2021/02/28

セキュリティ研究者は、バグバウンティの報酬としてGoogleから670万ドル以上を受け取った / Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards(転載)


Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards:

62カ国のセキュリティ専門家は昨年、Google製品の脆弱性を発見したことで、Googleから670万ドル以上の報酬を受け取っていた。グーグルは10年間、脆弱性報奨プログラム(VRP)の運営に成功しており、同社はグーグル製品の脆弱性を発見したセキュリティ専門家に2800万ドル近くを支払っている。

Googleは今週、「2020年の研究者の信じられないほどのハードワーク、献身、専門知識により、記録的な670万ドル以上の報酬の支払いが発生し、さらに28万ドルが慈善団体に寄付されました」と述べています。2019年11月のエクスプロイトペイアウトの増加に続き、2020年には13件のワーキングエクスプロイトの提出を受け、100万ドル以上のエクスプロイト報酬のペイアウトを記録しました。"

同社によると、Guang Gong氏(@oldfresher)と中国のサイバーセキュリティ企業Qihoo 360の「360 Alpha Lab」の専門家チームが、バグバウンティプログラムの一環として、Androidの脆弱性を全体の30%を発見したとのことです。このグループが発見した最新の脆弱性は、Androidの1クリックリモートルート悪用で、Googleは、このチームが2019年に脆弱性を発見した際の最高のAndroidペイアウト(161,337ドル)を受け取るための記録をまだ保持していると述べています。

昨年、テック大手はAndroidの開発者プレビューの欠陥を発見したセキュリティ専門家に5万ドルを支払い、Android Auto OSやAndroidチップセット、Androidコードのファザーを書いたことに対する報奨金プログラムを導入した。Google Playでは、Googleは認定されたAndroidアプリの基準を拡大し、露出通知APIを利用したアプリや、Covid-19と戦うためにコンタクトトレースを実行するアプリを組み込むようにしました。

懸賞金とは別に、180人以上のセキュリティ研究者が、Google製品やオープンソースのエコシステムで100件の脆弱性が確認された200件のバグレポートを提出したことに対して、Googleから40万ドル以上の助成金を受け取っています。同様のバグバウンティ報奨金プログラムを実施している他の注目すべきテック企業としては、Facebook、OnePlus、Qualcomm、Mozilla、Microsoft、Redditなどが挙げられる。

2021/02/27

CISベンチマーク 2021年2月アップデート / Update | CIS Benchmarks - February 2021(転載)

CIS_Benchmarks_Community

Update | CIS Benchmarks - February 2021:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Google Workspace Foundations Benchmark v1.0.0

これは、Google Workspace の安全な設定姿勢を確立するための指針の最初のリリースです。

SecureSky の Wacey Lanier 氏、および Google の Iulia Ion 氏に特別な感謝の意を表します。

Download the CIS Google Workspace Foundations Benchmark PDF

CIS Microsoft Intune for Windows 10 Release 2004 Benchmark v1.0.0

これは、Microsoft Intune for Windows 用のセキュアな設定姿勢を確立するための処方的なガイダンスの最初のリリースです。

William Ferguson 氏、Jeff Hunt 氏、Kai Markl 氏、Sergio Sarinana 氏に感謝します。

Download the CIS Microsoft Intune for Windows 10 Release 2004 Benchmark PDF

CIS Microsoft Windows 10 Enterprise Release 20H2 Benchmark v1.10.0

このドキュメントでは、Microsoft Windows 10 の安全な構成姿勢を確立するための規定的なガイダンスを提供します。変更点の概要を説明します。

  • 新たに3つのセキュリティ設定を追加しました。
  • ADMXテンプレートの更新に伴い、いくつかのセクションを移動しました。
  • 2つの設定を更新しました。

完全な変更ログは、PDF の最後に含まれています。

また、CISベンチマークのExcel版には、MITRE ATT&CKのマッピングとCIS統制実装グループが含まれていることにもご注意ください。このマッピングの初期拡張により、攻撃に対処するための様々な手法を特定することができます。マッピングに関するご意見がありましたら、benchmarkinfo@cisecurity.org までご連絡ください。

このアップデートの作業を行ってくださった Haemish Edgerton 氏と Windows コミュニティの皆様に特別な感謝の意を表します。

Download the CIS Microsoft Windows 10 Enterprise Release 20H2 Benchmark PDF

CIS Microsoft Azure Foundations Benchmark v1.3.0

このCIS Benchmarkは、Microsoft Azureのセキュアなベースライン構成を確立するための指針を提供します。今回の更新での変更点は以下の通りです。

  • Advanced Data SecurityをAzure Defenderに変更するための複数の推奨事項を更新しました。
  • 追加のAzure Defenderバンドルのための新しい推奨事項
  • 複数のアクティビティログアラートコンソールの改善手順を更新しました。
  • 非推奨となった機能に対する複数の推奨の削除
  • CIS Azure Security Benchmarkへの複数の推奨事項で参照リンクを更新しました。

この更新を可能にするために時間と労力を割いてくれた Microsoft Azure チーム、編集者と貢献者に特別な感謝の意を表します。

変更点の完全なリストは、PDFの変更ログを参照してください。

Download the CIS Microsoft Azure Foundations Benchmark PDF

2021/02/26

Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」(転載)~「食料自給率の向上」ならぬ、「セキュリティ自給率の向上」を目指せ!~

Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」~ユービーセキュア 観堂社長と GSX 青柳社長の狙い:

 2020年12月、経産省から『DXレポート2』として中間報告書が公開された。新型コロナウィルスのパンデミックにより、企業を取り巻く環境は大きく変化し、あらゆる業界においてDXは最優先の課題となっている。

 その中でセキュリティは重要な要素の一つだ。サイバーリスクが高まる中で、DevOpsといった言葉に代表されるように、ビジネスのスピードアップに対応した高速なサイクルでのシステム、サービスの開発やリリースが求められているからだ。

 DXを進めるうえで不可欠ともいえる脆弱性診断のニーズが高まる一方で、診断できる人材が少ない、診断サービスを提供するベンダーに問い合わせても数ヵ月待たされるといったように、脆弱性診断の需要と供給のバランスは逼迫している。

 これまでのように、開発会社に丸投げして納品時と年数回のアップデートのときだけ脆弱性診断を行うようなやり方は通用しない。セキュリティ診断を内製化することで、セキュリティのレベルを落とすことなく、高速なリリースサイクルに対応するDevSecOpsを実現していくことは有力な解決策のひとつである。

 こうした現在の慢性的診断逼迫の事態に、何年も前から備えをなしてきた男たちがいる。一人目は株式会社ユービーセキュア 代表取締役社長の観堂 剛太郎だ。同社は、シェアNo.1の国産脆弱性診断ツール「Vex」とその認定資格「Vex Certification」を提供し、企業の脆弱性診断の支援を積極的に行っている。

 そしてもう一人がセキュリティ技術者の資格「セキュリスト(SecuriST)」を2020年秋に発表し、トレーニングも開講したグローバルセキュリティエキスパート(GSX)を率いる同社代表取締役社長 青柳 史郎だ。

 これまで脆弱性診断サービスの付加価値と問われれば、診断に従事する技術者が未発見の脆弱性を発見してJVNに報告したり、国内外のCTF(Capture The Flag)で優秀な成績を収めたりすることでエンジニアにホワイトハッカーとしての付加価値をつけ、ブランドを上げ、サービスの単価を上げ、人気企業となることと同義のようにすら見えていた。

 しかし、観堂と青柳のアプローチはこれとは全く異なる。戦い方や流儀の違いはあれ、診断に関わる「資格」を市場に提案するという点で共通点のあるこの二人に話を聞いた。

●「セキュリティ自給率」を高めたい、観堂の思い

 観堂が代表を務めるユービーセキュアは2007年に設立されたセキュリティ診断サービスの会社で、約10人の脆弱性診断のエキスパートによって立ち上げられた。

 診断サービスを提供する企業の多くは、診断の効率化を目的にツールを内部で開発して利用している。ユービーセキュアのユニークな点は、この診断ツールを外部向けに商品化しようと考えたことだ。そのツールの名はVex(Vulnerability Explorer)だ。脆弱性診断のためのプロツールで、定期的な自社サイトの検査、開発工程でのテストなど様々なシーンで、「いつでも」「何度でも」セキュリティ診断を行うことを可能にする。

 診断サービスを提供するセキュリティベンダー向けの「オーディターライセンス」はもちろん、開発者自身が診断を行うための「デベロッパーライセンス」を提供している。

 Vexは、ユービーセキュアにとって、職人の手に馴染んだオリジナルツールでもあり、診断士が戦うための武器のようなものだ。これを外販するということは、ライバルに塩を送る行為ではないかとの意見も社内に存在した。上杉謙信も、武田信玄に塩は送っても武器を送ってはいないはず。

 その際にVexを外部に提供するという事業を支えたのは「海外のセキュリティ企業から搾取される状況を変えたい」という観堂の強い思いだった。

 「セキュリティ自給率」という耳慣れない言葉を観堂は口にする。国立研究開発法人情報通信研究機構の井上大介氏が提唱するのを目にし、共感した考え方だという。日本のセキュリティの空洞化に警鐘を発する言葉だ。

 たとえば、GAFAは巨大プラットフォームを通じ、膨大なユーザーの情報を収集、分析して、適切な広告を配信し商品を買わせたり、新たな付加価値のサービスを提供して次のビジネスにつなげる。しかし、そのビジネスモデルの源泉となる「データ」は、元々はユーザー企業自身のモノだったはずだ。

 同じことが海外資本ばかりが市場を席巻するセキュリティサービスでも当てはまると観堂は述べる。しかし観堂はそれを変えることができると信じる。

 観堂によれば、国内企業が国産ツールであるVexを使って新しい脅威を検知すれば、それがフィードバックされ新しい検知ルールがVexに追加される。それによってVexはさらに洗練され日本企業のサービスの安全性が向上していく。一歩一歩だが搾取サイクルから脱却することができるという。

 「歯車を逆回転させたい(観堂)」

 ユーザー企業の情報を海外のベンダーから取り戻し、国内企業をよりセキュアにしていくことが、観堂のいう「自給率が向上」した状態だ。

 観堂の考えるVexを軸にしたエコシステムは、シリコンバレーもニューヨークもボストンもイスラエルも経由することなく日本市場内で完結する。Vexを軸にした脅威とその検知のエコシステムを構築することで日本のセキュリティをリブートし、自分たちの手に取り戻していく。

●診断ツールVexの認定資格、本当の狙い

 このビジョンをさらに一歩進めたのが認定資格「Vex Certification」だ。これは、サイバーセキュリティの実践的なスキル認定制度「UBsecure Certification」の一体系で、脆弱性診断に必要とされるスキルを分野・レベル別に証明するものだ。

 観堂によれば、脆弱性診断を行うエンジニアからは「Vexを使ったことがあり、異動や転職後の環境でもまた使いたい」との声がよく寄せられているという。Vex Certificationでは、Vexを使った脆弱性診断のスキルを3段階のレベルで証明する。

 1つめは「エントリー」で、Vexの機能と基本動作に関する知識を有していることを証明するもの。2つめは「アソシエイト」で、Vexの機能を活用した脆弱性スキャンおよび結果判別を行う能力を有していることを証明するものだ。これは、ハンズオンベースの実技試験をベースとし、Vexを用いた脆弱性診断業務に従事している人や、ツールオペレーターからペンテスターへのステップアップを目指す人を対象としている。

 そして、3つめが2021年に開始予定の「プロフェッショナル」だ。診断要件に合わせてVexをチューニングし、診断実施による業務影響を最小限に留めるためのノウハウを有していることを証明するものだ。

 資格者を増やし囲い込みとロックインをするのが通常のベンダー資格の目的だが、それと「Vex Certification」が本質的に異なるのは、将来的には脆弱性診断のニーズを持つユーザー企業と、有資格者の脆弱性診断士をマッチングするためのプラットフォームとして、「Vexを使えるエンジニアと脆弱性診断を受けられない会社をつなげる」ことを観堂が最終的な目的として見据えている点だ。日本企業と日本市場のセキュリティを向上させ市場全体に貢献していくという観堂の考えはここにも一貫している。

●セキュリティの自衛力を高めたい、青柳の思い

 そんな観堂にとって、どうしても足りない一つのピースがあった。それをもたらしたのが青柳率いるGSXが2020年に立ち上げた、セキュリスト(SecuriST)の「認定脆弱性診断士」資格だった。

 ユービーセキュアとGSXの縁は、GSXが脆弱性診断サービスを提供するために必要不可欠なツールと認め、約10年前からVexを利用してきたことに遡る。

 高度な脆弱性診断を行うためには、最新のサイバー脅威に精通し、エンジニア自身が判断したり手動でリクエストを送るなどのプロセスが不可欠だが、そうしたスキルを有する人材やベンダーは限られ、多くのユーザー企業は、長い待ち行列に加わらざるをえない現状があった。「セキュリスト(SecuriST)は、Vexだけでは足りないピースを埋めるものだ」と観堂は考えた。

 セキュリスト(SecuriST)を開始した青柳史郎は2018年に代表取締役に就任すると、GSXを「セキュリティ教育カンパニー」と再定義した。

 CEH(Certified Ethical Hacker:認定ホワイトハッカー)やvCISO(virtual CISO:バーチャル シーアイエスオー)などのサービスを展開した青柳の視線の先にあったのは、大手セキュリティベンダーに「相手にもされない」地方企業や中小企業だった。

 青柳が考えたのは、米FBIやNSA職員の必須資格であるCEH取得などで、地方や中小企業自身の自衛力を高め、自分たちを顧みないセキュリティベンダーの手を借りずとも自社を守る力を育てること。いわば中小企業のセキュリティ独立宣言を支援することだった。

 しかしCEHのサービス開始当初、受講者は中小企業などまばらで、SIerやセキュリティ製品の商社ばかり。「競合や同業他社にノウハウを提供することと同じだ」との声が社内にあった。敵に塩を送る行為と言われた点は観堂と全く同じだ。しかし、2019年には、ユーザー企業の受講者数が半数を超えた。観堂の言葉を借りるなら「歯車が逆回転」しはじめた。

 セキュリスト(SecuriST)認定資格制度は、セキュリティに携わる人材に向け、トレーニングと認定試験で構成される。セキュリストの第一弾となる「認定脆弱性診断士」は、Webアプリケーション診断を行う「認定Webアプリケーション脆弱性診断士」と、プラットフォーム診断を行う「認定ネットワーク脆弱性診断士」の2つの資格、および公式トレーニングコースで構成されている。

 2020年12月18日、第一回目となる「認定Webアプリケーション脆弱性診断士公式トレーニング」と「認定ネットワーク脆弱性診断士公式トレーニング」が行われ、初回から約60名が受講する盛況となった。来春には第一号となる資格合格者が多数生まれることになる。

 「初速はCEHのときの倍以上の手応え(青柳)」

 GSXによれば、受講企業には東芝デジタルソリューションズ株式会社、パナソニック株式会社、株式会社日立ソリューションズ・クリエイト、リコーITソリューションズ株式会社、TIS株式会社(50音・アルファベット順)が並ぶ。DX推進や、独学で培ったが改めて学びたいなど、その目的は企業や人によってさまざまだ。

●DX推進に欠かせないDevSecOps実現のために

 近年、中小企業にとってこそDXは切実な問題となっている。デジタル技術で付加価値を生み出すにあたっては、技術の安全な活用が不可欠だ。企業が脆弱性診断を適切に行っていくための現実解の一つが、観堂が提案するVexとVex Certificationであり、そして青柳が提案するセキュリスト(SecuriST)認定脆弱性診断士である。

 立ち位置は少し違うが兄弟のように似た志を持つ観堂と青柳。取材時に感じたのは、少々芝居がかった表現かもしれないが「生まれた日は違えども死ぬ日は同じ」と互いに考えている節すらあることだ。

 実際に株式会社ユービーセキュアとグローバルセキュリティエキスパート株式会社は、兄弟ではないものの、2020年秋に正式に「従兄弟」同士になった。ユービーセキュアはNRIセキュアテクノロジーズ株式会社の資本参加を受けていたが、2020年末、GSXに株式会社野村総合研究所(NRI)の第三者割当による資本提携が行われたからだ。

 日本を代表するITコンサルテーション企業と、日本を代表するITセキュリティ企業の2社の力強い支援のもと、観堂率いるユービーセキュアと青柳率いるGSXは、ともに日本のセキュリティを変えるという志を実現する。

2021/02/25

PCのセキュリティとプライバシーを高めるWindows 10の機能 / Windows 10 features that boost your PC's security and privacy(転載)

Windows-10.jpg

Windows 10 features that boost your PC's security and privacy

ほぼすべてのオペレーティングシステムと同様に、Windows 10はセキュリティとプライバシーの問題に脆弱であり、研究者は、マイクロソフトが製品を改善し、パーソナライズされた広告やプロモーションを有効にするために、あなたの活動の多くを追跡できることを証明しています。

ありがたいことに、Windows 10では、内蔵の設定アプリを使用して、オペレーティングシステムのセキュリティとプライバシーを改善することができます。あなたのデータのセキュリティとプライバシーに懸念がある場合は、以下の変更を行うことを検討する必要があります。

知っておきたいセキュリティ機能


以下では、Windows 10 デバイスのセキュリティを強化できる重要な機能の概要を説明します。

Potentially Unwanted App (PUA)


Windows 10のバージョン2004以降では、潜在的に不要なアプリケーション(PUA)保護と呼ばれる新機能があります。その名の通り、PUA保護により、Windows 10ではMicrosoft Defender(以前はWindows Defenderとして知られていた)を使用して、潜在的に不要なアプリを検出することができます。


知らない人のために、潜在的に不要なアプリケーション(PUA)は、一般的にWindowsや他のインストールされているアプリに問題を引き起こし、デバイスを遅くしたり、バグを起こしたりすることがあります。これらの不要なアプリケーションは、ウイルスやマルウェアとはみなされませんが、Webブラウザを変更したり、デフォルトの動作を変更したり、許可なく他のアクションを実行したりする可能性があると広く信じられています。

Windows 10 2004でPUA/PUP保護を有効にするには、以下の手順に従ってください。

  1. 設定を開きます。
  2. アップデートとセキュリティ」>「Windowsセキュリティ」>「アプリとブラウザの制御」に移動します。
  3. 評判ベースの保護」というタイトルの新しいセクションを探します。
「オンにする」ボタンをクリックすると機能を有効にすることができます。PUA/PUPを設定したい場合は、「レピュテーションベースの保護設定」をクリックすることもできます。

これで以下の設定にアクセスできるようになります。
  • アプリとファイルを確認します。
  • Microsoft Edgeのスマートスクリーン。
  • Microsoft Store アプリのスマートスクリーン。
詳細については、Windows 10 2004では、潜在的に不要なアプリの保護を改善する方法についての記事を参照してください。

Memory Integrity


Windows 10には、マルウェアやその他の攻撃からデバイスを保護することを目的とした「コア分離」と呼ばれるもう一つの素晴らしい機能が搭載されています。コア分離機能は、コンピュータのプロセスをソフトウェアとハードウェアから分離し、高度な攻撃に対するセキュリティの追加レイヤーを可能にします。

Core分離の一部であるMemory integrityは、ハードウェア仮想化とHyper-Vを使用して、Windowsカーネルモードのプロセスにマルウェアを注入して実行しようとする試みを防止します。


コアアイソレーションのメモリインテグリティ機能を使用するには、以下の手順に従ってください。

  1. 設定を開きます。
  2. アップデートとセキュリティ] > [Windows セキュリティ]に移動します。
  3. デバイスのセキュリティをクリックします。
  4. コア分離」と「メモリの完全性」で、メモリの完全性のトグルスイッチをオンにします。
  5. 変更を適用するには、Windowsを再起動します。

Controlled Folder Access


Windows 10 のもう一つのエキサイティングなセキュリティ機能は、基本的に特定のフォルダへの不正アクセスを防ぐことができる「フォルダアクセスの制御」です。

この機能により、機密性の高いフォルダをより制御できるようになり、ランサムウェアや、そのフォルダに保存されている文書、写真、その他のファイルにアクセスして暗号化しようとする試みを防ぐことができます。
  1. Windows セキュリティを開きます。
  2. ウイルスと脅威からの保護」をクリックします。
  3. ランサムウェア対策」をクリック
  4. フォルダアクセスの制御」セクションを見つけ、オン/オフのトグルをクリックします。


  5. 「保護されたフォルダ」を選択します。


  6. アクセスを制限したいフォルダをすべて追加します。
詳細については、Controlled Folderのアクセスの仕組みについての記事をご覧ください。

Network scanning


ネットワークスキャンはWindows Defenderに含まれており、ネットワークファイルをスキャンすることができます。しかし、この機能はデフォルトでは無効になっており、興味のあるユーザーはPowerShellを使って手動で有効にする必要があります。

ネットワークスキャンを有効にするには、以下の手順に従ってください。
  1. Windows検索を開きます。
  2. PowerShellを検索し、管理者として実行オプションをクリックします。
  3. 次のコマンドを入力します。
    Set-MpPreference -DisableScanningNetworkFiles 0
  4. Enter キーを押して、ネットワークファイルのスキャンを有効にします。
上記の手順を実行することで、Defenderを使用してネットワークファイルをスキャンすることができます。この機能をオフにしたい場合は、PowerShellで以下のコマンドを入力します。
  • Set-MpPreference -DisableScanningNetworkFiles 1

Windows 10 settings to increase your privacy


プライバシーやMicrosoftによるデータの使用方法が気になる方は、Windows 10のプライバシーを高めるために以下のような変更を行う必要があります。

Turn off ads and tracking


Windows 10のすべてのコンシューマー向けバージョンでは、デフォルトで広告やレコメンデーションが表示され、マイクロソフトはユーザーアカウント用の広告IDも作成します。広告IDはあなたのMicrosoftアカウントにリンクされており、それはMicrosoftのサービスのための推奨/広告を予告するために使用されます。

幸いなことに、Windows 10では広告IDをオフにすることができ、スタートメニューなどに表示される広告を無効にすることもできます。

設定をオフにするには、以下の手順に従います。

  1. 設定を起動します。
  2. プライバシー] > [一般]に移動します。
  3. プライバシーオプションの変更」セクションで、以下のオプションをオフに切り替えます。
    1."広告をより面白くするためにアプリに広告IDを使用させる ...."
    2."スタートと検索結果を改善するためにアプリの起動をWindowsに追跡させる"
    3."設定アプリで提案されたコンテンツを表示する"
完了すると、一般設定は以下の画像のようになっているはずです。

スタートメニューの提案とプロモーションを無効にする


前述したように、マイクロソフトはスタートメニューを利用して、マイクロソフトストアのアプリやサービスのサジェスト/広告/推奨を表示しています。例えば、Microsoftは最近、新しいMicrosoft Edgeブラウザの広告をスタートメニューに表示するようになりました。


これらのサジェストを無効にするには、「設定」→「スタート」と進み、上記のように「スタートに時折サジェストを表示」を無効にします。




2021/02/24

米国 海軍は7兆円超のリソース管理を行う最大の基幹システム(ERP)をAWSに移行(転載)~国防クラスのクラウド移行事例。5年間問題なく運用出来たら間違いなくクラウド移行は加速する~


米国 海軍は7兆円超のリソース管理を行う最大の基幹システム(ERP)をAWSに移行完了

アメリカ海軍(U.S. Navy)が、”最大”の基幹システム(“U.S. Navy’s largest SAP EAP system”)をAWSへ移行した事例が公開されました。今回のブログでは、AWSジャパン・パブリックセクターより、この事例から読み取られるべきインパクトについて、ご紹介します。

7兆円超の巨大な資源管理をするERPシステムをAWSへ移行


戦闘準備の整った海軍を維持・訓練・装備を充実させることを使命とする米海軍(U.S. Navy)は、軍のメンバーが十分な情報に基づいた意思決定を行い、目前のタスクに集中できるようにするため、テクノロジーやサービス、人事に関連する多くのバックオフィス機能を自動化しています。ただし、これまで整備されてきたオンプレミス・システムのままでは、長らくお互いが切り離されて分散して整備されてきたため、ミッション・クリティカルな情報を迅速に収集・処理・分析することは、困難とされてきました。

巨大ERPのクラウド移行


この「断絶(disconnect)」を解消するために、米国海軍および SAP National Security Services (SAP NS2) は、最大の SAP エンタープライズ・リソース・プランニング (ERP) システム (米国海軍の 6つの司令部を横断し 72,000 人のユーザーを抱えている) をAWSクラウドに移行しました。予定より 10 か月も早くこのマイルストーンは達成され、約 700 億 米ドル(=約7兆3,300億円) 相当の部品・物品等の各種リソースの移動とその記録文書が、単一のアクセス可能なスペースにまとめられるため、クラウド上で全体的な情報をより均一に共有・分析・保護することができるようになりました。米国海軍は、 SAP NS2 Secure HANA Cloud (SHC) を調達しました。 これは、アプリケーションと基盤(インフラストラクチャ)のワークロードを、クラウドに安全に移行できるようにするサービスです。AWS GovCloud (米国) は、 SHC のサービスを通じても使用することができます。  米国海軍最大の SAP ERP システム(“U.S. Navy’s largest SAP EAP system”) をクラウドに移行することで、データの可視性(visibility)と可用性が向上するため、財務報告や予算、保守および修理のログ、高度な分析を十分な量・質の情報に基づいてタイムリーに決定することが可能となります。例えば、大規模なロジスティクス内で部品の不足等が発生したり、あるいは部品が誤配されて一カ所にスタックしてしまうと、艦船が港に係留を強いられる期間(訳注:pier-side, 本来の業務に出航できない期間)が計画よりも数か月長くなってしまうため、メンテナンスと修理のログを迅速に集約することは海軍省にとって非常にクリティカルです。

国防総省全体での”知見”の共有


このような IT 基盤の近代化の取り組みは、米海軍に大きなメリットをもたらします。拡張性と弾力性のあるプラットフォームは、監査への準備が容易になるだけでなく、情報に基づいてロジスティクスや保守・修繕の意思決定を行うのに役立つのです。これほど大規模かつクリティカルなワークロード(訳注:米国海軍最大の SAP ERP システム)をクラウドに移行することが出来たという事実は、米国海軍や 米国国防総省 (DoD) のすべての関連機関が、迅速にIT基盤をモダナイズし、かつ、クラウドに移行することができる──ということを教えてくれます。米国海軍は、この経験について学ぶことを望む他の国防総省関連機関向けに、得られた”教訓”についての 2 日間のワークショップを主催しました。こうした学びは国防総省全体に拡がっていきます。海軍の ERP データは、両方の AWS GovCloud (米国) リージョンでホストされます(訳注:US-East and US-Westの2つのRegionがAWS GovCloud Regionとして利用可能です)。 データ移行およびエッジコンピューティングのためのデバイスである AWS Snowball Edgeを使用して、海軍は ERP のデータを AWS GovCloud (US) に移行しました。  AWS GovCloud (US) は、米国政府機関、教育機関、その他のお客様やパートナーの特定の規制要件(specific regulatory requirements)に対応できるように設計されています。AWS GovCloud (US) は、AWS GovCloud (US) へのアクセス要件を満たす米国政府機関、政府との契約事業者、民間企業および公的な営利団体、教育機関、非営利団体、および研究機関の皆さまよりご利用いただくことが可能です。クラウド・コンピューティングを導入することは、基地・駐屯地においても、あるいは戦術が展開される局面においても、軍の技術的優位性を維持するために重要です。AWS のセキュリティ、伸縮性、高度なサービスを利用することで、国防総省はミッション・クリティカルな洞察を引き出し、大幅なコスト削減と俊敏性の改善に加えて、司令と統率、そして戦闘準備の改善や致死率の低下を実現しています。AWS クラウドは、Public、For Official Use Only (FOUO)、Sensitive、Secret、Top Secretの全てのワークロードを処理するための共通のインフラストラクチャとサービスを政府機関に提供できる、唯一の商用クラウドサービスプロバイダーです。SAP National Security Services Inc. は、包括的なエンタープライズ規模のクラウドサービス、ソフトウェアサポート、およびサービスを提供する SAP America, Inc. の完全所有子会社です。提供されるクラウド製品には、ソフトウェア、サービス、インフラストラクチャの独自の組み合わせが含まれており、重要なアプリケーションに最適なパフォーマンスと俊敏性を提供します。 防衛分野向けのクラウドコンピューティング、 AWS GovCloud (US)、 SAP NS2 の詳細についても、ぜひご覧ください。

on 2月 24, 2021 by B-SON |  

Github上に公開されている機密情報を調査することができるツール(転載)~Github Dorks~


最高のタイミングだと思ったので紹介するんですが、Github上に公開されている機密情報を調査することができるツールがあったりします。 #OSINT github.com/techgaun/githu…: 最高のタイミングだと思ったので紹介するんですが、Github上に公開されている機密情報を調査することができるツールがあったりします。 #OSINT
github.com/techgaun/githu…

ーー

Github Dorks


Github Searchは、リポジトリ上のセンシティブなデータを検索するために使用できる、非常に強力で便利な機能です。Githubのドークを収集することで、秘密鍵、クレデンシャル、認証トークンなどの機密性の高い個人情報や組織情報を明らかにすることができます。このリストは、セキュリティを評価したり、システムのペンテストを行ったりするのに役立つと考えられています。

GitHub Dork Search Tool


github-dork.pyは、リポジトリや組織/ユーザーのリポジトリを検索できるシンプルなPythonツールです。今のところ完璧なツールではありませんが、テキストファイルで指定したドークに対するリポジトリの検索を自動化するための基本的な機能を提供します。


ドークス一覧

今のところカテゴライズはしていません。その代わりに、私は説明付きのドークのリストだけにしようとしています。ドークの多くは、より具体的な検索や一般的な検索をするために変更することができます。ここでより多くのオプションを見ることができます。


2021/02/23

ジャスティン・サッコ事件とは~世界最大のtwitter炎上者(バカッターの極み!?)~

 


世界最大のtwitter炎上ということで、以前Youtubeの動画を見たのだが、元ネタが分からずもやもやしていたのだが、ふとしたきっかけで知ることができたのでメモ。


 ごく普通の無名の人が、ツイッター上で100人そこそこのフォロワーに向かい、少々品の悪い、無神経な冗談を言う。その後、大勢から寄ってたかって強く非難され、排除されてしまう。そんなことが数ヶ月の間に何度も繰り返された。幼い子供を抱え、ただ毎日真面目に働いているような善良な市民が、突然、大勢から袋叩きに遭ったのだ。

 私はそんな体験をした人たち一人ひとりに会って話を聞いた。

 3週間前、ジャスティン・サッコはヒースロー空港を経由する空の旅の最中に問題のツイートをした。それが、後に大変な事態を招くことになる。2013年12月20日のことだ。

 彼女はヒースロー空港で乗継ぎする直前、170人ほどのフォロワーに向け、こんなツイートをした。

「アフリカに向かう。エイズにならないことを願う。冗談です。言ってみただけ。なるわけない。私、白人だから!」

 彼女はそのまま飛行機に乗り込んだ。11時間のフライトだ。その間はほとんど眠っていた。着陸後、携帯の電源を入れるとすぐ、高校卒業以来話したことのなかった知人からのメッセージが目に飛び込んできた。

「こんなことになるなんて、とても悲しいよ」

 画面をよく見た彼女は驚いた。

「私の携帯の画面は恐ろしいことになっていました」彼女は言う。

 まだ飛行機がケープタウン国際空港の滑走路にいる間に、携帯の画面にはもう一つテキストメッセージが表示された。

「今すぐ電話して」それは親友のハンナからだった。「今、あなたはツイッターで全世界のトレンド第1位になっているのよ」

「ジャスティン・サッコのツイート、人種差別があまりにひどすぎて、恐ろしい。言葉も出ない。恐怖以上の何かを感じる」

「@JustineSacco というこのとんでもない女のことを皆に知らせるべきだ」……

 彼女の雇用主からは「あまりに非常識で、言語道断なコメントという他ありません。弊社の社員ですが、現在、国際線の飛行機に乗っており、連絡がつきません」というツイートがあった。それに対しても即座に反応があった。

 続いて、"#hasjustinelandedyet(ジャスティンはもう着陸したか)"というハッシュタグが全世界でトレンド入りした。

 わざわざ手間をかけて調べ、彼女がどの飛行機に乗っているかを突き止める者まで現れた。フライトトラッカーのサイト(飛行中の航空機をリアルタイムで追跡できるサイト)へのリンクが貼られたため、彼女の乗っている飛行機が今、どこにいるかを皆がリアルタイムで確認できるようになった。

「@JustineSacco の乗った飛行機があと9分ほどで着陸するみたいですよ。見物ですね」

「もうすぐ、あのバカ女 @JustineSacco がクビになるところが見られますよ。リアルタイムで。本人が知る前にクビになるかも」

 飛行機が着陸し、事態を知ったサッコは慌ててツイートを削除したが、その後には削除に関するコメントも見られた。

「ごめんね、@JustineSacco ツイートは一度書いたら、永久に残るんだよ」

 グーグルには、「グーグル・アドワーズ」というサービスがある。これを利用すれば、特定のキーワード、たとえば自分の名前が1ヶ月間にグーグルで何回検索されたかを調べることもできる。

 2013年10月、ジャスティン・サッコの名前がグーグルで検索されたのは30回だった。翌11月も1ヶ月に30回検索されていた。ところが、次の12月は、事件の起きた20日から月末までの間に、なんと122万回も検索されている。

 ケープタウン国際空港では、一人の男性が彼女の到着を待ち構えていた。彼は空港に現れたサッコの写真を撮り、ツイッターに投稿した。

「おお、 @JustineSacco がついにケープタウン国際空港に到着。変装のつもりかサングラスをかけている」

 サッコのツイートが盛んにリツイートされ始めたのは、彼女の飛行機が離陸してから3時間ほど経った頃だった。おそらくスペインか、アルジェリアの上空で眠っていた時だ。

 サッコのツイートは、そう出来の良いジョークではないし、褒められたものではないが、人種差別的なものでないことは明らかだ。有色人種を貶める意図はない。自分でも気づかないうちに特権意識を持ちがちな白人を笑う自嘲的なコメントだろう。

 サッコは謝罪声明を出した。身の危険を感じた彼女は、南アフリカへの家族旅行を予定より早く切り上げて帰ってきた。

「宿泊するホテルで姿を見たら襲撃するという脅しもありました。私の安全は誰も保証できないと忠告されたんです」

 インターネット上には、彼女は南アフリカの鉱山王、デスモンド・サッコの娘で、いずれ48億ドルもの財産を相続するのだという噂が駆け巡った。私もその噂は本当だと信じていた。だが、実際に顔を合わせたとき、彼女はこう言った。

「母は、私が物心ついた頃からずっとシングルマザーだったんですよ。母は客室乗務員をしていました。父はカーペットの販売をしていたそうです」

 サッコは続けた。

「本当に苦しいです。私は自分の仕事が好きでした。それを奪われたんですよ。問題が起きて最初の24時間は、あまりの辛さに大声で叫んでいました。心に負った傷はとても深いものです。夜もなかなか眠れません。夜中に目を覚ますことも度々で、そんな時は自分が誰だかわからなくなったりもするんです。突然、何もすることがなくなったんですから。私のスケジュールはまったくの白紙で何の用事もありません。何も……」

 彼女はここで言い淀んだ。

「……生きている意味というのがないんです。私は30歳です。良い仕事に恵まれていました。でも、今、予定は何もない。いずれ、完全に自分を見失います。私は独身ですが、この先、誰かとつき合うのも難しいでしょう。いくら隠しても、今はグーグルで検索すれば私がどういう人間なのかすぐにわかってしまう。事件のことを知れば相手は離れていくでしょう。もう私には新しい出会いなど期待できないんです。良く思われるわけはないのですから」

出典:1つのツイートで世界一の有名人になった女性「悔恨の日々」


Posted in ,  on 2月 23, 2021 by B-SON |  

アラスカ航空がワンワールド加盟予定(2021年3月31日)



アラスカ航空がワンワールド加盟予定(2021年3月31日)

JAL公式サイトに、アラスカ航空のワンワールド加盟のお知らせがでた。
以前から予定されていたことではあるが、ワンワールド加盟の3月31日向けて、粛々と準備が進んでいるようで。
アラスカ航空のワンワールド アライアンス加盟に伴うJMB取り扱いについて

JALとアラスカ航空に関しては現行も個別マイル提携をしているが、3月31日以降はワンワールドとしての提携となる。
ただし、アラスカ航空のマイルでJALなどワンワールド特典航空券を予約できるのは、2021年夏からになる予定。
oneworld Alliance membership and partnership with American Airlines

アラスカ航空のワンワールド加盟スケジュール

なお、アラスカ航空のマイルで他社の特典航空券を予約する場合は、必要マイル数が他社より少なく済むケースもあるが、今回のワンワールド加盟でもアワード・チャートはいじらない予定とのこと。

JAL特典航空券ファーストクラスの行方

アラスカ航空は、「公式サイトでマイル購入可能&増量セール多発」だったり、「独自の提携航空会社が多い=マイルの使い道が多い」ということで、マイルを集めている人も多い。主に海外で。

そんなアラスカ航空マイルの用途として有名なのが、JAL特典航空券、特にファーストクラス
海外の航空系ブロガーでも、JALのファーストクラスを好んで使っている人を、ちらほら見かけますね。

ただ2020年の4月頃、アラスカ航空のマイルでJALファーストクラスを予約できなくなった!!ということで、多くの航空系ブロガーが困惑の記事をアップ。

他社マイルから自社ファーストクラス特典航空券をブロックするのは、「ありえる」話。
そのため多くの外国人が

「遂にJALたんも改悪、ツルたん

・・・JALだけに、ツルたん!!

と嘆いていた。

それで今回のJAL-アラスカ航空の話で、そういや、あの話はどうなったのかな・・・と思いきや。

TPGでまとまった解説が、夏頃に出ていたようです。
Why most JAL first class seats are not bookable with partner miles

なるほど、JALがファーストクラス特典航空券の予約クラスをZからAにしたことで、他社システムから予約できなくなった、というオチだったようです。

しかも、どちらかというと「JAL側のシステムの問題」という形だったようですね。

システムを改修することで、思わぬ問題がでたりすることはあるかと思いますが、まぁ、そういうことだったんでしょうかね。
アッチを叩けば、コッチが出る、的な?

JALのお知らせを見る限り、2/25以降も断続的にシステムを改修していくようで。
こりゃシステム改修する開発会社も大変だな、と。。。

デンバー発のユナイテッド航空機、エンジントラブルで引き返し 破片落下も(転載)


デンバー発のユナイテッド航空機、エンジントラブルで引き返し 破片落下も:

n772ua.jpg

現地時間2月20日午後、デンバー発ホノルル行きユナイテッド航空328便(ボーイング777-200型機、機体記号:N772UA)が離陸直後、右側のエンジンでトラブルが発生し、引き返した。

CNNによると、乗員10名、乗客231名の計241名が搭乗していた。飛行ルート周辺の道路や住宅街では、エンジンカバーの破片などの落下が確認されている。乗員乗客を含め、地上でのけが人も確認されていない。

アメリカ連邦航空局(FAA)は、国家運輸安全委員会(NTSB)とともに調査を行うとの声明を発表した。(写真:現地警察Twitter)

Posted in ,  on 2月 23, 2021 by B-SON |  

2021/02/22

住信SBIネット銀行がスマートプログラムで改悪と改善!ライトユーザーには厳しい(転載)~スマート認証NEOを利用せよ!~

住信SBIネット銀行は、2016年1月から、利用状況に応じて様々な優遇が受けられる「スマートプログラム」が開始しました。

住信SBIネット銀行をかなり利用している方にとっては改善する一方で、ライトユーザーにとっては改悪となります。

2017年4月3日には大幅な改善でお得になりました。2018年6月と2021年4月には改悪と改善があります。

住信SBIネット銀行のスマートプログラムの内容、対策についてまとめます。

スマートプログラムとは


「スマートプログラム」とは、住信SBIネット銀行の商品・サービスをよく利用するほど、様々な優遇が受けられるプログラムとなります。

ATM利用手数料無料回数、他行への振込手数料無料回数はこれまで誰でも同じでしたが、今後は住信SBIネット銀行をよく利用している程に回数が増えます。

楽天銀行のハッピープログラムのような制度です。優良顧客ほどに優遇するのは世の常ですね。条件を満たすと以下の特典が得られます。

ポイントの加算 


商品・サービスの利用状況に応じて、またはキャンペーンの特典として、ポイントが貯まります。

  • デビットカードの利用
  • ミライノカード(JCB)の利用
  • 外貨預金・仕組預金の月末残高
  • 給与・年金の受取、定額自動入金サービス
  • 口座振替(1件以上引落し)
  • 外貨積立(月1万円以上積立で)
  • 純金積立(月5,000円以上)
  • キャンペーンの特典

貯まったポイントは、一定のポイント数に達すると1ポイント1円相当で現金へ交換することができます。また、40%の交換レートでJALマイルに移行することも可能です。

ランク制度による優遇


利用状況に応じて、ランク1からランク4までの4段階のランクの判定が行われ、以下の事項でランクに応じた優遇が適用されます。

  • ATM手数料無料回数
  • 振込手数料無料回数

個人が対象で法人は対象外です。ランク制度の導入は2016年2月からとなります。優遇内容の詳細は下表のとおりです。

ATM利用手数料・他行宛振込手数料の無料回数
項目ランク1ランク2ランク3ランク4
入金無制限月2回無制限月5回無制限月10回無制限月20回
出金月2回月5回月7回月15回
振込月1回月1回月3回月5回月7回月10回月15回月20回
ボーナスポイント最大200p最大200p最大200p最大200p

無料回数を使い切った後のATM手数料は1回100円(税抜)、振込手数料は1回あたり143円(税抜)です。

2021年4月の改悪と改善


ランク2以上はスマート認証NEOが必須


2021年4月1日以降、ランク2以上になるためには、認証機能「スマート認証NEO」の登録が必須条件となります。

ミライノカード保有者も含めて、未登録の場合は強制的にランク1にダウンします。

「スマート認証NEO」は、アプリ「住信SBIネット銀行」とスマートフォンに登録された本人確認情報を紐づける認証機能です。

生体認証もしくはPINコードで認証することになり、パスワードと比較してより安全かつスムーズに取引できます。

スマート認証NEOは不正利用の抑制にもつながり、完全無料で利用できます。

初期の手間が発生するのはデメリットですが、サクッと簡単に手続きでき、負担感は僅少です。

ATM入金手数料が改悪、出金手数料と振込手数料が改善

ランクごとのATM手数料の無料回数では、入金が無制限で無料でなくなり、出金手数料と共通の無料回数が適用されます。

ただし、ランク3以上の場合は最大のATM出金無料回数が増えます。また、ランク2以上なら他行宛振込手数料の無料回数がUP!

ランクの判定条件


毎月1日に、前々月の商品・サービスの利用状況に応じてランクが判定されます。ランクはWebサイトのログイン後ページに表示されます。

当月のランクは2ヶ月前の取引状況に基いて決まります。例えば、2017年8月のランクは、2017年6月の状況に応じて判定されます。ランクを確認できる判定チャートも用意されています。

各ランクの条件について順にまとめます。

ランク2


ランク2はスマート認証NEOを設定した上で、以下3つのいずれかの条件に該当する場合に適用されます。これらに未該当の場合はランク1となります。

  • 総預金の月末残高が30万円以上
  • 30歳未満
  • 総預金の月末残高が1,000円以上 かつ ロボアドバイザー資産運用残高10万円以上
  • 総預金の月末残高が1,000円以上 かつ 以下の1~8の条件に2つ以上該当

  1. 外貨預金(普通・定期)の月末残高あり
  2. 仕組預金の月末残高あり
  3. SBIハイブリッド預金の月末残高あり
  4. カードローンの月末借入残高あり(50万円以上なら2商品分にカウント)
  5. 目的ローンまたは不動産担保ローンの月末借入残高あり
  6. 純金積立の引落しあり
  7. 給与、賞与または年金の振込あり
  8. デビットカードの利用金額が1万円以上(3万円以上なら2商品分にカウント)
  9. toto・公営競技 月内入金2万円以上

つまり、総預金の月末残高が30万円以上なら自動的にランク2となります。

総預金残高は、円預金(普通・定期)、外貨預金(普通・定期)、仕組預金、SBIハイブリッド預金の合計残高です。外国為替証拠金取引(FX)の証拠金等は含まれません。

100万円未満の場合は、残高が1,000円以上で、30歳未満か、ロボアドバイザー資産運用残高10万円以上か、1~9のうち2つの条件を満たす必要があります。

最も簡単な方法は、外貨預金とSBIハイブリッド預金の組み合わせです。

1ドル(2021/1/1時点で103.20円)だけ外貨預金して、SBI証券に口座を開設したら預け入れ可能なSBIハイブリッド預金(普通預金)に1,000円預け入れたら条件を充足します。

その他で条件充足が容易なのは、給与・賞与・年金の振込か、デビットカードの利用実績1万円以上です。3万円の利用ならこれだけでクリアできます。

ランク3


ランク3はスマート認証NEOの設定に加えて、以下3つのいずれかの条件に該当する場合に適用されます。

  • 総預金の月末残高が300万円以上
  • 総預金の月末残高が1,000円以上 かつ 住宅ローンを利用
  • 総預金の月末残高が1,000円以上 かつ ロボアドバイザー資産運用残高100万円以上
  • 総預金の月末残高が1,000円以上 かつ 以下の1~8の条件に3つ以上該当

  1. 外貨預金(普通・定期)の月末残高あり
  2. 仕組預金の月末残高あり
  3. SBIハイブリッド預金の月末残高あり
  4. カードローンの月末借入残高あり(50万円以上なら2商品分にカウント)
  5. 目的ローンまたは不動産担保ローンの月末借入残高あり
  6. 純金積立の引落しあり
  7. 給与、賞与または年金の振込あり
  8. デビットカードの利用金額が1万円以上(3万円以上なら2商品分にカウント)
  9. toto・公営競技 月内入金2万円以上

つまり、総預金の月末残高が300万円以上なら自動的にランク3となります。

300万円未満の場合は、残高が1,000円以上で、住宅ローンを利用しているか、ロボアドバイザー資産運用残高100万円以上か、1~9のうち3つの条件を満たす必要があります。

最も簡単な方法は、外貨預金、SBIハイブリッド預金、カードローンの組み合わせです。

外貨預金を1ドルして、SBI証券に口座を開設したら預け入れ可能なSBIハイブリッド預金(普通預金)に1,000円預け入れ、カードローンの残高が1円あれば条件を充足します。

ただし、カードローンは信用情報機関に借入情報が記録されますし、1円の借入と返済を繰り返していると更新拒否のリスクがあります。これが気になる場合は、給与の受取かデビットカード1万円利用が簡便です。

給与・賞与・年金のいずれかを住信SBIネット銀行で受け取れる場合は、外貨預金1ドル+SBIハイブリッド預金1,000円+受取で達成できます。簡単ですね。

下限は設けられていないので、給与が3万円でもOKです。一部の企業では2ヶ所以上の銀行に給与を分散して振り込める企業もあります。

そういう企業だと容易に達成できます。入出金明細に「給与」の記載が必要であり、単純な「振込」ではNGとなります。

住信SBIネット銀行のスマプロプログラムまとめ


住信SBIネット銀行のスマートプログラムの導入は、まとまった預金を預け入れていたり、住宅ローン等の契約をしている方にとってはメリットが有ります。

今後は無条件で振込手数料が無料となるのは、1ヶ月あたりたったの1回となりました。ATMの出金手数料は2回だけです。

ただし、外貨預金を1ドルして、SBI証券に口座を開設したら預け入れ可能なSBIハイブリッド預金(普通預金)に1,000円預け入れればランク2となります。

これまで通り振込手数料が月3回までは簡単に無料にできます。ATM手数料が無料なのは5回までとなってしまいます。

外貨預金1ドル・SBIハイブリッド預金1,000円に加えて、更にカードローンの残高が1円あればランク3となり、振込手数料・ATM手数料が月10回まで無料となります。

Posted in ,  on 2月 22, 2021 by B-SON |  

メガネのリプレース


先日メガネのフレームがぽっきり折れてしまった。


 自分はシルエットというオーストリアのメーカーのフレームをここ10年くらい使っている。

そもそものウリは羽のように軽いメガネということなのだが、個人的に気に入っているのはフレームにねじを使っていない点である。

これまで使っていたメガネはたいてい最初に稼働部分にガタがくる。

であれば、いっそのことねじのないメガネにしようと思ってたどり着いたのがシルエットというブランドである。

シルエットはフレームにねじを使用しておらず、プラスチックを採用していて弾力性があり非常に軽かった。

ただ、いかんせんプラスチックは劣化してしまうため、7年の時を経て弾力性がなくなり、ついにぽきっと逝ってしまったのである。

一方で7年も持てば御の字である。

というわけで、先日新しいシルエットを求めて店に行った。

シルエットは所謂大衆メガネ店では取り扱いがないため、メーカーサイトで検索して店を探してみるのが良い。

さっそく店で後継のシルエットを物色していると、フレームにプラスチックを採用した従来型に加え、チタンを採用した製品も出ていた。

「チタンなら折れないんじゃね!?」

というわけで、迷うことなくチタンフレームを採用したシルエットを選択した。

技術の進歩は素晴らしいと感じた今日この頃だった。

Posted in  on 2月 22, 2021 by B-SON |  

2021/02/21

イベリア航空:Avios購入50%ボーナスセール(2021/2/15~2021/3/1)(転載)


【半年ぶり】イベリア航空:Avios購入50%ボーナス!単価1.5円/Avios!お得にJAL特典航空券:

セール概要

最低購入Aviosの2,000Aviosから50%ボーナスが付きます。

・2,000 Avios購入時の単価は2.3円/Avios

・20,000 Avios購入時の単価は1.6円/Avios

・80,000 Avios購入時の単価は1.6円/Avois

・100,000 Avios購入時の単価は1.5円/Avios

(※128円/ユーロ換算)

・20万Aviosまで購入可能

・2021年3月1日まで

イベリア航空のアカウントを作成してから3か月経過しないと(90日ではありません)、イベリア航空のAviosはBAに移行することはできませんので(Avios購入自体は可能)、アカウント作成はお早めにした方が良いです。

アカウント作成時には姓名等が完全一致していないと、カスタマーセンターを介して修正してもらう必要がありますので、アカウント作成時は要注意です。

・AviosでJALの特典航空券を予約できます。羽田~北海道/鹿児島/福岡間は片道6,000 Avios(今回のセールだと片道約9,000円)で、羽田~沖縄間は片道9,000 Aviosです(同13,500円)。かなりお得です。

・2020年8月に続き50%購入ボーナスセールです。 

・イベリア航空のAviosをお得に購入する手段として、スペイン版グルーポンのAviosクーポンがありますが、ココ2年間くらいは販売している様子はないです

単価計算

通常AviosボーナスAvios購入Avios価格(ユーロ)円単価
2,0001,0003,000542.3
15,0007,50022,5002931.7
40,00020,00060,0007571.6
80,00040,00012000016471.6
200,000100,000300,00036011.5

購入方法

イベリア航空のサイトへ

https://www.iberia.com/jp/

ログインして、マイAvios→「Aviosの購入または移行」を選択

「Purchase」を選択

「Step 1 How many Avios do you want to buy?」で買いたいAvios数を選択しましょう。

イベリア航空からAviosを購入することのメリット/デメリット

vs ブリティッシュアエウエイズHP

<メリット>

単価が良いですね。

ブリティッシュアエウエイズHPも定期的にセールを開催していますが、単価はセール時のブリティッシュアエウエイズHPよりも、セール時のイベリア航空HPの方がお得です。直近のブリティッシュアエウエイズのセール時でも最大単価は2.2円/Aviosでしたが、今回はイベリア航空のセールでは最大単価が1.5円/Aviosです。

<デメリット>

イベリア航空のアカウントを作成してから3か月経過しないと、イベリア航空のAviosはBAに移行することはできません(Avios購入自体は可能)。なので、アカウントを作成したばかりの方で、「すぐにAviosからJAL等の特典航空券を予約したい」という方にはお勧めできません。

イベリア航空のAviosをブリティッシュエアウェイズのAviosに移行したとしても、ブリティッシュエアウェイズのAviosの有効期限は延長されません。ブリティッシュエアウェイズのAviosの有効期限を延長するためには、ブリティッシュエアウェイズのサイトから直接Aviosを購入するか、クレジットカードのポイントからブリティッシュエアウェイズのAviosに直接交換するか、特典航空券を予約するか等の対応が必要になります。

vs スペイン版グルーポン

<メリット>

①確実にAviosを入手できる点です。スペイン版グルーポンの場合、クーポンが届かなかったり、有効化できなかったりということがネットで散見されます。私もスペイン版グルーポンで購入した経験がありますが、有効化の過程で頻繁にエラーが生じていて、「本当に有効化できるのか?」と不安になりながら有効化を進めていました(私は10回ほどクーポンを購入していますが、すべてのケースでなんとか最終的には有効化できています)。

②80,000 Avios以上ほしい場合は、イベリア航空のサイトの方が単価が良くなってきます。

<デメリット>

・ここ2年間は販売をいていない模様です。

・また、ヨーロッパ在住者対象になっているようです。

・少しのAviosが欲しい場合はスペイン版グルーポンの方が単価が良いです。34,000Aviosクーポンは単価1.51 Avios/円です。


イベリア航空のAviosの使い方

イベリア航空のアカウントを作成してから3か月経過すると、ブリティッシュエアウェイズのAviosに移行できます。


その後はJALの特典航空券に予約できます。

羽田~北海道/鹿児島/福岡間は片道6,000 Avios(今回のセールだと片道9,000円)で、羽田~沖縄間は片道9,000 Aviosです(同13,500円)。かなりお得です。