「SaaS」を含む日記 RSS

はてなキーワード: SaaSとは

2020-08-31

うんこ上司時代クラウド!」有能ぼく「PaaSで構築ですか?SaaSみたいにサービスだけ利用ですか?」

うんこ上司クラウドっつったらクラウドだよ!BCPガー」

だめだこりゃ

2020-08-20

anond:20200820022916

元増田です

「その職場」って今の職場ですかね?

転職してまだ間がないんで、大した仕事はしてないですね

FirestoreとSaaSのWebhooksやAPIをCloud Functionsで繋いでSaaSバックアップDBを構築する、みたいなのを仕事にしてます

DBは割と扱い慣れてるので設計から俺1人でやってますよ、結構怖いですが

2020-08-16

ノーコードの次に流行りそうなモノを予想してみた

最近、ノーコード流行っていますね。誰でもコーディング不要Webサイトアプリが作れちゃう

中には、それで収益を上げている人もいるようです。

ただ、ガートナーのハイプ曲線で見ると、今ノーコード流行期だと思います

なので、これから反動期がやってきて「やっぱノーコードダメだ!」という時期がやってきます

なので、少し気が早いけど、ノーコードの次に流行りそうなモノを予想したいと思います

~ ノーコードの次に流行るのはクラウド開発環境

私はノーコードの次にクラウド開発環境流行ると思っています

今って殆ど場合ローカルターミナルVSCodeを立ち上げて開発しています。そ

れらを全部SaaS提供するサービス上で開発する流れがくるんじゃないかと思っています

私が思うに、開発環境って全然クラウドネイティブじゃないんですよね。

プログラミングをやるためには、ハードウェアちゃんとしたものを揃えないといけません。

少し前、メモリ16GB以下のPCだと人権がないというツイートがバズっていました、まだまだハードウェア依存している部分が多い感じです。アプリ開発だと、未だにPCスマホケーブル接続するか、同じネットワーク環境接続する必要ありますしね。

そこで、もし開発環境クラウド化してSaaSとして使えるようになれば、ハードウェア的な問題には悩まされず、家ではノートPC、移動中はスマホみたいな感じで開発できるようになる時代がくるかもしれません。

~ ノーコード解決したもの

https://speakerdeck.com/twada/understanding-the-spiral-of-technologies

こちらのスライドは、 Developers Summit 2018 でベストスピーカー賞を取った和田卓人さんのスライドです。

技術の変化は流行り廃りの振り子のように見えて、実は螺旋状に進化しているということが書いてあります

このスライドでは、集中と分散が例として上がっていますが、ノーコードにも同じことが言えます

実は、数年前にノーコードによく似たMDAという技術が登場したりしました。

MDAは、図を書くとコード自動生成されるツールです。

登場した当時は今のノーコードっぽい持ち上げられ方をしていて、エンジニア不要論がでたりしてました。

しかし、残念ながらMDAは開発の主流になることはありませんでした。

ツールが高いなど、いろいろ敷居が高かったことが原因だと思います

じゃあ、ノーコードMDAと何が一番違うのかというと、SaaSとして提供されていることだと思います

誰でも、そのサイトアクセスして、アカウントさえ作れば、開発をスタートできます。料金も無料から初められるものが多いです。この手軽さが、MDAにあったエンプラ感を解決し、今のノーコード流行を後押ししてるんじゃないかと思います

先程の技術進化螺旋理論で行けば、ノーコードで取り入れられたSaaS化の流れが、今のコーディング環境に取り入れられる未来想像やすいと思います

ネットに繋がりさえすれば、すぐにどの言語でも開発をスタートすることができるようになれば、多くの人にプログラミングの門を解放すると思います

~ 着々と進行しているクラウド開発環境下地

実は、クラウド開発環境の流れはすでに起こっています

先日、GitHubオンラインエディタとしてVSCodeベースエディタが使えるようになることを発表しました。

すでに、GitHubActionPagesなど、ビルド環境ホスティングサービスを展開しています

そこに、エディタも登場してきて、いよいよGitHubだけで全てが完結してきそうな流れがでてきました。

このように、クラウド開発環境は確実に登場しています

オンラインプログラミング教育サービスのPaizaやProgateもクラウドで開発環境が用意されブラウザアクセスするだけで、すぐに使えることを売りにしています

この流れで、toB向けの開発環境も、どんどんクラウド化していくんじゃ何でしょうか?

近い将来、GitHubアカウントさえ開設したら、アプリWebサービスの開発から公開まで行える時代がくるかもしれませんね。

~ノーコードはどうなるの?~

一旦冬の時代がくると思います

今のノーコードツールって、コーディング不要にしたかもしれないけど、設計力は求められるんですよね。

しろ、ノーコードアプリを作るほうが、実装サンプルが少ないぶん、普通プログラミング言語より、設計力求められるんじゃないでしょうか?

今どきは、どの言語でも少しググれば、やりたいことを実現する方法はでてきますしね。

なんというか、今のノーコードは、NewsPicks記事がでたあたりからバズワードなっちゃった気がします。

コーディング不要アプリが作れる!」という言葉だけ一人歩きして、プログラミング能力自体不要勘違いさせちゃってます

たぶん、もうちょっとしたら「コーディング不要」につられてやってきた大量の人が「やっぱダメじゃん」って言い始める時期が来ると思います

多くの人は、アプリWebサイトを作る設計力は持ち合わせていないと思うので...。

次にノーコード流行り始めるとしたら、設計も面倒見てくれるようなツールが登場するころだと思います

そのときに、ノーコードいう名前か、別の名前で呼ばれているかはわかりません。

~まとめ ~

というわけで、ノーコードの次はクラウド開発環境が来る!という予想でした。

もし、この予想を信じてくれる人は記事を「いいね」してくると嬉しいです。

最後に、ノーコード自体は、多くの人にアプリサービス開発の扉を開かせる大変素晴らしいツールだし、無料で始められるので、気になっている人は片っ端からやってみることをオススメします。

それでは。

2020-06-29

ダメスタートアップに入ってしまわないために

https://anond.hatelabo.jp/20200626025834

これを読んで、何社かベンチャースタートアップ経験した身としては「わかる」しか言えなかったこともあり、ダメなのを見抜く力じゃ無いけど、これ聞いておけば良かったなというものを思い出しながらちょろっと書いてみました。

ちなみに今はベンチャーではなく、そこそこ大きな会社で働いています

まず始めに

自分経験を振り返って書いてみました、なので実際には違うこともあれば、もっとこうだろ的な話もあると思います

当たり前なんだけど、こちらにも選ぶ権利があるので、転職面接内定語の条件交渉質問等で卑屈に鳴る必要はない。

コロナで落ち着かないことも多いけど、自分コロナが始まるぐらいか転職活動して決まったので、転職を考えている人は頑張って欲しい。

会社の売上セグメントを聞いてみる

自分経験からですが、SaaSの開発・提供とあわせてコンサルティング提供している会社もあります

昨今のSaaS隆盛もあり、面接の時にはやはり今後SaaSをどう成長させていくか、進化させていくかといった未来を語ることが多いです。

でもちょっと待って欲しい、それは確かに未来を語ってて素晴らしいのだけど、主力商品なのかどうかを確認して欲しい。

実際に自分経験だと、SaaSを開発・提供しているのは事実だけど、売上構成比の大半を占めるのはSaaSを併用したコンサルティングであり、実際にSaaSはほぼ使われていなかったというケースが何回かあった。

コンサルティングが悪いということではないけど、いわゆるSaaSベンダーちょっとしたコンサルカスタマーサクセス)を想定して入社したら、SaaSが使われていないとか、主にコンサルがメインだったとかだと、残念な転職になりかねない。

調達額に騙されてはいけない

上記の続き。

実際にそういう会社ベンチャースタートアップという環境立場もあり、売上数字を立てるのに必死SaaSの成長をおろそかにしがちだったりする。

例えば数億円の調達をしていても、そういう方向性を選んで経営しているという事実があるので、調達額にダマされてはいけない。

数億円調達しても、実際にはエンジニア採用する・開発系SaaS投資するというより、コンサル営業のために人を雇うなどしていることが多いからだ。

実際に現場メンバークラスと1対1またはえらい人抜きで話をさせてもらう

どんな転職でもそうだけど、これは絶対にした方が良い。

「実際のところどうなんですか?」という話をえらい人を交えてすると、どうしても本音が聞き出せないからだ。

メンバーと1対1なら必ず本音を引き出せるわけではないが、確度は上がると思う。

逆にそういった場を提供してくれない、依頼してもなんだかんだ理由を付けて断られる場合、その会社は赤信号に近い黄色信号だと思った方が良い。

ちゃんとした会社ほど、選考はお互いの目線合わせが大事だと認識している。

会社全体で役割分布を聞いておく

例えば20人ぐらいの会社で、エンジニア12名、ビジネスが3名、バックオフィスが2名、経営が3名という会社

例えば20人ぐらいの会社で、エンジニアが5名、ビジネス10名、バックオフィスが2名、 経営が3名という会社

どちらが良い悪いという話ではなく、社内のパワーバランス的な見方もあれば、何故そのような分布になっているのかというのが大事だと思っている。

後者場合エンジニアが大量退職して少ないのか、これからビジネス以上に増やしていくのか・・・

単純に経営側に理解がなくて必要最低限の機能開発を社内でおこない、不足は外注しているかエンジニア正社員不要なのか、などなど。

大事なのは分布だけではなく、なぜそのような構成になっているかだ。

こういう所も含めて真摯に回答してくれる会社であれば、ハズレを引く確率も低くなる。

まだまだたくさんありそうな気もしますが、ざざっと書いてみました。

ダメ会社ゼロイチで見抜くのは非常に難しいため、成功する確度を上げていくしかいかなと。

当たり外れが大きいのがベンチャースタートアップ界隈なので、それに疲れた従業員数もそこそこ多くて、ある程度年数の経過している会社に入るのが良いなと思います。(今の私です)

2020-05-23

https://twitter.com/auth0_jp

auth0というSaaS解雇された人が納得できないようで、twitterに状況を投稿していてとてもおもしろい。

「流石にあまりにも腹が立ったので理由を人事に問いただしたところ、「我々はセキュリティカンパニー情報流出は不満を持つ従業員が起こすことが多いため」と驚きの説明が、が、が。いきなり理不尽要求突きつけて来て、不満を持つ従業員産み出したのあなた達でしょう。。」

https://twitter.com/auth0_jp/status/1263992700736434176

metooみたいに社会を味方につけたいがためにtwitterへの投稿にしがみついているんだろうけど、社内事情リークしてしまう人を解雇したのは正解だったと思う。

セキュリティカンパニーが内部紛争を外に出すなよ。退会します。

2020-05-15

DX(Digital Transformation)って企業ITお金SIerからGAFAをはじめとしたクラウドサービスベンダー(SaaS,PaaS)に振り向けていこうよって一大ムーブメントなの?

それって単に食い物にされるのがSIerからクラウドベンダー変わっただけだろ

通産省も「2025年の壁」とか言い出して、今までのやり方はもうダメだ的なメッセージを出しているように受け取れるけど、クラウドサービスベンダーから金もらってんかね?

システムを作り込むな?

いやいや 自社のポカ避けや不良対策の粋を集めたものが十把一絡げのお仕着せのシステムで賄える訳ないでしょうよ

オートクチュールパーティーに行っていたのを、金かかるからパーティーファストファッションでいいじゃんってのと一緒だろ

あと流行りのNoCode、LowCodeのプラットフォームってどうなの?

安全装置のないクルマ粗製乱造されて街中を走り回るイメージしかないのだが

島根オリジンのヤツから派生したRoR(Ruby on Rails)がもてはやされた折も、導入されていくつか大きなシステムになってるが最近は導入当初のようにササッと開発してササッと使って成果を出しましょうってのとは程遠い存在になりつつあるのだが

なんなら作っている側が技術負債がとか訳のわからない事言いだして、技術負債っていったいなんだよ?

それってその当時のお前にそれを見通す能力がなかったのか、手抜きのやっつけ仕事したのかのどっちかだろ

2020-04-25

チケットの消化数で評価してる組織って少ない理由がわからない。

組織ごとに難易度補正をかけるとかしたら評価できるのに。

なんでみんなやってないんだろ

SaaSでもイントラでもどっちでも簡単に準備できるのにね。

2020-04-23

新型コロナ対策会社自分絶望した

いわゆるユーザーSIer(非東京)に勤めてもう30歳を過ぎた。SaaSクラウドも使えないレガシー過ぎる開発環境、はびこる紙の申請書、エクセルが最強のツールPMが唯一のキャリアパス、と絵に書いたようなSIerだ。

近頃は「働き方改革」の波に乗り在宅勤務制度を始めたがメモリ4GB、ログイン10分かかる遅いVPN、そしてそのVPNは本番環境に繋がらず協力会社とのネットワークも分断され満足にコミュニケーションが取れず使い物にならない。

 

一端のエンジニアとしてこの環境に疑問を持たなかったわけではない。できる範囲での環境改善に取り組み、それでももう無理と思い転職活動もした。いくつか内定もいただいたが、そこで分かったのは思いの外、現職の給与が良かったこと。決して高いわけではないし、外の世界での市場価値が低いということもあるけど、「結婚して子どもが生まれ自分にとって、業務量も給与も安定しているこの環境は悪くないのかもしれない......」と思ってしまった。

 

しかし今年に入って新型コロナウイルス社会問題となり、この会社対応自分判断の甘さに絶望している。

いまだかつてないほどリモートワークが注目されている中、ゴミのようや在宅勤務環境もこれを機会に変わると思っていた。たとえば本番環境に繋げられるようにするとか、SaaSファイル共有やコミュニケーションツールを使うとか。

それができなくても会社として納期の調整や手続きの省力化なりが施行されるものと思っていた。

 

でも、この会社環境はいまのところ一ミリも変わっていない。

在宅勤務最大の壁である顧客の本番環境に繋げない問題に対する役員たちの見解

案件ごとに顧客と調整、許可がでたらやってよい。無理ならマスク付けて三密を避けて頑張れ。」

だった。

 

そんなことできたらとっくにやっている。それをやるには客の管理部門と自社の管理部門にも交渉必要なんだよ。なんのためにあんたらは天下ってきた?コネを活かして親会社交渉にいくのがあんたらの仕事じゃないのか?

しかも現状の業務は協力会社無しでは回らないにも関わらず、在宅勤務ではその協力会社コミュニケーションが取れない問題も完全無視されている。

まあ役員様たちはそんなの関係ないですもんね。自分たちは在宅で安全なところからテレビ会議して「弊社はリモートワークに取り組みました」「感染症対策頑張りました」ってか?

 

 

そして世間接触を8割減らしましょうと話題になれば

環境は整えないけど出勤は減らせ、でも移行はスケジュール通りやれ。」「休める人は有給で休んで。」

なんだよそれ。100%在宅が難しいのは分かるよ。でも事業継続のためにまず考えるべきは出勤社と在宅の混合で仕事を進める環境作りやルール見直しであって、社員責任感に任せた現場主導の踏ん張りじゃないだろう。

 

もう絶望した。

IT社会貢献」「DXを推進」「最新技術習得」「圧倒的な生産性を目指す」

歴史的緊急事態に、IT企業を名乗りながら1ミリIT的な対応を取らず社員健康危険さらたこ会社に、今後何を言われても耳に入らないし頑張る気持ちにならない。

 

そしてそういう会社だと薄々気付きながらも事前に行動を起こせなかった自分にも深く失望している。なぜ自分は今、こんな会社にいるのだろう。何のために業務を頑張ってきたのだろう。

感染症収束しても、この会社で働いていくことは精神的な苦痛が大きすぎる。かといってこれからまともに転職できるのかは分からない。チャンスがあったとして、子育てがムチャクチャ大変な今は仕事最優先にはできない。この会社にすがるしかないのか。

 

目の前に大きな闇が広がっている。

2020-04-17

コロナ時代中小SI

中堅SIerでいわゆるSEをやっている。中小企業や、大企業があっても部門システム程度のシステム導入や保守サポート自分仕事だ。オーダーメイドであればJavaC#OracleMSSQLで開発するし、業務パッケージの導入支援なんかもする。規模が小さいか多重下請けみたいなのはほぼないが、PMだけとか仕様決めだけで、作成外注頼みにして数回そうって、社内の技術空洞化心配される普通SI業だ。

IT業界の端くれらしく在宅リモートワークになった。お客さんは休業するところもあるにはあるが、多くはそのままだったり、営業時間を縮小したり、総務経理なんかをリモートにしたり、工夫しながら営業を続けている。チャットメール電話はそれなりに入ってくる。

例えば給与管理なら4月で雇用保険徴収対象外になる人が出るけどどうすればいいの?みたいな季節モノから、自宅PCから会社PCにつないで/会社ノートを自宅において、あのシステム使える?とか、IT補助金出るみたいだけどPC10台調達できるか営業に伝えて、みたいなこの状況ならではの対応とか。出荷システムピッキングがうまく行かないとか、普通保守対応もたくさんある。

開発案件ストップや延期もちょいちょいあるけど、自宅から質問に答えたりリモートトラブルシュートしたり営業インフラ担当の手配をしたりなんのかんの忙しい。自分もお客さんも自社の営業インフラSEもみんな在宅だったりするし普段とは違って変な感じだ。

いろんな企業のいろんな部署のいろんな人が働いていてITソフトウェアに頼っているんだなとあらためて感じた。

Amazon楽天ヤフオクメルカリなんでもそうだが、今はみんながプラットフォーマーになりたがる。

商流を握れば手数料で儲けがスケールする。ITをコアにスケールする企業が生き残る。

でも、そこで流れる商品を作っているのはメーカーだし、調達して販売してるのは卸だし、在庫が置かれてるのは倉庫業だし、ものを運ぶのは運送会社だ。その他たくさんの業種。マケプレで僕らが買えるのはそうした企業があるからだ。

いろんな会社が、この状況下でも営業をしなけりゃ生活必需品が行き渡らない。

その大部分は中小企業で、ITコアコンピタンスじゃない。高年収フルスタックITエンジニアを何人も抱えて内製化できない。情シスが何人かしかいなかったり、総務のお兄さん一人なんてところもある。そんな企業日本だけで何十万とある

そういうところに頼られて、なんか問題解決して、支えていけるなら、喜ばれるんなら、SIerもそんなに悪くはないなと思ったりした。

会社の大先輩のおじいちゃんは、SAPが出てきたころにパッケージオーダーメイドなんてなくなると言われたけど、パッケージ導入や足りない部分の開発で結局食えたと言っていた。ならクラウド時代でもSaaSが主流になっても多分仕事は尽きないんだろうな。最悪自分がどっかの会社情シスに潜り込んで内製に回れるような技術は身につけておきたいけども。

ちょっと前はきらきらしたWeb業界に憧れてたんだけど、コロナちょっとだけ考えが変わったな。

2020-03-07

早く社内SEから抜け出したい

30歳でプログラミングを始めたギリアラサー

半年前にガテン系から社内SE転職したが、早くも辛い

社内SE必要なのはコミュ力とググラビティだけ、技術なんて必要ない

延々、SaaSの使い方が分からないとかモニタが映らないとかネットワークが繋がらないとかプリンタの出力がおかしいとかPC買ってとか「なにもしてないのにこわれました」的なゲリラタスク対応するだけの毎日

最近経営陣がガラッと変わって第二創業期、クラウド移行に積極的なのもあって多少骨のある仕事も増えてきてるけど、上述のゲリラタスク業務の大半を占めているのは変わらない

世の中、どんなに簡潔かつ丁寧な文章を書いても、読んでくれない層というのが一定存在する

そして上述のゲリラタスクというのはだいたいがその層から生み出されるので辛い、終わりがない

最近付き合いのあるITスタートアップが拾ってくれそうな感じなので早くそっちに行きたい

2020-02-11

マスコミは「新型コロナウィルス」って書くのをやめろ

「新型」ってなんだよ、「新型」って。

10年後に別のコロナウィルス大発生したらググれなくなるじゃないか

こういうところも含めてコンピューターリテラシーだとすると今のマスコミちょっと頭が足らないと思う。

SAASとかMAASみたいな名前が欲しいところだが、「2019年コロナウィルス」でも十分じゃないか

2020-01-16

anond:20200116152423

多分最終的にはSaaSアプリ也をおススメされるようになると思うで。

ソフトウェア開発ってのも結局グローバルスタンダード仕様が馴染んでないからそれに対応するためだけにあるようなもんで、グローバルスタンダード膾炙しちまえば後に残るのはソースコードじゃなくてサービスだけっていうな。

からプログラムを書くエンジニアって枠がシュリンクするのはガチだと思うてるで。

2019-12-24

その発想自体がどうかしてる

どこのサービスを真似してください

この巨大企業運営しているサービスなのでできますよね?

たまに来る依頼がこんな感じ。

頭に綿でも詰めてるんですかってくらいのリテラシの低さとビジネスモデルを提げて、自信満々でやってくる。

大体リソースさけませんで断り入れるけど往々にして巻き込まれる。でもってなんとか片付けてきた。

でもそろそろ気付いて欲しい。

IT技術魔法の銀弾じゃない。

ビジネスモデルがクソなら売れないし、金のかからないプロダクトなんて知れた機能しか使えない。

AI使うにしても使わなくてもできますが?と言うと売り文句として使いたいんだとか。

いくらまで運用費かけますか?の質問で20kと答えられた時の絶望感。

心の中でできねーよボケ!と思いつつ最善策を出す日々。

意外と知られてないのはSaaSに関しては見積もりが出しにくいこと。当然ながらフェイルオーバー対策するとそれなりの額はいくし、レンサバみたいな定額制じゃなくて従量制。それにその時点で目標PVを聞くと答えられないケースがほぼ。

大体この手の客はレンサバ費用間で掲示してくるのが常。で、バックエンドフロントエンド金額感が混ざってる。

そろそろ、経営層でそれを知らないのはご法度なりつつあるけど未だにそんな輩がいるってお話

そりゃ人も集まらないし二極化かが進みますわ。

2019-12-04

ヤバいやつに会った話

話は3週間前に遡る。

Fastgrowとかいサイト主催で、ベンチャー界隈で活躍しているビジネスパーソンを招いてパネルディスカッションをしてくれるイベントがあった。

テーマが「事業開発、BizDev組織のあり方」みたいな内容だったので、現業に通づるところもあるだろうと思い参加してみた。

イベント1部はラ○スル、シ○テル、キャ○ィというBtoBプラットフォーマーの3社のCxOと、それら企業のBizDev部門の長が話をしてくれて、期待通りの内容だった。

2部は軽食が出されてCxOと1対1で話が出来るとのことで、私はラクスルCOOと話すべく並んでいた。

その時、ヤツが後ろに並んでいた。

ヤツ(以後Aと呼ぶ)は、脱税徳井CMでお馴染み、某家計簿ルーツの経費精算のSaas企業に勤めていた。

その場は名刺交換をして当たり障りのない会話をしただけだった。

ラ○スルCOOと話した後、シ○テルのCEOとも話がしたかったので並んでた際、他の数名とも名刺交換をした。その中にBがいた。

Bは、特許簡単審査できる、的な内容でベンチャーを立ち上げていて、よくわかんねぇけど面白そうで、

特許という古い慣習が残っていそうな業界課題解決してくれるようなベンチャーだった。

グイグイ系でコミュニケーションを取ってくるので、ヤベェ奴なのかなと思ったが、話が面白かったのでその日は閉場するまでBと話し込んでいた。

翌日BからFacebook申請が来た。

面白そうな事業をやっているとはいえ、惰性で名刺交換をしていた中の1人だったので、3日くらい放置していたのだが、

他の通知処理をしてる際、うっかり承認すると、いきなりメセージが来た。

「せっかくああいう場で知り合ったし、今度飯でも食いながら話しようよ!」

積極的だなぁと思いつつ、まぁこういうイベントでは良くある、

ベンチャーとしてネットワーク作りたい系のやつか、もしくはリクルートの一環か、そんな程度に思った。

全然いいですよ!ぜひ!」

まぁ暇なときに飯奢ってもらうかと、適当に2日おきくらいでメッセージをやり取りして日程を決めたのだが、

祖母が亡くなって帰省しなければならなかったこともあり、リスケされ、ようやく飯を食いに行けたのが今日だった。

この間のメッセージも全力のタメ語で、おや?と思うところも多々あったが、初対面からグイグイ系だったBのキャラも相まって特に気にしていなかった。



待ち合わせは大崎

ほとんど降りたことの無い駅に降り、南改札前で待った。

18時45分。早い。

Bが来た。

お久しぶりです」

「お待たせ!飯行こっか!定食でいい?大戸屋行こっか!」

???

あー、ほんとに飯なのか、飲みじゃ無いのか、まぁそんな事もあるか、大戸屋とか久しぶりだなぁと、ゲートシティ大戸屋へ向かった。

事業調子はどうですか?この前の特許の話面白かったんで飯屋ついたらもっと教えてください!」

「え?なんのこと?俺マ○ーフォ○ードだよ」

???

不覚。Aだった。

かにマ○フォの人とも名刺交換した記憶が微かにある。ただ、マ○フォの人とはそんなに話してないぞ。

まぁしょうがいか、マ○フォも拡大路線からリクルーティングされる感じかなー、だりぃなぁー、と思っていたら大戸屋に着いた。

着いてからは飯を食いながら、私のいる広告業界の話や海外どこ行ったことあるかという話、サウナの話、と他愛の無い話をした。

着いてから30分、飯を食い終わるまであまり生産性の無い会話しかしてなかったので、こんな話で良いのかなと思っていた。

この人は何が目的で俺を飯に誘ったのだろう?

友達いないのかな? 変な人だし、いなさそうだな。。。

広告業界に憧れてる系の人なのかな?


ここで帰っても良かったのだが、どうせリクルーティングするつもりだろうと、

どんな感じでリクルーティングするのかも興味があったので、こちからキャリアの話を持ちかけてみた。

最近キャリアとか悩んでるんですよねぇ」

(大して悩んでないし、そもそも初対面の人にそんな話しない)

『カチッ』

Aのスイッチが入る音が聞こえた。

増田くんは人生で成し遂げたい目標とかある?キャリアを考えるなら目標から考えなきゃ」

特に無いですねぇ、強いて言うなら馬主ですかねぇ、JRA馬主資格を取るには最低でも年収1700万を2年続けなきゃいけないんで、まずはそこが目標っすかね….」

「それってサラリーマンじゃ無理だよね? もっと何がしたいとか、世界にこんなインパクトを与えたいとか、そういう目標は無いの?」

「まぁ馬主冗談っすけどねw 特に無いっすねーw」

Aのスイッチが更に入ったのを感じた。

自分人生の夢とか目標を言うとき冗談を言うのは良くないよ。

人生における目標をしっかり立てる、そこに向かってしっかりと計画を立てる、計画通りに行くために弛まぬ努力をする、それが大事なんだよ。」

何だこいつ、初対面なのにうぜぇ。怯んでいる間にAは続ける。

「なんとなく増田くんが変わりたいって思っているのはすごく感じる。

どこの業界でどんな仕事をしたいとか、転職したいとか、そういうのは無いの?」

「今の部署はすごく成長できる部署だと思っているので、あと2年位勉強して、その間に考える感じですかねー。

業界変えて同じく事業開発的なことをやるのもありかなーと考えてますね。」

旅行に行く時を考えてみてよ。JALに乗るかANAに乗るかを先に決めないよね?

まずどこに行くかを決めるのが重要だよね? それと同じでまずは自分人生で本当に成し遂げたいかを考えてみようよ。

一緒に考えてあげるからさ。」

「そ、そっすねー ^^」

何だこいつ、初対面なのにこんな説教たれてくるとかおかしいだろ、頭沸いてるだろ、

マ○フォ今後絶対使わねぇ、マネーツリーにする!とか考えてたらAの自分語りが始まった。

「俺も25歳のとき悩んでて。当時ヤ○ハに勤めてて浜松に居てさ。

その時ちょうど出張東京に来ることがあって、友達と飲んだんだけど。

その時、その友達がすごく面白い先輩がいるから是非一緒に飲もうっていうもんだから一緒に飲んだんだよね。

そしたらその先輩がすごくて。会社辞めて自分事業を3つもやっていて。

フリーコンサルやってたり、ベンチャーアドバイザーとして入ってたりしてるらしくて。その時その先輩にすごく感化されちゃってさ。」

へぇ。」

ダルかったのでスマホをいじり始めたが、構わずAは続ける。

「その時、その先輩と一緒に初めて自分人生目標を考えたんだよ。

そしたら人生が一気に開けた感じがしたんだよね。

そこから目標必要なことを一つづつこなしてる。

今3社目だけど、全部目標必要スキルを身につけるためにあえて在籍してるんだよね。」

「そ、そうですか。」

ピュアな子なのかな?

良いこと言ってるのは分かるし、正しいこと言っているとも思うが、初対面の人にする話では無いだろ。

わずAは続ける。

自分人生真剣になれる人は実はごく少ない。

目標を立てられる人もごく少ない。

目標を立てられても努力できる人はもっと少ない。

努力できても結果を出せる人は更に少ないんだよ、増田くん。」

「そ、そうですね。」

少なくともお前はまだ結果出してないし、サラリーマンだろうがww

増田くん本とか読むの?」

「読みますよ。マーケティングとかファイナスとかアカウンティングとか事業戦略とか仕事関係の類が多いっすね。」

若いなー。俺も25歳にその先輩と出会う前はエクセルとかパワポを使いこなす本ばっか読み漁ってたよ。」

エクセルパワポの本って読み漁るほど読む必要無いだろ…

わずAは続ける。

「その先輩から教えてもらった3冊の本で俺は人生が変わったんだよね。(無言)」

そこは勝手に喋ってくれよ…

こっちが聞くの待つんじゃねぇよ…

「なんの本ですか?」

「知りたい(‾◡◝)?」

(゚Д゚)ウゼェェェ

もはや苛立ちを隠せていなかったと思うが、

この3冊を聞いたら速攻帰ろうと心に誓い、相手をしてやる。

「知りたいです。」

しょうがないなぁ。1冊目は3冊の中でも本当に僕の人生の中で一番変えてくれた本なんだ。

金持ち父さん貧乏父さん』って知ってる?」

キタ━━━ヽ(∀゚ )人(゚∀゚)人( ゚∀)ノ━━━ !!!

キヨサキは悪くない。キヨサキは良いこと言ってる。

キヨサキに感化される量産型のお前が悪い。

キヨサキは人にすすめる本じゃない、たいていみんな一回はどこかで通ってるよ…

笑いをこらえるのに必死だった。が、なんとか持ちこたえて答える。

「ふっ。もちろん知ってますよ。キヨサキっすよね。大学時代に読みました。本棚のどっかにあると思いますわ。」

わずAは続ける。

「そうなんだ、読んだことあるなんてスゴイね。

まぁ日本で400万部くらい売れたらしいからね。読んでるよねー。

2冊目もすごくいい本なんだけど、『キャッシュフロークワドラント』って本。

お金が稼げるか稼げないか自由を得られるか得られないかは、職種によってすでに決まってるって内容なんだけど、

これを読んで俺はビジネスオーナーにならないとだめだな、って思ったんだよね。」

キャッシュフローマネジメント

キャッシュフロー経営的な、経営学の実務本かな?

自己啓発系の本かと思ったら、意外とまともな本出してきたな、ググるか。

キャッシュフロー、、、何でしたっけ?」

クワドラントだよ」

ポチポチポチ、、、、



Amazonキャッシュフロークワドラント 著:ロバート・キヨサキ


キタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!


2回目のキヨサキ卑怯ww

3冊出すのに2冊同じ著者は卑怯www

キヨサキ連発は卑怯だよwwww

もはや完全にツボに嵌り、笑いを必死に堪えていたので、3

冊目も熱心に話してくれていたが記憶に残っていない…




ここまでトータル1時間半、苦行のような晩飯が終わった。

見ず知らずの人に説教をされ、

ロバート・キヨサキの2頭出しという素晴らしい持ちネタ披露され、

帰り際にはウワサの先輩との3人でのメシも誘われるなど、

波乱万丈・奇々怪々・奇想天外・びっくり仰天なディナーが終わろうとしている。

ようやくレジにて、お会計

「別々で!」

\\\\٩(๑`^´๑)۶//// オゴレヤ ━━━━!!

以上、執筆時間2時間。。。


ここで皆さんに質問なのですが、彼は一体何者なんでしょうか?

①キヨサキに感化された量産型

②次回マルチ勧誘してくるヤバイやつ

 (もちろん会うつもりはまったくない)

③今後世界を救ってくれる神が作った救世主

==

②かなと思って「アムウェイ キヨサキ」でググったらめちゃヒットしました。マルチ安心した。

2019-11-06

実感としてSIerは無くならないと思う

日本ユーザーたちが自分たち業務システム作れるわけない。

SaaS業務が回るようにも出来やしない。

法律規制でもされない限り、非効率業務を続けて、非効率業務に合わせた業務システムが作られる。

2019-11-04

田舎企業に対するアプローチが悪すぎる

https://note.mu/iryo/n/nb8b7217879e3

https://note.mu/iryo/n/n7567a9e071a7

 

東京ITやってたけど、介護田舎に戻ってきてそれからずっと田舎で似たようなことしてるけど、この人圧倒的にやり方が悪い

都会に住んでいたか田舎民の圧倒的なITリテラシの低さと、「iPadOS更新も、音量調整ですら、地方企業にとっては”難しい”」なんて実情も、なんで今時FAXなの?!っていう葛藤

不満もぜーんぶわかる。わかるんだが。

 

それでイライラしてたら田舎仕事は勤まらない。

これに腹を立てる人は田舎仕事に向いてない。

筆者は田舎に住んでいて、都会に出てしまった時点で、頭が都会人になっちゃってるんだよ

 

田舎もんは確かに知識がない。そして知識がない自分をよくわかってて、恥ずかしいとも内心思ってる

そこに都会でばりばりやってました! って人がサポートして、リモートでよくやってるじゃん、とかこのくらい簡単ですよ! なんていったことが自分に出来なかった場合、彼らのプライドは傷つく

おまえがバカなだけだろ! と怒るのは分かる。だがちょっと待って欲しい。

そういう田舎者を「かわいい奴め」と思えないと、田舎者はすぐに見抜く。

「なんか都会から来たえらそうな若造が俺たちのいままでやってきたことをぼろぼろにしていく、俺たち頑張ってきたのにダメ出しする」となってしま

そういう自分たちの気持ち会社効率化よりも上回るし大事なので、筆者は文句言われるのだ。

 

再度言うけど、田舎者は、自分たちのITリテラシの低さは自覚している。

ちょっと恥ずかしいとも思ってる。

そこに「こういうのくらい簡単から使えますよね」と都会感覚で乗り込めば、使えない自分が嫌になり、「なんでこんなものもってきたんだよ!」と逆ギレする

面倒だよね、うん。面倒なんだよ。

でもそれって逆に義理人情が上回る世界でもあるので、信用さえ掴んでしまえば、なんでもほいほいと言うことを聞いてくれるようになる

リモート対応されるのって、義理人情世界では軽く見られてるように思われる。コストとかの理由から分かるけど田舎メソッドでは「どれだけ自分たちに親身になってくれるか=信頼」なので、顔も出してくれない奴は信用されない

コストとか、効率化とかはそれらの「義理人情」より下なのである

 

田舎はよくdisられるが、俺は田舎義理人情世界は嫌いじゃない

クズも多いが、そんなの都会でもいるし。

アホが多いんだよ。よく地方のじじばばが鑑定団に出て、借金の形にとか安い壺買わされてるじゃん。買うなよ、って思うけどそれが田舎なんだよ。

都会の場合は「こういうことすれば人件費も減り効率化されますよ!」を最優先にだして営業すればいいけど、田舎場合

「いやー忙しくて残業続きですか、わっかるわー、ちょっと僕とお話しさせてくださいよ、おお、お孫さんが今五つですか、かわいいですねえ。でもこのままのやりかただとお遊戯会も出られないじゃないですか、早く帰れるようにしましょうよ」

というノリを半年から一年はやる。

話してるだけでいい。なんもしなくていい。顔だけ出して帰るのを1年くらいやってると、「いつも来て貰って悪いからねえ」というノリになってくる。

ええ、そう。不効率ですよ、はい。金にならんよ、そりゃ。

から金だけ考えてるとこんな仕事は出来ないよ。

ただ一旦そういうSaaSを導入し始めると、ウォーター!とばかりにがらっと考えが変わって効率化が徹底されたりするようになるので、面白くもある

レベル50くらいの奴を60にするのが都会なら、レベル1を50にしなきゃいかんのが田舎だ。

がんばれ

2019-09-04

リモートワークと組織のあり方

リモートワークでは生産性が上がらない」という話がホットなようなのでプログラマである自分経験を書く。

まず「リモートワークでは生産性が上がらない」というのは嘘で、やり方が悪い。

リモートワークを導入するならスタートアップのようなチーム型のフラット組織ではなく、従来のマネージャが上にいる組織にすべきである

基本的にはマネージャが中心になってタスクを整理して、分解する。

リモートワークの人にはタスクを渡して次々こなしてもらうと生産性が劇的に上がる。

まり「考える仕事」ではなく「作業」として仕事をしてもらうのである

雑談」や「帰属意識」なんてものは「作業」には不要である

これをやるために重要ポイントは「*マネージャ*が何を作るか理解して、仕様を決めて、文書にして伝える」ということだ。

マネージャ」を強調したのには理由がある。自分プログラマとしていくつかスタートアップを回ったがこれができないマネージャが圧倒的に多い。

このマネージャという立場プロダクトオーナーでも、テックリードでも、CEOでも誰でもいいが、製品を作るための決定権を持っている人を指している。

もし一人でこなせないなら分担して複数人でやってもよい。

これを伝えると「スタートアップではスピード重要なのでそんなことできない」「文書化する時間もったいない」など言われることがある。

そういう人達が何をやってるかというと、自分の考えをまとめることはせず無駄ミーティングを設定してふわっとした状態で人を集めて

資料もろくに用意せずホワイトボードに雑な絵を描きながら説明をして、仕様矛盾を指摘するとそこまで深く考えてないので意志決定を先送りにしてとりあえずやってみようとなることがほとんどである

こんなことをやっている人間に「生産性」の本質など理解できないのでさっさとお払い箱にしよう。

また、このタイプ人間本音としては「自分の考えをまとめて文書化する面倒だからやりたくない」というのがほとんどである

一方で、リモートワークが向かない仕事もある。

まだ何をやればいいかからない「種」を育てていくような仕事だったり、顧客とのコミュニケーション必要仕事会社運営などである

SaaS なんかも「何を作るか決める」ことについてはリモートより顔を突き合わせた方がいいだろう。一方で、「何を作るか決めた」状態であれば

あとはフルリモートメンバーに任せれば十分。いくら開発サイクルが速いと言ったって、2週間ぐらいは開発に専念する必要があるはずだ。

もし「1日の中で仕様が変わる」ような会社であれば、それはただただ仕事が雑なだけであってそんなことが頻繁に発生するならさっさと退職すべきである

件の記事ではリモートワークは「ケースバイケース」「バランス」などアホなことを書いているがそんなことはない。

リモートワークには「向いてる仕事」「向いてない仕事」があるだけで、企業の大小やメンバーの適性は関係ない。

会社全体でリモートワークを導入する、しない、を決めるのはナンセンスなのである

2019-07-22

Web業界エンジニア転職するときにチェックしたほうがいい点のメモ

求人資料を見るだけじゃなくて、可能な限り、直接面接で聞いたり、中の人に聞いたほうがよい。

Developer Experienceてきなところっすね。

バックエンド系なので、フロントエンドのことはよくわからない。

給料とかは当然見ると思うので省略)

Windows以外の開発PCを使えるか?

Windowsが悪いという話ではなく、WIndows以外の選択肢MacLinux)を選べるというのが大事

Windows縛りのところはだいたいろくでもない。

リモートワークができるか?

リモートワークが好きってわけではないんだけど、台風の日とか出社しなくてもいいのはありがたい。

あと、リモートワーク可な職場は、非同期コミュニケーションが発達していて、エンジニアとしての仕事がしやす可能性が高い。

ASP/SaaSがどの程度使えるか?

例えば、Github Enterpriseじゃなくて、github.comが使える、とか。ASP/SaaSがどの程度使えるか、ってのは、セキュリティがめんどくさいかそうでないか試金石として有用

Oracle RACを使っていないか

Oracle RACを使っているところは経験上、結構がちがちな開発スタイル可能性が高い。

言語処理系バージョンミドルウェアバージョン

古いRubyとか、古いMySQLを使い続けている職場は、そもそもまり技術に関心がない可能性が高い。

エンジニアブログ

エンジニアブログが無いのは論外(いい会社かもだけど、外からわからん)、あと更新頻度、更新者のプロフィールちゃんと出してるか、など。

更新者のプロフィールちゃんと出している会社は、中の人間の対外発表をそれなりに推奨(黙認)していると想像できる。

その他

本気で転職考える時は、他にもみる観点あるけど、1次スクリーニング的なところだとこんな感じ。

2019-07-10

MicrosoftクラウドAWS を抜いた記事を見て思うこと

日経のこの記事

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05452/

この記事の真偽はともかくとして、反応を見てると AWSマーケティング戦略に見事にはまった信者の人たちが冷静な見解が出来なくなって炙り出されてきているのが面白い

AWS にもO365と同じ様な SaaS サービスあるだろうに、シェアが低すぎて普段見えてない分意識できてないんだろう。

そもそもIaaSとかSaaS意識せずにクラウドを使える様にする、というのは AWS根本思想じゃなかったっけ。

ユーザーへの価値提供を忘れて、IaaSだけで勝負しろとか言ってるとそのうち Azure 単体で抜かれるぞ。

2019-07-06

7payのセキュリティ審査って何をやってたんだろうか

ここ連日騒がれている7pay。

パスワードリセットリンク送付先のメールアドレスに対して設計上の問題脆弱性が発覚して大変な事態に発展しています

昨日の会見では社長ITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています

また、会見内で「セキュリティ審査実施した」と明言がされました。

https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html

セキュリティ審査実施していたにも関わらず、何故今回の問題が見逃されたのか。

非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います

セキュリティ審査とは

その名の通り、サービスローンチ前に実施する、脆弱性問題がないか審査の事・・・だと解釈しました。

審査」というとISMS辺りを連想しちゃいますね。

一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます

以後脆弱性診断と記載していきます

実施した」とはいっても、どういった内容を実施たかはわかりません。

ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチ脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います

通常、脆弱性診断というと、以下のような項目があげられると思います

抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います

詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています

LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティスプラウトなど。

ただ、今回の脆弱性診断が外部ベンダ実施されたのか、内部で実施されたのかはわかりません。

以下、推測をつらつら書いていきます

外部ベンダ発注したが、コスト削減のために対象を削りまくった

脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります

Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます

また、数量計算ベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。

お願いすれば見積もり時にステージング環境で動いているWebサービスクロールして、各ページの評価を付けてくれるベンダもあります

規模と見積もり内容にもよりますが、100~200万といったところでしょうか。

スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。

プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います

これ以外にWebSocketを使っていたり、別のサービス連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります

Webサービス200万、スマホアプリ(iOSAndroid)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。

脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。

そしてこれをそのまま発注するかと言われると、多分しないでしょう。

セキュリティお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。

経営層は中々首を縦には振らないでしょう。

会見でも明らかになったことですが、社長ITリテラシはあまり高そうにありません。

こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。

また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。

いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。

削れるものをあげていってみましょう。

例えば、iOSスマホアプリ実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からアクセスは基本不可であるためです。確か。

そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセスインターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います

・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。

プラットフォームも、ベンダによります実施しなくとも良いとも思います

ベンダ説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います

Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います

サーバコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。

そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。

ワイドショーでは「不正海外IPからで、国外からアクセス許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります

実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います

Webサービスですが、ログインログアウト処理は必須でしょう。また、新規登録情報変更、退会処理も重要です。

パスワードリセットどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。

ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。

ただ、NRIにはNRIセキュアというセキュリティに特化した子会社存在しています

もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います

ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。

NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります

別のベンダ発注したことで、抜け落ちた可能性はゼロではないかもしれません。

また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料セブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断セブンに委ねられます

考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・

ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます

特定ベンダと、ツールを用いた定期診断を実施してもらう契約をしていた

この可能性もあるのかなと思います

使ったことはありませんが、SecurityBlanket 365というサービス自動での定期診断が可能なようです。

ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダ逐次依頼する脆弱性診断よりかは安く済むはずです。

ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。

ツールの手が届く範囲での、XSSPoC、ヘッダの有無など、ごく一般的脆弱性診断になると考えられます

でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。

セブン内部でツールを用いた診断を実施していた

脆弱性診断ツールOSSのものもあればベンダ販売していたり、SaaS提供しているものもあります

OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります

ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。

有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います

SASTになると、RIPS TECH、Contrast Securityなどでしょうか。

上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。

こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。

ただし、社内のエンジニアに任せる事になるため、片手間になってしま可能性があります

また、ツール使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います

・・・とは言ってもセブンにはCSIRT部隊ちゃんとあるんですよね。

https://www.nca.gr.jp/member/7icsirt.html

『7&i CSIRT は、7&i グループCSIRT として設置され、グループ企業に対してサービス提供しています。』と記載があります

また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています

グループ企業情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査分析リスク情報の共有、ならびにインシデント対応活動を行なっています。』

という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。

組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会情報管理委員会のどこかに所属しているんじゃないかと思われます

日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバー専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。

なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います

会見内で言われた二段階認証検討事項に上がらなかったのかなあ・・・と。

まあ、今でも機能しているのであれば、の話ではありますが。

で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。

https://www.7pay.co.jp/news/news_20190705_01.pdf

これを見ると内部のCSIRT機能していなかったか力不足判断されたかどちらかになるのかな・・・と。

実際はどうだかわかりませんけど・・・

診断を実施したがどこかで抜け落ちた

これも有り得る話かなあ・・・と。

関係者が多いと情報共有にも一苦労です。

開発やベンダCSIRT部隊情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧表現で伝わっていなかったとか・・・

ベンダ実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。

問題認識していたが上申しなかった/できなかった

7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応時間を取られることになります

そういった事を許さな空気が出来上がっていると、まあ中々上には上がってきづらいです。

これも十分にありえる話ですかね。ないといいんですけど。

セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった

どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。

そこで思ったのですが、情報セキュリティ基本方針個人情報保護方針を元にしたチェックリストのようなものセブン内にあって、それを埋めた・・・みたいなことを「セキュリティ審査」と言っていたりするのかなと思ってしまったんですね。

でもこれはセブンペイの社長個人情報保護管理責任者ということで、ISMSPMS等で慣れ親しんだ単語である審査』を使っただけかもしれません。

そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業・・・

そもそもやってない

大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・

というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。

そういえばomni7で以下のお知らせが上がっていましたね。

https://www.omni7.jp/general/static/info190705

『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。

もしくはわかりやす対策提示しろと言われたのかもしれません。それなら仕方ないんですけど。

パスワード定期変更を推奨する因習はいつ消えるんでしょうか。

以上。

以下追記 2019-09-08

一部typoとか指摘事項を修正しました(役不足力不足 etc)。

ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。

所詮「人のつくりしもの」だよ

監査なんて取り揃えた書類通りになっているかどうかなので、監査受けているかセキュリティ的に大丈夫ってことじゃないよ

そんなに監査が万能なら監査できるくらいの人が作り出せば完璧になるはずだろ

ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・

一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性問題がないか審査の事」、つまり脆弱性診断」を指していると仮定して本エントリを書いています

そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。

監査貴方記載する通り「ある事象対象に関し、遵守すべき法令社内規程などの規準に照らして、業務成果物がそれらに則っているかどうかの証拠収集し、その証拠に基づいて、監査対象有効性を利害関係者に合理的保証すること」です。

貴方の言う「監査」に近いことは「セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48

2019-01-06

技術者(もしくは技術者出身マネージャー)の殺し方

わずもなタイトル釣りです。たぶん、過去に色んな技術者メディア等で議論されてきたのではないかと思う。自身が今の職場で久しぶりに清々しいくらいに経験しているので、備忘録として状況をできるだけ冷静に書き記すものである。参考になりえるとしたら”現職の状況がヤバイんだけど、どうやって現状打破を目論見ながら最悪のシナリオを想定した逃げ道も確保するか”といったところの考え方くらいかもしれない。それ以上もそれ以下も意味はない。

背景

業界についてはあえてぼやかすが、歴史が長い業界だ。自身が参画したのははじめての業界だ。いろいろと勝手がわからないことはある。業界歴史が長いからということではないと思うが、業務フロープロセスが古臭い。逆に私達技術者活躍の伸び代がまだまだある業界でもあると言える。自社事業サービス)を持つベンチャーだ。

技術的なことを包括的担当してほしいということだった。結果的に(他にマネージャがいるのに)ただの人月計算をするおじさんになっている。ベンチャーでそういった担当者がいないのでよくあることだ。

状況

いくつか状況を記載しておく。

状況1 : 期待値コンテキスト不足、ナレッジマネージメントされていない

やり方はどうでもいいか

当初このように聞いていた。目的が達成されれば、もしくは課題解決すれば、ということだと思っていた。しかし、そうではない。

この方法以外認めない

という含みがあり、フォーマティが実はちゃんとあるしかし、そういった期待値コンテキストが不足しているという状態。そしてすべての事柄について隠しフォーマットがあり、それに準拠しなければならない。なぜならこういった背景だから。というものがしっかりある個人的ベンチャースタートアップでは抜けがちな”背景”がしっかりあるのは良いことがと思うが、後発で加入してきた人に対して明文化されていない状態もあり、自身役割としてはそういった期待値の明文化をすることも含まれるのではないかと思った。(しかし、そこにそんなにコストかけんなバカってことにもなった)

Webスタートアップベンチャー界隈ではこういった課題に関しては社内Wiki的なSaaSサービスで全員で知見を同期的に書き出して意見交換をすることでナレッジ化していくといった手法を取っているところが多い気がする。そしてその行為を”文化形成”などと表現しているところもある。しかし、業界的にはそういった文化にはないためすべてはファイルベースでの情報共有となっている。もちろん、そういった手法で十分なケースもあるのだが、一方的に送りつけておいて”これ読んでおいてください”などとして一切の背景を説明されていないのが現状な訳で、背景が不確実なまま自身想像力経験で行動してしまうと業界常識等の地雷を踏んでしまうことが多々あるのでできるだけ不確実な要素をなくしていくといったことにコストをかけることになる。

前に言ったじゃないですか

となる地雷が沢山あるやつ。スタートアップベンチャー限定したあるあるみたいだと思われるのも問題なので、一応書いておくと大手でもある。しかし、大手は割としっかり明文化している。その代りそのフォーマットを厳守することを要求されるし、従業員はその制限の中でいかに最高のパフォーマンスを出せるか?というレースになっているという印象。

これは確実に消耗戦になるやつだ。殺しにかかっている。

状況2 : 課題管理

別にWebスタートアップベンチャー界隈のやり方にこだわるつもりはないが、課題管理表を管理する工数を取る文化は色んな業界にまだ根強くあると思う。具体的な管理手法としては昨今では一般的なIssueベースなのに結局Excelでやることになる。ただのExcelではなくてWBSという形式で欲しがっているケースが多いのではないかと思う。WBSを引くということはアジャイル的な変動的なスケジュールを持つといった管理方法ではなく、割とFixされたウォーターフォール型に近い考え方がある場合にこういったことが起こりやすいのかもしれない。とは言え、何らかのプロジェクトマネージメントツールを使いたい。そしてこれも確実に消耗戦になるやつだ。殺しにかかっている。

状況3 : SPOF

とにかく割り込みタスクが全員から投げられる。(WBSで欲しがるのに)具体的な優先度や期日もない。下手すれば”何をしてほしい”といったコンテキストもない。すべては投げられた人のMy Wayで処理されることになり、ナレッジマネージメントおざなりになっているような状況ではスーパー属人化する。こういった状況は”投げられる人が投げる相手がいないからPlaying Manager化していること”が原因でも起こる。人事計画次第では解決できる可能性のある問題ではある。しかし、そういった見通しがない場合しんどい。これも確実に消耗戦になるやつだ。殺しにかかっている。

まとめ : 確実性と不確実性に切り分け

自身としては”確実性”のある部分については"可能な限り確実に"しておきたい。それは具体的にいうと"今見えてる課題で緊急度が高いもの"の対応だ。これは"確実に飛び越えられるハードル"という意味ではなく、"確実に解決しなければならない課題"という意味だ。もちろん、そういった課題がなぜ緊急性が高いのか?というコンテキスト説明についてはコストをかけて説明しなくてはならない。地道ではあるが方法はそれしかない。しかし、そういったことを経験しておくと”自分言葉でわかりやす説明する”といったスキルがつく。そういったスキルが欲しい方にはおすすめする。また、確実に処理したことでかつて不確実だったものの具体性があがることもある。もっと理想を言えば不確実なものの具体性を上げるためにどう確実化していくか?というスケジュールの引き方をしても良いと思う。

問題メンバーそれぞれのスペシャリティ、経歴、興味、個性がまだわからないことを前提にした説明必要で”相手が何からからないのか?”がわからない状態だ、色んな補足情報ゼロから入れながら説明すると物凄いコストになる。かといってあまり上から目線でモノを言ってしまうと後のチームビルディングにおける心理的安全性にも影響するため、嫌がらずできるだけニコニコしながら説明するしかない。これは一種の”信頼貯金”に将来つながってくるものだと思う。

しかし、何事も限度はある。それを自身で見極めないと確実に消耗戦は始まる。殺しにかかってくるのだ。

今後

さて、正直困っている。というか疲れている。

ライフスタイルへの影響度

忙殺されてしまったりするとどうしても以前のライフスタイルや状況と比較することすらできずにいることがある。気をつけたい。ある人は独身かもしれないし、ある人は配偶者子どもいて育児家事などのタスクを抱えているかもしれない。自身は家庭の事情もあり家庭運用タスクももっているライフスタイルなので、ワークがライフ侵入してくると大きな問題として認識する。実際に今、そういった状況が起こっている。(もちろん、それなりの待遇場合家庭内で調整して検討しても良いとは思うがあくま運用可能状態であることは前提である

そういった判断ができにくい状況にあるということを一度立ち止まって認識するということが大事だ。さもなくば遠慮なく消耗戦に持ち込まれ、殺しにかかってくるのだ。

定時内のパフォーマンスで測る

実際、定時外(邪魔の入らない時間)でのパフォーマンスに大きく依存する状況が続いている。死にたい体調不良等でリモート勤務にしたときの捗り具合がヤバイ(笑)しかし、本来、定時内のパフォーマンス自身の力量や限界を測るべきだ。そして無理なことは無理という勇気を持つことも大切だ(自戒)。

https://youtu.be/0sEM3UKuRw4?t=28

あれもこれも含めてオンボーディングコストと見れる可能

完全に気力・体力との勝負ではあるという前提ではあるが、少し粘ることで状況が外的要因等により改善したりすることもある。内的要因であることが理想的ではあるのだが…そこは自身の気力・体力と相談して”いつまでこの船に乗るか?”を決めていくべきだろう。自身でその状況を変えたい!と思うモチベーティブな人間はその限りではないが、その状態でいられる状況とそうではない状況もあるということは言っておきたい。

代表と合わない

多くのベンチャー場合代表哲学経営方針事業方針に深く影響しているというか、そのまんまそれが方針になっている。そして多くの求職者はその”綺麗な上澄みだけを抽出した部分"だけを読んで共感して入社することになる。しかし、入社してみると違うと感じることもある。感じるだけじゃなくて、実際に言っていることから違うこともあるだろう。しかし、それが会社だ。と最近思える程度に大人になった。

それって理念に反してませんか?

みたいなことを言えるなら良いと思うが、言えないならそれはすでに消耗戦の始まりであり、いつでも殺しにかかってこれるヤツだ。

自分が楽しめているか

正常な判断が困難な場合、こういった指標評価することにはなる。自身仕事が好きな方ではあるので割と参考にする。そして、楽しめていない。もちろん、苦しいときもあることは承知の上だが、この状況を具体的に変えていくモチベーションも沸かないのでそれに輪をかけている。これは確実に殺しにかかっている。

まとめ

現実問題として不確実的で抽象度の高いタスクを集中砲火されてしまい、自分優先順位を決めにくい状態が起こっている。自分の手に余る程度であれば良いが(多少の無理なら許容する)、確実にこのままでは消耗してしまうことは目に見えているので、年末年始や週末を利用して(週末は邪魔割り込みが入らないか作業やすいという悪循環にもなっている)自分なりの"働きやすさ"を作ろうと必死だ。しかし、それが自身限界を超える前に構築できなかった場合、最悪倒れる。その前に転職も見据えた行動を取るべきだろう。ということで行動するしかないので行動している。

おかげさまで既に数社からリファラルで引き合いがある。しかし、こういった状態であることもご存知なため(笑)、あまり良い状況(良い印象を与えることができる状況)とは言えない。迎え入れる側も気力・体力が満たされた状態の人に来てほしいに決まっている。しかし、命辛辛逃げようとしている脱北者みたいな人たちにはそういった余裕がない。それとそういった状況において転職先を正常に判断できない可能性もある。また同じ状況になりやすい。気をつけたい。というか面談ときに”他に聞きたいことはありますか?”というところで聞く質問はそこだと思う。

全てはここに帰するのではないかと思う。

期待値を明文化しろ

さて、生き残れっかな(CV : 野沢雅子

2018-10-12

プログラミング本質カプセル化ブラックボックス

コンピュータマシン語命令文もデータも数値で表す。これは今も昔も同じ。

数値だけでは人間管理しづらいので命令文を mov や add のようなわかり易い単語に置き換えたのがアセンブラ

(わかりづらい数字人間理解やす英単語に置き換えた)

アセンブラも規模が大きくなると人間には管理しずらくなる。

そのため人間言語により近い高水言語が生まれた。

if や for などで制御をわかりやすくした。

複数の処理をひとまとめで扱うサブルーチン関数プロシージャ・ファンクション

いったものができた。

(処理の流れをわかりやすくした、構造化、カプセル化

複数データをひとまとめで扱うレコード型や構造体生まれた。

カプセル化

コードデータをまとめて扱うクラスができた。

カプセル化抽象化

アプリケーションからOS機能を呼ぶシステムコールAPIが生まれ

ブラックボックス化)

複数クラスコードデータをひとまとめにするにモジュールができた。

カプセル化

プログラムを外部から操作するRPC、CORBA、SOAPRMIができた。

リモートから操作ブラックボック化)

WebAPIアーキテクチャーを超えての疎結合が進む

さらなるブラックボックス化)

IaaS / SaaS / PaaS を使いネット上のサービスにつないでシステムを構築する。サーバ管理不要に。

ブラックボックス化)

CIツールサーバ数台〜数百台を1人で扱えるようになった

操作の簡略化)

DockerWEB/DB/KVSなどをまとめてコマンド1つで扱えるようになった。

カプセル化抽象化

プログラミングとはわかりづらいマシン語人間にわかやすくするのが本質

カプセル化ブラックボックス化・操作の簡略化は正義

ログイン ユーザー登録
ようこそ ゲスト さん