  |
はてなキーワード: SaaSとは
ここでいう土人の定義とは、グローバルスタンダードに乗り遅れて、いつまでも昭和や江戸のしぐさを引きずっている状態のこととする。
まあ結論からいうと、しょーもないプロセスやしょーもない「お作法」、「儀式」みたいなものにとらわれている。
やってる仕事の7割8割は無意味という人も多いんじゃなかろーか。
人が多いからそれでもおまんまは食えてしまうというとこが大きな罠よな。
あと他人を気にしすぎ。お前らが電車や道端で会う人なんて3秒も人生で関わらないじゃん。
その3秒の関係性に、えらく他人を気にしてネッチョリとした視線で気にしてしまう。このあたりの土人みがすごい。
おそらく江戸時代に家康さんが作った五人組とかの農村統率の手法がまだ効いているのだろう。
余談だけど家康さんがパパママを知らなくて、家族の愛を知らない人だったというのを忘れてはいけないよね。冷酷怜悧なとこはあったと思うよ。
自分以外は全部他人、そんな人が作った今の日本の骨組みは、「上意下達のお作法・儀式」「相互監視」というとこに行きついたわけだ。
まーこういうのにいち早く気づいてる0.001%くらいの人はSaaSベンチャーとかですごい仕組みの組織を作ってたりするけどね。
信長さんが80歳まで生きてたら全然違う面白い日本になってたかもな。
結論、20代とかは土人に合わせる必要はないから、海外とくに英語圏をモデルにして生きたほうがいいと思う。
若いのにすでに土人に「仕上がってる」人もいるけど、未来はないから無視して有能な人とだけ交流しとくのがいいよ。
これでなんとなく長文書いたらビビるくらいブクマついたので弊社の例も書いてみる
3年前に買収されて今は世界で数百人年商2000億くらいの規模
外向けのレガシーSaaS、それをリプレースメント中のマイクロサービス群、自社の経理向けのシステム
ただしVPNとRDPはあり
ファイルサーバーはSharePointに移行中
2代前の会ったことがないCTOの時にランサムウェアにやられている
その時はCTOがバックアップから戻せたけれど弁護士代等で数千万の損害
現在のシステムのハックのしやすさはサービスによるので以下に個別に
AWS上のWindows Serverで稼動するWebアプリケーション(Spring)
引き継いだ時は顧客の住所電話等のPII(個人情報)が満載だったけど全部消したので今はここから見れるのは名前と何時間うちと関わったかということだけ
一応AWS上ではあるけどVPNとRDPがハックされた場合(よくある)全部抜かれる可能性はあって正直ユルユルだが最悪抜かれてもそんなに困らないようになっている(した)
ファイルは自社で保存じゃなくてAWSのs3にシステム経由でアップロードされるようになっているのでファイルサーバー、あるいはSharePointなどとは別系統の認証が必要
それでもRDPで繋げられるAWS上のWindowsServer上にのっているのでハックした上で頑張ればとれてしまうけれどブラウズしてファイルがみれるものに比べれば難易度は上
同じ情報をあつかってるけどサービス自体がコンテナ化されてAWS上で動いているので乗っ取れるサーバーがなくて会社がハックされても関係ない
API経由で認証してAPI経由で情報を取り出すようになっているので個々のAPIの安全性は書いた人次第だけどそれで盗める情報はそのAPIが扱う一部に限られる
ここ経由で雑に免許証だのなんだの大量に出る可能性はかなり低い
1.2.3.とそれ以外のケースは大きな会社なら混在してて、いくらノートラストとか言ってて実際一部が3.でやっていてもだめだし
VPNやRDPを乗っ取られないようにするスキルとAPIのセキュリティーを設計して書くスキルとでも全く違うし
仮にノートラストで全部3にしようってしてもできる人間は限られてるし高いしいきなりできるものでもないんだけど
その辺雑だからこういうことになるのかね
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。
個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。
(関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨)
私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。
サーバーというのは、簡単に言うとシステムを提供しているコンピュータです。
貴方が触っているコンピュータシステムのネットワークの向こう側にいます。この増田も増田のサーバーというのがいて、私たちにサービスを提供してくれています。
しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルのネットワークで画面上に写されるものでしょうか。
サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単に説明させてください。
と言う段階があります。
ニコニコ動画のサービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。
これらの使い分けについてですが、最近は自社でサーバを持っていると自分たちで管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。
現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています。
今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報が漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。
この流れをまずは頭に入れましょう。
さて、メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステムや仮想サーバに別けた独立なシステムになっているからです。
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要な機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバがあるかなどはあまり関係がありません。
しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。
利用者の視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。
すると、どうするかというと、これらをまとめて管理するシステムというものが作られます。
これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理を提供する事で、たくさんのシステムの管理を効率化するのです。
企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。
出てきた情報から見ると、この管理するシステムと認証するシステムがやられたと思われます。
また、その前の前段はVPNと言う仕組み(ネットワークを暗号化して安全に隔離するもの)が攻撃されて破られたのではないかと推測しています。
これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置の脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性を修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名のアングラネットでは脆弱性情報が取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。
個々のシステムは独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるかの分析が困難なレベルだと言われています。
ここまで広範囲に影響するとすると、管理と認証とVPNが攻撃を受けてやられたとみるべきでしょう。
また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります。
一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運用ファイルサーバは減りました。これは今では危険と認識されているほかに、こちらの方が安く利便性も高いからです。
それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています。
オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドにアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの。
通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき、自称するだけでは入れず、身分証明書とパスワードの両方が必要なうなものです。
また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります。
とはいえ、いちいちクラウドにアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。
そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。
つまり、ネットワークは安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。
ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの。
また、社内システムからデータを窃盗するには、どのシステムが重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータを窃盗されてしまうわけです。
上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。
ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法でパスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。
しかし、単なるユーザー、お客さんではなく、KADOKAWAと会社として関わってる人や従業員、取引先で色々な書類等出した人は、既に情報が窃盗されていて、そこから今後も追加で情報が出回る可能性があります。
一方で、分かりやすい場所に保存されていたわけではない情報(システムのデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています。
犯人が本当に金が理由だとするならば、データを分析するような無駄な事に労力を割かないためです。
腹いせで全てのデータを流して、暇人が解析する可能性はあります。
ありますが、犯人はコストを回収しようとするので、これらの情報を販売しようとします。売り物になる可能性のものをただ単に流したりもしづらいのではないかと思っています。
もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています。
犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
また、周到にソーシャルハッキング(オレオレ詐欺のようになりすまして情報を搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃(不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。
それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます。
ニコニコ系のサービスと、KADOKAWAの業務システムと2つに別けて話しをしましょう。
ニコニコ系のサービスは、現在、クラウドにシステムをリフトアップしている最中だったと思われます。先日のAWS(クラウドサービスの大手企業)の講演会で発表があったようにです。
ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。
これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます。
それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。
ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレのセキュリティ対策を行っておくべきだったと思います。結果論ですが。
それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策は無駄になります。コストを考えると、私が経営者でもそう言う判断をしたかも知れません。
KADOKAWAの業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。
何故かと言うとシステムとは投資と費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。
しかし、それ故に内部的なセキュリテ対策の投資はしておくべきだったと思います。
以上の様にエンジニアのレベルととかは関係ありません。基本的には経営者の経営判断の問題です。エンジニアに責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。
ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループに経験豊富なエンジニアがいて、一足飛びにクラウドへリフトアップができそうなら、既存の自社サービスのセキュリティ変更に投資はしないと思います。
逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIerの支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然とシステムは分離されていたでしょう。
そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートしたかも知れません。
ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います。
先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。
なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。
これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。
すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります。
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
ネットで見る謎の人C「社内のファイルサーバーのSharePointは移行終わってるよ」 ← うんうん
ネットで見る謎の人C「社内システムの認証基盤はAAD使ってるよ」 ← うんうん
ネットで見る謎の人C「まだAADに完全移行はできていないけど、全端末Intuneで管理してるよ」 ← うんうん
ネットで見る謎の人C「条件付きアクセスの運用も始まってるよ」 ← うんうん
ネットで見る謎の人C「M365Apps を社外で使うにはVPNが必要」 ←?! 🫨
anond:20240629094425、anond:20240629093852 anond:20240629095434 anond:20240629111451
ネットで見る謎の人C「社内のファイルサーバーのSharePointは移行終わってるよ」 ← うんうん
ネットで見る謎の人C「社内システムの認証基盤はAAD使ってるよ」 ← うんうん
ネットで見る謎の人C「まだAADに完全移行はできていないけど、全端末Intuneで管理してるよ」 ← うんうん
ネットで見る謎の人C「条件付きアクセスの運用も始まってるよ」 ← うんうん
ネットで見る謎の人C「M365Apps を社外で使うにはVPNが必要」 ←?! 🫨
ネットで見る謎の人C「社内のファイルサーバーのSharePointは移行終わってるよ」 ← うんうん
ネットで見る謎の人C「社内システムの認証基盤はAAD使ってるよ」 ← うんうん
ネットで見る謎の人C「まだAADに完全移行はできていないけど、全端末Intuneで管理してるよ」 ← うんうん
ネットで見る謎の人C「条件付きアクセスの運用も始まってるよ」 ← うんうん
ネットで見る謎の人C「M365Apps を社外で使うにはVPNが必要」 ←?! 🫨
電子書籍のメリットなんてテキトーに調べれば出るしどう思うかなんて人それぞれだから省略して、見て見ぬフリすればいいのにわざわざ電子書籍を叩いてる人に提言したいのがタイトルのこと。
今まで買った本や漫画のうち、手元に残ってる割合ってどれくらいなの?
その中でさらに、火事か何かで失ったとしても絶対に買い戻したいものってどれくらい?
俺、今まで数えきれないくらい本も漫画も買った。紙も電子も含めて。kindleで数えたら600冊は買ってるらしいし、kindle unlimited含めたらさらに数百くらい上乗せされると思う。
でも、記録してる読書メモとか本のリストとかと照らし合わせたら、買い戻したい本ってたかだか30冊くらい。残りは「必要な時に買う」「どうしてもってほどじゃない」って感じ。
紙の本や漫画を無尽蔵に保管できるならいいけど、そんなハズないから手放す必要があるでしょ。人によると思うけど年一くらいの頻度で本棚整理するでしょ。電子だとその手間もないし、サービスが続く限りは置きっぱなしにできる。
著者がやらかしたとか何かで読めなくなるケースは知ってるけど、そんなのレアケースだし、現に(見落としてるかもしれないけど)俺が持っている本がそうなったことはない。
だから、相対的に見たら紙で持つより電子書籍で持つほうがより長く保管できるんじゃない?
「急に読めなくなる」なんて、SaaSなんだからサービス元の都合で利用できなくなるなんて当たり前でしょ。そんなの理解した上で買ってるもんだと思ってたけど。
何をどう間違ったのか、超大手のITコンサルタント会社に入ってしまいました。
今までは事業会社でマネージャーをやってました。ITツールはそれなりに使っていて、Salesforceも使ってました。
しかし、これまで開発の経験はなく、自分でPythonとPHPを少し勉強したぐらい。基本情報技術者試験も受験したけど落ちました。
ITコンサルタント会社でマネージャーとして稼働していますが、はっきり言って何も分かりません。
ITコンサルタントのマネージャーというのはどういったスキルを持っている人なのでしょうか?
例えば 新規にプロジェクトを導入したいとなった場合見積もりを出さなければなりませんが全くアタリもつけられません。
システム開発の場合どのようなことを知っていれば 見積もりが作れるのでしょうか?
ITプロジェクトの場合どういったシステムを導入するか、という話になると思います。
特にSaaSであれば、どの製品を使うのか?という話になると思いますが、ITコンサルタントのマネージャーというのはどんな製品であろうと、あるていど見積のアタリをつけられるのですか?
各製品のことを知らなければ、開発の難易度もわからないし、どのくらいの期間が必要か、もわからないと思うのですが、どうやって乗り切っているのでしょうか?
それとも、ITコンサルタントのマネージャーというのは、ある程度ジャンルを限定した経験を、テスターなどから積み上げている人達のことなのでしょうか?
正直苦しくて仕方なく、ずっとモヤの中をさまよいながら仕事をしているような感覚です。
要件定義は当然わからない、開発は進捗がどうなってるか、くらいは確認できるのでなんとか出来る。でもその工数が妥当かどうかもさっぱりです。
一体なにを学べば、PoC、要件定義、開発見積、というのが出来るようになるのでしょうか?
こういう話しをすると、まずお前が何したいか?とかそんな話になるのですが、正直やりたいことが何か?というのも無いです。
ITコンサルタントのマネージャーとしてちゃんと稼働出来るようになりたいです。
例えば、GCPやAWSの資格取得を目指したらある程度わかるようになるのでしょうか?
インフラ系? フロントエンド? バックエンド? いまいち違いもわかりません。
なにかの言語を学べばわかるようになるのでしょうか?
一体、私は何を学べばITコンサルタントのマネージャーとして一人前になれるのでしょう?
知恵袋に投稿しようと思ったけど、はてなの方が経験者多そうだと思い投稿しました。
2023年秋まで外資系IT企業に勤めていた。本国のレイオフの影響を日本法人も受けて無職に。社内異動も提示されたが、辞めるなら6ヶ月分の給与とボーナスをもらえるとのことで家族に了解も得ず、勢いでサインしてしまった。まあしばらくのキャリアブレイクの後に、のんびり転職活動すればいいかと思った。しかし、思いのほか苦戦して4月まで引きずってしまったので、恥さらしだがここに記しておく。
知り合いや取引先に「いや〜外資系あるあるなんですよw」「御社にいいポジションあれば入れてもらえませんかw」などと軽い気持ちで打診していた。面接の設定はトントン拍子に進むし、代表者と即話せることが多いのだが、シニアなわりにCxOやVPでもなく、中途半端に前職年収が高い(1800万)のがネックで、「うちにはオーバースペックですねえw」「会社のフェーズやカルチャー的にフィットしないと思いますよw」などと体よく断られることが多かった。まあそんなこともあるか、すぐに他が見つかるだろうし、などと考えていたが今思うととんでもない思い上がりである。要は40代後半の文系で専門スキルなし(狭い業務領域のドメイン知識と多少のピープルマネジメント経験がある程度)の高コストおっさんであり、何度も断られるのには理由があったといえる。
年が明けてハロワに行き、国民年金に切り替え、社保の継続加入手続き、iDeCoの変更などをしていくうちに、焦りが出てきた。何度面接しても結果が出ないのである。3月末時点で書類落ち(転職エージェントや転職サイトでボタン一つで気軽に応募)は100件を超え、転職エージェントとの面談は20件になった。企業とのカジュアル面談は20社、落とされた面接は30社に上っていた。準備時間を含めてそれぞれにそれなりに時間とコスト(本を買ったりウェブを読んだり)をかけているので、本命と思っているところから失礼なフィードバックがあったときは心が折れかけた。特に許せないのが某(意識高い系)ニュースプラットフォーム運営企業。ポジションを探して10回も面接をしたあげく、途中で社内の組織変更があったという不明瞭な理由で募集ポジションが消滅して見送り。それでも何とか心を保てていたのは、少し蓄えがあったのと、酒と麻雀とスパ巡りを暇にかまけて再開したおかげかもしれない。…まじでおっさんの趣味じゃないか。
結局、先週になって前職の知人に紹介された外資系某社で拾ってもらえることになった。やっぱり外資のフラットな人間関係と高い年収の魅力には勝てないのよ。他には日系、大手〜スタートアップ含めいろいろ受けたが、本当の意味で入りたいと思えたのは某クラウド、某テレビ局、某AI関連企業の3社だけだった。都合50社と会ったとしても、社会人としてのキャリアの最終盤に「身を置いてもいい」と思えたところは1割にも満たなかった。若さが失われてリスク許容度が下がっているのと無関係ではないと思うが、その企業のサービスやプロダクトに対して「新しいものが新しく見えない」ようになっているのが最も大きな要因だと思う。40代後半ともなると成長しない企業や楽しくなさそうな企業(SaaS系スタートアップに多い)の見分けはつくようになるものだ。
というわけで、おっさんがやむにやまれず転職しようと思うと、受け入れてもらえるところに妥協してでも入るというスタンスになりがちだし、数打ちゃ当たると思ってしまうけれど、それでも結構時間がかかりますよというお話でした。
個人事業主にも飽きたので就職でもしようかと思い、某ビ〇リーチ等々の求人サイトに登録してみたのだが、
右も左もSaaS、SaaS。TheModel型だーとかいってマーケ、インサイド、フィールド、カスタマーサクセスの採用が多いこと多いこと。
ベンチャーのマーケとか、要するにテレアポ部隊の兵隊さんだよな?
DXで業務を改革!とか言ってるけど、サービス自体も似たようなものばっかり
ひとつのプロダクト一本槍で起業してるやつ多いけど、あんなの10年後残ってる会社10%もないんじゃないか
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び
このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。
お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
1. 本件の概要
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像
162,830人(うち、第三者によるダウンロードが確認されたものは、154,650人)
なお、本件で漏えいした情報は、弊社と直接契約しているお客様環境のものです。OEM契約又は再使用権許諾契約に基づくお客様に関しては、別環境であるため、対象ではありません。
3. 期間
(1)ダウンロードが確認された期間 2023年12月28日から2023年12月29日
(2)閲覧が可能であった期間 2020年1月5日から2024年3月22日
4. 原因
5. 経緯
2024年3月22日、セキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定が報告され、同日、直ちに是正いたしました。その後の調査の結果、2024年3月28日、上記期間において第三者によるダウンロードが確認されました。
逆にこんなガバガバな意識とオペレーションで個人情報扱うSaaS立ち上げてるとこもあるんだなと逆に感心してしまった
やったもん勝ちなとこあるな
住友情報システムがExelをWeb上でやるSaaSを作って、伝票とかにも対応してるのすごい労力だなと思った。
Reinventing the wheelは功罪言われるけど個人的には日本人のああいう努力は好き。
VBA嫌いのExcel師(営業事務)なんだけど、その程度のことをVBAでやろうとするヤツを駆逐したい。
お前は営業や他のユーザーの理解度を自分レベルだと勘違いするのをやめるべき。
うちの会社はVLOOKUP(最近はINDEXとMATCH)組めるのが「Excelできる」と名乗っていい最低限のラインで、営業と営業事務では名乗れないやつはほとんどいない。でもVBAは使える人は稀。
基本はその「難しくてもVLOOKUPの知識を駆使すればなんとかなるレベル」でExcelを組まないと破綻する。
うちの会社の一事業部は複数の会社に発注をしていて、そうすると会社ごとにデータを比較して見たいのに項目や項目順が違って簡単に比較できない、ということがよくある。
その場合マッピングと呼ばれるデータ項目の統一化が必要なんだけど、会社によって合算したいデータがそれぞれ別の方法でしか取れないとか、合算値に余計なデータが入ってるからrawデータ取ってきて件数はレコード数でカウントしないといけないとか、まぁ色々出てくる。
全取引に対してのデフォルト対応としての統一マッピングはしてるけど、そういうのはVBAでやらずにSaaS使ってるし、ものによって重視する値が変わるので例外が2割くらいある。うちの会社はその辺りの裁量が営業に認められているので例外も多め(なおオンリーワンになりたいためだけに特殊対応した奴は一人を除いて矯正or自滅済)
そういう融通をきかせるのにExcelの計算シートでマッピングするのは絶対。
あとVBAだと営業側が「どういう計算をしてるのか」とか「正しい数値が出てるのか」が確認できない。
っていうのは例えば100円3件と150円2件の仕入れにうちの取り分2割乗せて720円として見せたかったのに、『=100*3+150*2*1.2』って数式書いたせいで660円になっとるやんみたいな。こんなんよくある眠い時のヒューマンエラーで、VBA書く人ならやらかさない、なんてことは絶対ない。
しかも営業がこういうのの修正とか提案用にちょいちょいと列増やして数式入れようとしても「マクロ壊れるからやめて」とか言われる。営業が自分で調整可能なら1時間以内でできるものでも、VBA書いた人に依頼しなきゃいけないんだと、書いた人の通常業務との兼ね合いで1週間待たされたりする。
営業に金稼がせるためには営業の利便性と裁量は必須で、Excel利用者に裁量権が認められてないVBAのツールなんか全体最適化されてないクソ。
※なお裁量大きいからってあんまり好き勝手するとやらかした時に他の助けも得られず(やれることに限界がある)自滅ルート
自分も軽くVBA習得してるんだけど、フォルダ内のデータ一括読み込みとシートの分割統合の関数代わりにしか使ってない。しかもただの効率化なのでVBAが死んだところで手作業に戻せる範囲。
他人が保守できるように作るのならVBAなんか入れるべきではないし、VBA入れないなら計算シートは必須。あと計算周りを大掛かりにやるならSaaS入れてDX検討すべき。
