えもんブログ

社内SEのひとりごと

2021年買ってよかったもの

こんにちは、えもんです。

 

2021年ももうすぐ終わりですね。

個人的には色々あった年なんですが、振り返るのはまた別の機会としてはてなブログでのお題となっている「買ってよかった2021」について書きたいと思います。

 

今週のお題「買ってよかった2021」

①ヘッドホンホルダー

1つ目はヘッドホンホルダーです。

ヘッドホンって机の上に置きっぱなしとかだったんですが、結構場所取るんですよね。

コードも絡まったりしてゲームする時にいちいち解いていたり。。

簡単に取り付けられるし、ヘッドホンをかける部分も回転するので非常に使いやすいものだと思いました(小学生)

amzn.to

 

②サバス ソイプロテイン

プロテインの王道、SAVASです。

ホエイではなくソイです。はじめはホエイを飲んでいたんですが、どうもお腹の調子が悪くなるので、ソイプロテインに変えました。

筋肉を大きくしたいというよりは健康的に身体を引き締めたいと思っていたので、ソイでも十分かなと思っています。

牛乳で飲むのに慣れてしまったら水で飲めなくなりました。

amzn.to

③収納ボックス

シンプル収納ボックスです。

部屋に散らかっていた服が一つの場所に収まるだけで部屋が広くなります。

amzn.to

ビオフェルミン

2021年、腸活という言葉に出会いました。

小さい時にお腹を壊した時といえばビオフェルミンでしたが、腸内環境を正常に保つという観点で常服することにしています。

飲む前に比べて朝が辛くなくなり、体調も良くなった(気がしています)。

amzn.to

⑤モニター

これまではシングルモニターで頑張っていたんですが、デュアルモニターにすることで生産性が爆上がりしました。

仕事も在宅勤務が基本なので、一つのモニターでチャットを映しつつ、もう一つで資料作成を行うなど幅が広がりました。

購入後に気づいたんですがスピーカーもついているのでYouTubeを流しながら仕事もできます。

amzn.to

 

他にも色々ありそうな気がしますが、ざっくりとこんな感じです。

来年は新しいチェアがほしいですね。腰が痛すぎるので。

5年勤めたSIerを退職しました

こんにちは、えもんです。

 

SIerの社内SEからコンサルティングファームへ転職して数ヶ月が経ちました。

退職エントリとか書くほどのことしてないしなぁ。と思って避けていましたが、

 僕と同じような境遇の人の参考となれば良いなと思い、エントリを書きたいと思います。

簡単な自己紹介

理系大学院を卒業後、SIerで社内SEとして働いていました。

社内SEも業務範囲が多岐にわたりますが、私は社内のセキュリティを担当しており、社内のセキュリティと呼ばれるモノには一通り携わってきました。

まぁ、セキュリティを担当していてもSIerらしくパワポ、エクセル屋さんです。

よくあるプロジェクトのスケジュール管理、進捗管理とかですね。

世間一般的にはPMO(Project Management Office)と呼ばれている業務でしょうか。

一日の働き方については下記で簡単に説明しています。

www.emonnao.com

なぜやめるのか

前職ではセキュリティ分野の最新技術や製品に触れることができたり、海外のカンファレンスに参加できたりと若手ながら貴重な経験を積ませてもらいました。

ワークライフバランスについても、有給は取ろうと思えばいつでも取れるし、残業は月10時間程度とSIerの中では珍しい環境で仕事をさせてもらっていました。

また、職場の人間関係についても温和な人が多く、5年間の業務の中でも感情的に怒られた経験はありません。(一つずつ論理的に詰められるということはよくありましたが。)

このような恵まれた環境の中でいてなぜ辞めるという決断に至ったのか。ですが、

一言で表すと社会人としての経験値の少なさを感じてしまったからです。

 

これまで5年間さまざまな業務を経験させてもらいましたが、自分の判断、思考が求められる機会がとても少なかったように感じています。

基本的な業務の流れとして、トップマネジメント層から降りてくる業務が分解され、その一部が自分の担当部分になります。

その担当部分についてはある程度裁量が任されるのですが、結局は上司の意向に沿った業務の進め方が前提となります。

そのような環境の中で業務を行うと、どうしても上司の意見を仰ぐことが習慣になっていきます。すると、自分の頭で考えるということができない状態になります。

この仕事は上司がOKといったらOKなんだ。それがゴールなんだ。という思考です。

 

いや、担当部分で裁量が与えられているんだから、自分の頭で考えて上司を説得すれば良いじゃない。という人もいると思います。

その通りです。その通りなんですが、甘える環境がそこにあると僕は甘えてしまうのです。

これからは個の時代とも言われており、「所属企業の名前」よりも「自分に何ができるか」で評価されていく時代が来ると考えています。

そのような時代を迎えると考えていながらも、環境に甘えたまま他人の判断軸で業務遂行している自分に違和感がありました。

自分にとって甘くない環境に身を置くこと。これが僕の転職する主な理由です。

 

今はコンサルティングファームに所属していますが、利き手を変えるような転職だと感じています。

スライド一枚作成するのにもコンサルチックなノウハウが求められており、少々苦労しているところです。PEST分析などのフレームワークも当たり前のように使われているのでその辺の知識のキャッチアップに必死の状態です。

コンサルの仕事についても、紹介できる範囲で書いていこうと思います。

他にも退職時に上司をどう説得したとかも書いていければ良いかな。。。

 

今の時点ではこの選択が正しかったかどうかはわかりません。

ただ、10年後、20年後の自分が今を振り返ったときに後悔していないようひたすら努力するだけだと思います。

【不正アクセス】利用中のサービスが不正アクセス被害にあった場合どうする?【対処】

 こんにちは、えもんです。

 

 生活にITサービスが欠かせない現代ですが、近年、身近なITサービスが不正アクセス被害に遭うケースが増えてきています。

世間を大きくにぎわせた7payは記憶に新しいですね。

 

【約5,500万円の】7payの何がマズかったのか。【不正利用】

 最近では、クロネコヤマトが提供する「クロネコメンバーズ」の個人情報漏洩や、三井住友VISAカードスマホアプリである「Vpass」への不正アクセスがニュースになっていますね。

www.nikkei.com

www.nikkei.com

 

このように不正アクセス被害は毎年のように起こっており、ITサービスの利用においては常に不正アクセスの危険さらされていると認識しておいた方が良いでしょう。

明日は我が身というやつです。

自分の個人情報が漏洩、、、しかもお金が関わるクレジットカードの情報が漏れている可能性を考えると気が気でなくなってしまいますね。

 

漠然とした不安を持つより、不正アクセスについて理解し、適切な対処をすれば被害を防ぐ・最小限にすることができます。 

今回は、自分が利用しているサービスにおいて不正アクセス事件が起こった際に確認しておくべきこと・不正アクセス被害のリスクを下げる方法を紹介したいと思います。

不正アクセスについて

一般的に不正アクセスとは下記のことを指します。

不正アクセスとは、あるコンピュータに対して、正規のアクセス権を持っていない者が、不正な手段によってアクセス権を取得し、ネットワークを通じてそのコンピュータを利用することである。あるいは、そのような利用を試みること。

そして、この不正アクセスはどのようにして起こるのでしょうか。

総務省経済産業省が国内の不正アクセスの発生状況を調査したレポートを定期的に出しています。

総務省|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

f:id:emonnao:20190829194812p:plain

不正アクセス行為の発生状況

 不正アクセス行為には大きく、識別符号窃用型とセキュリティ・ホール攻撃型があります。識別符号窃用型というのは何らかの方法で手に入れた第三者のログイン情報を利用して不正アクセスを行うことです。

セキュリティ・ホール型はシステムのバグを突いて不正アクセスをする方法です。

 

不正アクセスの件数としてはこの識別符号窃用型が圧倒的に多い状況です。

中でも「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」の件数が目立ちますね。

f:id:emonnao:20190829194753p:plain

不正アクセス後の行動

攻撃者からすると不正アクセスは手段であって目的ではありません。

不正アクセス後の行為を見てみると情報の不正入手や不正送金、インターネットショッピングでの不正購入が多くを占めています。

インターネットバンキングの不正送金の件数が平成28年を境に減っているのは、サービス側のセキュリティが強固になってきたからでしょうか。

 

いずれにしても、個人の情報・金銭を目的として多くの不正アクセスは行われています。

利用中のサービスが不正アクセス被害!その時にどうする?

あなたが利用中のサービスで不正アクセス被害が発生しました。どう行動するのが適切でしょうか?

もちろん「ふーん。そうなんだぁ。」ではいけません。

被害内容の確認

 ニュースでは大々的に「○○サービスで何万件の情報漏洩!」と視聴者の不安を煽るような表現が流れます。

自分の利用しているサービスだと不安に駆られると思いますが、まずは被害内容の確認を行いましょう。

ほとんどの場合、不正アクセス被害にあったサービスの提供会社が以下のようなお知らせを公開します。

クロネコメンバーズにおける不正ログインについて | ヤマト運輸

いつ、何のサービスで、何があったのか。 など現時点で判明していることが詳細に書かれています。

ここで意識したいことは、どのような情報が盗られる状態にあったかということです。

どのような情報が盗られているか。それが自分にとって大切な情報か。をまず確認しましょう。

不正アクセスされていないかの確認

不正アクセスについての内容を把握できたら、次は利用履歴を確認して不正利用されていないかの確認を行います。

ログイン履歴を確認して変な時間帯にログインしていないかについて調べるのが有効です。最近では、普段と異なる環境からログインすると警告メールを飛ばすようなサービスもあるため、同時にメールのチェックも行っておきましょう。

クレジットカードであれば、普段使わないサイトからの利用や心当たりのない購入履歴が無いか確認しましょう。

 

不正アクセスは気づかない中で行われている事もあるため、このようなチェックは定期的に行った方が良いでしょう。

不正アクセスが疑われる場合の対処

パスワードの変更

不正アクセスが疑われる場合、利用中のアカウント情報(ID、パスワード)は攻撃者に既に知られているということです。攻撃者はそのアカウント情報で他の様々なサービスでも不正アクセスを試みようとするでしょう。

被害を広げないためにも、同様のパスワードを利用しているサービスがある場合は全てのパスワードを変更しましょう。

クレジットカードの停止

不正アクセス被害のあったサービスでクレジットカード情報を登録していた場合は、すぐさまクレジットカード会社に連絡して止めましょう。

高額な買い物など不正に利用される可能性があるため気づいた際には素早く対応しましょう。

不正アクセスによる被害を防ぐために

安易なパスワードを設定しない

「password」のような安易なパスワードは攻撃者からすると格好の的となります。

複雑なパスワードを設定するように心がけましょう。

ちなみに大文字、小文字、数字、記号を組み合わせて9文字以上のパスワードにすると安全と言われているようです。

 2要素認証の設定

これはサービスによって異なりますが、2要素認証が設定できるサービスの場合は積極的に利用するようにしましょう。

2要素認証とはパスワードのような知識認証と普段持っているスマホで認証する所有物認証、指紋のような生体認証のうち2つをかけ合わせたものです。

2要素認証にすることによって利便性は少し下がりますが、より強固なセキュリティレベルを保つことができます。

まとめ

ITサービスが生活に欠かせないものとなった現代、不正アクセスの危険性はより身近になっています。重要な情報を預けるサービスは最小限にしてログインには2要素認証を設定する、クレジットカードを利用した際にメールを飛ばすなど、不正アクセスが発生した際にすぐに気づくことができる仕組みを作っておく事が重要だと思います。

【セキュリティエンジニア】社内SEの一日大公開【ホワイト企業】

こんにちは、えもんです。

 

本記事では社内SEの一日を紹介したいと思います。

みなさんは、社内SEの業務をイメージできますか?

私自身、就職活動の際に社内SEの業務について必死に調査を行いましたが、当時は全くイメージできませんでした。

社内SEは業務範囲が幅広く、所属している組織によって作業が異なります。さらに社内に閉じた業務が多くを占めるため、業務内容が外に出ることが少ないことが原因だと思われます。

本記事を読んで社内SEの働き方のイメージ掴んでいただければと思います。

 

私のポジションとしては社内IT企画になります。

なかでもセキュリティ部隊に所属しており、社内のシステム・ネットワークをどのように守っていくかを考えるポジションとなります。

一言でいうと、社内のセキュリティエンジニアということですね。

 

セキュリティエンジニアについては下記記事で紹介しております。

【サイバー空間は第5の戦場】セキュリティエンジニアのお仕事とは?【必要な知識、資格とは】 - えもんブログ

1日のスケジュール

えもんが所属している組織の簡単なプロフィールです。

従業員規模でいうと数万人規模の会社のIT部門に勤めています。

全国各地に営業拠点や開発拠点を抱えており、海外にも数箇所拠点があります。

 

そんなIT部門で働く一日のスケジュールを公開しちゃいます。

8:30

出社&メールチェック

9:00

施策進捗打ち合わせ

10:00

ニュースチェック

11:00

資料作成とか

12:00

昼休憩

13:00

チームミーティング

14:00

自己研鑽or調べ物

15:00

ベンダーとの打ち合わせ

16:00

自己研鑽or調べ物

17:00

自己研鑽or調べ物

17:30

帰宅

 

ざっとこんな感じです。自己研鑽とか調べ物とかが目に付きますね。

あくまで自己研鑽や調べ物というのは最新の攻撃手法を学んだり、脅威情報レポートを読んだりとセキュリティに関することを調査しています。

サボっているわけではないよ。

平常時は施策の進捗確認や定例会議が多くを占める

平常時は基本的に社内で進めている施策の進捗状況の確認や問題点の洗い出しなどを行います。

施策はセキュリティ製品の展開や社員へのセキュリティ教育など、幅広く行っていますが、端末に製品を導入するようなプロジェクトだと従業員の業務影響の観点から慎重に進める必要があるため、打ち合わせの回数が多くなる傾向があります。

職場の人も穏やかな人が多く、一緒に仕事をする上で良い人間関係を築くことができています。帰宅時間についても基本的に定時退社となり、帰宅してから自分の時間を確保できる点も良い部分ですね。

 

平常時は上記のようなスケジュールですが、システムが止まった時やセキュリティインシデントがあった場合は少し異なります。

ニュースチェックや自己研鑽の時間が対策会議となり、復旧に向けた打ち合わせになるようなイメージです。会議が長時間におよぶこともあり、ぶっちゃけ精神的に辛いときもあります。

インシデントの発生など想像もしたくない…

まとめ

簡単に社内SEの一日のスケジュールを公開しました。

毎日がこのようなルーティンではありませんが、基本的にはこのスケジュール感で動いています。何もなければ定時退社が当たり前の文化なので、ライフワークバランスはとても良い職場です。

一方で社内に閉じている仕事のため「やりがいを感じない事」や「知識・技術のガラパゴス化」は否定できません。退社後の時間の使い方を考えて、外部とのつながりを持ち視野を広げる事が必要だと考えています。

近年、会社の垣根を越えた社内SE同士の勉強会も開かれているため、これから積極的に参加してみようと思っています。

【書評】転職の思考法・北野唯我著【伸びるマーケットを見抜く力をつけよう】 - えもんブログ

【実践】平凡な社員がテレワークをして感じたこと【オリンピックに向けた働き方改革】

こんにちは、えもんです。

 

働き方改革の推進や1年後に控えた2020年東京オリンピックに向けて、企業によるテレワーク推進が本格化しています。

今回、いち社員として1週間テレワークを行いましたが、色々と感じる部分があったので、メリット・デメリット含めて書きたいと思います。

テレワーク・デイズとは

2012年のロンドンオリンピックの際に市民にテレワークの活用を呼びかけたところ、都内の交通混雑の緩和と従業員満足度が向上したという結果が得られました。

        f:id:emonnao:20190726004021p:plain

その結果を背景に東京オリンピックを控える日本でも実施が決定し、その文化を根付かせるために2017年から毎年予行演習が行われています。

特に近年では「働き方改革」ブームもあり、社員の一斉テレワークを実施する企業が増えてきています。

teleworkdays.jp 

テレワークのメリット・デメリット

平凡な社員の私が1週間実践してみて感じたことです。

メリット

通勤時間が無くなった

在宅ということで通勤時間が0になりました。

暑い夏の中、スーツを着て満員電車に揺られながら会社に着く頃には体力が0に近い状態…なんてことは都内で働く誰もが経験あることでは無いでしょうか。

         f:id:emonnao:20190726004319p:plain

非常に快適になり、睡眠時間も多めに取れるようになりました。

通勤時間がこの世で一番の無駄だと感じている自分にとってはこれが一番のメリットだと感じました。

誰かに話しかけられる事が無いという快適さ

ブロガー界隈で有名なマナブさんが以下のようなツイートをしています。

めちゃめちゃわかります。 

僕自身も誰かに話しかけられるという環境だと集中できないタイプです。

「向こうから近づいてきた…なんの用だろう?」

「あーあの人怒ってるな…なんで怒っているんだろ」

とか気にしてしまうタイプなので人がいるオフィスではなかなか集中できません。

テレワークであれば自分ひとりの空間で作業するため、人に話しかけられる心配がありません。

身だしなみを気にする必要がない

起きてすぐにPCを立ち上げて仕事をすることができるので、身だしなみを気にする必要がなくなりました。

ただ、Webカメラを用いた会議の場合は最低限の身だしなみは整えないといけませんでした(笑)

スーツを着なくて良いのが素晴らしいですね。

雑談がなくなり、タスクベースになった

オフィスには人が集まり、中には雑談が好きな人もいます。

人と話すことで考えが整理されるタイプなので、雑談も良いと思いますが、やはりついつい話してしまう&新たに仕事を振られるというリスクが発生します。

           f:id:emonnao:20190726012155p:plain

テレワークだと話す相手がいないのでそのような心配もなくなります。

Web会議などで話す時も目的があって打ち合わせを行うため、無駄な会話が発生しづらくなります。

淡々と今、やらなければならないこと、タスクをこなす事ができるようになります。

デメリット

ツール慣れしていない人とのコミュニケーションが難しい

テレワークを行うためにはチャットや社内SNS、Web会議などツールをフル活用しないといけなくなりません。

私が勤めているようなレガシーな企業では「連絡手段はメールか電話のみだ!それ以外はわからん!」といってツールを使いこなせない人たちがたくさんいます。

チャットで済むようなことも電話やメールで対応しなければならなく、非常に煩わしかったです。

これからは新しいツールを受け入れて、使いこなす力がないと厳しい時代になっていくでしょうね。 

食事が雑になる

在宅勤務になると昼ごはんがカップラーメンになったり、間食がいつでも取れてしまうので、食事が適当になっちゃいました。

普段は会社の社食に頼っているため、栄養が偏ってしまうのがデメリットですね。

しっかりした食事を取りたい時は、UberEatsを使ってなんとか人間的な生活を保っていました。

【プロモーションコードと】Uber Eatsのはじめかた【お友達紹介クーポンをうまく使おう】 

まとめ

普段はスーツを着てオフィスで働く自分にとっては、テレワークは非常に快適で集中力も途切れることもなく、仕事の生産性が高まった気がします。

一方で部下が何をしているか、どのような動きをしているかを掴みづらく、マネジメントという観点では非常に難しいのではないでしょうか。

日本企業は会社に時間通りに来ること、上司が見える範囲でうまく動く事が評価される世界ですが、テレワークを文化とするためには成果(結局、あなたは何を生み出したのか?)を評価する世界にへシフトする必要がありますね。

【不動産投資】新築ワンルームマンション投資に勧誘されたので調べてみた【勧誘】

こんにちは、えもんです。

駅前でiPad持った若い女性に話しかけられて「(逆ナン?)」って思ったらワンルームマンション投資の勧誘でした。

超優良顧客で有名な私は、近くのファミリーレストランでみっちり1時間、新築ワンルーム投資について話を聞いてきました。

すなわち、本記事は、

 という方向けの記事になります。

 

結論から言いますと、新築ワンルームマンション投資は

・毎月のキャッシュフローがマイナスになることが圧倒的に多い

・ローンが払い終わるとキャッシュフローはプラスになる

・投資としての旨味はゼロに等しい

というのが私の所感となります!

 

 

新築ワンルームマンション投資とは

 そもそも新築ワンルームマンション投資とはどのような投資なのでしょうか。

一言で表すと、

都内や大都市に建てられた新築ワンルームマンションの一室のオーナーとなり、そこに住む人から家賃収入を得る。

となり、数ある不動産投資の一つとなります。これだけ聞くと良い響きですね。

ワンルームマンション投資は不動産投資初心者にも手軽に始めることができるため、社会人の副業として選択する人が多いようです。

 

僕を勧誘してきた営業の方曰く、

ワンルームマンション投資を行えば「不労所得の獲得&老後の資産形成」になる。

とのことです。

f:id:emonnao:20190719012147p:plain

本当に新築ワンルームマンション投資でそのようになるのでしょうか?

そんなうまい話があるわけない。少し調べてみました。

不労所得&老後の資産形成になるの?

答えから言うと「将来的には不労所得になります。」です。

ワンルームのオーナーになる訳ですから毎月家賃収入が入ってくるはずですよね。

残念ながら、ほとんどの人はすぐに不労所得を得る事はできません。

不労所得を得られるようになるのは、ローンが払い終わってからとなります。

一般的に都内の新築ワンルームであれば、3000万〜4000万ほどの価格となり、全て自己資金で賄うことができれば良いのですが、ほとんどの人は投資用ローンを組むことになります。

35年ローン(金利3.5%、ボーナス返済25%)で計算すると、月々の返済額は9万〜12万ほど。

f:id:emonnao:20190719004625p:plain

これを全て家賃収入から賄うことは難しく、むしろ自分の財布から1〜3万を持ち出す必要があります。

すなわち、ローン返済が終わるまでは家賃収入を得ることができない上に、お金を支払い続ける必要があります。

ここで営業さんは言葉巧みに

年金だけでは不安ですよね?老後の資産形成になりますよ。

と言ってきます。

でも普通に考えてみて下さい。

ローンを完済する頃には老朽化が進み、マンション自体の価値も低下しています。

そのため、どんなに人気なエリアでも家賃は下がっていきます。

試しに現在の築30年のワンルームの家賃を調べてみてください。

安い家賃設定、さらに入居者がいない部屋が沢山あると思います。

いわゆる空室リスクというやつですね。

空室リスクあるの嫌だな…入居者がつかないと家賃収入が無くなるのでは?

すると、営業の方はこのように言いました。

そういう時のために「サブリース契約」というのがあるんですよ。

サブリース契約とは?

サブリース契約なので空室でも家賃収入を保証します。

営業さんはこのように甘い言葉を囁きます。

空室でも家賃保証されるなんて素晴らしい制度だ!と思っちゃいますが、やはり裏があります。

サブリース契約を図で表すと下記のようになります。

f:id:emonnao:20190719122848p:plain

簡単に説明すると、オーナーと入居者の間にサブリース会社が入り、家賃の支払いを仲介します。

この契約により、入居者がいなくとも家賃は保証されますが、家賃の1割程度が手数料としてサブリース会社に支払われます。

オーナーにとっては非常に魅力的な制度だと思いますが、ほとんどがサブリース会社にとって有利な契約となっています。

家賃から手数料分は引かれ続けますし、契約打ち切りのタイミングも業者次第となっています。

新築から数年はサブリース契約で手数料ももらい、入居者が入らなくなるタイミングで契約を打ち切るようなサブリース会社も出てくるでしょう。

 

オーナーの「空室リスク」への不安をうまく利用した制度ですね。

結局、どういう人に向いているの?

では結局のところ、新築ワンルームマンション投資はどういう人に向いているのでしょうか?

私が営業の方と実際に話して感じたことです。

まとまった自己資金を持っている人

ワンルームマンションを購入する際に、フルローンを組まなくて良くなります。単純な計算になりますが、3000万を一括で購入して、家賃が10万だった場合、約25年で元が取れますね。

35年フルローンで買うよりは早く不労所得を得ることができそうですね。
(個人的には3000万もの大金をワンルームマンション投資に充てるのはナンセンスだと思います。)

ただし、それでも25年…

中長期的な視点で不労所得を考えている人

自己資金が無い中でこの投資を始めた場合、ローンを完済するのに長期的な視点でローンを返済していく必要があります。

ボーナスなどでうまく繰り上げ返済したとしても、即完済するのに何十年とかかります。

新築ワンルームマンションだと物件価格も高額なので、すぐに不労所得を得たいという人にはおすすめできない投資となりますね。

【位置情報公開?】女子高生に人気のZenlyについて調べてみた【『どこにいる?』はもう不要】

こんにちは、えもんです。

 

先日LINEのマーケティング責任者の舛田淳さんが以下のようなツイートをしていました。日本一のSNSであるLINEも関心を寄せるZenlyとは一体どのようなサービスなのでしょうか。

 

今回は、急成長中のSNS『Zenly』について解説したいと思います。

 

 

Zenlyとは

Zenlyは2015年にフランスのZenlyh社が開発した、電話番号やIDで友達になった人の現在地を確認する事ができる位置情報シェアアプリです。

apps.apple.com

f:id:emonnao:20190714134832p:plain

FacebokやWeChatにも同じように位置情報をシェアする機能がついてありますが、アプリを実行中でないと表示されません。

一方、Zenlyはアプリを閉じている状態でも現在の位置情報を共有し続けます。ここがその他のSNSと大きく異なる点ですね。

f:id:emonnao:20190714140423p:plain

「このAppの使用中のみ許可」を押しても次へ進みません。

「常に許可」のみ利用可能です。

20代後半男性の感覚としては常に位置情報をシェアするということ自体少し怖く感じます。何故10代の若者に支持され始めているのでしょうか。

主な機能を見ていきましょう。

主な機能

友達の追加

SNSでは当たり前の機能となっている友達の追加です。Zenlyは初回登録時に電話番号の登録を行います。また、電話帳と連携しているため、電話帳に載っている人が既にZenlyを利用していれば、自動的に友達に追加されます。

電話帳の他にもZenly ID、電話番号、Bumpといった方法で友人を追加することが可能です。この辺はLINEなどと大きく変わりませんね。

f:id:emonnao:20190714140416p:plain

チャット機能

SNSでは当たり前となっているチャット機能です。1対1のみではなくグループチャットも可能です。地図上に表示されている友達をタップするとその場でスレッドが立てられます。

f:id:emonnao:20190714142442p:plain

メッセージのみでなくスタンプなども送れるので、LINE感覚で利用することができます。

位置情報が表示されていることから、わざわざ「今どこにいる?」と言う必要性が無くなったり、「お互い近くにいるし…」となり、近くにいる人を誘いやすくなるというメリットがありますね。

セキュリティについて

常に位置情報を公開しているという点でセキュリティ的に「怖い」という思う方もいるかも知れませんが、もちろん位置情報をあいまいにしたり、固定したりする機能があります。

ゴースト設定

「特定の人のみ居場所を特定されたくない。」といった要望のためにゴースト設定というのがあります。

正確な位置:現在地が正確に表示される。

「あいまい」な位置:現在地から外れた大まかな位置が表示される。相手にも「あいまい」な位置設定している事がわかる。

位置を「フリーズ」:この設定をした瞬間の現在地が固定される。「2時間、8時間、24時間、ずっと」から選択可能。

f:id:emonnao:20190714145416p:plain

まとめ

女子高生を中心に人気の出ているZenlyについて解説してみました。

基本的な機能はLINEと同じですが、「友達と常に位置情報共有する」点が大きな特徴です。いつでもどこでもつながる状態が当たり前の今の時代を表していますね。

この機能があれば、友達との待ち合わせは楽になるでしょうし、その人がどのような場所にいるのかが分かることでパーソナリティを深く知るきっかけとなると思います。

一方、家の場所を教えなくても検討がついてしまったり、知られてほしくない情報を知られてしまうリスクはあるので、うまく運用しないといけないのは間違いなさそうです。

 

「ごめん!今、家出た!(まだ出ていない)」が使えないじゃん…

 

また、Twitterで不特定多数の人とZenly IDを交換している人を見かけますが、非常にリスクの高い行為だと感じます。

セキュリティの点を考えると、ゴースト機能があったとしても、相手に自分の大まかな位置情報を伝えることになるので友達追加は安易に行わない方が良いですね。

【約5,500万円の】7payの何がマズかったのか。【不正利用】

今回は、巷を賑わせている7payの不正利用について、セキュリティ系SE視点の独り言です。

 

セキュリティというのは痛みを伴ってはじめてその重要性を知るものです。。。

この騒動から個々がセキュリティをより意識するようになってくれればと思います。

7payとは

2019年7月1日よりサービス開始となったセブンイレブン独自のモバイル決済サービスとなります。

nanacoポイントが貯まったり、セブン銀行との連携などセブン&アイホールディングスの傘下のサービスと連携できるのがポイントとなっています。

www.7pay.co.jp

不正利用騒動

サービスを開始して間もない7/3ごろからTwitterなどで不正利用の報告があり、あちこちで不正利用の報告が上がってきました。

たったの4日間で900人、金額としては5,500万円の被害が出てしまいました。

原因としては悪意のある第3者による不正アクセスとなります。

ニュースによると海外のIPからのアクセスらしいですが、このスピード感で不正利用が発生するということは、犯人はサービス開始前からある程度情報収集を行っていたことが予想されます。

piyolog.hatenadiary.jp

記事内でも触れられていますが、指示役と実行部隊が分かれていることから国際的な犯罪組織が関わっていることは間違いなさそうです。

何がマズかったのか

なぜ7payはここまでの被害を出してしまったのでしょうか。

システムの脆弱性

これはニュースやTwitterでも散々言われていますが、システムが脆弱過ぎました。

今どきIDとパスワードのみでログインできてしまうシステムなんてあり得ません。特にお金が密接に絡むシステムならなおさらです。

他のモバイル決済サービスとして有名なpaypayはID、パスワード認証に加えて、SMS認証を行っています。いわゆる二段階認証というやつです。

また、社長は記者会見内で

「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」

と発言していますが、これは脆弱性以前の問題ですから、単純な脆弱性診断では引っかからないでしょうね。おそらくこれが仕様なので。

また、最近では完成したシステムに対してホワイトハッカーが本格的な攻撃を仕掛けてシステムに脆弱性が無いか確認するサービス(Red Team Service)があるのですが、それも使っていなかったようです。

 

           f:id:emonnao:20190705201834p:plain

最近は、Security By Designという考え方がSIerの中では流行っているそうですが、全く浸透していない事が明らかになってしまいました。

ちなみに、Security By Designというのは企画・設計の段階からセキュリティ対策を組み込んでおくという考え方です。

脅威ベースのシステム設計を行わない日本のIT業界

通常であれば、ID、パスワードが第三者に知られてしまった場合のリスクというものを考えて「2段階認証を入れましょう。」となるはずなんですが、そうならなかったのが今の日本のIT業界の現状です。

今回はNRINTTデータNECという日本を代表するSIerが開発に携わっていたようですが、日本のSIerというのは基幹システムにノウハウ・強みを持っているんですよね。

モバイル決済システムのようなコンシューマー向けのシステム開発のノウハウは無いに等しいです。

一方、paypayやLINEpay、メルペイを開発したWeb系と言われる企業は不正アクセスを許してしまうと他のサービスも成り立たなくなるため、不正アクセス対策には細心の注意を払っているはずです。

このように脅威ベースでシステム設計を行えば、自然と二段階認証の実装というものが出てくるはずなのですが、悲しい事に今回はそのような設計を行っていなかったのでしょうね。

 

お客様(セブン&アイ)から「paypayのような物を作って欲しい。」とでも言われたのかなぁ。SIerも「安くやりますよ。」とか言っちゃったのかなぁ。

【Web Isolation】Web分離とは?概要と導入における注意点【インターネット分離】

こんにちは、えもんです。

 

インターネット閲覧におけるセキュリティリスクは高まり続けています。このようなリスクに対して効果的だと言われている「Web分離」技術についての概要と導入における注意点を解説したいと思います。

 

 

Web分離(インターネット分離)とは?

攻撃の入口はメールが一般的でしたが、近年ではクラウドサービスの増加などからWeb経由での攻撃が増加しています。

Webの攻撃としては正規のサイトを改ざんしてマルウェアに感染させる「水飲み場攻撃」などが代表的です。

ちなみに「水飲み場攻撃」という名前は、猛獣が水飲み場に潜んで獲物を待ち伏せ、水を飲みに集まってくる動物を狙って襲いかかる光景になぞらえて名前がつけられています。

                                  f:id:emonnao:20190626194217j:plain

話を戻しまして、、、Web経由の攻撃はユーザからすると違和感なく操作できているので、攻撃に気づきにくいという特徴があります。

また、Web経由の攻撃はブラウザやコンテンツの脆弱性を利用して仕掛けてきており、企業側で完全に防御するのは難しい状況です。

 

そこで、社内の業務システムとインターネット接続環境を分ける「Web分離」という考え方が現れました。

ですが、物理的に業務環境とインターネット環境を分けることによる業務への影響は計り知れません。インターネットからダウンロードしたファイルを業務システムに移動するだけでなかなかの時間と労力を要します。(この作業自体が別のセキュリティリスクになり得ます。)

 

そのような課題を解決するために、論理的に業務環境とインターネット環境を分ける製品が登場してきました。

手法の種類

Web分離の実現方法は大きく分けて2つあります。それぞれセキュリティレベルや利便性、費用感が異なるので、自組織に合った製品を導入する必要があります。

画面転送方式

画面転送方式はその名のとおり、画面のみをPCに転送する方法です。

実際にページを開くのは別環境のサーバにあるWebブラウザで、その画面をPCに転送します。業務環境とWebを閲覧する環境が完全に分離している事から高いセキュリティレベルを担保できます。

ただし、「画面を転送する」のみに限定することでセキュリティリスクを低減しているため、コピー&ペーストやブックマークなど便利な機能が制限される可能性があります。

私自身この方式を社内で検証したことがあります。ブラウザのレスポンスがネットワーク環境に依存するため、いつも通りの感覚で使うことができず、採用は見送りとなりました。

端末内分離方式

端末内分離方式は、分離環境でWebコンテンツの精査を行い、無害な情報のみをPCに転送する方式です。画面転送方式と異なり、表示自体はローカルPCで行われます。

通常のWebブラウザと同じ感覚で利用する事ができるので、画面転送方式と比べるとユーザの利便性は上がります。

                f:id:emonnao:20190627182914j:plain

ただし、「何を有害と判断するか」については製品の能力に依存します。すなわち、攻撃の進化に伴い、無害化したつもりが実は有害だった…となる可能性も十分にあり得るということです。

製品としてはMenlo SecurityやMicrosoftのApplicationGuardはこの方式に分類されます。

導入における注意点

Web利用のセキュリティリスクを低減させるWeb分離ですが、いくつか注意点があります。

利便性とのトレードオフ

 Web分離のみでなく、セキュリティというのは利便性とのトレードオフです。

セキュリティを追求するあまりに、ユーザの業務効率を下げてしまっては意味がありません。

             f:id:emonnao:20190627183155p:plain

例えば「Webブラウザ経由でのファイルのダウンロードは認めるが、マルウェアのリスクについてはEDRでカバーしよう。」

というようにWeb分離技術で全てのリスクをカバーしようとするのではなく、多層防御の観点を持ち、ユーザの業務プロセスを中心に考える事が大切です。

EDR(Endpoint Detection and Response)とは?(1)

Web対策として万能ではない

Web分離はWeb経由の攻撃に対して万能というわけではありません。あくまで、Webブラウザ脆弱性を突いた攻撃に対して有効な技術です。

例えば、Web分離で実行環境を分離していたとしても、マルウェアをローカルにダウンロードして実行してしまえばそのPCは感染してしまいます。

フィッシングサイトのようなユーザの情報窃取を目的とした攻撃にも無力です。

これらのようなセキュリティリスクはWeb分離の範囲外ということですね。

【人をダメにするソファ】Yogiboを買ったらYogibo中心の生活になった話【レビュー】

こんにちは、えもんです。

 

つい先日、人をダメにするソファとして有名な「Yogibo」を購入しました。このブログもYogiboに座りながら書いています。

Yogiboとは?

Yogiboとは2009年にアメリカ誕生したソファブランドです。TV番組やSNS「人をダメにするソファ」として人気が出ました。

Yogiboが他のソファと比べて違うのは、座った瞬間に身体の形にフィットすることです。体全体がソファに包まれるような感覚になり、その場から動くことができなくなります。

 

下記、動画を観ればその柔らかさを感じることができるのではないでしょうか。伸縮自在なため、様々な使い方ができます。

  

こんなんもうベッドいらんやん...

Yogiboの種類・価格は?

Yogiboには様々な種類のソファがあります。

ファミリー向けからワンルーム向け、子供向けまで自分のライフスタイルに合ったサイズを選択することができます。

f:id:emonnao:20190625191108j:plain

Copyright © Yogibo Japan Inc.

Yogiboの代表的な製品としてYogibo Max、Short、Midi、Miniがあります。

それぞれの大きさは画像のとおりとなります。

都内の小さなワンルームに住んでいる私はYogibo Miniを買いました。

 

Yogibo Max

Yogibo Short

Yogibo Midi

Yogibo Mini

長さ

約170cm

約130cm

約125cm

約85cm

約70cm

約65cm

約70cm

約70cm

厚み

約48cm

約45cm

約45cm

約45cm

重さ

約8kg

約5.6kg

約5.9kg

約4.2kg

価格(税抜)

29,800円

25,800円

25,800円

15,800円

他にもYogibo PodやPyramidなど面白い形をした物もあるので、チェックしてみて下さい。

国内の実店舗も増えてきているので、座り心地を体験することも可能です。

Yogiboを使ってみて

我が家に来たYogibo。買って正解でした。

Yogiboが生活の中心に

ほんとにこの通りで会社に居る時も「帰ったらYogiboに座るんだ…」と思ってしまう程です。

僕は映画を観るのが趣味なんですが、同じ体勢で映画を観続けても身体が痛くならないのが驚きでした。

 

あと、自宅にYogiboが届いた時には「Miniでも少し大きいかな…」と思いましたが、その点は全く心配ありませんでした。

                      f:id:emonnao:20190625195419j:plain

Yogibo Miniでこの大きさです。身長が180cmある私の場合はYogibo Miniがちょうど良い感じです。ベッドにするのには少し小さいくらい?

家に居る時は基本的にYogiboに座っているため、Yogiboの周りに必要な物を配置するようになりました。

テレビのリモコン、冷蔵庫などはYogiboから手が届くところに置いてあります。

まとめ

せっかく家でのんびりするなら極限までリラックスしたいですよね。

Yogiboは間違いなく人をダメにするソファです。値段は他のソファに比べて少し高めですが、その値段に負けず劣らずの品質です。 

一度座ったらなかなか立ち上がれなくなるのでその点は注意です(笑)

 

私が今回購入したYogibo Miniは下記、公式オンラインストアから購入できます。極限のリラックスを求めたい場合は購入を検討してみてはいかがでしょうか。

【サイバー空間は第5の戦場】セキュリティエンジニアのお仕事とは?【必要な知識、資格とは】

こんにちは、えもんです。

 

今回は、セキュリティエンジニアのお仕事について説明したいと思います。

 

セキュリティエンジニアとは?

セキュリティエンジニアとは、サイバーセキュリティ分野のエンジニアであり、企業の重要な情報を守るためのシステム設計やその運用、実際にサイバー攻撃が発生した際の対応を行うエンジニアを指します。

 

セキュリティエンジニアの業務は幅広く、事業としてマルウェアの解析をしたり、お客様のシステムに対するサイバー攻撃を監視をする人もいれば、一般企業の情報システム部門で自社のセキュリティ対策を検討している人もセキュリティエンジニアと呼ばれます。

近年では企業のセキュリティ意識の高まりから、サイバーセキュリティのプロであるセキュリティエンジニアへの需要が高まっています。

            f:id:emonnao:20190620223701p:plain

セキュリティエンジニアに必要な能力とは?

セキュリティエンジニアは業務が多岐にわたるため、幅広い知識が必要になります。特にOS、ネットワーク、IT関連の法律(不正アクセス行為の禁止等に関する法律、サイバーセキュリティ基本法など)については最低限の知識が必要です。

 

もちろん全てを理解しているスーパーマンみたいな人は非常に少なく、業務の中で必要であれば、その都度勉強するという事が多いです。その点から新しい事を吸収する事が好きな人、抵抗がない人が向いているでしょうね。

 

また、サイバーセキュリティの世界は攻撃手法のライフサイクルが早く、セキュリティエンジニアもそのスピードに対応する必要があります。

日々進化する攻撃手法を調査するためにも、セキュリティエンジニア同士のネットワークの構築も重要です。さらには、セキュリティに明るくないお客様が分かるように説明するコミュニケーション能力も必要になってきます。

 

セキュリティエンジニアの資格

セキュリティエンジニアになるうえで必須資格はありませんが、面接の際のアピールとしてセキュリティ系の資格は取っておくと良いでしょう。

情報処理安全確保支援士

情報処理推進機構IPA)が行っている資格試験の一つであり、サイバーセキュリティ分野における数少ない国家資格となります。

年に2回試験が実施され、合格率は17.7%(H30実績)と難易度の高い試験となっております。

 

【新社会人向け】情報処理安全確保支援士(旧セキュリティスペシャリスト)に合格する方法

シスコ技術者認定

シスコシステムズの認定試験となります。セキュリティ分野では以下の認定資格があります。主にネットワークセキュリティが中心の認定試験となります。

シスコ技術者認定 - トレーニング & 認定 - Cisco

CCENT

ネットワークセキュリティを含めたネットワークの基本的な知識を認定する試験です。小規模な企業のネットワークの導入や運用、トラブルシューティングを行う知識と技能を認定します。

CCNA Security

CCENTの上位レベルの資格となります。セキュリティインフラの開発、ネットワークの脅威や脆弱性の認識、セキュリティ上の脅威の低減に必要なスキルを有していることの証明になります。

CCNP Security

シスコ技術者認定の中級レベルとなります。

ネットワークセキュリティエンジニアとして必要な、ファイアウォールVPNIDS/IPS ソリューションの各自のネットワーク環境に対する選択、導入、サポート、トラブルシューティングなどが問われます。

前提条件としてCCNA Securityの認定、またはエキスパート(CCIE)の認定が必要です。

CCIE Security

ネットワークセキュリティエンジニアとして最高レベルの技術と知識を有することを表す認定試験となります。筆記試験を合格した後に実際の環境を構築するラボ試験があります。この資格があればネットワークエンジニアとしても最高レベルの知識を所持している事の証明になります。

CISSP

(ISC)²が認定を行っている国際的な資格であり、セキュリティ共通知識分野(CBK)の8分野において深い知識を有している事の証明となります。

技術者というよりは、セキュリティリスクを正しく判断し、適切な施策、指示を出すようなマネジメントを行うセキュリティエンジニア向けの資格となります。

CISSPとは|(ISC)² Japan

CEH(Certified Ethical Hcker:認定ホワイトハッカー

これまで紹介してきた資格は比較的マネジメント寄りの資格でしたが、CEHは技術よりの資格となります。

この資格は「攻撃者に対抗するためには攻撃者のように考える必要がある。」という視点から、ハッキングに関する手法やツールの使い方など実践的な知識が求められる資格となります。

米国では「稼げる資格」として認定されており、年収額としては11万6306ドル(≒1200万円)と高収入な人が多く持つ資格となっています。

稼げるIT資格はどれ?―米グローバルナレッジが2019年版のトップ15を発表:IT人材ラボ

 

セキュリティエンジニアって稼げるんだなぁ・・・

まとめ

2016年に経済産業省は、2020年の東京オリンピックまでに日本国内のセキュリティ人材が約19万人不足するという調査結果を発表しています。

東京オリンピックの開催直前はサイバー攻撃が増加することが予想され、日本企業が持つ情報資産が標的にさらされます。

サイバー空間は第5の戦場とも言われ、既に国家間のサイバー攻撃が多く発生しています。

サイバーの世界で日本を守る。

大げさではなくセキュリティエンジニアとはそのようなミッションを持った職種とも言えます。(あと、頑張れば稼げます)

一緒に日本を守る人が増えてくれたらうれしいですね。 

東京オリンピックチケット詐欺に気を付けましょうというお話【6/20第一次抽選結果発表】

こんにちは、えもんです。

 

いよいよ東京オリンピックチケットの第一次抽選発表が近づいてきましたね。

みなさんは申し込みましたか?

 

今回は、その当選発表の際に便乗して出現するであろうチケット詐欺に注意しましょうというお話です。

 

mimikatzでCredentialGuardが突破できるとの噂があるので検証してみた

東京オリンピックチケットの第一次抽選結果は6月20日発表

2020年東京オリンピックのチケット申し込みの際の待ち時間がニュースになったことも記憶に新しいですが、その結果となる第一次抽選発表が6月20日にあります。

f:id:emonnao:20190618115810j:plain

東京オリンピックチケット販売スケジュール

結果発表時間帯は不明ですが、発表当日は、申込時と同様に東京オリンピックチケットサイトへのアクセスが殺到し、抽選結果を見るまで相当な時間を要することが予想されます。

また、当選したチケットに関しては6/20~7/2までに購入しなければ自動的に当選が失効するシステムになっています。

特に1枚当たりの金額も高額で複数枚購入している方も多いことから、クレジットカードによる決済が大半になるのでは無いかと考えております。

当選詐欺メールに注意!

このような大規模なイベントで注意しなければならないのが、当選詐欺メールです。東京オリンピック組織委員会は下記のような注意喚起を行っています。

当落の連絡はID登録した際のメールアドレスに発送されるが、不正、詐欺行為の偽メールが横行する可能性について注意喚起した。鈴木部長は「東京2020ドメインで送付します。偽メールではないと確認した上で開封してほしい」と訴えた。

組織委は対応策として、支払い決済に関わる重要なメールという観点から、クリックすれば自動的にインターネットにアクセスできる「URL」をメールに記さないことを決めた。「URLが張り付いていたら偽メールだと思ってください」と話した。

この「東京2020ドメインで送付します。」と「URLが張り付いていたら偽メールだと思って下さい。」の部分が重要です。

東京2020ドメイン

東京2020ドメインとはinfo@mail.tokyo2020.jpです。

応募した方にはこのアドレスから当選結果のメールが届きます。

例えば、メールがinfo@mail.tokyo2020.comやinfo@mail.tokyo-2020.jpなど本物と類似したアドレスからメールが届いたらどうでしょうか。

普段からセキュリティ意識の高い方なら不審に思うかもしれませんが、意識していない人にとってはスルーしてしまうでしょう。

URLが張り付いていたら偽メールだと思って下さい

上記の「送信アドレスのドメインを確認して下さい」では判断が難しいことから、当選発表メールにURLが記載されていたら、それは偽物だと判断してほしいとのことです。

          f:id:emonnao:20190618125226p:plain

好きなアーティストのライブチケットに当選した人ならわかると思いますが、当選すると非常に嬉しいです。テンションが上がります。

そのメールに丁寧に「お支払いはこちらから」とURL付きで案内されていたらどうでしょうか。ついついアクセスしてしまうと思います。

 

完全に被害を防ぐのは難しい。でも心のどこかに注意事項としてとどめておいて下さい。

 

被害を0にするということは難しいかもしれませんが、

東京オリンピックの詐欺メール被害に遭わないためには、

「自分の手で公式HPにアクセスし、自分のTOKYO2020 IDを使って確認する。」

という事を徹底しなければいけません。

 

当選発表当日はアクセスも集中するため、当選直後に支払いをするのでなく、2,3日後に支払うくらいの気持ちを持つことが大切なのかなと思います。

注意喚起不足感が否めない

公式のチケッティングガイドには無断転売禁止などの注意事項は書かれていますが、詐欺メールへの注意喚起は書かれていません。

組織委員会からの注意喚起も、下記のようなネットニュースレベルに留まっています。

www.nikkansports.com

詐欺メールへの対応については、少なくともチケッティングガイドに注意事項として盛り込むべきです。

 

また、テレビでも「チケットの申込みが殺到して待ち時間が○○時間です!」というニュースを流すくらいなら、絶対に起こるであろうこの手の詐欺に対する注意喚起を流してほしいですね。