初心者に人気のバグバウンティコースとトレーニングプログラム10選 / The 10 Most Popular Bug Bounty Courses and Training Programs for Beginners(転載)





かつてハッカーといえば、暗い部屋に座っているフード付きの人物で、インターネット上のミステリアスで人目につかない場所に住んでいると思われていましたが、ありがたいことに時代は変わりつつあります。

ホワイトハットやエシカルハッキングの人気は急上昇しており、多くの人にとって有益なキャリアの選択肢となっています。

バグバウンティハンティングは、ハッキング業界に参入したばかりの若いハッカーにとって、最も人気のある仕事の一つです。ハッキング技術を磨くための趣味として取り組む人もいれば、フルタイムのキャリアとして実に有益な選択肢となる人もいるだろう。2020年だけでも、バグバウンティハンターたちは、バグバウンティプラットフォーム「HackerOne」でセキュリティ上の脆弱性を報告することで、過去最高の4000万ドルを獲得しています。

毎日のように多くの新しい熱心なハッカーがコミュニティに参加していますが、彼らが始めるためには良いリソースが必要です。新しいバグバウンティハンターが実践的なアプローチを始める前に理解しなければならないのは、馴染みのない専門用語、トピック、テクニック、ツールなどがたくさんあります。ありがたいことに、バグバウンティコミュニティは、知識の共有に協力的で、初心者を歓迎してくれることで知られています。そのため、オンラインで安価な学習教材を豊富に見つけることができます。

キャリアをスタートするにあたり、バグバウンティハンティングの基本を学ぶための最良の方法の一つは、トレーニングプログラムやコースを利用することです。私たちは、Twitterコミュニティやお気に入りのハッカーたちに、これらの教材の中で最も優れたものについてアドバイスを求め、このリストを作成しました。コースやトレーニングは順不同で掲載されており、それぞれ基本的なスキルレベルが異なる個人に役立つものです。

バグバウンティハンティングの基本とそれに必要な理論的知識を手に入れたら、ペネトレーションテストや倫理的ハッキングのために意図的に脆弱なウェブサイトをハッキングして自分のスキルを試し、ツールスタックの構築を始める準備ができたら、最高のバグバウンティブラウザ拡張機能をチェックするようにしてください。

1. BugBountyHunter


好きなバグバウンティハンティングのコースやトレーニングプラットフォームについてTwitterで質問したところ、BugBountyHunterが断トツで選ばれました。BugBountyHunterは、有名なハッカーでバグバウンティハンターのSean(zseanoとして知られている)が作成したもので、初心者と経験豊富なハッカーの両方を対象としています。実際のバグバウンティで発見された脆弱性を備えたカスタムメイドのウェブアプリケーションを使って、スキルを学び、テストすることができます。このプラットフォームは、バグバウンティに関するあらゆる情報を提供することを目的としており、バグバウンティハンティングを始めるためのガイド、最も一般的な脆弱性の調査、必要なツール、貴重なバグバウンティハンティングの方法論の豆知識など、セキュリティ関連のコンテンツを数多く提供しています。

BugBountyHunterでは、ウェブアプリケーションのセキュリティ脆弱性を発見するためのzseanoの完全で非常に詳細な方法論にアクセスすることができます。一方、BBHの会員になると、あなたの実践的なスキルをテストするためのカスタムメイドのウェブアプリケーション「BARKER」が提供されます。BARKERは実際のターゲットを模したもので、実際の発見に基づいた100以上の脆弱性を含み、異なる難易度を提供します。


zseano氏は常に新しい脆弱性をアップデートしており、zseano氏の方法論に従えば、BARKERでほとんどの脆弱性を見つけることができるはずです。さらに、BARKERはゲーム性があり、スキルを磨いてより多くの脆弱性を発見するとレベルアップしていきます。25個のユニークなバグを発見すると、プロが参加するライブハッキングイベント「Hackevents」に参加することができ、賞金を獲得することもできます。

BBHの会員になると、特定のトピックに関するトレーニングビデオやそのアプリケーションのデモが見られるBountyTrainingにもアクセスできるようになります。全体的に見て、BugBountyHunterはまだ若いプラットフォームですが、すぐにコミュニティの人気者になっている有望なプラットフォームです。

2. PentesterLab


PentesterLabは、特にバグバウンティハンティングを目的としたものではないかもしれませんが、ウェブアプリケーションのセキュリティやペネトレーションテストを学ぶためのオンラインおよびオフラインのラボを提供する、有名なプラットフォームです。このプラットフォームでは、Webアプリケーション・セキュリティやペンテストを始めたばかりの人のために、無料の演習問題やブートキャンプを提供しているほか、200以上の専用演習問題や実際のシナリオにアクセスできる、非常に価値のあるPROサブスクリプションも提供しています。

PentesterLabでは様々なバッジを提供しており、それぞれにEasyからHardまでのエクササイズが混在しています。バッジには、クロスサイトスクリプティング(XSS)、SQLインジェクション、認証・認可、リコン、デシリアライゼーションなど、ウェブセキュリティやペンテストに関する幅広いトピックが含まれています。それぞれのバッジには、多数のオンライン演習が用意されており、教材やビデオを使ったコースも含まれています。

オンラインエクササイズの多くは、PentesterLabで必要な知識やリソースを得ることができます。難易度の高い問題は、Googleで検索する必要があるかもしれませんが、初心者にはこのプラットフォームのビデオと資料で十分でしょう。

オンラインのエクササイズはシンプルで要点を押さえており、学んだことを試すことができ、ビデオは非常に高品質である。このプラットフォームの作者は、常にウェブサイトを更新し、バッジを追加しています。最高のリソースや教材を手に入れるためには、月額20ドルのPRO会員になる価値があり、忠実なユーザーがそれを証明しています。

3. Portswigger Web Security Academy


Web Security Academyは、Burp Suiteを開発したPortswigger社によって作成されました。この無料オンライン・トレーニング・センターは、ウェブ・アプリケーション・セキュリティを学び、実践するための実行可能なリソースであり、サイバーセキュリティの専門家による実戦的なコンテンツやインタラクティブなラボが含まれています。

膨大な量の高品質なリーディング教材と、3段階の難易度を持つインタラクティブなラボを備え、コンテンツは継続的に更新され、新しいトピックや教材が定期的に追加されています。自分のペースで学習を進めることができ、ライブリーダーボードで他のユーザーと競い合うこともできます。

Web Security Academyでは、30以上の無料ラボが用意されており、SQLインジェクション、XSS、XML外部エンティティ(XXE)、安全でないデシリアライゼーション、情報漏えい、サーバサイドリクエストフォージェリ(SSRF)、Webキャッシュポイズニングなど、Webの脆弱性に関する重要なカテゴリの知識を習得し、実践することができます。


ラボの解説は、ウェブアプリケーションセキュリティを学ぶための出発点として、初心者の方はもちろん、経験豊富なハッカーの方が知識をリフレッシュしたり、スキルを練習したりするのにも適しています。

4. Hacker101


多くの著名なバグバウンティハンターは、Hacker101のビデオから学んでキャリアをスタートさせています。世界で最も人気のあるバグバウンティープラットフォームのひとつであるHackerOneが主催する無料のウェブセキュリティクラス「Hacker101」は、バグバウンティハンティングの道を歩み始めた初心者向けにデザインされています。

無料ビデオのコレクションであるHacker101は、HTTPの基本、クッキーのセキュリティ、HTMLの解析、MIMEのスニッフィング、CSRFやXSSなど、ウェブアプリケーションの基礎を紹介しています。また、BurpSuite、正しいハッカー精神、優れたバグレポートの書き方、バグバウンティからペンテストへの移行などのトピックについても紹介されています。有名なプロやバグバウンティハンターとのコラボレーションによるビデオの多くは、STÖKを使ったハッカーのためのJavaScriptの学習、クッキー改ざんのテクニック、クリックジャッキング、モバイルハッキングなど、基本的な内容をはるかに超えるトピックを含んでいます。


Hacker101では、Capture the Flag(CTF)トレーニングも提供しており、脆弱な実世界のシナリオで狩りをして、さらにスキルを磨くことができます。旗を3つ見つけると、プライベートプログラムに招待される優先リストに加えられます。

盛り上がっているコミュニティと、バグバウンティハンティングの技術を学んでそれをキャリアにするのにこれ以上の方法はないという事実から、Hacker101はバグバウンティハンターを始める人にとっての必須アイテムとなっています。

5. Intigriti Hackademy


欧州最大級のバグバウンティープラットフォームであり、急成長を遂げているIntigritiは、Webセキュリティの無料オンライン学習教材「Intigriti Hackademy」を開始しました。Intigriti Hackademy」は、初心者のバグ・バウンティ・ハンターのための無料のリソース集で、必要なすべての脆弱性のカテゴリーを、詳細な説明と実際の例、書き込み、説明ビデオでカバーしています。

Intigriti Hackademyに掲載されている脆弱性の種類は、クリックジャッキング、XSS、CSRF、ファイルインクルード、ファイルアップロード、HTTPパラメータ汚染、IDOR、オープンリダイレクト、SSRF、SQLインジェクション、XXEなどです。


また、良いレポートを書き、Intigritiで報奨金を獲得するチャンスを高めるためのガイドやレッスン、バグバウンティハンターが偵察、サブドメインの列挙、コンテンツの発見、サブドメインの乗っ取り、ポートスキャン、脆弱性評価、パスワードクラッカー、プロキシなどに必要なツールについての洞察も提供しています。

2019年に開始され、アップデートを提供しているIntigriti Hackademyは、バグバウンティハンターが知っておくべきすべての基本について素晴らしい概要を提供しており、より高度な知識を得るための素晴らしいジャンプオフポイントとなっています。

6. Bugcrowd University


Bugcrowd Universityは、バグバウンティハンターやセキュリティ専門家がスキルを磨き、洞察力のあるトピックを探求し、現場で価値あるツールを得るために2018年に誕生しました。スタート当初から成長してきたBCUは、現在、初心者を含むあらゆるスキルレベルに対応した幅広いトピックを提供しています。利用可能な教材は、カンファレンストーク、スライドデッキ、高品質なビデオ、ワークスルーに加え、追加のリソースやラボなど多岐にわたります。


フリーでオープンソースのBCUは、最も重要なバグに関する重要な知識と、初めての人が最も頻繁に尋ねる質問を組み合わせて作られています。BCUには、初心者、中級者、上級者向けのコンテンツが用意されており、独自のバグバウンティプログラムを開催したいと考えている組織向けのリソースも用意されています。

初心者向けのコンテンツには、最も一般的な脆弱性に関するビデオやスライドのほか、和解、CSS、BurpSuiteの紹介、SSRF、バグの上手な提出方法などのトピックが含まれています。また、ハッキングやバグバウンティハンティングの他の側面に焦点を当てた、技術的ではないトピックのトークやビデオも用意されています。コミュニティ自体、ハードウェアのハッキング、車のハッキング、Bugcrowdの創設者であるCasey EllisとのQ&Aなどがあります。

BCUは、バグバウンティハンティングに関するあらゆる情報を集めた貴重なリソースであり、倫理的なハッキングの世界をユニークに表現しているので、ぜひブックマークしておきたい。

7. Intro to Bug Bounty Hunting and Web Application Hacking


この新鮮な入門コースは、NahamSecとしてよく知られ、教育的なバグバウンティのコンテンツで多くの人に愛されている尊敬すべきハッカー、Ben Sadeghipour氏によるものです。「Intro to Bug Bounty Hunting and Web Application Hacking」はUdemyで公開されており、実践的なバグバウンティハンティングを学ぶことができます。まさに入門編ということで、基本的なトピックが多く網羅されており、聞き取りやすく、知識ゼロからでもバグハンティングを始められる方法が明確になっています。

XSS、クロスサイトリクエストフォージェリ(CSRF)、SQLインジェクション、安全でない直接オブジェクト参照(IDOR)、SSRF、XXEなど、10種類以上の脆弱性の概要と、それぞれに対応した実践的な演習を収録しています。また、偽のターゲットを攻撃することで新しいスキルを試すことができる実践的なラボ、Reconの紹介、最も人気のあるバグバウンティプログラムの紹介、プログラムの選択に関する洞察、レポートの書き方のレッスン、プライベートなバグバウンティプログラムへの招待を受けるための貴重な指導なども用意されています。

ベンは、今後もコースをアップデートし、中級者向けのトピックを増やしていくことをすでに発表しています。このコースがどのように進化していくのか、楽しみですね。

8. TryHackMe


TryHackMeは、ハッキングやバグバウンティハンティングだけではなく、サイバーセキュリティ全般に焦点を当てたオンラインプラットフォームです。TryHackMeのコンテンツはすべて、ゲーム化された短時間の実世界実験の形で提供されており、「一口サイズの部屋」と呼ばれるさまざまなモジュールで構成されています。このプラットフォームはサイバーセキュリティに関する幅広いトピックを提供しているので、Linuxやネットワークなどの真の初心者向けトピックを扱う部屋もありますが、ここではWeb Hacking Fundamentalsモジュールとその他のモジュールに焦点を当てます。

Web Hacking Fundamentalsでは、Webサイトの仕組みや悪用方法、必需品であるBurpSuiteの使い方、OWASP Top10 Webアプリケーション脆弱性のすべて、そしてCTFについて学びます(このモジュールでは、ある程度の予備知識が必要です)。


このモジュール以外にも、「Web」カテゴリの部屋では、Google dorking、SQLインジェクション、様々なCTF、CSS、効率的な偵察の一環としてのOSINTの実施方法、バグバウンティハンターが持つべき多くのツールの使用方法などのリソースを見つけることができます。また、NahamSecのUdemyコースで学んだスキルをテストするために作られたNahamStoreもあります。ゲーミフィケーションを核としたTryHackMeは、あらゆるスキルレベルのハッカーにとって楽しいプラットフォームです。新しい技術を学んだり、すでに身につけた技術を磨いたりするのに役立つものがきっと見つかるはずです。

9. Bug Bounty Hunting - Offensive Approach to Hunt Bugs


Udemyで公開されていた人気のバグバウンティ講座「Bug Bounty Hunting - Offensive Approach to Hunt Bugs」は、Vikash Chaudhary氏が制作したもので、同氏が経営するHackersEra社のアプリ「HackersEra University」で公開されており、その一部はYouTubeチャンネルで見ることができます。これまでに10,000人以上の受講生がこの講座を聴き、バグ報奨金獲得の経験がない多くの人が、キャリアをスタートするために必要な基礎知識を身につけることができました。


このバグバウンティコースでは、基本的な用語、情報収集、BurpSuiteの使い方、そしてもちろん、XSS、URLリダイレクト、パラメータ改ざん、HTMLインジェクション、SSRF、サブドメインの乗っ取り、ファイルアップロードなど、OWASPトップ10の一般的な脆弱性をカバーしており、最も優れたコースの1つと言われています。

このコースでは、バグバウンティのプラットフォームや報酬、殿堂入りの仕組みなど、バグバウンティハンティングのその他の重要な側面もカバーしており、基本的にはバグハンティングの輝く世界に足を踏み入れるための準備をします。このコースは、Udemyで提供されていた方が便利だったかもしれませんが、Vikash氏のコースはここに掲載されるに値するもので、最高のバグバウンティハンティングトレーニングコースのリストには、このコースを抜きにしては考えられません。

10. Website Hacking/Penetration Testing & Bug Bounty Hunting


初心者向けのコースを探しているなら、もう探す必要はありません。「Website Hacking/Penetration Testing & Bug Bounty Hunting」は、Zaid Sahibが提供するUdemyのコースで、Linuxやプログラミング、ハッキングの知識を必要としません。開発者だけでなく、Webサイトのハッキングを始めたばかりの人にも人気で、すでに7万人以上の受講者がこのコースを修了しています。このコースを修了したからといって、すぐに賞金を獲得できるわけではありませんが、理論と実践の講義を適切に組み合わせることで、しっかりとした基礎的なハッキングの知識を身につけることができます。

このコースでは、まずペンテスティング・ラボの作成方法を学び、次にウェブサイトの基本と使用される技術について学びます。その後、Webサイトのハッキング、情報収集、さまざまな脆弱性カテゴリーの発見とその修正方法を学びます。コード実行、SQLインジェクション、XSS、ブルートフォースなど、バグバウンティプログラムやOWASPトップ10で発見された一般的な脆弱性を、90本以上のビデオで網羅しています。


このバグバウンティコースは、しっかりとした基礎を提供し、ウェブアプリケーションのペンテストの基本的な側面をすべてカバーしています。このコースで提供されている技術は、やや古いと思われるかもしれませんが、全くの初心者向けによく構成されており、バグバウンティハンターとしてのキャリアを容易にするために必要な最低限の知識を得るのに役立ちます。


ココイチでバイトテロ!陰毛をカレーに・・・・


 今度はココイチで「バイトテロ」、不衛生行為をSNSで限定公開→予期せず拡散 店は一時営業停止に...運営会社「厳正な対応を行う」

再び目立つようになった「バイトテロ」が、今度は「カレーハウス CoCo 壱番屋」で発覚した。

店の休憩室で、アルバイトの男性がカレーに「不適切行為」をしたものだ。運営会社の壱番屋は2021年6月14日、「お客様にご不快、ご不安な思いをさせた」として公式サイトで謝罪した。

男性店員が、左手で股間に手を入れ、カレーに振りかける

黒いTシャツと黄色い半ズボンをした若い男性店員が、左手で股間に手を入れた。

「なんしてるんですか? は?」。また手を入れると、別の店員がこう声をかける。

すると、男性は、その左手で食べかけのカレーの上に何かをばらまいた。別の店員は、「うわー!」と声を上げるが、男性は、「スパイスを振りかけました」とつぶやく。カメラがカレーに近づくと、男性の陰毛らしきものがライスの上に乗っていた。

別の店員は、「この人...」と呆気に取られるが、男性は、その場で踊り始め、右隅にいた3人目の店員は、あきれた様子で顔を両手で押さえていた。

この15秒ほどの動画は、インスタグラムに投稿され、6月13日には、ツイッターで転載されるなどして騒ぎになった。

壱番屋の経営企画室は14日、J-CASTニュースの取材に対し、福岡県内にあるフランチャイズ加盟店で12日夕に実際にあったことだと認めた。

今回も鍵付きインスタに投稿し、「仲間うちだけで見るつもりだった」

それによると、バイトの男性店員が店の休憩室で、客に提供するのと同じまかないのカレーを食べていると、動画の男性が、カレーに対して「不適切な動作」を行った。

同社では、この行為は、いじめではなく、お互いに面白がっていた単なる悪ふざけだと説明した。動画の最後に顔を両手で覆った男性は、また別の店員だという。

動画は、食事をしていた男性がスマートフォンのカメラで撮り、行為があった直後に、自らのインスタに投稿していた。インスタは、鍵付きのアカウントで、24時間で消える「ストーリー」に動画をアップしたため、仲間うちだけで見るつもりだったという。

それがなぜネット上で流出したのかは不明だというが、12日の深夜には拡散が始まり、それに気づいた別の店から本部に通報があったそうだ。

壱番屋は14日昼過ぎ、「店舗従業員による不適切な行為とお詫びについて」のタイトルでお知らせを出した。「従業員による不適切な SNS 投稿があったことが発覚いたしました」と報告し、「このような、店舗内の休憩室での不衛生で不適切な行為によって、お客様に大変ご不快でご不安な思いをさせてしまいましたことを深くお詫び申し上げます」と謝罪した。

発覚当日に店の営業を停止し、再発防止に向けた指導を行うとともに、店における衛生管理の確認や清掃などを行い、翌日から営業を再開したという。

バイト店員2人については、「事実関係を認め、素直に反省しておりますが、弊社といたしましては規程に則って厳正な対応を行う所存」だとしている。


プレスリリース:店舗従業員による不適切な行為とお詫びについて

バックアップ



区分一筋26年、59室を「現金買い」した兼業大家の軌跡(転載)~購入価格は500万~1000万円くらい、家賃5万円を得られる物件を目指す~


区分一筋26年、59室を「現金買い」した兼業大家の軌跡

1989年、自宅用として購入した区分マンションをきっかけに不動産投資を開始。現在に至るまで59室の中古ワンルームマンションを現金で買い進め、家賃年収3600万円の大家となった芦沢晃さん。

投資歴26年、これまで区分マンション一筋で購入し続けてきた「区分投資の生き字引」である芦沢さんは、これまでどのように規模を拡大してきたのだろうか。そして、無借金で物件を買い進めてきた「堅実投資術」について、インタビューで語ってもらった。

初めての不動産投資は「マイナス100点」

―現在の投資規模について教えてください

これまで26年間で、59室の中古ワンルームマンションを無借金で購入してきました。現在の総資産は3億円、年間家賃収入3600万円です。主に西東京、神奈川の横浜・川崎などの京浜地区に物件を所有しています。

毎月発生する管理費・修繕積立金や、固定資産税、所得税などを差し引いた税引き後CFは、だいたい2000万~2400万円です。現在は入居率95%で運営しています。

―初めて購入したのはどのような物件だったのでしょうか。

実は、収益用のマンションを購入する前に、自宅用に不動産を購入しているんです。1989年のことです。当時は会社の独身寮に住んでいたのですが、30歳を過ぎたら出なくてはいけない決まりだったので、新居を探していたんです。

当時は、都内の新築住宅は毎年1000万円ずつ高騰しているようなバブル期。「数年後に購入するよりも、今買った方が良いだろう」と思い、思い切って物件を購入しました。八王子市の約3000万円、2DKの中古区分マンションです。

―居住用として購入された物件が最初だったんですね。

その6年後、結婚して子どもが生まれ、2DKだと手狭になってしまうので引っ越すことにしました。そこで購入した物件を売却しようと不動産会社に相談したのですが、バブルが崩壊してしまって。3000万円で購入した物件が、半値にしかならないことがわかったんです。

それで、やむを得ず賃貸に出しました。これが大家の始まりです。


―問題なく運営はできたのでしょうか?

入居はついたのですが、毎月の返済が7万円、家賃も7万円でした。管理費・修繕積立金や税金を支払うと赤字でしたね(笑)。

不動産投資家としては、「マイナス100点」の物件だったと思います。物件の評価が半値になってしまいましたし、収支もボロボロでしたから。

でも、この物件を貸し出したことで不動産投資を知ることができました。この物件がなければ、現在のように不動産投資で資産を築くことはできなかったと思います。だから、自己投資という側面で見れば300点くらいかな?

―その失敗を、次の物件購入に生かしたのでしょうか。

いえ、次の物件も失敗したんですよ(笑)。

1戸目の物件が赤字ですので、なんとかして、収支がプラスになるように挽回しようと思いました。1戸目の物件を賃貸に出した半年後くらいに、2戸目の物件を購入しました。投資用として購入した初めての物件です。

鶯谷駅にある1000万円の中古ワンルームマンションをフルローンで買いました。収支は家賃6万円で返済額が5万5000円だったので、これで「やっとお財布にお金が入るぞ!」と喜んでいましたね。

でも実際に運営してみると予想外の出費が発生してしまい、年間の収支はマイナスだったんです。

固定資産税などの税金、エアコンや給湯器などの故障による修繕費、退去による原状回復費用を、計算に入れていなかったんですね。退去があった際は家賃が入らないですし。

また、管理組合の積立金も赤字だったということも購入後に分かりました。

―2戸目での失敗は、芦沢さんの不動産投資にどのような影響を及ぼしたのでしょうか?

この経験から、2つのことを学びました。

1つは「ローンを組むと収支が回りにくくなる」ことです。銀行返済をする必要があるからです。一棟物件の場合は、複数の部屋があるため、退去や修繕が発生しても他の部屋の家賃でカバーがしやすいです。

しかし、私が購入している1Rマンションの場合、得られる家賃収入は少ないため、専有部で修繕が発生すると、ローンを組んでいた場合すぐに手出しが発生します。また、部屋も1室しかないため、退去があればその期間の家賃は得られません。

2つ目は「マンションの修繕積立金の金額を必ずチェックすること」です。築年数が経過するにつれ、エレベーターや外壁といった共用部など、いたるところで修繕が必要になります。仮に修繕積立金が不足している場合、オーナーが費用を捻出しなければなりません。

修繕積立金の積立金額は、目安1室あたり50万~100万円程度で見ています。大規模修繕が発生したとしても、これくらいの積立金額があればひとまず安心だと判断しています。

できるだけ支出額を少なくするためにも、この2つは気を付けなければいけないと、失敗から学びました。

そして、次の物件から現金購入をしていこうと決めました。

「コツコツ現金購入」を確立し、59室まで拡大

―年表を見ると、2戸目から3戸目を購入する間に3年の間があいているんですね

そうなんです。この3年間は、経験とお金を貯める時期にしていました。

2戸目の物件を購入したものの、不動産投資の収支がどのようになっているのか、何にお金が発生するのか、ほとんど理解していませんでした。そのため、所有している不動産を運営しながら、賃貸経営の収支や管理の方法などを学んでいったんです。

また区分マンションを2戸、融資を組んで購入したことで手出しが多く発生しましたから、「中古ワンルームマンション投資は現金で買わなくてはダメだ」と反省し、貯金に専念しました。

―どのようにお金を貯めていったのでしょうか?

倹約と資産運用です。独身の頃から、必要な生活費以外は毎月すべて投資に回しており、コツコツお金を増やしていました。

当時は投資商品が今ほど豊富ではありませんでしたが、財形貯蓄や株式累積投資、持株会などを行い、毎月15万円くらい投資しました。あとは社内預金が5万円くらいで、合計毎月20万円以上は預金と投資に回していました。

―そのように貯めたお金で購入した3戸目は、どのような物件だったのでしょうか。

3戸目は、田園都市線の駅徒歩4分の場所にある、630万円のワンルームマンションです。家賃は7万円。この物件は現金で購入したので、返済がありません。そのため、固定資産税や所得税などの税金を支払った後の年間の手残りは50万円くらいです。この物件からは、すべて現金購入をしています。


―その後、2004年から2012年にかけて、一気に30室近くの区分マンションを購入されたんですね。



はい。会社からまとまったお金をもらいまして…。実は、2004年くらいに会社からリストラされたんです(笑)。退職金が入ってきたので、それを原資にコツコツ購入しました。リストラではありましたが、退職金をもらったときは「ラッキー!」と思いましたね。

また、2008年にリーマンショックが起きて、日本の不動産市場に影響が出て、安い物件が多く出たんですよ。その時に仲の良い不動産会社から物件を紹介してもらいました。不動産会社と関係性が構築できていたことも大きかったと思います。

リスク回避をする「建物分散」

―物件を購入する際、どのように選んでいますか?

まず、基本的には自分とゆかりのあるエリアを選ぶようにしています。生活圏や勤務圏ですと周辺に何があるのか、ある程度土地になじみがあるため、どのような賃貸需要が見込めるのかを予測することができるからです。

ちなみに、私は神奈川県に生まれて、今は西東京で生活をしているため、東京の西側や神奈川の東側で物件を購入することが多いです。

購入価格は500万~1000万円くらい、家賃5万円を得られる物件という条件を定めています。

販売価格が500万円より安ければ、利回りは高くなるかもしれません。しかし、修繕リスクが高くなりランニングコストの不確定要素が多くなってしまう。一方、価格が1000万円以上だと、資金回収効率が悪くなってしまいます。

資金回収は税金や修繕費などのランニングコストを考慮しても、10数年くらいで回収することを基準にしています。

―家賃5万円を基準にしているのはなぜでしょうか?

家賃が5万円以下だと、維持費負けしてしまうからです。区分マンションの場合、管理費・修繕積立金が毎月発生します。家賃が低すぎると、毎月のキャッシュフロー(CF)が少なくなってしまうため、スピード感が出ないんです。

一方、家賃が6万~7万円であればCFが出るのが利点です。しかし、その分買い手が増え、競合が多くなります。よって販売価格が高くなるため、投資回収率が悪くなってしまいます。

そのため、家賃は5万円を基準にしています。

また、管理費・修繕積立金が大体家賃の3分の1程度に収まるかどうかも確認しています。例えば、家賃が5万円であれば管理費・修繕積立金が1万5000円です。築年数が経過していくにつれ、管理費・修繕積立金は徐々に高くなっていきます。10~30年と長期間にわたって物件を保有するのであれば、家賃が下落していくことも考えられますから、そこも重要なポイントと言えます。

―修繕積立金は、どのようにチェックしていますか?

物件の重要事項説明書を見て、いつ大規模修繕を行ったのか、今後いつ修繕を行うのかを確認しておくようにしています。

管理組合が機能していなければ、修繕が行われずに物件の状態が悪くなり、入居付けに苦労しますから、管理組合が管理費・修繕積立金をどのように利用しているかを確認するのも重要なポイントと言えます。

ただし、初めは難しいことなので、徐々に経験を積んでから理解できることかもしれません。そのため物件購入は慎重に考えていく必要があります。

また、そのような物件を購入してしまっても大きな失敗を回避するために「建物分散」することが大切です。

―「建物分散」とはどういうことでしょうか?

購入する物件を分散することです。一棟物件の場合は一度に複数の部屋を扱うことができ、キャッシュフローを一気に高められるのが特徴の1つです。

一方、区分マンションは1室のキャッシュフローは小さいのがデメリットですが、建物を分散して購入できます。

購入する物件のエリアや建物を分散することで、管理組合が機能していないリスクや、怠慢な管理会社による空室リスク、建物の老朽化や震災などによる大規模修繕リスクなど、さまざまなリスクを分散できます。

そのため、区分マンションを購入する際は建物を分散させることが大切だと考えています。

成功の秘訣は焦らないこと

―芦沢さんは、現在もサラリーマンを続けていらっしゃるそうですね。なぜでしょうか?

ひとえに仕事が面白いからです(笑)。最近は「FIRE」という言葉が話題になっており、そのような生き方も大変素晴らしいと思います。ただ、私の場合は、サラリーマンとして行っている仕事が楽しくて仕方がないんです。

大切なことは、人生の目的に合った生き方をすることだと思います。人生の価値観は人それぞれ異なりますから。

―今後の目標は何でしょうか?

相続をどのようにするか、対策を決めておくのが今後の目標です。

現在63歳ですから、今後は何が起こるかわかりません。いつ自分の身に何か起きたとしても大丈夫なように、今のうちに相続のことを考えています。

妻と息子がいるのですが、妻は不動産には全く興味がなく、息子は社会人になったばかり。息子が不動産投資に関心を持つかどうかはまだわかりません。仮に不動産投資に関心がないとなった場合は、不動産を現金化して株式投資に資金を回すことも検討しています。現在不動産の資産が3億円くらいで、株式が1億円くらいなので、もう少し株式に資金を回しても良いかなと思っています。

…とはいえ、昨年も2戸購入してしまいましたが(笑)。

―これから不動産投資をはじめていきたいと考えている人に、アドバイスはありますか?

「焦らない」ことが成功の秘訣だと思います。さまざまな事情があって、「5年後に資産○億円」などといった、短期間で高い目標を達成したいと考えている人もいると思います。

しかし、短期間で高い目標を掲げてしまうと、焦って行動してしまいます。そうすると、購入条件を妥協して物件を高掴みしてしまったり、入居者が付かないようなエリアの物件を購入してしまったりと、焦って適切な判断ができず物件を購入してしまう恐れがあります。

とにかく焦らず、不動産投資の世界を楽しんでいただければ良いと思います。

JOCは2020年4月にサイバー攻撃を受け、業務停止に陥ったにもかかわらず公表せず(転載)~ランサム被害受けて流出が無いことはないと思うのだが・・・~


JOC サイバー攻撃受けるも公表せず 去年4月 一時業務できず

JOC=日本オリンピック委員会が去年4月、サイバー攻撃を受け、一時的に業務ができなくなるなど被害に遭っていたことがわかりました。外部のセキュリティー会社の調査の結果、内部情報の流出の痕跡はなかったとして、JOCは被害を公表していませんでした。

JOCによりますと、去年4月下旬ごろ、都内の事務局にあるパソコンやサーバーがウイルスに感染し、サーバーに保存されていたデータが書き換えられるなどして一時、アクセスできなくなったということです。

外部のセキュリティー会社が調査した結果、被害は「ランサムウエア」と呼ばれる身代金要求型のウイルスによるものとみられ、金銭の要求などはなかったということです。

JOCのサーバーには各競技団体の強化指定選手の個人情報などが保管されていますが、調査で内部情報が流出した痕跡はないとする報告を受け、被害を公表していませんでした。

この影響でJOCは一時的に業務ができなくなり、事務局で使用していたおよそ100台のパソコンやサーバーのうち、ウイルスに感染した可能性がある7割ほどを入れ替え、およそ3000万円の費用がかかったということです。

JOCの籾井圭子常務理事は、去年4月に受けたサイバー攻撃について「ルートや原因は特定されていないが、情報漏えいはなかった。ただ、万全なセキュリティー体制が整っていたかというとそうではなかったと思う。これをきっかけにシステムの強化と職員への教育をきちんとやっていく方向性にしている」と話しました。

被害を公表しなかったことについては、「情報漏えいのおそれがあれば関係者にもリスクがあり、公表する必要があるが、今回はその必要性がなく、JOCのサーバーがぜい弱だと思われる可能性もあり、競技団体も含めて公表しなかった。スポーツ庁には報告し、専門家にも相談したうえでルールにのっとって対応した」と説明しました。

加藤官房長官は、午後の記者会見で「去年5月の時点で、スポーツ庁に対し、事務的に情報提供がなされていたものの、その後、特に関係機関などへの情報共有は行われていなかったと聞いている。情報共有が速やかに行われなかったことが適切であったかどうかについては、当時の経緯をしっかりと検証する必要があると考えている」と述べました。

そのうえで「安心・安全の東京大会を実現するためにも、官民や政府内でサイバーセキュリティーに関する連携強化を図っていくことが極めて重要であり、大会組織委員会はじめ関係組織も含めて、東京大会の成功に向けた対策をしっかり進めていく」と述べました。

COVID-19(武漢ウイルス)のせいでBA特典航空券のキャンセルが面倒なことに‥‥


 COVID-19(武漢ウイルス)の蔓延により1年以上旅に行けていない。

海外については全くめどが立たないないか、今年は国内にでも行ってみようといろいろ思案している。

んで、何故かぱっとひらめいたのが鹿児島の知覧である。

知覧と言えば、大東亜戦争末期における、特攻の前線基地である。


という訳で早速チケットを押さえることに。

ブリティッシュエアウェイズ(BA)のAVIOを使ってJALの特典航空券に変えるわけだが、鹿児島行きの便に以外に空きがなく、熊本城もついでに見ておきたいと思ったことから、熊本行きを往復で取った。

取った後でよくよく考えると、羽田→熊本→鹿児島→熊本→羽田のルートにするよりも、日程をずらすか多少コストをかけてでも羽田→鹿児島→熊本→羽田のルートが精神衛生上よいなと思い、結局日程をずらして鹿児島入りすることにした。

結果、羽田→熊本のチケットが不要になったので、BAのサイトからキャンセルしようとすると、何故かキャンセルではなく、バウチャー発行画面に遷移してしまう。

まいっかと思いながら手続きを進めていくと、便はキャンセルできてものの、本当にバウチャーが発券されてしまった。。。


これは困ったと、ネットを調べてみたところ、どうやら電話することでAVIOSによる返還に応じてくれるらしい。


BAは日本にコールセンター用意してくれているので助かる。

昨年くらいまでいろいろなマイルに手を出していたが、海外マイルに手を出す際は、自分がどこまでトラブルシューティングできるかを踏まえた方が良い。

BAの場合は、日本にコールセンターが用意されているので、辛抱強く待てば恐らくつながる。

海外の航空会社によってはWebによるキャンセルができず、電話が必要なケースもある。日本語対応できない場合は当然英語で頑張る必要がある。

まさに自己責任ですな~。

【参考】

ウイズコロナ時代のBA特典航空券キャンセル方法

ブリティッシュエアウェイズ(BA)のAviosで発券した特典航空券をバウチャーにせずAvios払戻しでキャンセルした方法




機密性の高いIoTデータを見つけるためのShodan 検索クエリ40選 / Top 40 Shodan Dorks for Finding Sensitive IoT Data(転載)

16x9.jpg

増え続けるデータベースと使いやすさで、ShodanはセキュリティリサーチャーがIoTの情報収集に使用する最も人気のあるツールの一つとなっています。

Shodanは、研究者が情報収集を行う際の出発点となります。Shodanは、データの場所やソフトウェアのバージョン、最後に見た日などでデータをフィルタリングすることができるため、研究者が特定の調査ポイントに照準を合わせることができ、作業を簡単かつ効率的に行うことができます。

また、Shodanはマーケティングチームやソフトウェアベンダーにも最適で、サーバー上で動作するソフトウェアの異なるバージョンをフィルタリングすることができます。また、国や都市、地域ごとのインスタンス数を確認することもできます。

Shodanでは、人の指紋が人を識別するのと同じように、デバイスを見つけてタグ付けする方法として、サイバーセキュリティフィンガープリントを採用しています。あるIPアドレス上で実行されているさまざまな情報やサービスは、そのIPアドレス上で実行されているデバイスの識別に役立ちます。

例えば、あるIPアドレスに添付されているSSL証明書の発行者を調べることで、そのIPアドレスが関連付けられているデバイスの製造者を特定できることがあります。

今日は、IoT接続されたデバイスからセンシティブなデータを見つけるための、トップのShodan dorksをご紹介します。

Most popular Shodan dorks


Shodanには、インターネット上の様々なデータやフィルターが用意されていますが、いくつかのコツや「ドーク」(有名なGoogleドークのようなもの)を知っておくと、IP情報の調査の際に、適切な結果を得ることができます。

Shodanをご利用いただくには、まずShodanの右上にある「ログインまたは登録」ボタンをクリックして、Shodanにログイン(またはアカウントを作成してログイン)してください。


その後、Shodanのアカウントにログインまたは作成してください。

このリストは、ランダムな順序で表示されています。どの初段の人も、他のどの人よりも重要ではなく、それぞれが異なる目的で使用されています。

それでは、始めましょう。

Databases


データベースには重要な情報が含まれていることがあります。開発者が簡単にアクセスできるようにするためであれ、単に設定ミスであれ、公共のインターネットに公開されると、大きなセキュリティホールができてしまいます。

Shodanでは、公共のインターネット上で認証が可能なMongoDBデータベースサーバーを検索するために、以下の検索条件を設定しています。

"MongoDB Server Information" port:27017 -authentication


また、MongoDBには、Mongo Express Web GUIというphpMyAdminに似たWeb管理アプリケーションがあり、以下のクエリで見つけることができます。

"Set-Cookie: mongo-express=" "200 OK"

同様に、MySQLを搭載したデータベースを探すには:

mysql port:"3306"

ElasticSearchを搭載した人気の高いインスタンスを検索するには:

port:"9200" all:"elastic indices"

そして、PostgreSQLのデータベースを調べるためには:

port:5432 PostgreSQL

Exposed ports



FTPサーバーやSSHサーバーなど、公共のインターネット上でアクセス可能なオープンポートで動作するサービスを検索するには、次のようなクエリを使用します。

FTPについては、一般的なFTPサーバーであるproftpdを照会する:

proftpd port:21

匿名でのログインが可能なFTPサーバーを探すには:

"220" "230 Login successful." port:21

一般的なSSHサーバーである「OpenSSH」を照会する:

openssh port:22

Telnetの場合は、23番ポートを照会します:

port:"23"

25番ポートでEXIM搭載のメールサーバーを調べるため:

port:"25" product:"exim"

Memcachedは、一般的に11211番ポートで利用されており、巨大なDDoS攻撃につながるUDP増幅攻撃の主な原因となっています。公共のインターネット上で利用可能なMemcachedを実行するサービスは、しばしばこれらの攻撃に悪用されます:

port:"11211" product:"Memcached"

Jenkinsは、自動化されたビルド、デプロイ、テストツールとして人気があり、リリースに向けてソフトウェアをビルドする際の出発点となることが多い。このツールは、以下のクエリで見つけることができます:

"X-Jenkins" "Set-Cookie: JSESSIONID" http.title:"Dashboard"


DNS servers



再帰を有効にしているDNSサーバーは、ネットワークの脅威の大きな原因となります。このようなサーバーを見つけるには、次のようなクエリを使用します:

"port: 53" Recursion: Enabled


Network infrastructure



MikroTik社製のルーター、スイッチ、その他のネットワーク機器に搭載されているRouterOSオペレーティングシステムの特定のバージョンを実行しているデバイスを見つけるには、以下の検索条件を使用します:

port:8291 os:"MikroTik RouterOS 6.45.9"

これにより、古いバージョンで脆弱性がある可能性があるRouterOSオペレーティングシステムを実行しているスイッチ、ルーター、その他のネットワーク機器を見つけることができます。ルーターOSは、ウェブ管理UIに使用されるポート番号8291で実行されます。

Web servers


Shodanでは、Webサーバーのバージョンを検索してフィルタリングすることも可能です。例えば、一般的なWebサーバーであるApacheの特定のバージョンをホストしているIPを見つけるために使用します:

product:"Apache httpd" port:"80"

上記のクエリでは、ウェブサーバの最も一般的なポートである80番ポートのApacheウェブサーバを見つけることができます。

同様に、Microsoft IISを搭載したWebサイトやWebサーバーを調べることができます。

product:"Microsoft IIS httpd"

Nginxを搭載したWebサイトやWebサーバーを調べるには:

product:"nginx"

上記の製品検索は、「ポート」オプションと組み合わせることもできます。例えば、ポート8080のNginxを搭載したウェブサーバを検索したい場合:

"port: 8080" product:"nginx"


Operating systems



また、Windows 7などの古いOSの場合は、次のようなクエリを使用して、Shodanで検索することができます。

os:"windows 7"

同様に、Windows 10の特定のビルドバージョンを調べるには、次のクエリを使用します。ここでは、ビルドバージョン19041のWindows 10 Home Editionを調べます。

os:"Windows 10 Home 19041"

Linuxベースのデバイスをフィルタリングして検索するには、次のようなクエリを使用できます。

os:"Linux"


Filtering by country, city or location



特定の時点では、Shodanから返されるデータの量が少し多すぎるかもしれません。そこで、「国」や「都市」といったフィルターをかけることができるようになりました。

例えば、国でフィルタリングしたい場合:

country:"UK"

都市でフィルタリングするには:

"city: London"

最後に、地域や都市のGPS座標を介して調べることもできます。

geo:"51.5074, 0.1278"

この位置情報フィルタは、他のフィルタと組み合わせることもできます。例えば、イギリスのWindows 7デバイスを探したい場合は、次のようなクエリを使用できます。

os:"windows 7" country:"UK"


SSL certificates


また、Shodanでは、有効期限が切れたSSL証明書や自己署名証明書を探すことができます。

自己署名証明書を検索するには、以下のようなクエリを使用することができます。

ssl.cert.issuer.cn:example.com ssl.cert.subject.cn:example.com

SSL証明書を検索するには:

ssl.cert.expired:true


Other useful Shodan dorks for IoT device intelligence


「Shodan dorking」で他にどんなものが見つかるか見てみましょう。

Webcams



ウェブカムは、古くて安全でないソフトウェアを使って公共のインターネット上で実行されていることが多く、簡単に危険にさらされます。幸いなことに、Shodanでは次のようなクエリでウェブカムをフィルタリングして見つけることができます。

Server: SQ-WEBCAM

さらに、Yawcamのようなウェブカメラ用のソフトウェアを提供している特定のソフトウェアベンダーを、次のようなクエリでフィルタリングすることができます。

"Server: yawcam" "Mime-Type: text/html"


McAfee創業者のジョン・マカフィーさん死亡 / John McAfee found dead in Spanish jail cell(転載)


首吊り自殺でジョン・マカフィーさん亡くなったってまじか。お悔やみ申し上げます。

地元紙エル・パイスによると、ウイルス対策企業マカフィーの創業者であるジョン・マカフィー氏が本日、バルセロナの刑務所の独房で死亡しているのが発見されました。

ロイター通信によると、死因は首吊り自殺とされており、カタルーニャ州司法省およびマカフィー氏の弁護士に確認したという。

元サイバーセキュリティ業界の大物は、米国司法省が3月にマカフィーを、暗号通貨のポンプ・アンド・ダンプ方式に関連した詐欺およびマネーロンダリングの容疑で起訴した後、拘束されていました。

マカフィー氏は、米国の刑務所で最長30年の刑期を迎えることになっていました。

スペインの新聞「El Mundo」は、バルセロナの判事が彼の米国への引き渡しを承認した数時間後に、彼の死を報じています。

マカフィー氏は、引き渡しを不服として訴えることができた。

彼は75歳だった。

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実 / The Cost of Cloud, a Trillion Dollar Paradox(転載)

34611.jpg

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実
:

クラウドの真のコスト


総売上原価(COR)に占めるクラウド費用の割合が非常に大きいことを考えると、クラウドのリパトリエーションによる50%の節約は特に意味があります。パブリック・ソフトウェア・カンパニー(コミットしたクラウド・インフラストラクチャの支出を開示している企業)をベンチマークした結果、契約上のコミット支出は平均してCORの50%であることがわかりました。

しかし、実際の支出の割合は、コミットされた支出よりもさらに高いのが一般的です。ある10億ドル規模の民間ソフトウェア企業では、パブリッククラウドへの支出がCORの81%に達しており、「売上原価の75~80%に相当するクラウドコストがソフトウェア企業では一般的である」と述べています。Dullien氏は、業界のリーダーであるGoogleと現在のOptimyzeに在籍していた経験から、企業はクラウドのコミットサイズを決める際に、支出が過剰になることを恐れて保守的になり、ベースラインの負荷のみにコミットすることが多いと述べています。経験則から言うと、コミットした費用は実際の費用よりも20%程度低いことが多い。私たちが取材した企業の中には、コミットしたクラウド利用額の予想を少なくとも2倍以上上回ったと報告しているところもあります。

これらのベンチマークを、インフラにパブリッククラウドを利用しているソフトウェア企業全体に広げると、(年次報告書にある程度のクラウド利用を明記している)株式公開されているソフトウェア企業上位50社のクラウド利用額は、合計で80億ドルに達すると考えられる。これらの企業の中には、パブリッククラウドとオンプレミスのハイブリッドアプローチを採用しているところもありますが(つまり、クラウドへの支出が中核部門に占める割合はベンチマークに比べて低いかもしれません)、分析では、コミットされた支出が全体的に実際の支出と同じであると仮定することで、そのバランスをとっています。また、専門家との意見交換から、クラウドのリパトリエーションによってクラウドへの支出が50%削減され、その結果、40億ドルの利益が回復されたと仮定しています。クラウドインフラを利用している大規模な公共ソフトウェア企業や消費者向けインターネット企業の場合、この数字はもっと大きくなるでしょう。


40億ドルという推定純減はそれだけでも驚異的ですが、この数字を時価総額に換算すると、さらに目を見張るものがあります。すべての企業は、将来のキャッシュフローの現在価値として評価されるため、これらの年間節約額を実現することは、40億ドルをはるかに超える時価総額の創出につながります。

どのくらい多いのでしょうか?ひとつの目安として、公開市場では追加の粗利益をどのように評価しているかを見てみましょう。高成長のソフトウェア企業で、いまだに現金を燃やし続けている企業は、その企業の長期的な成長と利益率構造に関する仮定を反映した売上総利益倍率で評価されることがよくあります。一般的に参照される売上高倍率は、企業の長期的な利益率を反映しているため、成長率調整後であっても、粗利益率の高い企業ほど高くなる傾向にあります)。しかし、いずれの資本倍率も、企業の将来のキャッシュフローを市場がどのように割り引いているかを推定するためのヒューリスティックな指標となります。

分析したソフトウェア企業50社のうち、平均的な総企業価値と2021Eの粗利益の倍率(本稿執筆時のCapIQに基づく)は24-25倍です。言い換えれば 1ドルの粗利益を節約するごとに、クラウドリパトリエーションによって節約される純コストの24~25倍の時価総額が平均的に上昇する。これは、クラウドリパトリエーションによって得られるコスト削減額が、設備投資の増加によって発生する減価償却費を差し引いたものであることを前提としています(該当する場合)。

つまり、この50社だけで、40億ドルの売上総利益があれば、1,000億ドルの時価総額が増加すると見積もることができるのです。さらに、(フリーキャッシュフロー倍率ではなく)売上総利益倍率を用いることは、売上総利益の増加に伴い、一定の営業費用が増加することを前提としているため、このアプローチでは、年間40億ドルの純貯蓄による時価総額への影響を過小評価する可能性があります。

また、特定の企業の評価によっては、その影響がさらに大きくなる可能性もあります。この現象を説明するために、サービス型インフラ監視企業であるDatadog社を例に挙げます。Datadogは、記事作成時に2021年の推定粗利益の40倍近くで取引されており、S-1ではAWSへの3年間のコミットメント総額2億2500万ドルを開示していました。仮にAWSの年間コストを7500万ドルとし、その50%にあたる3750万ドルがクラウドのリパトリエーションによって回収されると仮定すると、コミットされたコストの削減だけで、この企業の時価総額はおよそ15億ドルになると考えられます。

このような基礎的な分析は決して完璧ではありませんが、方向性は明らかです。つまり、規模の大きい上場ソフトウェア企業の時価総額は、クラウドのコストによって何千億ドルもの負担を強いられているのです。企業向けソフトウェアや消費者向けインターネット企業にまで拡大すると、この数字は5,000億ドルを超える可能性があります。これは、クラウド全体の支出の50%が、クラウドの還流によって利益を得ることができる規模のテクノロジー企業によって消費されていると仮定した場合です。

企業経営者、業界アナリスト、構築担当者にとって、長期的な、あるいは短期的なインフラの意思決定を行う際に、時価総額への影響を無視することは、あまりにも高価なことです。


クラウドのパラドックス


ここから先はどうすればいいのか?一方では、ワークロードをクラウドから移行することは大きな決断です。事前に計画を立てていない人にとっては、必要な書き換えは不可能なほど非現実的なものです。このような事業を行うには、強力なインフラチームが必要ですが、そのチームが存在しない場合もあります。また、このような作業には、強力なインフラチームが必要となりますが、このようなチームは存在しない可能性があります。クラウドは、大規模化しても、オンデマンドのキャパシティや、新規プロジェクトや新しい地域をサポートするための既存サービスの数など、多くのメリットがあります。

しかし一方で、この記事で紹介したような現象が起きています。つまり、クラウドのコストがある時点で「支配」され、数千億ドルの時価総額がロックされてしまい、このパラドックスから抜け出せなくなっているのです。

では、このパラドックスから抜け出すために、企業は何をすればよいのでしょうか。前述したように、私たちはどちらかにリパトリエーションを行うべきだと主張しているのではなく、インフラ支出は第一級の指標であるべきだと指摘しているのです。これはどういうことでしょうか。企業は早期に、頻繁に、そして時にはクラウド外でも最適化する必要があります。大規模な企業を構築する際には、宗教的な教義にとらわれる余地はほとんどありません。

考え方の転換やベストプラクティスについては、まだまだ語るべきことがありますが、特に最近になって全体像が明らかになってきたこともあり、ここでは、企業が膨れ上がるクラウドのコストに対処する上で役立ついくつかの検討事項を紹介します。

KPIとしてのクラウド費用:インフラを一流の指標にするには、それがビジネスの重要なパフォーマンス指標であることを確認する必要があります。例えば、Spotify社のCost Insightsは、クラウドにかかる費用を追跡する自社開発のツールです。クラウドのコストを追跡することで、財務チームだけでなく、エンジニアがクラウドのコストに責任を持てるようにしています。元Digital Oceanで、現在はVantage社の共同設立者兼CEOであるBen Schaechter氏は、業界全体の企業が、ビジネスのライフサイクルの早い段階で、中核的なパフォーマンスや信頼性の指標と並んで、クラウドのコスト指標に注目するようになってきているだけでなく、「不意のクラウド料金請求に悩まされてきた開発者たちは、より精通してきており、チームのクラウド支出に対するアプローチに、より厳格な対応を期待している」と述べています。

正しい行動にインセンティブを与える:インフラに関する一流のKPIから得られるデータをエンジニアに提供することで、意識を高めることはできますが、物事のやり方を変えるためのインセンティブは得られません。ある著名な業界のCTOによると、彼の会社では、営業で使われるような短期的なインセンティブ(SPIFF)を導入し、ワークロードの最適化やシャットダウンによって一定量のクラウド費用を節約したエンジニアには、スポットボーナスが支給されたそうです(節約額は定期的に発生するため、会社のROIは高いままです)。その結果、組織全体の10%がボーナスを受け取り、わずか6カ月で全体の支出を300万ドル削減したため、実際のコストは少なくて済んだという。注目すべきは、この従来とは異なるモデルを支持したのは、会社のCFOだったということです。

最適化、最適化、最適化:ビジネスの価値を評価する際、最も重要な要素の一つが売上原価(COGS)です。顧客データプラットフォームを提供するSegment社は、インフラの意思決定を段階的に最適化することで、インフラコストを30%削減し、同時にトラフィック量を25%増加させたという事例を紹介しました。サードパーティ製の最適化ツールには、既存のシステムを短期間で改善できるものが数多くあり、当社の経験では10〜40%の改善効果があります。

リパトリエーション(本国への送金)について前もって考えておく:クラウドが企業の初期段階では安価で優れているが、企業の進化の過程ではコストが高くなるというクラウドパラドックスが存在するからといって、企業が計画を立てずに受動的に受け入れる必要はありません。システム・アーキテクトは、早い段階でリパトリエーションの可能性を認識しておく必要があります。クラウドのコストが収益の伸びに追いつき、あるいはそれを上回るようになってからでは遅すぎます。クラウドのコストが収益の伸びに追いつき、あるいはそれ以上になってからでは手遅れになるからです。ワークロードの可搬性を高めるKubernetesやソフトウェアのコンテナ化が普及したのは、特定のクラウドに縛られたくないという企業のニーズに応えるためでもあります。

リパトリエーションを増やしていく:また、本国への送還(それが本当にビジネスにとって正しい動きであれば)は、段階的に、そしてハイブリッドな方法で行うことができない理由はありません。ここでは、どちらか一方だけの議論ではなく、より詳細なニュアンスが必要です。例えば、本国送還が意味をなすのは、最もリソースを必要とするワークロードの一部に限られるでしょう。例えば、リパトリエーションが意味を持つのは、最もリソースを必要とするワークロードの一部に限られます。実際、私たちが話を聞いた多くの企業では、最も積極的にワークロードを引き取る企業でも、10~30%以上をクラウドに残していました。

これらの推奨事項はSaaS企業に焦点を当てたものですが、他にもできることがあります。例えば、インフラ・ベンダーであれば、顧客のクラウド・クレジットを利用するなど、コストを転嫁するためのオプションを検討することで、自社の帳簿からコストが残らないようにすることができます。エコシステム全体で、クラウドのコストを考える必要があるのです。

業界がどのようにしてここまで来たかは、簡単に理解できます。クラウドは、イノベーション、アジリティ、成長のために最適化された完璧なプラットフォームです。また、民間の資本によって運営されている業界では、利益率は二の次になりがちです。そのため、企業は効率性よりも機能開発の速度を優先し、新規プロジェクトはクラウドで開始される傾向にあります。

しかし、これでわかったことがあります。しかし、長期的な影響についてはあまり理解されていません。そもそもクラウドに移行する理由として、60%以上の企業がコスト削減を挙げていることを考えると、皮肉なことです。新しいスタートアップや新しいプロジェクトにとって、クラウドは当然の選択です。そして、クラウドが提供する軽快さのために、適度な「柔軟性税」を支払う価値があることも確かです。

問題は、大企業(大規模化した新興企業を含む)の場合、この税金は多くの場合、何千億ドルもの株式価値に相当するということです...しかも、企業がすでにクラウドに深くコミットしてしまった後で(そして、多くの場合、あまりにも凝り固まってしまったために抜け出すことができない後で)課税されるのです。興味深いことに、早期にクラウドへ移行する理由として最もよく挙げられるのは、多額の先行投資(CapEx)であり、本国送還にはもはや必要ありません。ここ数年、パブリッククラウドに代わるインフラは大きく進化しており、資本支出ではなく営業費用(OpEx)のみで構築、導入、管理することができます。

ここで紹介したいくつかの数字は大きく見えますが、実際には保守的な仮定であることにも注意してください。実際の支出はコミットされたものよりも多いことが多く、また、弾力的な価格設定に基づく超過料金も考慮していません。そのため、業界全体の市場規模に対する実際の影響は、想定よりもはるかに大きいと思われます。

クラウドプロバイダーが現在享受している30%のマージンは、いずれ競争を勝ち抜き、問題の大きさを変えることができるでしょうか。現在、クラウドへの支出の大半が3社の寡占状態にあることを考えると、そうはならないだろう。アマゾン、グーグル、マイクロソフトの3社の時価総額は合わせて約5兆ドルですが、これらの企業が競争にさらされている理由のひとつは、自社でインフラを運営することで高い利益率を確保しているため、製品や人材への再投資を増やし、株価を上昇させることができているからです。

つまり、パブリッククラウドがマージンを失うか、あるいはワークロードを失うか、どちらかになるでしょう。いずれにしても、インフラにおける最大のチャンスは、クラウドのハードウェアとその上で実行される最適化されていないコードの間にあるのかもしれません。