クラウドサービスのリスク


2019年8月23日にAmazon Web Services(AWS)で大規模障害が発生しました。

個人的には「ついにやっちまったか」という感じ。

クラウドサービスのメリットは、ITシステムを自社で運用する必要がなくなるのがメリット。

一方でリスクとしては下記がある。

1.預けたデータが第三者に漏洩しないか

2.障害発生時は、自力での障害復旧ができない(神に祈るしかない)

1.はスノーデン氏の功績により、少なくとも当局には漏洩することが判明している。

よって、当局に漏れるだけであれば構わないと腹をくくれるのであれば、問題ない。

逆にそれを受け入れられないのであれば、ITシステムはオンプレミスにして自社運用をしていく必要がある。

2.は正直クラウドサービスが今後普及していけるかのカギになると思っていた。

今回のAWSの障害で見事に実証されたが、クラウドサービスで障害が発生してしまうと、管理者は何もできず、ただ指をくわえて復旧を待つだけとなる。

上司から状況報告や復旧目途を求められても「わかりません」という、マヌケな回答しかできなくなってしまうのである。

個人的には、クラウドサービスが高い可用性を維持し続ける限り、クラウド移行は進むと考えていた。

しかし、今回の様に、クラウドサービス側で派手に障害を起こされてしまうと、利用者側はその前提でITシステムの運用を考え直さなければならない。

クラウドサービスもたまに派手な障害が起きることを踏まえた、選択肢は下記と考える。

選択1.クラウドサービスでもたまに障害が起きるものとして受け入れる。

選択2.障害発生時に状況把握ができない点や、自力による復旧活動ができない点をリスクとしてとらえ、オンプレミスの運用に戻す

選択3.障害発生時のデメリットはあるものの、クラウドサービスならではのメリットもある。デメリットを削減しつつメリットを享受するため、ハイブリッドクラウド(半分クラウド、半分オンプレミス)構成にする。

どれを選択するかは、業種業態やシステムに求める可用性によって異なると思う。

重要インフラ事業領域(「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野)については、選択肢2か、選択肢3を選ぶべきだと思う。

ちなみに、選択肢4として、別々のクラウドサービスを併用するハイブリッドクラウド(例えば、AWSとAzureにそれぞれ構築して冗長化する)も考えてみたが、IaaSってそれなりに管理が複雑であり、IaaSそのものは利用を1つに絞って使うべきというのが僕の意見。

ちなみにクラウド活用が進んでいる米国では、IaaSの管理設定の不備による情報漏洩が相次いでいる。

事件1.Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存

事件2.ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

事件3.WWE、300万件の個人情報がアクセス可能な状態で公開

事件4.米陸軍の極秘情報がAWSで公開状態だったことが発覚

WAFがあればパッチ適用はいらない!?


WAF(Web Application Firewall)の導入を検討する際、WAFの必要性を説いていく過程で、いくつかの壁に当たる。

その前にWAFとはという話から。

WAFとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。

WAFを使用することで、以下の効果が期待できる。

1.脆弱性を悪用した攻撃からウェブアプリケーションを防御する。

2.脆弱性を悪用した攻撃を検出する。

3.複数のウェブアプリケーションへの攻撃をまとめて防御する。

 ※出典:ウィキペディア

んで、WAFの必要性を説いていく中で、特に経営層レベルから疑問を投げかけられるのが下記のようなケース

■ケース1.「F/Wを入れているのになぜWAFが必要なのだ?」

FireWallに加えて、Web Application Firewallを入れる場合、(というかほとんどがそのケースだと思う)この説明を(お母さんでも理解できるように)分かりやすく説明しなければならない。

これは、車の検問で例えるのであれば、下記のような違いになると思うのだが、いかがだろう?

F/W:車のナンバープレートや運転手の顔、車の形状、行き先で良し悪しを判断

WAF:外見だけではなく、中身(乗員/乗客、荷物とか)も見て判断

■ケース2.「WAFを入れればパッチ適用は不要になるのではないのか?」

これ、自分の中で最近まで困っていたケース。

当然べき論としてはWAFは暫定対応であり、システムの脆弱性なのだから、恒久対策としてはシステム側で対応(=パッチ適用)をするのが基本である。

しかし、「WAFで止まっているんだからいーじゃん」と言われると、正直反論が難しい。実際に実務的にはWAFでの対策が事実上の恒久対応になっているところもあるようだ。

そんな中で反論できるネタを用意してみた。

[反論]WAFの設定ミスで攻撃を許容してしまうリスク

脆弱性が出た当初は意識してWAFで止められていたとしても、何かのタイミングでWAFの防御設定が外れ、攻撃を受けて、情報漏洩してしまったケースが存在する

詳細はこちら

WAFも所詮は人が運用するものなので、当然オペミスのリスクが出てくる。

なので、脆弱性が出た当初はWAFで暫定的にしのぐものの、恒久的にはシステムにパッチ適用を行い、根本解決を行わなければならないのだ。

WAFそのものが設定ミスや、何かの拍子で防御設定が外れ、結果的にWAFをスルーする(攻撃を受けてしまう)ケースは、想像できなかった。

発想力が豊かな人間になりたい今日この頃。

スマート家電は買わない


今日はINTERNET Watchの記事から。

ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要。

例えば、スマートスピーカーの場合、攻撃を受けた結果、再生履歴、利用しているストリーミングサービス、そのサービスに登録しているメールアドレスなどを、インターネットを通して盗み取られてしまう可能性があります。

デバイスがネットワークに繋がることにより、リモートで操作が出来たり、インターネットのサービスを使えるようになるので、とても便利です。

一方で、デバイスがネットワークに繋がるということは、悪意の第三者とも繋がることになるというデメリットも認識しなければならない。

この認識を持つと、

「家電をスマホで遠隔操作できます」

とかのうたい文句を聞いても、

な~んにも響かない。嬉しくない。むしろイラつく。

だって、

「家電を(自分の)スマホで遠隔操作できる」

ってことは、

「家電を(悪い人から)インターネット(経由)で遠隔操作される」

というのと同義ですからね。

ちなみに、コーヒーメーカーが不正アクセスを受ける事例が既にあったりします。

自分はスマート家電は買わないです。

シンプル イズ ベスト

ということで。

情報セキュリティ白書2019


IPAから情報セキュリティ白書がリリースされていたので、読んでみた。

ボリュームが多いので、とりあえず今回はDDoS周りを・・・。

来年は2020年東京オリンピック/パラリンピックの年だ。

オリンピック開催国には漏れなくDDoS攻撃がセットでついてくるので、ちょっと情報のキャッチアップを・・・・。

■2018年度のDDoS事例

DDoS攻撃ってオリンピックが特に多くなるイメージだけど、実際には毎年どこかの企業が攻撃に晒されている。

2016年には日産自動車がかなり大きい規模のDDoS攻撃を受けていた。

2018年度の被害事例は大きく2つ

株式会社スクウェア・エニックスが運営するオンラインゲーム「FINAL FANTASY XIV」

合同会社 DMM.com が運営するゲーム「艦隊これくしょん」

■攻撃手口

DDoS攻撃は、主にボットネット、IoT ボットを用いる手口や、リフレクター攻撃と呼ばれるサーバの設定不備を悪用して、攻撃通信を増幅させる手口等が挙げられる。

また、上記の攻撃手法を併用されることも多い。

更に、攻撃効果や状況に応じて、有効な手口に絞った攻撃に切り替える手法もあり、これはマルチベクトル型攻撃と言われ、現在の主流となっている。

マルチベクトル型攻撃のイメージ(白書より拝借)

■対策

白書に記載の対策は下記の通りだが、正直決定打になるようなものは見当たらない感じ。

・アクセスログや通信ログ等を確認し、攻撃が特定のIPアドレスから行われていると判断できる場合は、当該 IPアドレスからのアクセスを遮断する。
 ⇒DDoS攻撃なので、特定のIPアドレスから行われているケースは少ない(DDoSだけに、200IP位から分散攻撃されます)

・国内からのアクセスを主に想定しているサイトでは、海外の IPアドレスからのアクセスを一時的に遮断することも検討する。
 ⇒国内のIPアドレス(乗っ取りとか偽装とか)からDDoS攻撃されるとあまり意味がない。

・攻撃者が攻撃元の IP アドレスや攻撃方法を定期的に変更してくる場合があるため、継続して監視を行い、攻撃方法に合わせた対策を実施する。
 ⇒ただの精神論だよ。。。

・組織内で対処できない程大規模な攻撃や執拗な攻撃を受けている場合は、ISPとの連携や警察等への通報を実施する。
 ⇒ISPとの連携はアリ。
  警察への連携は正直不要。いろいろ聞かれるけど、助けてくれない。

・攻撃の頻度や、攻撃対象サイトの重要性によっては、DDoS 対策製品や ISP 事業者が提供するDDoS対策サービスの利用を検討する。
 ⇒結局この辺の検討が一番妥当な気がする。
  金がかかるけど、モノを購入するのではなく、サービスを利用する形態であれば、導入や廃止は比較的簡単なので、オリンピック期間中だけ利用とか、来年度だけ利用とかの検討ができると思う。

【管理人参照用】
情報セキュリティ白書2019


IPO抽選で本当に公平な証券会社は?


数年前からIPO投資にチャレンジしています。

IPOとは、「Initial(最初の)Public(公開の)Offering(売り物)」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。

これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

つまり、値上がりを期待できる株式を証券会社から配分されれば、利益を得られるチャンスということに。

IPOは各ネット証券で取り扱っていますが、制度は各社異なっています。

私が主に使っているのは下記2社。

■マネックス証券:完全抽選方式

■SBI証券:資金比例抽選&チャレンジポイント制度

私はもともとマネックス証券のユーザーだったので、IPOも最初はマネックス証券をメインにしていました。

しかし、やれどもやれども当選しない・・・・・。

一方のSBI証券はポイント制度が存在しており、抽選して外れても1ポイントがもらえ、次回抽選時にそのポイントを使うと当選確率が上がるという仕組みになっていました。

(ちなみに、当選するには300ポイント位必要らしい)

ここでふとした疑問が。

一体どっちの制度のほうが公平なんだろう?

IPOの経験がない人が聞くとマネックス証券のほうが公平の様に聞こえますが、IPO応募を経験すると、SBI証券のほうが平等な感じがしてきます。

理由は、マネックスの完全抽選方式は毎回ゼロリセットなので、外れ続けると心が折れます。

SBI証券は外れても、もらえるポイントが「いつかは当選する」というモチベーションに繋がります。

そんなわけで、IPOはSBI証券がおススメです。


不正プログラム(不審ファイル)の調査で使えるツール(Autoruns)


昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

まず最初はAutoruns

■特徴

・Windowsの起動時に自動的に実行するプログラムの一覧を表示可能

・Sysinternal Toolsに同梱

・autoruns.exe と autorunsc.exeの2つのファイルが存在し、

 autoruns.exeはGUIのツール、

 autorunsc.exeはコマンドラインツール

■主な利用方法

「マルウェアは自動起動設定をどこかに設定しているはず」という仮説をもとに、マルウェアファイルを探索する場合に活用

■画面レイアウト

■簡単なポイント

・ピンク色に色付けられたところをまずはチェックしていく感じ

・Publisherが空欄のファイルは怪しい率アップ

・フィルタ設定(Optionsメニューから設定)が可能

 ⇒Hide Microsoft Entries のチェックを外すことで、発行者が「Microsoft Corporation」になっているエントリも表示可能

・気になるレコードで右クリックし、[Jump to Image]をクリックすると、該当ファイルのパスに移動できます。

・tempフォルダ等一時保管用のフォルダにある実行ファイルは怪しい率アップ

■注意点

・Publisherの情報は編集可能であるため、偽造されている可能性も考慮に入れて使う必要がある

■入手

本記事投稿時点での最新版はここからも入手できます。

バックアップはこちら

セキュリティをしっかりやっている企業の見分け方


以前の記事で、売上高に占めるIT投資の比率が1%を切っている企業は、IT投資を怠っており、IT的にはヤバイ旨の記事を書いた。

売上高に占めるIT投資の比率については、IR情報等からある程度調べることができる。

では、セキュリティをしっかりやっている企業はどうやって見分ければよいか。

今日ふと思った方法の一つがNCA(日本シーサート協議会)加盟有無。

名ばかり会員の可能性も無いことは無いが、加盟しているということは、企業内にインシデントレスポンスを対応する人がいるということになるはずで、一つの判断基準になるのではなかろうか。

試しに仮想通貨交換業者の加盟状況をチェックしてみた。

DMMビットコイン:たぶん加盟(DMM.CSIRT)

GMOコイン:たぶん加盟(GMO 3S)

ビットフライヤー未加盟

コインチェック:加盟(CC-CSIRT)

ビットバンク:加盟(bitbank-sirt)

フォビ仮想通貨取引所未加盟

Zaif未加盟

Liquid未加盟

フィスコ仮想通貨取引所未加盟

VCTRADE未加盟

BITPoint未加盟

こういう視点で取引先を選ぶのも良いかもって思った。

新生銀行撤退を考える


10年くらい前から、メインバンクとして新生銀行を使っています。

当時は下記のようなメリットがあって、なかなか使い勝手の良い銀行でした。

メリット1:コンビニATMや都市銀行での出金手数料無料

メリット2:振込手数料優遇(新生ゴールドの場合、5回まで無料)

メリット3:キャッシュカードで海外ATMでも引き出し可能

メリット4:コールセンターが24時間営業

メリット5:インターネットバンキングの同一画面でキャッシング可能

新生ゴールドになると、振込手数料の優遇や定期預金の金利優遇などが受けられるので、新生ゴールドになって長いこと使っていました。

しかし、改悪の波が押し寄せます。

まず、

[改悪1.インターネットバンキングの同一画面でキャッシング不可]

システム改修に伴い、インターフェースが分かれて(別システムになって)しまいました。

別のシステムになってしまったら、別のほかのキャッシングサービスでもよいわけで、新生銀行でキャッシングする必要は無くなり、めでたく解約となりました。

次が、

[改悪2.コールセンター24時間営業終了]

新生銀行は、定期預金の途中解約等は電話で行う必要があります。

しかし、当時の新生銀行コールセンターは24時間営業だったので、この不便さはほぼ感じることはありませんでした。しかし、いつの間にか営業時間が短縮され、電話連絡が超絶な苦痛行為に変わりました。

その次が、

[改悪3.海外ATM出金サービス終了]

新生銀行のキャッシュカードで海外ATMで現地通貨が出金できるというのは非常に魅力的でした。

(その後、クレジットカードの海外キャッシングのほうがレートが良いことが分かり、使わなくなったのですが・・・)

改悪続きで申し訳なく思ったのか、サービス強化として打ち出したものの個人的にはガッカリ度の向上に繋がったものが次、

[改悪4.Tポイントとの連携]

自分、マイレージはJAL派のため、JALに移行可能なポイントしか貯めていないのです。

で、TポイントはJALマイレージに移行することができないため、個人的には全く価値がありません。

ポイントサービスって顧客の囲い込みに利用するものですが、私に関しては全くの逆効果で、むしろ新生銀行を使うモチベーションが下がりました。

それでも新生ゴールド会員なので、振込手数料優遇と、ATM出金手数料無料は残っており、今日まで頑張って使い続けてまいりました。

しかーし。

先日ふとしたことで、ふつーに日々使うだけでポイントがたまり、そのポイントがJALのマイレージに移行できるスバラシイ銀行が見つかりました。

給与振込先の変更とか、申請ゴールド維持のために預けている外貨定期預金の解約とか(円高なので多分損失発生ですわ(TωT))、メインバンクの移行は結構面倒くさいのだけれども、これ以上無駄なポイントをプレゼントする銀行を使っていても仕方ないかと。

ありがとう新生銀行。
さようなら新生銀行。

Cyber Posture(サイバー・ポスチュア)って・・・


Cyber Posture(サイバー・ポスチュア)って言葉を今日初めて聞きました。

海外では数年前からある考え方で、NISTのドキュメントにも登場してくる言葉らしい。

最近日本では、セキュリティ業界のトップガンである名和先生がよく使っているようで、自分の耳にも入ってきた。

Postureって「姿勢」の意で、Cyber Postureを日本語で表現すると、

サイバーセキュリティ態勢

みたいな感じだろうか。

ヨガでは姿勢が重要とされており、サッカー選手は体幹が重要とされており、同じような考えで、セキュリティも態勢が必要と。

ま、要は部分的にバラバラに対応していてもだめで、それらがしっかり組み合わさっていないといけないという感じだと思う。

セキュリティの観点で言い換えると、従来のセキュリティ対策は、物理的セキュリティ、情報セキュリティ、ビジネス継続性管理、データ保護、社内セキュリティ、社外セキュリティ等、それぞれ分けて考えていたが、今後、これら分割した考え方は時代遅れであり、分割により組織全体を危険にさらす可能性さえあるとのこと。

名和先生が某講演でお話しされていたポイントは5つ

1.サイバーリスクをITの問題ではなく、全社に関わるリスク管理の問題として扱う

2.企業はビジネスの文脈でサイバーリスクに対処する

3.企業はサイバーリスクを様々なレベルで探し出して軽減する必要がある

4.脅威は常に変化しており、その動きに適応することが不可欠

5.サイバーリスクは包括的で協調的なガバナンスを求めている

一部良く分からない部分があるので、勉強せねば。。。

EV SSL証明書の価値って・・・


SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。

つまり、目的は2つあります。

本日は「運営者の実在性を確認」する目的で使う件の話です。

SSLサーバ証明書には下記3種類が存在します。

DV(Domain Validation):ドメイン名が存在することの証明書

・OV(Organization Validation):組織が存在することの証明書 

・EV(Extended Validation):OVよりも厳密な実在性証明を課す証明書

DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。

OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。

EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。

が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。

(結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・)


EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認(具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます)

【EV SSL証明書搭載の偽サイトができる!?】

米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。(つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る)


結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。

もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。

【参考リンク】

東京2020のなりすましメール対策


東京オリンピックのチケット申し込み(追加抽選)、やろうやろうと思って後回しにしていたら、締め切りが過ぎてしまった。。。

東京オリンピックがどんどん遠のいていく・・・・。

案内のメールを改めて見ていて、気が付いたことがあった。

それは、メール本文に申し込みサイトへのリンクが「無い」点である。

これ、ふつーの人から見ればただの不親切にしか見えないかもしれないが、標的型攻撃メール対策の観点ではかなりしっかりしていると考えられる。

万一、東京2020組織委員会を騙るなりすましメールが出回ったとしても、偽物と本物の区別が非常に容易になる。

「オフィシャルのメールにはリンクはありません。リンクのあるメールは偽物です」と言えるので、アナウンスもシンプルでわかりやすいし、一般の人でも偽物と本物の区別がつきやすいと思う。

こういう対応はそれなりに練らないと出来ないだけに、立派だと思った。

顧客の目先の利便性を追ってセキュリティ対策を犠牲にし、結果顧客の信頼を失った7pay(7&i)の関係者に爪の垢を煎じて飲ませてあげたいと感じました。

参考までに下記が届いたメールのサンプル。


特別機内食はオトクか


夏休みのバンコク滞在も終わり、日本に帰ります。

今回は直行便だったので、無事旅程を終えることができましたが、万一香港経由の便を取っていたら、逃亡犯条例反対デモの影響で旅行取りやめになっていたところでした。

今回はJALの便を利用したこともあり、特別機内食にチャレンジしてみました。

特別機内食のメニューはこちらを参照。

結構種類があります。

ベジタリアンミール、低塩分ミール、糖尿病ミール、低カロリーミール、低グルテンミール、低脂肪ミール、シーフードミール、フルーツミール、etc

他のブログを見てみると、これらの特別食のメリットとして、下記があるようです。

・品切れが無い(ま、事前予約制ですしね。)
・出てくるのが早い(一般の機内食よりも先に配られる模様)

「出てくるのが早い」というのは妙に惹かれます。

最近は搭乗前にラウンジで結構お腹いっぱい食べてきてしまうので、機内食にこだわる必要は無く、むしろ少し軽めで良いくらいな感じ。

低カロリーミール、低脂肪ミール、フルーツミール辺りで悩んだ結果、今回は低脂肪ミールを選択。(健康診断で悪玉コレステロールが・・・・というのもあり。。。)

んで、結果はどうだったか。

【良かった点】
・本当に早くミールが提供された

【残念だった点】
・食後のデザート(ハーゲンダッツ)がスキップされた

ハーゲンダッツ食べたかったのになー。

そんなわけで夏休み終わりです。

2019年後半戦頑張りましょう!

日本企業のセキュリティ予算比は?


NRIセキュアテクノロジーズ社が毎年行っているセキュリティ実態調査の2019年度版がリリースされたので読んでみた。

日本企業の情報セキュリティ対策は一般的に欧米企業と比べると遅れていることは認識していた。

それでもアジア圏の中で見ればそれなりに進んでいるのだろうと思っていたのだが、シンガポールと比較してもだいぶ後れを取っていることが分かり、残念な感じになった。

企業におけるIT予算やセキュリティ予算の考え方は、絶対的な解は無い。

そのため、IT予算の場合はその企業の売上高の何割をIT予算に充てているかで考えることが多い。

んで、セキュリティはそのIT予算の何割をセキュリティ予算に充てているかで考えることが多い。

ちなみにIT予算については、売上高の2%~3%が標準的な水準であると考えている。

一番比率が高いのは金融業界で5%~7%

ちなみ0.5%程度とかいう業界も存在していたと思う。

ちなみに売上高に占めるIT予算化比率が0.5%程度だとどういうことになるかというと・・

・保守/運用体制が確立できない(企画やプロジェクト推進の担当と保守運用担当のメンバーが同じ)
 ⇒リソース不足とメンバーへの高負荷により離職率増加

・ドキュメントが存在しない(上述の影響でそもそもドキュメント作成のリソースが無い)

・PDCAサイクルが存在しない(PDサイクルのみが存在、またはPすら無く、Do,Do,Doだけとか・・・)

・新規のIT投資がほとんどできていない(既存システムの保守もままならない状態)

ということで、IT予算化比率が0.5%程度の会社はIT投資を怠っている会社となり、更にはセキュリティ対策も怠っている会社と言うこともできる。

前置きが長くなったが、今回はそのIT予算に占めるセキュリティ予算の話。

レポートを見た感じ、IT予算の10%をセキュリティ予算に充てるというのが一つのポイントなのだろうか。

レポートはこんな感じだった。

【IT関連の予算に占めるセキュリティ予算の割合が10%以上の比率の企業割合】

・日本:37.6%

・アメリカ:84.5%

・シンガポール:71.6%

ちなみに日本企業の最多ボリュームゾーンは1%~5%、5%~10%未満でそれぞれ30%ずつだった。

CISOの設置率も日本は50%程度なので、そもそも予算が取れないという問題はあるかも。

来年オリンピックがあるのにセキュリティ後進国化している感が気になる今日この頃。

飛行機の搭乗履歴を管理するツール(my.flightradar24.com)


夏休みでタイのバンコクに来ています。

元気なうちに海外旅行をいっぱいしようのコンセプトのもと、1週間以上休みがあれば海外に行くことを心がけています。

そんな訳で、年数回飛行機に乗っているのですが、そんな生活を何年も続けていると、過去にどんなフライトをしたのか整理したくなってきます。

それで現在使っているのが、my flightrader24(旧FlightDiary)です。

個人的に気に入っているのは、搭乗日と便名入力すると自動的に機体番号も表示してくれるところ。

あとは統計情報を出してくれるところ。
JAL便の利用が多いとか、B767の搭乗が多いとか、羽田⇒伊丹間の利用が多いとか、土曜日のフライトが多いとかが自分の傾向みたいです。




あと、統計を年毎にも表示することが可能なので、年末に今年のフライトを振り返るときなども使えます。

Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行期間



マイル活動で現在研究中のルートの一つがヒースローリワードにポイントをためてエーゲ航空のMiles+Bonusに移行するルート。

ヒースローリワードのポイントがある程度貯まったので、一度ポイントの移行検証をしてみることに。

ヒースローリワードのサイトにはポイント移行のスケジュール的な目安は無く、ネットで検索してみる感じだと2~3日で反映されるとの事。

とりあえず1,000マイル分を移行してみたのですが、数日どころか1週間たってもMiles+Bonusの口座に反映されない。。。

意を決してヒースローリワードにメールで問い合わせてみる。

その結果が↓

ーー
Dear Mr ****,

Thank you for contacting Heathrow Rewards.

I would like to confirm that it can take up to 30 days for points to appear in your account after you have requested the transfer.

I hope that this information helps.

Yours sincerely
ーー

ということで、Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行は30日ほど要しますので、計画的な移行を進めましょう。

ご利用は計画的に(サラ金じゃないけど・・・・)

7pay残念無念


2019年7月1日にリリースし、同年7月2日に不正利用が発覚した7payは2019年9月末をもってサービス終了となりました。

サービス開始して実質2日でサービス終了する決済サービスは史上最速ではなかろうか。

この7pay問題(通称7payガバガバ問題)、結局何が問題だったのだろう?

個人的には諸悪の根源はザルな認証基盤である7idにあると勝手に想像している。

しかし、それは結果論であって、個人的には7payと(ザル認証基盤の)7idを連携させることに誰も異議を唱えなかったのだろうか?ということ。

想像するに7pay側は「2段階認証おじさん」の異名をとった社長始め、ITスキル無しorベンダー丸投げ体質であったことは何となく想像がつく

緊急記者会見で「セキュリティ診断はしっかりやったが指摘は無かった」のにこのような事態が発生したのは、下記の事象によるものと想像する。

・7payそのもののセキュリティ対策はしっかりしており、診断の結果問題なかった

・7idは既に動いているシステムのため、診断しなかった

更に更に想像するに、7idの構築運用ベンダーと、7payの構築運用ベンダーは別で、ITスキルの無い7&i側の思い付きで7idと7payの連携が決まり、リスクを発見or発言できる人がいなかったのではないかという気がしてきている

とっても残念だなと思うのは7&iにはグループ内にネット銀行(セブン銀行)も電子マネー(nanaco)も扱う会社を抱えており、それらの会社は7payに出資もしているのだから、もうちょっと何とかならなかったのかなーというところ。

落ち着いたら「動かないコンピュータ」や「敗軍の将、兵を語る」とかでぜひ取り上げてほしい。また、どこかの講演でだれかネタにしてほしい。

個人的には真の教訓が何なのかを知りたい(ITを知らない経営がITに手を出すとこうなる。とか、セキュリティ対策をザルにするとこうなる。とか。。。)

歯医者もキャッシュレス

数日前から奥歯に違和感を感じ、鏡で見てみたところ、5年前くらいに詰めた自慢のハイブリッドセラミックインレーに亀裂が入っている模様。

早速歯医者に行って診てもらったところ、やはり亀裂が入っていて、インレーを付けなおしたほうが良いということになった。

もともと保険適用で可能な銀歯は歯肉が黒ずんだり、5年くらい経つと歯と詰め物の間に虫歯ができてまた削るとかの悪循環に陥るため、インレーを入れるときは金がかかってもよいものを入れると心に決めていた。

当時はゴールドかハイブリッドセラミックかで悩んだ結果、審美性の高いハイブリッドセラミックにした。

しかし、自分とハイブリッドセラミックは相性が悪かったらしく、2本の歯に装着したハイブリッドインレーは、1本目が装着後1ヶ月にして欠けるという惨事に見舞われ、結局ゴールドにした。

で、5年が経過し、こんどは2本目に亀裂が入るという事態に。。。

代替はゴールドかなと思っていたのだが、今行っている歯医者はメタルフリーを掲げており、ジルコニアインレーを勧められた。

ジルコニアインレーはキュービックジルコニアで知られている人工ダイヤモンドに使用される二酸化ジルコニウムのインレーとなり、多分インレーに亀裂が入ることは今後ないと思われる。

ネットで情報収集する限り、硬すぎて別の歯を傷つけるとか怖いこと書いてあったけど・・・。

5年前はジルコニアインレーは結構な金額がした気がしており、候補には入らなかった。今は1本4万円程度で入れることができるらしく、流れでそのままジルコニアインレーを入れることになった。

次回型取りし、その後1週間~2週間で装着可能とのこと。

当然保険適用外なので、クレカ決済が可能か確認したところ、可能との事。
そこまでは想定内だったのが、その後衝撃の一言が!

「保険治療の支払いも(クレジットカードで)大丈夫ですよ」

キャッシュレスに対応した歯科医はまだ少数派だと思うが、さすが都心の歯医者さんだ。

本日の治療費(保険適用分)をクレカ払いにしたのは言うまでもない。