「typo」を含む日記 RSS

はてなキーワード: typoとは

2019-07-06

7payのセキュリティ審査って何をやってたんだろうか

ここ連日騒がれている7pay。

パスワードリセットリンク送付先のメールアドレスに対して設計上の問題脆弱性が発覚して大変な事態に発展しています

昨日の会見では社長ITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています

また、会見内で「セキュリティ審査実施した」と明言がされました。

https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html

セキュリティ審査実施していたにも関わらず、何故今回の問題が見逃されたのか。

非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います

セキュリティ審査とは

その名の通り、サービスローンチ前に実施する、脆弱性問題がないか審査の事・・・だと解釈しました。

審査」というとISMS辺りを連想しちゃいますね。

一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます

以後脆弱性診断と記載していきます

実施した」とはいっても、どういった内容を実施たかはわかりません。

ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチ脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います

通常、脆弱性診断というと、以下のような項目があげられると思います

抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います

詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています

LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティスプラウトなど。

ただ、今回の脆弱性診断が外部ベンダ実施されたのか、内部で実施されたのかはわかりません。

以下、推測をつらつら書いていきます

外部ベンダ発注したが、コスト削減のために対象を削りまくった

脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります

Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます

また、数量計算ベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。

お願いすれば見積もり時にステージング環境で動いているWebサービスクロールして、各ページの評価を付けてくれるベンダもあります

規模と見積もり内容にもよりますが、100~200万といったところでしょうか。

スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。

プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います

これ以外にWebSocketを使っていたり、別のサービス連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります

Webサービス200万、スマホアプリ(iOSAndroid)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。

脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。

そしてこれをそのまま発注するかと言われると、多分しないでしょう。

セキュリティお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。

経営層は中々首を縦には振らないでしょう。

会見でも明らかになったことですが、社長ITリテラシはあまり高そうにありません。

こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。

また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。

いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。

削れるものをあげていってみましょう。

例えば、iOSスマホアプリ実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からアクセスは基本不可であるためです。確か。

そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセスインターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います

・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。

プラットフォームも、ベンダによります実施しなくとも良いとも思います

ベンダ説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います

Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います

サーバコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。

そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。

ワイドショーでは「不正海外IPからで、国外からアクセス許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります

実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います

Webサービスですが、ログインログアウト処理は必須でしょう。また、新規登録情報変更、退会処理も重要です。

パスワードリセットどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。

ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。

ただ、NRIにはNRIセキュアというセキュリティに特化した子会社存在しています

もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います

ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。

NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります

別のベンダ発注したことで、抜け落ちた可能性はゼロではないかもしれません。

また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料セブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断セブンに委ねられます

考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・

ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます

特定ベンダと、ツールを用いた定期診断を実施してもらう契約をしていた

この可能性もあるのかなと思います

使ったことはありませんが、SecurityBlanket 365というサービス自動での定期診断が可能なようです。

ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダ逐次依頼する脆弱性診断よりかは安く済むはずです。

ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。

ツールの手が届く範囲での、XSSPoC、ヘッダの有無など、ごく一般的脆弱性診断になると考えられます

でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。

セブン内部でツールを用いた診断を実施していた

脆弱性診断ツールOSSのものもあればベンダ販売していたり、SaaS提供しているものもあります

OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります

ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。

有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います

SASTになると、RIPS TECH、Contrast Securityなどでしょうか。

上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。

こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。

ただし、社内のエンジニアに任せる事になるため、片手間になってしま可能性があります

また、ツール使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います

・・・とは言ってもセブンにはCSIRT部隊ちゃんとあるんですよね。

https://www.nca.gr.jp/member/7icsirt.html

『7&i CSIRT は、7&i グループCSIRT として設置され、グループ企業に対してサービス提供しています。』と記載があります

また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています

グループ企業情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査分析リスク情報の共有、ならびにインシデント対応活動を行なっています。』

という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。

組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会情報管理委員会のどこかに所属しているんじゃないかと思われます

日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバー専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。

なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います

会見内で言われた二段階認証検討事項に上がらなかったのかなあ・・・と。

まあ、今でも機能しているのであれば、の話ではありますが。

で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。

https://www.7pay.co.jp/news/news_20190705_01.pdf

これを見ると内部のCSIRT機能していなかったか力不足判断されたかどちらかになるのかな・・・と。

実際はどうだかわかりませんけど・・・

診断を実施したがどこかで抜け落ちた

これも有り得る話かなあ・・・と。

関係者が多いと情報共有にも一苦労です。

開発やベンダCSIRT部隊情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧表現で伝わっていなかったとか・・・

ベンダ実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。

問題認識していたが上申しなかった/できなかった

7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応時間を取られることになります

そういった事を許さな空気が出来上がっていると、まあ中々上には上がってきづらいです。

これも十分にありえる話ですかね。ないといいんですけど。

セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった

どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。

そこで思ったのですが、情報セキュリティ基本方針個人情報保護方針を元にしたチェックリストのようなものセブン内にあって、それを埋めた・・・みたいなことを「セキュリティ審査」と言っていたりするのかなと思ってしまったんですね。

でもこれはセブンペイの社長個人情報保護管理責任者ということで、ISMSPMS等で慣れ親しんだ単語である審査』を使っただけかもしれません。

そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業・・・

そもそもやってない

大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・

というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。

そういえばomni7で以下のお知らせが上がっていましたね。

https://www.omni7.jp/general/static/info190705

『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。

もしくはわかりやす対策提示しろと言われたのかもしれません。それなら仕方ないんですけど。

パスワード定期変更を推奨する因習はいつ消えるんでしょうか。

以上。

以下追記 2019-09-08

一部typoとか指摘事項を修正しました(役不足力不足 etc)。

ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。

所詮「人のつくりしもの」だよ

監査なんて取り揃えた書類通りになっているかどうかなので、監査受けているかセキュリティ的に大丈夫ってことじゃないよ

そんなに監査が万能なら監査できるくらいの人が作り出せば完璧になるはずだろ

ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・

一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性問題がないか審査の事」、つまり脆弱性診断」を指していると仮定して本エントリを書いています

そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。

監査貴方記載する通り「ある事象対象に関し、遵守すべき法令社内規程などの規準に照らして、業務成果物がそれらに則っているかどうかの証拠収集し、その証拠に基づいて、監査対象有効性を利害関係者に合理的保証すること」です。

貴方の言う「監査」に近いことは「セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ このエントリーをはてなブックマークに追加ツイートシェア

2019-06-04

Yahoo!映画の公開カレンダー(https://movies.yahoo.co.jp/calendar/)のページにある

映画トップ > 公開カレンダー > 公開予定

というパンくずリストの真ん中の「公開カレンダー」のリンクが「calender」というtypoのせいで

クリックしても「指定されたページが見つかりません。」になってしまうので誰か直すように伝えてほしい

anond:20190604002605

いや、キャバクラにはない飲み屋雰囲気が好きなんですよ。

こっちはたまにスベることはあっても、楽しい空間の一部になっているんです。

その中に紛れ込んでいる遺物(異物のtypoだが間違ってもいない)というか、金だけ払って自覚無しに反省もしない邪魔者が居ることについて対策をしたい。

人より多く金払えっていうわけなだけではなく、数値化して自覚させて自重させたいというのが大きいのかもしれません。

あなたが、飲み屋キャバにどれだけ行ってるか、どんな面白い会話、あるいはとりとめもない会話をしているのか知りませんが、

・年配で強く言えない

・金ある

自重しない

・おもんない

排除するほどの悪ではない

が揃ってしまうと言いようのない不幸が永遠に生産され続けてしまうんです

2019-05-28

anond:20190528123221

班員にとっては小惑星だった

ただのTYPOなのにSF感ある

2019-04-19

anond:20190419172744

粉末ソースtypoだろ。そういう細かい所に突っ込むなよ。

2019-04-11

typoじゃないのにtypoって言う奴〜

pastって書いてあったのを見て「これpasteじゃなくてpastになってますよ」って言っても「??」という顔のままで、「tのあとにeをつけないとダメですよ」って指摘してはじめて「あ、そうか。typoだ」みたいなこと言ってeつけるやつ、それtypoじゃなくて初歩的なスペル知らないだけだからな。

2018-12-24

ファッショビル

ってもうムッソリーニネタで手垢付いてるんだろうなと思って検索したらtypoの方が圧倒的に多かった

2018-12-17

"バズワードロック"

3 件 (0.22 秒)

意外。Typoしかないっぽい。

anond:20181217195030

ホロン部って滅ぶのtypoかと思ったらそういうのがあるのね

2018-11-29

anond:20181129132256

まって、この場合「a typo」じゃなくて「the typo」じゃないの!?

教えて英語増田

2018-11-01

anond:20181101143426

PPVtypoだな。

Pay Par View、つまりお金払ってみられる映像ってこった。

2018-10-07

本当に有能だったらヘッドショットの一つや二つされたことぐらいあるでしょう?

typoしてた。牛脂撃ってどうする。

2018-09-29

私はロボットではありません

というチェックが最近増えていて、見かけるたびに舌打ちしているんだけど、

めんどくさいと思う一方、なんか不思議な感じだ。

だって、あの判定の過程に人は介在せず、すべてプログラムが処理するんだよね、あれ。

まりプログラムロボットに私という人間ロボットであるという疑義をかけられ

その反証として、チェックボックスに印をつけたり、文字を打ったり、パズルをしたりするんでしょ。

人間である私が、ロボットに対して。

たまに間違ってるZE!とか再提出を求められたりして。

映像化するとシュールだ。

ロボット検査官イラつきながらも「私は人間です!」と主張するも、

typoしたり、選び忘れたり間違えたりで

何度もその主張をロボットにしないといけないわけだ。

挙句の果てには間違えすぎると入場を断られるわけだ、ロボットに。

人間の私が。

AIが浸透し、この手のチェックが各種生活インフラ適用された社会

AI暴走により、私たち人間が各種インフラから締め出される、そんな映画とかありませんか?

2018-09-10

anond:20180910122444

ごめんごめん。雑兵ではなく象兵のTypoだ。それくらい君らを頼りにしてるって事ね。

2018-07-31

マンションを買った後に「これからは贅沢できないね」と言われて

追記

正直知らない間に伸びててびっくり。

共感避難ありがとう

大きな買い物するとね。もともと貧乏だったから心がざわつくんだよ。

普段家族大好きマンから

大きな家に住み替えるって贅沢だと思うんだよね。

まー疲れていたんだよ。普段なら「そーねー。」って返していると思うよ。

大事なことは考えて考えて答えをだすタイプだしその都度、妻と相談してリスクがないかとか話をしているんだけどね。

暗黒面が顔を出したって感じですよ。

全角の5はあれだtypoだよ。フェイクをいれようか迷ってのミスだよ。

今は、東京住まいで住み替えは東京よりの関東マンション5000万なんて東京にはたくさんあるよ。

年収コンプなところもあってな社会人一年のころは300万もなかったから今は800万以上で1000万未満って感じだよ。

正直よく頑張ったって自分を褒めたいよ。自画自賛だよ。うっかり年収が上がったんじゃないよ。一生懸命、成果出した結果だよ。

40代になるタイミング年収を1500万にしたいと日々、真面目に働いているサラリーマンだよ。

> 5000万を70歳までコツコツ返す感じで住宅ローンも考えた。

70歳まで働くとかアホ。みたいなコメントあるのでコメントするよ。

70歳まで働くわけないじゃん(笑)

年収だって上げるし、繰り上げ返済もするし、他にも財っていろいろあるだろ。そういうの全部計算しているの。

それにライフプランが変わったら家も売るし、売れないとかいう人いるけど「中古で十分層」に需要あるから

買う前から売ることも考慮しているから。売れる前提で考えてないけど「売るとしたら」いい条件の家探しているから。

とりあえず、考えうるいろんなことを妻と一緒に考えてきているはずの一言だったか疲弊していた脳には理解できなかったってことで。

はじめて読むへ。この人、疲れたいたんだなという気持ちで読んでくれ。

社会人になるまでずっとボロ団地に住んでいたかコンプもあるんだろうね。

子供のころの記憶は何年たっても消えないものなのかもしれないね

typo修正しておきました。)

〜ここまで。

二人の子供が大きくなることを想定してみた時に、今の家では後々狭くなるという話になり

なぜ、家を買う時にもう一つ大きな間取りにしなかったのだろうという話になった。

それからちょっとして私の給料が上がったので

今のマンションを売り払って新しくマンションを買うことになった。

住み替えである

支払いについて無理のない範囲検討し新しく5000万のマンションを選んだ。

今のマンションの残債が2500万ぐらい。で売れば最低でも2500万と言われているので残債がチャラになってから

5000万を70歳までコツコツ返す感じで住宅ローンも考えた。

手付金を払ったところで妻から

「これから贅沢できないね」と一言

「これから贅沢できないね」の意味がわからなかった。

家を住み替えるということは「贅沢」であり、また支払いについても無理のない範囲である

妻にどういう意味か聞くと2500万だった残債が5000万になることを言っていて

今のままの家なら2500万は貯金できたのにということだった。

私の思考回路は、「だったら家なんか住み替えたいとか言わなければいいのに」となってしまい。

その後、妻から残債が2500万から5000万になるという事実を伝えただけだと何度も説明されたが

月の支払い額はもっと少額だし一括で支払うわけでもなく。

家を住み替えただけで「贅沢ができない」なんてことはない。という思考になり。

まったく妻の話が聞けなくなってしまった。

一般の人は、マンションを買ったあとに「これからは贅沢できないねー」と言われたら

どういう風にそれを解釈するのだろうか。

残債が5000万になるねーこれからは贅沢できないねーって同調したほうがよかったのか。

マンションを買ったことで「贅沢できない」っていう意味

私の思考回路を通ると「これから貧乏よろしく。」って聞こえてくるんだけど。

これは妻に謝らないといけないのか?

2018-07-21

"定格定量"

約 7,400 件 (0.27 秒)

いくら指摘しても放置され続ける"定格定量"typo、航空業界の謎

anond:20170823233704

2018-06-22

anond:20180621181221

出版サイド増田っす。略して出増。

まずそもそもの話誤字脱字だのTypoだのがない文章を書くってのは不可能で、まずは書いてみてその後問題箇所を修正するというワークフローになります

そして誤字脱字の発見コストって一箇所あたりが等価ってわけではなくて、同じ書籍に1000箇所誤植があるとき960箇所(−40箇所)にする発見コストと、100箇所あるとき60箇所(−40箇所)にするコストでは、後者のほうが圧倒的に高いわけです。これは散らばってる範囲のうち問題箇所が少なくなるに連れ見逃し率が上がるという事実の反映です。それに対して「読者が見つけた誤字脱字の報告がアレば直せるだろう」という声もあるのですが、その場合報告の取りまとめコストが高騰します。誤字脱字が少なくなればなるほど、なお見つかったそれを直すコストは跳ね上がるってのをイメージしてもらえばわかりやすいと思います

そんな現実を踏まえた上で、現在出版ビジネスモデルとしては「できる限り直すんだけど、ある閾値を超えた時点で残りは放置」って言うことになっているわけです。大事なのは、今の出版物の提供数や提供速度や提供価格は、そういう見きったビジネスモデルを前提に組み立てられているということです。

誤字脱字が今よりもずっと少なく迅速に修正されるモデル理論上は組み立てられるのですが、その場合出版物の点数や速度や価格もまるで別のモデルになるわけで、それはビジネス的な判断で見送られているわけです。

もちろんこれは出版擁護でも居直りでもなくて、ユーザー圧倒的多数が誤字脱字を1%減らしてくれるなら値段三倍でも出すっていう意見になればそういうビジネスになると思います既存出版社がアホ面で旧モデルにしがみついてても、新興の外資とかIT系とかがそういう需要を汲み上げていくでしょう。そうなればそれが正しい企業顧客関係だと思います

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん