SPAの利用とマッサージなどが受け放題で
高級タオル、シャンパンも用意されていると言う。これはよさそう。そう思い、楽しみにしていた。
思ったより安い、というのが正直な感想であった。
会員は選考らしい。
さて、LINEで募集が始まった。登録フローがわかりにくいが、まず見学をしてから登録をするらしい。
インターフォンを押し、中に招き入れられ、温泉についての説明を受けるが、やりとりがちぐはぐで、違和感を覚える。
スパの成分や効能についてはオーナさんが語ってくれるものの、プラン内容についての詳細がわからないのだ。
自分は普段ホテルのSPAを利用しているが、比べると対応がぎこちなく一抹の不安を覚える。
こちらはお湯に浸かるタイプの温泉ではなくミストサウナのような施設。
サウナが苦手な自分でも、苦痛なく入ることができ、とても気持ちがよかった。
しかしこの施設、やはり清潔感と高級感がない。カビのような匂いも若干する(これは温泉の成分のせいかもしれない)
化粧品も通販のもので(現在は別のブランドになった模様)個室のベッドも簡易的、触れるもの、目に入るものなどの備品は普通な印象を受けた。
別荘という言葉通り、友人の家のような感じだ。
見学が終わったあとは、少しお茶でもしながら、プランの施術内容や利用可能時間、支払い方法などの説明があるかと思っていると
玄関に送り出されその場で入会するか否か聞かれ、枠はあまりない、ということを強調される。
ということで、施術内容については口頭でのやりとりのみで、全容がよく分からず小さな違和感が積み重なりモヤモヤしたままこの場所を後にした。
パンフもないし、サイトにも詳細が書かれているわけではないので、実態がわからない、という印象。
オープン前のことだったので、準備が間に合ってなかったのかもしれない。
想像が膨らんで期待しすぎたのかもしれない。
現場の施術スタッフさんが一流の人が揃っているらしいので、その人たちが良い施設を作りあげてくれるかもしれない、
ただたまたまここを見学した方に会う機会があり、自分だけが受けた印象ではないとわかり、この文章を書いている。
このインフルエンサーさんはお金を受け取らず善意でやっていらっしゃるということだが、
もし本当に「施設も申し分ない」と思ってらっしゃるなら名前にも傷がついてしまうと思う。
少なくともいつでも使える訳ではないし、上がった後に寛ぎたいラウンジは共用部分にあるし、別料金でもいいのに飲み物の提供はなさそうだし
ということについてツッコミがあったので。
まず私は「多いらしい」と言っています。これは伝聞の用法ですよね。なぜなら私は研究者じゃないしこの件を深追いしてもいないからです。だからそこツッコまれてもなーなんですが。確かに「少なくない」のほうが適切な言葉だったかもしれませんが、そのへんは見逃してくださいよとしか。
でもやはり肌感覚としては多くて。こちら https://b.hatena.ne.jp/entry/s/anond.hatelabo.jp/20200211210139 を読んで少ないって思います? 思ったよりも多いと思うんですが。
私のブコメを女性叩きだと思ってる人は当然動画を見てないと思いますが、ここでの「女湯盗撮」って「のぞき」じゃないんですよ。実際に女湯で撮影されてるもののことなんですよ。これの何が怖いって、固定カメラじゃないことと、老女や幼女も映ってることなんですよね。「盗撮風」だったらそれは無理でしょ。もちろん、全て18歳以上だったりCGだったりしたら「あぁすべて仕込みだったのね」で安心ですが(局部修正忘れてるぞ)。
とにかく、同性による同性盗撮はあるということを認識したほうがいいと思いますよ。
男が悪い女が悪いじゃなく、加害者が悪いんですから。盗撮、絶対ダメ。
あ、すみませんもう一つ、こちら https://b.hatena.ne.jp/entry?url=https%3A%2F%2Fb.hatena.ne.jp%2Fentry%2F4681359439260070114%2Fcomment%2Fi2i
id:kincity 実例は2008年の一件、他は「性犯罪業界に詳しい雑誌記者A氏(31歳・男性)」「興信所所長(匿名)」の語りvia SPAでソースと言われましても…女装してまで女性更衣室に入り込む・教師がお縄になる数遥かに多いですよね。
モバイルアプリの実装と言えば主力はKotlin、Swift(Objective-C)だけど、簡単な作りであればcordovaをベースにフロントエンド開発ライクに進められる。
そもそものライブラリ選定には関わっていなかったものの、便利と思って使った結果後悔した思い出のお話。
Angular, Vueで実装していたけどレンダリング系に属するイベント盛りだくさんの場合、
結果的にネイティブ実装したほうが楽だしレンダリングの面で有利。
そもそもcordovaだからと言ってネイティブの知識がいらないわけじゃない。
標準サポートしているプラグイン群でできることは限られてくるし、そのまま突き進むならネイティブ実装の知識は必要になる。
これは当たり前だけど…
JSのパッケージングだったりCSSビルドが組めないとなると逆にコスト高。
そもそもNode.jsのビルドを根本的に理解してない奴がプロジェクトを作ったせいで
JSのパッケージビルドもされない、jQueryを突っ込まれるなどひと悶着あった。
3年前くらいだったけど既にTypeScriptも出てたし、何故そうしなかったのか理解できない。
結果ロードが激重になった。そりゃそうだ、minifiedされてないのだから。
用法用量を正しく守って使わないと、後で面倒になる好例だった。
大概は専用プラットフォーム上でビルドしていくがこれがくせ者。
ブラウザIDE(という名のただのテキストエディタ)が使えるけどそもそも構成管理できない。
ローカルビルドと乖離するし、ブランチすら切れないのだから本人以外は触れないシロモノになってくる。
別端末でビルドしようとすると同名の新しいプロジェクトが作成される。
ここまでくるともう触りたくなくなる。ただ、触らないわけにはいかないので何とか整合が取れる状況にした。
さらに言えば、ビルドが終わってステータスが見れるが、内訳が見れるのはそのタイミングだけ。
多分、海外で公開したプラットフォームをそのまま持ってきてるんだと推測しているが流石にこれは悪意しか感じない。
ただのCLIをバックグラウンドで実行するだけのGUIラッパーと化している。
かといってlintを掛けてくれるわけでも無し。
個人的に要らないし今後は使わない。
突き当たったのはWebSocketを使うシーンが出てきたとき。
ライブラリで何とかする方向で進めたかったけどそもそもwebpackビルドにすら対応していなかった。
件のAngularベースの場合はもっとひどくてクソラッパーを作りやがったせいで依存度が激高になった。
ちなみにネイティブはそれぞれにサポートするライブラリが出ていて、最新バージョンに向けてきちんとメンテナンスされている。
根本的にiOS側の実装でレスポンシブ的なレイアウトが作りにくい現状を鑑みて、
WEBベースで新商品などの通知をしたい、残りは情報の閲覧のみでSPA構成的なシロモノで作りたい。
こんな需要には使ってもいいんじゃないかと思う。相当なレアケースだけれども。
いいところは確かにあって、CSSでデザインの調整が効くところは大いに評価できる。
これがまたネイティブ実装だと面倒。特にiOS。お前はダメだ。
結局進めていくとネイティブ実装の知識を求められるのだから、ネイティブで実装したほうが良くね?と言ったところ。
ユースケース的に超単純要件でアプリを作りたい、かつ、ユーザに何かpush通知的なやつを入れたいって場合は使ってもいい気がする。
恵比寿の食べログ3.5のラーメン屋「すずらん」、ボッタクリで出ようとすると店員に恫喝されるらしい
http://blog.livedoor.jp/dqnplus/archives/1995309.html
客・店、両方クソ。
こんな言動する奴と一緒にメシを食いたくないし、こういう対応する店員が居る店には二度と行かない。
●客側
ネットの評判だけで訪れているっぽいけど、検索したらすぐに同店舗を取材したweb記事や同店で食事をしたblog記事などが出てきたけどソレは全く見なかった?
・秋元康が絶賛する3500円のラーメンを食べて、思い知らされた10のこと(2019.05.16) | 女子SPA! https://joshi-spa.jp/921500
・恵比寿のリッチで美味しいラーメン屋「すずらん」に行ってみた / その味は本物なのか (2017年1月10日) - エキサイトニュース https://www.excite.co.jp/news/article/TriviaNews_5560843/
・中華そば すずらん@恵比寿 「ラーメン店のあり方は?」 - 楽しく飲んで食べましょう(タマニハシリマショウ)(2019年07月30日) http://tanoshikunonde.blog.jp/archives/53640685.html
あと、お店を出るときも、店員が喧嘩腰の話し方をしてきても、それを「売り言葉に買い言葉」で返すのは得策じゃない、と思う。
●店側
雑誌記事やTV媒体の取材を数件受けているからこそ、店側の事情をしらない人(いわゆる「一見さん」)が来店しても、その辺の事情を店員さんが簡潔に説明する事は出来ないの?
・すずらん 恵比寿店(地図/写真/恵比寿/ラーメン) - ぐるなび https://r.gnavi.co.jp/759vjjzj0000/
<「ぶらぶらサタデー」フジテレビ 2019/07/13 放送、「ZIP!」日本テレビ 2016/11/09 放送>
それと、店員が客に対して「何がナンでもへりくだれ」とは言わないけど、一般的な店員と客の話し方ってモンがあるでしょ!と思う。
二次元が消えて実写系が残ったのをオタク差別だと言い出してるのがいるけど、
単にそっちの方が売れるからってだけじゃねーの?
今時コンビニでエロ本買うのはネットに疎い高齢者が主、って話を考えたら
二次元の方が売れなさそうだし。
んでうちの近くのコンビニ見直してみたけど、元増田が言うような状況は確認できず。
一軒だけ、ローレンスってのだけ置いてる所はあったけど
そこ規制前は棚一つが全部エロ本だった所だから激減してるのは事実で
とても「一大コーナーが出来ている」なんて状況ではなかった。
ってかそれ一種類だけなのでよく見ないと分からなかった(周りはSPAとかの男性向け週刊誌)。
(ついでに棚が一つ減ってプリペイドカード置き場になっていた。
「雑誌よりカードの方が売れて儲かるからこっちの取り扱いを増やしたがっている」って話も事実なんだろうな)
そうじゃない地域に住んでる人からしたら「普通にエロ本無くなるor激減して良かったね」って話なだけじゃないの?
少なくとも自分にとってはそうだったから、現状に満足していて何も言うべき事は無かったんだけど。
(んで改めてよく見てもその通りだったんだけど)
その棚一つ全部エロ本なコンビニなんか、以前はエロ本コーナーの真向かいに子供向け駄菓子コーナー設置してて
流石にそれはどうなのかと思ってたら駄菓子コーナー別の場所に移されてたのも知ってたけどな。
年収100万円台の衝撃。トランクルーム1畳半に住む40代に聞いた(週刊SPA!) - Yahoo!ニュース
こんなんトランクルーム知らない人間が書いた創作記事やろ、と怒っておられます。
・人が入って室温35度で済むかいや。
トランクルームということは屋内型だとは思うが
それで室温が35度になるということは温度管理が逆にされているということ。
そういうトランクルームには必ずカメラがある。そんなことも知らんのか。
・逆に、郊外の露地置きのコンテナなら35度で済むわけない。一晩いたら死ぬ。
取材するやつは、夏場に20フィートのコンテナ一回荷下ろしやってみろや。
そういうことをせずにネットカフェと同じ感覚で創作したやろどうせ。
だが、こういう状態ということは、そのトランクルームやってるやつもまともじゃない。
空きのあるルームの空調を変えてカメラも切ってなんてやってるところがあったらまずそっちが問題。
本当に貧困な奴はこのトランクルーム止まるよりドヤ外の安宿の方が安い。
・貧困アピールにキャッチなーネタとして思いついたんだろうけれど
まともなトランクルーム会社からしたらとんでもない風評被害だし
いくら低俗な雑誌としてみなされていて何かいても許されるような無敵ポジションの雑誌だからといってふざけてんじゃねえぞ。
(ブログ主注:割と男女問題とかで何度か謝罪させられてるので、無敵ポジションというのは彼の偏見)
とのことです。 私は知識がないので、そのまんま記述させていただきます。
めっちゃ綺麗🤩床のカーペットとかゴミ落ちてないしシミもない!!すごい!掃除機かけてるのかな!さっき運んできたのかな!田舎の昼間からお酒飲んでふらふらしてるおじいちゃんの家とかもっとえぐいけど幸せそーやけどw— 𝕊𝔸𝕄𝕆𝔸'𝕤 (@seaseiko) September 3, 2019
こっそり住んでるのに、実際にトランク生活している場所を撮らせてくれるとは思えない。編集部がトランク借りて撮影した可能性はあるけど、話がリアルなので、実際そういう人に取材した再現かなーと思います。— セルピルム (@bu26RsT7hHhJjPR) September 3, 2019
少なくとも、かなりの程度に創作や脚色が混じっている可能性は高い、と。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
普段はWebサイトやバナーのデザイン、HTML/CSS/JSでのコーディングを中心に受託していている。Wordpressのテーマ制作などもやっているので、PHPも少しはかじっている。
出産が迫り、4月から徐々に受注量を減らして、5月からは休業に入る予定なので、この期に折角だから今までなかなか出来なかったJSフレームワークの勉強に本腰を入れて取り組みたいと思っているのだけれど、一体どれを勉強するべきなのか悩んでいるのでアドバイスをください。
単純に興味があるというのもあるけれど、出産で多少のブランクができるし、復帰後も仕事にかけられる時間が減るので、今のうちにスキルアップしてより単価の高い仕事を取れるようにしたい、というのが一番の動機。
自分でいうのも何だが、デザイン力があまり高くないので、Webデザイナーとしてというよりはデザインもできるコーダーという立場になることが多い。プログラマーからは一緒にやりやすいと言われるが、肝心のデザインに対してはなかなか良い評価をもらえていない。
これからのキャリアを考えた時、デザイン力を磨くのも大事ではあるが、もう少しフロントエンドエンジニア寄りの技術も身につけて、「デザインもできてフロントエンドの知識もあるコーダー」程度にはレベルアップしておきたい。
あと、将来的には受託ではなく自分でWebサービスやアプリを開発したりもしてみたいというのもある。
出産予定日まで2ヶ月ほどあるが、まだ仕事も途切れたわけではないので実質使える時間は1ヶ月半くらい。
早産にでもなればもっと短くなる可能性もあるので、1ヶ月くらいで基本から学んで簡単なWebサイトがリリースできるところまでできるといい。
JavaScriptのスキルはjQueryで時が止まっているので、SPA?どうやったらいの?ってレベルである。ES2015はまあ理解しているが、TypeScriptは全く手付かず。
産後は小さい仕事を受けつつ過ごし、来年の4月に首尾よく保育園に入れれば、それから仕事に本格復帰したいと思っている。
それまでにフロントエンドのトレンドがどう変わっているかが気になる。
個人的にはAngularに一番心惹かれているけれど、正直一年後には存在感が薄れていそうだ。それにTypeScriptを先に学ばないといけないので1ヶ月で足りるだろうか?という不安もある。
そうなるとReactかVueのどちらかにしておいた方が良さそうだ。
ReactとVue、両方のさわりだけやってみた限りでは、Vueはデザイナーにとっても分かりやすく、学習コストも低そう。1ヶ月集中して取り組めば、簡単なサイトなら作れるだろう。今一番勢いがあるし、一年後にも役立ちそうだ。
でも、デザイナーとの協業において、エンジニアが苦労しそうなのはReactじゃないだろうか。Reactを理解したデザイナーがいれば重宝がられるのではないだろうか、という気持ちもある。
こんなにまとまった勉強時間がとれる機会はもうなかなかないだろうし、Reactに取り組んでみる価値はあるのではないだろうか。Reactを理解していればその後Vueを学ぶのもスムーズにいくのではないだろうか。
長々と書いてきたが、エンジニアの方にとって、どんなスキルを持っているデザイナーだと仕事を頼みたい!と思えるのか教えてほしい。
デザイナーの方で、フレームワークを学習したことのある人の話も聞いてみたいです。
アドバイスください!
どうしたらいいか?
一応情報系の学部を出てるのでプログラミングは出来なくもない。Vue.jsでSPA作ってFirebaseにデプロイしたりとか、GASで簡単な集計アプリ作ったりとか、Unityでスマホ用の子供向けガラガラおもちゃアプリを作ったりとか、知らない技術でもチュートリアルから一歩先くらいまでは1、2日で使えるようになる。
でも、それだけでエンジニアになれる気がしない。
だって、それらは本当にチュートリアルの一歩先でしかないから。
それに職歴。どれも1年前後で辞めててかつ空白も多いマイナス職歴ばかり。
でも、プログラミングとか出来るのに職歴問わずのパートタイマーをやる気にはなれず、なんとかしてエンジニアの世界に潜り込みたい。
どうしたらいいだろう?
初めてマレーシアにやってきたのだが、クアラルンプール(KL)めっちゃいい。ご飯がおいしいし、英語が通じるし、物価が安い。取り立てて道行く女の子がかわいいわけではないのだが、行きのマレーシア航空のキャビンアテンダントのお姉さんが凄くフェロモン系でいい感じだったのが心に残っており、せっかくKL来たんだし、風俗いっとくか!という気分になった。
相変わらず、情報はWebから得るしかない。KLには有名どころが何個かあるらしいが、潰れたり復活したりを繰り返してるらしい。その中でgenesis sauna spaに行くことにした。道中はGrabを使う。Uberのアジア版だけどめっちゃ便利だね、これ。アプリで簡単白タク配車。料金も登録してるクレジットから、自動。とりあえず、店の前までタクシーをつけてもらうのも設定しとくだけ。店と行っても銀行からエレベーターで上がって10階。
中に入ると受付があるんだが、スルーして中に入れと言われる。すると何か勢いのあるおばちゃんがladyか?と聞いてくる。はぁ、みたいな顔をしてると、とりあえず、バー的なとこにつれてかれる。
隣に場をしきってるおっさんがやってきたので、システムどうなってるの?と聞いたら、タイ、ベトナム、インドネシアは228(7000円くらい)、中国人は298(9000円弱くらい)リンギッドと言われる。何か言おうとする前に、タイ人にいい子いるよ、と言われ、待ってると確かにかわいく見える子が現れる。あ、その子でいいよ、と即断してしまったので、そのまま受付に戻って支払い。そして女の子と一緒に、下の階に。部屋は普通にキレイ。
この女の子、よく見たら結構年いってるなと、あとから気づく。まぁ仕方あるまいと、対応。しかし愛想はいいのでOK。何歳と聞いたら、永遠の18歳と帰ってくる(地雷)この前まで長野行ってたよー、めっちゃ寒かったー、とかひとまず、いろいろ話は返してくれるのでよかった。やっぱコミュニケーションできるのはよいね。タイ人英語できないイメージあったけど、さすがにマレーシアにきてる人には英語必要なんだね(この認識は後日覆される)、と思った。一緒にシャワー浴びて、うつ伏せでマッサージしてもらって、仰向けにされて、リッピングサービス。キスはNGだけど、babyキスだけね、と軽くしてもらえる。自分で攻めれないのはもどかしいのだが、そんなもんなんだろうなという感じ。騎乗、座、正常でフィニッシュ。イチャイチャ求めると少し物足りない感じ。もう1回戦いく?と聞かれたが、いやいいわー、と終わり。そのままGrabでホテル帰る。
2日後、ネットで中国人の方がサービスいいらしい、と聞き、よし!今度こそ!と再チャレンジに行った。
今度は女の子がずらっと並んでそこから選ぶ形式だった。よし、中国人選ぶぞ、と思ってたら、めっちゃかわいいベトナム人が!もう、全く、初志貫徹せず、じゃあ、あの、ベトナム人の子お願いいたします!と。
しかし、このベトナム人英語喋れないんだよ。全くコミュニケーションできない。そして、ありがちなんだけど、かわいい子はサービス悪い。キスだめはもちろん、胸さわるのもダメ。とりあえず、早く終わらす感がありあり。終わったあとも特に会話なく寝る。いや、かわいいんだけどね。最近はかわいさよりもどれだけイチャイチャできるかを求めてるんだな俺、と再認識させられた。そして、めっちゃチップを要求される。いや、そのサービスでよく言うなと。
関係無いけど、その後に入ったspaのタオル片付けてるおっさんからもチップ要求された。欧米じゃないんだから気持ち入らんとチップ渡す気にはなれんわ。
総じて飛田みたいな感覚かなーと思いました。とりあえず、やって終わりみたいな。安いのは安いけどね。
まあ終了自体は仕方ない。このゲームはゲームと言うには余りに大きな設計ミスを抱えすぎており、また、システム的にもかなり古くなっている。
だいぶ前からオンラインゲーム終了時にどうするか、という話はあるけど、あまり進展はない(ソシャゲ、ネトゲ等のサービス終了後のゲームの保存について考える、とか、米国でサービス終了オンラインゲームを著作権法例外とする動き―ESAは反対とか)。一つ根本的な問題として、本当にオンラインが重要なゲームはオフラインモードに余り意味がないのも大きい。
逆に、ゲームとしてのサービスが終わろうが俺には見たいエロシーンがあるんだよ!
anond:20190209083051 とかでも書かれていたけど、エロの質はいいし、ここにしかないものも多い。しかもそれは(ゲーム上で)自分が苦労して手に入れたものだ。勝手に閉じてほしくない。
……けど、運営コストを考えたらそうも言ってられないのはよく分かる。
自分入手した分のデータをダウンロードして、後は各人がローカルPCで再生すればいい。
必要な機能は大きく分けて、サーバからデータをダウンロードしてくる部分、それからデータ(カードやエロシーン)を閲覧するパートだ。
ちなみにこのゲームは初期に作られただけあって(?)、エロシーンに機能が少なく、BGV はおろか BGM も無い。オーバレイも1枚のみで、基本的に背景(シーン画像含む)と、テキストに 1:1 対応するボイスしかない。
これなら割とできそうな気がしたので保存・再生するソフトウェアを書いてみることにした。
https://aakeeper.appspot.com 驚くほどあっさりできてしまった。
でも、今はできた物自体の話はいい。それより作る過程で色々感動したのでその話をしたい。
今回使ったのはざっくり以下のもの
Quasar Framework も Node.js も Electron も使うのははじめて、他はちょっと触ったことあるけどそんな詳しくない。 ES もあまり好きでなかったので基本的には避けてきた。
Quasar Framework は、とにかく物凄くよく出来ていてびっくりした。今回 Electron モードしか使っていないけど、本来はこれで SPA/PWA/モバイル(Cordova) アプリケーションが作れるという凄まじい対応幅のプラットフォームになっている。着手時に 1.0beta の予告だけあるというタイミングの悪さ(数日後に出た)だったので、 0.17 系を使った。しかし、それでも十分すぎるほどよく出来ている。
ES は今でも嫌いな点は多いんだけど、今回 async/await を使って感動した。これは素晴らしい。他の言語にも欲しい。
CoffeeScript は趣味だけど、とにかく短く書ける点が素晴らしい。あれは終わったという人もいるが、記述量の少なさは js 系では他の追従を一切許していない。今回みたいな急いでいるケースでは、括弧の世話を焼いたり eslint おばさんと語り合う時間はない。CoffeeScript ならコンパイラが全部上手くやってくれる。
HTML5 ベースの GUI は今や chronium の各種アクセラレーションのおかげで、並のポータブル GUI ツールキットよりずっと高速に動作する。
また、Vue.js + pug は非常に記述量が小さくて目的の画面がすぐ作れ、カプセル化がしやすくコンポーネントの再利用も容易だ。
Babel/Webpack は正にバッドノウハウを煮詰めて固めた感じだが、こいつがバッドな部分を吸収してくれるおかげで開発者は正気を保てる。ただし追求しだすとSAN値が減る。
ユーザ側から見ると、Electron 製のアプリはメモリをやたら喰う、少しもっさりしている、配布バイナリが巨大になるという問題は確かにある。
しかし、そうだとしても何より、とてつもなく高速に作れて、各種プラットフォームで割とちゃんと動く。
自分は色々初めてだったので結局2週間分くらい掛かったけど、前提知識が揃っている人なら本当に数日でできたりするんじゃなかろうか。
つい数年前まで、クロスプラットフォームなアプリケーションの作成というのは本当に本当に大仕事だった。こんなに早く手軽に書ける事は無かったし、ユーザ側でもラインタイムのインストールが必要とか環境側のハードルも非常に高かった。
自分は今まで知らなかったけど、最早そういう時代は終わっていた。
もちろん過去に数多くのクロスプラットフォームフレームワークが登場しては消えていったのと同じく、Electron もいつかその仲間入りをするだろう。
でも確実に、びっくりするくらい状況は良くなっている。
興味があるけどまだ触ってないという人は、ぜひ試して感動を味わってもらいたい。
