  |
はてなキーワード: 管理責任者とは
例えば、太平洋において事態が起これば、フォースプロバイダー、練度管理責任者たる軍令部総長が南方軍という部隊を大元帥陛下に提供する。
南方軍司令官は大元帥陛下の指揮命令を受け、フォースプロバイダーである南方空軍司令官、南方陸軍司令官、南方艦隊司令官から提供された隷下部隊をフォースユーザーとして運用する。
ここで注意が必要なのが、南方軍司令官と南方艦隊司令官が同一人物であるからと言って、南方艦隊司令官がフォースユーザーとなるわけではないということ。
例え、その職に就く人物が同一であっても、あくまで南方艦隊司令官はフォースプロバイダーであり、南方軍司令官がフォースユーザーである。
複数の職を兼任する軍人の部下は書類作成時、常にこのことに気を配らねばならない。
例えば、北方軍司令官は北方陸軍司令官とはてな国統監を兼ねている。
はてな国統監ははてな軍、はてな国境警備隊のフォースユーザーである。
しかし、はてな統監は北方軍においてフォースユーザーでもフォースプロバイダーでもない。
あくまで、はてな国の利益、防衛のために北方軍司令官に対して武力行使を要請できるというだけである。
このような指揮命令体系の原則については、士官候補生学校、各士官学校、軍令部大学校で繰り返し扱われる科目であるが、高位の将官のもとで働くスタッフたちほど職務に忙殺されこのことを忘れがちである。
https://news.yahoo.co.jp/articles/923d339bb6d85eb97a0aa16ad89ca9e71c94e13f
「右足の指先が壊死しています。これ以上広がるとマズイ。その部分を切除する手術をしましょう」
A子さんは泣く泣く足の指先を切断した。足の裏もただれていた。足の痛みよりも悲しみとショックでベッドをのたうち回った。それでも医師は原因がはっきり分からず、「深爪が原因で、細菌が入ったのではないか」という可能性を打ち消せずにいた。
それから2週間後、A子さんが職場に復帰した。「大丈夫ですか?」と次々に声をかけられ、深谷からも「自分に手伝えることがあれば、何でも言って下さい」と言われ、「ありがとう」と返事した。
それをきっかけにA子さんと会話する関係が復活した。自分の犯行であることもバレていない様子だ。深谷はその展開が愉快でたまらなかった。足を引きずるA子さんを介助するようになり、以前よりも親しくなることができたからだ。
深谷はそれに乗じて、また求婚するようになり、A子さんは困り果てて、再び距離を置くようになった。
必要最低限のことしか口を利かなくなり、深谷は「この関係を改善したい」と申し入れたが、A子さんにそっけない態度を取られ、「プライドを傷つけられた」と怒り、愛情が憎しみに変わった。
深谷は再び、フッ化水素酸を注射器で吸い取り、今度はA子さんが通勤で履いていたスニーカーの左足の奥に吹きかけた。彼女は何も知らず、その日も普段通りにスニーカーに履き替え、車に乗って帰宅した。ところが約20分後、またも耐え難い激痛に変わって、病院へと駆け込んだ。
「これはおかしい。一度ならず、二度までも…。何か意図を感じる。薬品でもかけられたのではないか?」
不審に思った医師が警察に通報。まもなく警察の捜査が始まり、A子さんの靴などからフッ化水素酸が検出された。直ちに勤務先にも警察が行き、フッ化水素酸を仕事で使用していることや、その管理責任者が深谷であることを確認した。
会社で資格取得が推奨されており、家でやることがないので、時間を見つけては資格取得に励んでいる。
業務にあまり関係ない資格もあるが、資格勉強をすると、しょうもないと思っていた社内の業務が実は法律に基づいたものであることがわかったり、合格後はその資格の技術委員会の裏方に参加できたりとなかなか面白い。
取った資格は以下の通り。工場系でオススメの資格あったら教えてほしい。
危険物取扱者(甲種)
エネルギー管理士(熱分野)
ボイラー技士(一級)
環境計量士(濃度)
ガス主任技術者(甲種)
品質管理検定(二級)
ファイナンシャルプランナー(二級)
当時、当該プロジェクトの予算執行を正当化する立場から説明していた文科省のメンバーは以下の3人。
磯田文雄も倉持隆雄も内丸幸喜も、叩き上げの文科省エリート官僚で、HPCの研究者でも何でもないよ。経歴を調べてみればわかる。
この事業仕分けメンバーの中で一番HPCのことをわかってるエキスパートは、評価者の金田康正氏。んで、読めばわかる通り、文科省側の説明の適当さや誤魔化しの部分に対して、一番厳しい評価をしていたのも金田氏。蓮舫は金田氏のツッコミに対し、文科省側に助け船を出すという立場だった。
なお名前が出ていない「説明者((独)理化学研究所) 」は、平尾公彦とされている。この人は専門が理論化学・計算化学なので立派に研究者ではあるが、当時すでに63歳の大御所で、論文も何年も前からlast authorとして関わるものばかりになっていた。
2009年当時は東大理事・副学長(普通の副学長より2ランク上)から転じて理化学研究所特任顧問・副本部長と東大名誉教授に就任。2010年には理化学研究所計算科学研究機構機構長に就任している。つまり、増田が言うところの
あの場には事業側の人を呼ばなくちゃだめだったんだよ。
という想定に最もフィットしていた(はずの)人間だと言える。本人もHPCwire Japanというサイト(https://www.hpcwire.jp/archives/16547)で
東大を定年退官する際に、ある私立大学から声を掛けて頂いていたのですが、契約書にサインをする直前に、理研から新たにスパコンのセンターを立ち上げるので、来てくれませんかと話が来ました。私自身は計算機を専門にやっているわけではなく、計算機を使って様々なサイエンスを展開する、計算科学の人間でしたので、果たして私に務まるのかと躊躇しました。
わかるだろうか。学校でも、職場でも、趣味の集まりなんかでも、恋愛的な物事に一切関わらなかった人は少ないと思う。自分から恋愛をやってみるとか、アプローチを受けるとか、ほかの人が恋愛してるのを外から見るとか、みんなも体験してきてると思う。
私は企業での契約社員勤め(夫、子どもあり)の身分だけど、職場でそういうのを見てきた。その中でも、「恋愛に発展する可能性がない」ような、そういうシチュエーションがなんだかいいと思う。
その人と最初に会ったのは、会社のイベントでの動員だった。地域貢献をするタイプの会社で、敷地内で年に一度だけ出店をする。去年、その中のアトラクションのひとつで受付の仕事をすることになった。一緒の長机に、私とその人(Nさん)と、後は入社して半年の女性と、一番奥側に管理責任者の人が座ることになっていた。
イベントの本番前日の準備の時、Nさんを初めて間近で見た。一緒にアトラクション(風船釣りとか輪投げとか)を作っている時に、とても頼りになって、雑談を振ってくれて、体力もあって……。私と同じ30代のようだった。少し年上。独身。
その時に思い出したんだけど、私が契約社員として採用されたばかりの頃、他機関への申請ものの仕事があって、Nさんと絡んだことがあった。必要な添付文書がわからなくて、その時に丸投げみたいな感じ(○○の補助をもらうために必要なデータがほしいetc)で別部署のNさんに電話で依頼したんだけど、2日で取り寄せてくれた。
いい人だと思った。直接Nさんの部署に行ってお礼を言った。私は既婚だから、ほかの女性と違って恥ずかしがらずに堂々とNさんと話ができる。
これがもし独身同士だったら、お互いに廊下で話をしてるだけで噂になるかもしれない。でも、私は結婚指輪をしてる。普通に雑談してるだけだと周りに疑われることはおそらくない。
イベントの準備が終わった後は、Nさんとちょっとだけ話をした。落ち着いた雰囲気で、目力が強くて、やっぱりいい人だなと思った。私の夫は、知り合いだった頃も、友達だった頃も、付き合っている時も、結婚してからも細かい気遣いをしてくれない。話もあまり聞いてくれない。子どもっぽいところがある。
ほかの準備に参加してたスタッフのうち、学校出たての若い子も、私より年上の人も、Nさんと話す時に明らかに感じが違った。機嫌がいい。声が高かったり、逆にすごく低かったりしていた。Nさんの個人情報はあまり書けないけど、落ち着いた感じで、他人の話を聞ける人だった。大人だった。
これがもし独身同士だったら、たぶん会話もできないんだろうな。私が学生だった頃を思い出すに、好きな人と話す時とか、話しかけられそうになった時や、視線が合いそうになった時は、まともな状態じゃなかった。廊下で好きだった人と出会い頭に走って逃げたこともある。
ありていだけど、胸がドキドキとでも言えばいいのかな。今ではそんなことはないけど、若い時はしょっちゅうだった。例えば、会社の中でFAXの目の前にいて、気になる人が傍を通りすぎる時に、「増田さん、やり方がわからないの? 教えてあげる」というシチュエーションを想像して胸が痛んだ。もう、あの頃のピュアに戻ることはないのだろう。
そういえば、今の旦那と出会った時もそうだった。地方都市で大学生をしてたんだけど、ハタチの頃の旦那がゼミの帰り道に傘を持ってなくて、横断歩道に立っていた。すぐ後ろにはお婆さんがいて、「傘、途中まで一緒に入りませんか?」と問われて、旦那が承諾したみたいで、結局は駅の前まで二人で相合傘だった。お婆さんは旦那とずっと話をしていて、満足そうだった。
当時の旦那のそんな姿を見て、気になり始めたんだっけ。懐かしいな。
本番当日、Nさんと一緒にイベントの仕事をこなした後も、会社の中ですれ違う度に挨拶をしたり、他愛ない話をしたりした。結婚というのはスゴイと思う。どんなに素敵な人を目の前にしても、全然緊張しなくなる。自然体でいられる。この人と結ばれることがない、という安心感からだろうか。
ちょっと前なんかは、私のいる職場にNさんが用事でくることがあった。あっという間に帰ろうとしたのだけど、その時に彼の後ろを追いかけて、「あ、Nさん私と一緒のところに行くんですね。後ろ付いていっちゃお~」って、高校生の頃に戻ったみたいに、わざとらしいアピールをして反応をうかがった。「行き先が一緒なんですね。どうぞ」と返してくれた。
あと、別の日に「髪切った?」と聞かれて、ハイと答えると「似合ってるね!!」って言われた。この時も、特別な感情は芽生えなかった。いや、すごく嬉しかったけど。でも、ほかの友達と一緒に話をする時とそう変わらなかった。
繰り返しになるけど、『この人とは結ばれない』って心の底からわかってるから、平常心で会話が成り立つ。そうじゃなかったら、いろいろと無理だよ……。
先日のことだ。仕事を終えて事務室を出た後、途中でNさんと一緒になった。会話をしながら階段を降りて、カードキーをかざして建物を出て、駐車場まで歩いて行こうとした時に、「増田さんはいい人ですね!!」とNさんが言った。反応に困っていると「今度二人でご飯行きませんか?」と誘われた。
「いいですよ」とは言ったけど、正直反応に困った。子どもがいるから、夕方以降に完全に家を空けるのは……という思いがあるし、昼だと周りに見られるかもしれない。家で飼っている猫も気になる。
子どもに留守を任せることもできるけど、たまに実家の母が訪ねてくることもある。心配でならない。
Nさんとご飯に行きたいとは思うけど、正直迷っている。いったいどうすればいいのだろうか。たぶん、普通にご飯に行っても大丈夫なんだと思う。でも、絶対に安心というわけじゃない。ここに書いている暇があったら考えればいいのかもしれないけど、いい知恵が出る自信がない。
こんなに読ませた後で申し訳ないけど、誰か知恵を貸してほしい。手厳しい意見でもいいので。正直、人生で何番目かに迷っている。Nさんとご飯に行きたいけど、もしそういう感じになったら無理だと思う。どうしたらいいのだろう。
成人年齢引き下げで大学生になったら全員少年法ではなくて刑法で裁かれて刑務所に入るかもなんだな。
本当にトラバブコメ全部読んだの?ただ自分の主張に誘導したいだけじゃないの?
俺も件の増田にはリアクションしたけど、自衛官とかエッセンシャルワーカーの人たちを下に見たことなんてないぞ、むしろ「俺に絶対できないことをやってる」と尊敬してるくらいだ
裁かれるべきはあくまで悪いことをした当人とその管理責任者でしかない
場合によっては管理責任者ニアリーイコールその組織自体という認識になることもあるだろうが、その認識に至ったところで、組織の中で働き続ける人々にあまねく批判の矛先を向けることは俺はしない
ついでに、徴兵制の話で「望んでなったわけでもない隊員」が兵役満了後に「この国に恨みを持っているわけではない国民」として民間に放たれるのか?本当に?
前澤氏がお金配りをしているサービス kifutown に気の迷いで登録してしまったのだが、実際のところ、お金をもらったことは一回もない。
何も通知がないなーと思ってたら、アプリ内で勝手にログアウトされてしまいそもそも通知すら届かない状況になっていた。
これは続けてもしょうがないと思い、退会しようとして始めてプライバシーポリシーに目を通したのだが、ちょっとおかしいなと感じたのでここに書いておく。
これから登録してみようと思う人はしっかりプライバシーポリシーを読むべきである。(チェックを入れたことで同意したことになっているのだが)
https://www.arigatobank.co.jp/terms/privacypolicy/index.html
などなど…。全部紐づくなぁ、ちょっと怖いなーと思いながら入力してしまったのだが、どうかしていた。
当社は、以下の利用目的を達成するために必要な範囲内で、パーソナルデータを利用します。なお、お客様が本サービスのご利用を終了した後も、当社は上記の範囲内でお客様のパーソナルデータを引き続き利用することがあります。
サービスの利用を終了しても利用することがあるらしい。お金がもらえた人はいいんだけど、結果的に何ももらえてなくても同意した時点から特に期限なく個人情報を保持されてしまいます。
1. 当社は、法令により認められる場合および本プライバシーポリシーに定める場合を除いて、事前にお客様の同意を得ることなく、パーソナルデータを第三者へ提供することはいたしません。
「第三者へは提供しない」とあります。では、第三者ではない範囲とは?というとその下に書いてあります。
2. 当社は、前条の利用目的の達成に必要な範囲内において、パーソナルデータの取扱いの全部または一部を第三者に委託する場合があります。この場合、当社は、委託先に対して適切な監督・安全管理措置を実施します。
3. 当社は、より良いサービスを提供するために、以下の内容でパーソナルデータの共同利用を行います。
(1)共同利用するパーソナルデータ
第1条記載の全てのパーソナルデータ。ただし、ARIGATO IDの認証情報(パスワード)は共同利用の対象外となります。
(2)共同利用の目的
前条の利用目的と同じです(ただし、同条における「当社」を「当社および共同利用先の事業者」と、「本サービス」を「当社および共同利用先の事業者が提供するサービス」と読み替えるものとします)。
(3)共同利用の範囲
(4)共同利用における管理責任者
提供ではなく委託ですか…。分析のためのサービスを利用するという意味も含んでいるのでしょうが、データの分析やマーケティングのアプローチをそのまま外注することも含まれていますよね。
本当に「委託先に対して適切な監督・安全管理措置を実施」できるのか不安が残ります。
「共同利用の範囲」としているのは「当社の親会社、子会社または関連会社」、「株式会社スタートトゥデイ」、「株式会社グーニーズ」となっています。
具体的に企業名が上がっている2社は前澤氏の立ち上げた会社ですね。
「当社の親会社、子会社または関連会社」には "利用開始時点での" とは書かれていませんので、今後買収して子会社化する企業や前澤氏が作る関連企業も含め、気づかないうちに共有される範囲がどんどん拡大されることになるでしょう。
8. お問い合わせ
本プライバシーポリシーに関するお問い合わせ、当社が保有するパーソナルデータの開示・訂正等・利用停止等についての権利を行使されたい場合には、以下の窓口にご連絡ください。
「権利を行使されたい場合には」とあるが、おそらく「個人情報の保護に関する法律」に基づく権利行使だろう。
第二十八条(開示)、第二十九条(訂正等)、第三十条(利用停止等)とある。
たとえば、第三十条(利用停止等)には次のように書かれている。
第三十条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十三条第一項又は第二十四条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
ざっくりいうと「事業者の側にルール違反が見つかったら個人情報の利用停止を請求できる」というものだ。
利用に関する規約に同意した本人が「使ってほしくないから使わないでくれ」と利用停止を請求しても、規約に対して特に違反していなければ事業者側が受け入れない限りこちらの請求は却下されるだろう。
プライバシーポリシーを利用前に読もう。
健常な知能がある(とされる)人がバンバン万引きやって、人殴ってたりしたらそいつは「クズ」「カス」「社会のゴミ」ってことになる
それが知的障害者だと、クズとか言ったほうが逆に針の筵に立たされる雰囲気が出る 言うべきは「正しい支援が得られるようになってほしい」などのセリフ
いやいや、と思う
同程度の知能でも犯罪をやりまくらねえ奴も当然いるんだから、知的障害のある犯罪者も普通にカス扱いするべきなんじゃないのか
環境が悪くて/生まれもった資質が悪くて犯罪者になってしまった、って点では、健常者も障害者も違わないんじゃないのか
そらヘンでしょう
どっちにも厳しくするか、どっちにも優しくするか 統一しなさいよ 俺は優しくする方を推すけどな
これ人間が同じことやったら罵倒で埋め尽くされるじゃん まあたぶん、人間だと車線規制じゃなくて通行止めになりそうっていうのも大きいが いや、なるかな?ならん気もするな
とにかく、ケモノが道路に入り込んだせいで人間が迷惑被ってるのは事実なわけでしょう
これが高齢徘徊老人とかだったらもう、バンバカ罵倒の雨・嵐じゃん
「猫かわいい😍」みてえな、バカ丸出しのコメントが並んでるのを見ると頭痛がしてくる
お前なあ、その優しさはどこから出てきてんだよ
意味わかんねえんだよな
これ、猫のかわいさみたいな話でもない気がする
たぶん超絶美女が寝てるとかでもそれなりに批判はされるであろう
要は、「ネコなんてバカだから高速道路に入り込んでも仕方ねえ」みたいな、"舐め"が根底にあんだよな
ネコ舐めてんじゃねえ…とはならん
実際ヤツらは低知能のケダモノにすぎんしな
高速道路はあぶないんだよー、なんていっても翌日にはビャッと入ってスッと轢かれてペチャンコになりかねない バカだから
ああしかし、野良猫は管理責任者がいないっていうのは要素としてデカいのかもしれないな
あからさまに首輪つけた猫だったら、もうちょい違う論調になってた可能性はある
知性生命体が関わっていない、ゴミ知能の害獣一匹のみによって引き起こされたインシデントだからこそ、鷹揚に構えようってことなんスかー?
それがおかしいっつってんだよな
人間だって高速道路の塀の上で寝たくなることがあるかもしれねー ネコとヒトにそこの違いはねえ!
なんだその理屈はよぉ ヒト種、我慢を強いられる長男みたいになってんじゃん
絶対に許さねえ
尤もなクレームもあるにはあるが、ほとんど「店内が混んでいでイライラする。俺を待たせるな」という基地外からのクレームだ。
さて、今日、新卒が「態度が気に入らない」というクレームを受けた。
どんなに丁寧な接客でもそれが気に入らない人間はいるものだから、新卒の何が悪かったのか、客のどこが理不尽だったのか、という是非は棚に上げる。
とにかく今日はクレームがあり、俺はその場に居合わせず、後で本人から話を聞いた。
そして、その数時間後、現場の管理責任者である上司が新卒に、朝のクレームについて聞き取りを始めたのだ。
上司、その場にいたよな?
実は2か月前に俺も違う客から「態度が気に入らない。アンドロイドのようだ」と怒鳴られ、今も頭痛や動悸に悩まされている。
新卒の話に俺の方が苦しくなって、「あの客は虫の居所が悪かったんすよ。以前から気分にムラがある客です」とヘラヘラしながら横入りしてしまった。
俺は最低だ。
だが、若干18才、アルバイトすらしたことがない新卒が、怒鳴られているのを放置する上司は、マトモなのか?
一刻も早く転職したいが、こんな上司の話をTwitterでよく見るように思う。
日本はどこもこんなくそったればかりが覇権を握ってのうのうとしているのだろうか。
だとしたら俺はどこに転職してもはみ出し者なのか。
バーチャルYouTuber事務所3社(カバー、いちから、アップランド)の管理機能に関するログ
-
田角陸くんがいちからを始めた年齢の時にスタートアップを首になったワイ、格差に震える
一般的に社内法務に弁護士資格や法学部出身部長を置く会社は大企業でも少なく、じゃあ誰が
リーガル担当するの? となると総務になる。労務も法知識が要るのでセット運用や
いちからは管理本部長にPwCあらた出身の公認会計士を据えていて強い。通り一遍やれる
部下のアラートを拾って他の経営幹部に共有できる資質がありそう(現場では煩わしくいわれるが)
一方でカバーは現場あがり半分、投資家半分と歪な役員構成をしとる。管理責任者がおらん
後者2人はTwitter見る限りリスクを厭わない性質やから歯止めにならん。ビジネスポエムばっかりなやつは信用ならん(個人の感想です)
管理部門不在で起こるべくして起きたとしか思えへん。営利利用許可も、夜空メルの件も
アップランドもカバーと似たような状態で総務求人乱発しとったのを思い出す
-
じゃあ法務が確立されていればガバナンスは大丈夫なんか?といえば当然違ちゃう(2020/06/06修正)
オタク界で有名な事例として、スクウェア・エニックスの著作権法違反容疑で家宅捜索ってのがあった
よりにもよってコンテンツ屋さん版権屋さんが著作権法違反容疑とか、前代未聞の珍事や
この事件はなんで起きたのか? スクエニには立派な法務部があるのに
これはスクウェアとエニックスが合併したときの話なんやが、法務はゲーム部門よりの監査的ポジションになったらしいな? 知らんけど
ほんでこのときガサ入ったのは出版部門で、法務部様の威光が届いとらんかったと聞いてる。相談の体制も甘かったし強制力もなかった
なんでこんなことになったのか、これは現場判断でどうにかなる問題ではない
出版事業の担当役員が現場に運用落とし込むか、役員全体の判断で法務部の管轄を整理せんとあかんかった
これも起こるべくして起こったインシデントや
日本やと法務含む管理部門も役員も舐められてる、まあ業務を知らん、相互不理解が招いたことなんやけど、
それだけ指揮権を発揮する担当役員は大事やし、スタートアップくらいの小さい会社やと役員構成から事業の状態が透けるんやなって
「桜を見る会」招待者名簿 管理簿未記載などで歴代課長ら処分 | NHKニュース
「桜を見る会」の招待者名簿をめぐり、平成23年から29年までの7年分が、公文書管理法で義務づけられている行政文書の管理簿への記載が行われておらず、政府のガイドラインで定められた「廃棄簿」への記録も残されていませんでした。
これについて内閣府は公文書管理法などに違反していたとして、文書管理の責任者を務めていた歴代の人事課長5人に対し、17日付けで、それぞれ厳重注意の処分を行いました。
https://ja.wikipedia.org/wiki/%E6%A1%9C%E3%82%92%E8%A6%8B%E3%82%8B%E4%BC%9A#%E6%AD%B4%E5%8F%B2
2011年(平成23年)は東日本大震災[22]、2012年(平成24年)は北朝鮮の弾道ミサイル発射への対応を理由として中止された[23][24]。
未開催年度の招待予定者名簿の文書管理責任者も等しく厳重注意の処分を受けた模様。
あと例年でどうなのか実態はわからないが、これは知らなかった。
https://ja.wikipedia.org/wiki/%E6%A1%9C%E3%82%92%E8%A6%8B%E3%82%8B%E4%BC%9A#%E4%BC%9A%E5%A0%B4
開催中の時間帯は招待客のみが入園できる(2019年は午前8時30分から10時30分)[3]。開催の可否は内閣官房長官が決定し、中止になった場合も、開催時間帯は招待客への開放のみ行われ、開催時と同様に茶菓の提供が行われる[3]。2019年の設営は開催日の前々日から2日間行われ[8]、新宿御苑の中央付近(イギリス風景式庭園辺り)にて設営された[9]。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
SESやってるとあまりにもこの組み合わせが多くて、実は間違ってるのはこっちなんじゃないかって思うほど多いから、改めて記す。
大前提として「請負と準委任契約」は、発注側から請負作業者への直接指示をしてはいけない。(直接指示が許されるのは、特定派遣か一般派遣の場合のみ)
発注側から指示がある場合は、必ず「請負側の管理責任者」に対して行われなければいけない。
つまり、「請負と準委任契約」は、最低2名からなるチームを持つ会社でないと請け負うことはできない。
現場に請負側の管理責任者と作業者がいて、管理責任者が何か作業する場合、これは「管理と作業の兼任」になるが、作業をしながらも作業者の管理や発注側との交渉を行う権限を行使できるのであれば、兼任でも問題はない。
ただし、これは「管理責任者と作業者」という最低2名が現場にいる場合に限っての話だ。
そもそも現場に1人しかいない場合、その作業者に発注側が作業指示しても、それは「管理責任者に対する指示」にはならない。
厚生労働省から出ている 労働者派遣・請負を適正に行うためのガイド から引用する。
請負事業主の管理責任者が作業者を兼任する場合、管理責任者が不在になる場合も発生しますが、請負業務として問題がありますか。
A
請負事業主の管理責任者は、請負事業主に代わって、請負作業場での作業の遂行に関する指示、請負労働者の管理、発注者との注文に関する交渉等の権限を有しているものですが、仮に作業者を兼任して通常は作業をしていたとしても、これらの責任も果たせるのであれば、特に問題はありません。
(中略)
さらに、請負作業場に、作業者が1人しかいない場合で当該作業者が管理責任者を兼任している場合、実態的には発注者から管理責任者への注文が、発注者から請負労働者への指揮命令となることから、偽装請負と判断されることになります。
これらの取り決めは、適正な労働環境を維持するため・労働者を守るためのルールである。
1年目の新人が、いきなり1人で客先常駐になり、会社名の違う人間から無理難題を押し付けられる。新人には発注側との交渉を行う権限もなければ、自分の作業分量を管理する権限もない。けれど、これが当たり前なのだと思って無理な作業を受け入れ、やがて潰れる。
これは新人に限った話ではない。なんの裁量もなくただ作業を押し付けられるだけの作業者は、いつか潰れるのだ。
