区分一筋26年、59室を「現金買い」した兼業大家の軌跡（転載）～購入価格は500万～1000万円くらい、家賃5万円を得られる物件を目指す～

区分一筋26年、59室を「現金買い」した兼業大家の軌跡: 

1989年、自宅用として購入した区分マンションをきっかけに不動産投資を開始。現在に至るまで59室の中古ワンルームマンションを現金で買い進め、家賃年収3600万円の大家となった芦沢晃さん。

投資歴26年、これまで区分マンション一筋で購入し続けてきた「区分投資の生き字引」である芦沢さんは、これまでどのように規模を拡大してきたのだろうか。そして、無借金で物件を買い進めてきた「堅実投資術」について、インタビューで語ってもらった。

初めての不動産投資は「マイナス100点」

―現在の投資規模について教えてください

これまで26年間で、59室の中古ワンルームマンションを無借金で購入してきました。現在の総資産は3億円、年間家賃収入3600万円です。主に西東京、神奈川の横浜・川崎などの京浜地区に物件を所有しています。

毎月発生する管理費・修繕積立金や、固定資産税、所得税などを差し引いた税引き後CFは、だいたい2000万～2400万円です。現在は入居率95％で運営しています。

―初めて購入したのはどのような物件だったのでしょうか。

実は、収益用のマンションを購入する前に、自宅用に不動産を購入しているんです。1989年のことです。当時は会社の独身寮に住んでいたのですが、30歳を過ぎたら出なくてはいけない決まりだったので、新居を探していたんです。

当時は、都内の新築住宅は毎年1000万円ずつ高騰しているようなバブル期。「数年後に購入するよりも、今買った方が良いだろう」と思い、思い切って物件を購入しました。八王子市の約3000万円、2DKの中古区分マンションです。

―居住用として購入された物件が最初だったんですね。

その6年後、結婚して子どもが生まれ、2DKだと手狭になってしまうので引っ越すことにしました。そこで購入した物件を売却しようと不動産会社に相談したのですが、バブルが崩壊してしまって。3000万円で購入した物件が、半値にしかならないことがわかったんです。

それで、やむを得ず賃貸に出しました。これが大家の始まりです。

―問題なく運営はできたのでしょうか？

入居はついたのですが、毎月の返済が7万円、家賃も7万円でした。管理費・修繕積立金や税金を支払うと赤字でしたね（笑）。

不動産投資家としては、「マイナス100点」の物件だったと思います。物件の評価が半値になってしまいましたし、収支もボロボロでしたから。

でも、この物件を貸し出したことで不動産投資を知ることができました。この物件がなければ、現在のように不動産投資で資産を築くことはできなかったと思います。だから、自己投資という側面で見れば300点くらいかな？

―その失敗を、次の物件購入に生かしたのでしょうか。

いえ、次の物件も失敗したんですよ（笑）。

1戸目の物件が赤字ですので、なんとかして、収支がプラスになるように挽回しようと思いました。1戸目の物件を賃貸に出した半年後くらいに、2戸目の物件を購入しました。投資用として購入した初めての物件です。

鶯谷駅にある1000万円の中古ワンルームマンションをフルローンで買いました。収支は家賃6万円で返済額が5万5000円だったので、これで「やっとお財布にお金が入るぞ！」と喜んでいましたね。

でも実際に運営してみると予想外の出費が発生してしまい、年間の収支はマイナスだったんです。

固定資産税などの税金、エアコンや給湯器などの故障による修繕費、退去による原状回復費用を、計算に入れていなかったんですね。退去があった際は家賃が入らないですし。

また、管理組合の積立金も赤字だったということも購入後に分かりました。

―2戸目での失敗は、芦沢さんの不動産投資にどのような影響を及ぼしたのでしょうか？

この経験から、2つのことを学びました。

1つは「ローンを組むと収支が回りにくくなる」ことです。銀行返済をする必要があるからです。一棟物件の場合は、複数の部屋があるため、退去や修繕が発生しても他の部屋の家賃でカバーがしやすいです。

しかし、私が購入している1Rマンションの場合、得られる家賃収入は少ないため、専有部で修繕が発生すると、ローンを組んでいた場合すぐに手出しが発生します。また、部屋も1室しかないため、退去があればその期間の家賃は得られません。

2つ目は「マンションの修繕積立金の金額を必ずチェックすること」です。築年数が経過するにつれ、エレベーターや外壁といった共用部など、いたるところで修繕が必要になります。仮に修繕積立金が不足している場合、オーナーが費用を捻出しなければなりません。

修繕積立金の積立金額は、目安1室あたり50万～100万円程度で見ています。大規模修繕が発生したとしても、これくらいの積立金額があればひとまず安心だと判断しています。

できるだけ支出額を少なくするためにも、この2つは気を付けなければいけないと、失敗から学びました。

そして、次の物件から現金購入をしていこうと決めました。

「コツコツ現金購入」を確立し、59室まで拡大

―年表を見ると、2戸目から3戸目を購入する間に3年の間があいているんですね

そうなんです。この3年間は、経験とお金を貯める時期にしていました。

2戸目の物件を購入したものの、不動産投資の収支がどのようになっているのか、何にお金が発生するのか、ほとんど理解していませんでした。そのため、所有している不動産を運営しながら、賃貸経営の収支や管理の方法などを学んでいったんです。

また区分マンションを2戸、融資を組んで購入したことで手出しが多く発生しましたから、「中古ワンルームマンション投資は現金で買わなくてはダメだ」と反省し、貯金に専念しました。

―どのようにお金を貯めていったのでしょうか？

倹約と資産運用です。独身の頃から、必要な生活費以外は毎月すべて投資に回しており、コツコツお金を増やしていました。

当時は投資商品が今ほど豊富ではありませんでしたが、財形貯蓄や株式累積投資、持株会などを行い、毎月15万円くらい投資しました。あとは社内預金が5万円くらいで、合計毎月20万円以上は預金と投資に回していました。

―そのように貯めたお金で購入した3戸目は、どのような物件だったのでしょうか。

3戸目は、田園都市線の駅徒歩4分の場所にある、630万円のワンルームマンションです。家賃は7万円。この物件は現金で購入したので、返済がありません。そのため、固定資産税や所得税などの税金を支払った後の年間の手残りは50万円くらいです。この物件からは、すべて現金購入をしています。

―その後、2004年から2012年にかけて、一気に30室近くの区分マンションを購入されたんですね。

はい。会社からまとまったお金をもらいまして…。実は、2004年くらいに会社からリストラされたんです（笑）。退職金が入ってきたので、それを原資にコツコツ購入しました。リストラではありましたが、退職金をもらったときは「ラッキー！」と思いましたね。

また、2008年にリーマンショックが起きて、日本の不動産市場に影響が出て、安い物件が多く出たんですよ。その時に仲の良い不動産会社から物件を紹介してもらいました。不動産会社と関係性が構築できていたことも大きかったと思います。

リスク回避をする「建物分散」

―物件を購入する際、どのように選んでいますか？

まず、基本的には自分とゆかりのあるエリアを選ぶようにしています。生活圏や勤務圏ですと周辺に何があるのか、ある程度土地になじみがあるため、どのような賃貸需要が見込めるのかを予測することができるからです。

ちなみに、私は神奈川県に生まれて、今は西東京で生活をしているため、東京の西側や神奈川の東側で物件を購入することが多いです。

購入価格は500万～1000万円くらい、家賃5万円を得られる物件という条件を定めています。

販売価格が500万円より安ければ、利回りは高くなるかもしれません。しかし、修繕リスクが高くなりランニングコストの不確定要素が多くなってしまう。一方、価格が1000万円以上だと、資金回収効率が悪くなってしまいます。

資金回収は税金や修繕費などのランニングコストを考慮しても、10数年くらいで回収することを基準にしています。

―家賃5万円を基準にしているのはなぜでしょうか？

家賃が5万円以下だと、維持費負けしてしまうからです。区分マンションの場合、管理費・修繕積立金が毎月発生します。家賃が低すぎると、毎月のキャッシュフロー（CF）が少なくなってしまうため、スピード感が出ないんです。

一方、家賃が6万～7万円であればCFが出るのが利点です。しかし、その分買い手が増え、競合が多くなります。よって販売価格が高くなるため、投資回収率が悪くなってしまいます。

そのため、家賃は5万円を基準にしています。

また、管理費・修繕積立金が大体家賃の3分の1程度に収まるかどうかも確認しています。例えば、家賃が5万円であれば管理費・修繕積立金が1万5000円です。築年数が経過していくにつれ、管理費・修繕積立金は徐々に高くなっていきます。10～30年と長期間にわたって物件を保有するのであれば、家賃が下落していくことも考えられますから、そこも重要なポイントと言えます。

―修繕積立金は、どのようにチェックしていますか？

物件の重要事項説明書を見て、いつ大規模修繕を行ったのか、今後いつ修繕を行うのかを確認しておくようにしています。

管理組合が機能していなければ、修繕が行われずに物件の状態が悪くなり、入居付けに苦労しますから、管理組合が管理費・修繕積立金をどのように利用しているかを確認するのも重要なポイントと言えます。

ただし、初めは難しいことなので、徐々に経験を積んでから理解できることかもしれません。そのため物件購入は慎重に考えていく必要があります。

また、そのような物件を購入してしまっても大きな失敗を回避するために「建物分散」することが大切です。

―「建物分散」とはどういうことでしょうか？

購入する物件を分散することです。一棟物件の場合は一度に複数の部屋を扱うことができ、キャッシュフローを一気に高められるのが特徴の1つです。

一方、区分マンションは1室のキャッシュフローは小さいのがデメリットですが、建物を分散して購入できます。

購入する物件のエリアや建物を分散することで、管理組合が機能していないリスクや、怠慢な管理会社による空室リスク、建物の老朽化や震災などによる大規模修繕リスクなど、さまざまなリスクを分散できます。

そのため、区分マンションを購入する際は建物を分散させることが大切だと考えています。

成功の秘訣は焦らないこと

―芦沢さんは、現在もサラリーマンを続けていらっしゃるそうですね。なぜでしょうか？

ひとえに仕事が面白いからです（笑）。最近は「FIRE」という言葉が話題になっており、そのような生き方も大変素晴らしいと思います。ただ、私の場合は、サラリーマンとして行っている仕事が楽しくて仕方がないんです。

大切なことは、人生の目的に合った生き方をすることだと思います。人生の価値観は人それぞれ異なりますから。

―今後の目標は何でしょうか？

相続をどのようにするか、対策を決めておくのが今後の目標です。

現在63歳ですから、今後は何が起こるかわかりません。いつ自分の身に何か起きたとしても大丈夫なように、今のうちに相続のことを考えています。

妻と息子がいるのですが、妻は不動産には全く興味がなく、息子は社会人になったばかり。息子が不動産投資に関心を持つかどうかはまだわかりません。仮に不動産投資に関心がないとなった場合は、不動産を現金化して株式投資に資金を回すことも検討しています。現在不動産の資産が3億円くらいで、株式が1億円くらいなので、もう少し株式に資金を回しても良いかなと思っています。

…とはいえ、昨年も2戸購入してしまいましたが（笑）。

―これから不動産投資をはじめていきたいと考えている人に、アドバイスはありますか？

「焦らない」ことが成功の秘訣だと思います。さまざまな事情があって、「5年後に資産○億円」などといった、短期間で高い目標を達成したいと考えている人もいると思います。

しかし、短期間で高い目標を掲げてしまうと、焦って行動してしまいます。そうすると、購入条件を妥協して物件を高掴みしてしまったり、入居者が付かないようなエリアの物件を購入してしまったりと、焦って適切な判断ができず物件を購入してしまう恐れがあります。

とにかく焦らず、不動産投資の世界を楽しんでいただければ良いと思います。

JOCは2020年4月にサイバー攻撃を受け、業務停止に陥ったにもかかわらず公表せず（転載）～ランサム被害受けて流出が無いことはないと思うのだが・・・～

JOC サイバー攻撃受けるも公表せず 去年4月 一時業務できず

JOC＝日本オリンピック委員会が去年4月、サイバー攻撃を受け、一時的に業務ができなくなるなど被害に遭っていたことがわかりました。外部のセキュリティー会社の調査の結果、内部情報の流出の痕跡はなかったとして、JOCは被害を公表していませんでした。

JOCによりますと、去年4月下旬ごろ、都内の事務局にあるパソコンやサーバーがウイルスに感染し、サーバーに保存されていたデータが書き換えられるなどして一時、アクセスできなくなったということです。

外部のセキュリティー会社が調査した結果、被害は「ランサムウエア」と呼ばれる身代金要求型のウイルスによるものとみられ、金銭の要求などはなかったということです。

JOCのサーバーには各競技団体の強化指定選手の個人情報などが保管されていますが、調査で内部情報が流出した痕跡はないとする報告を受け、被害を公表していませんでした。

この影響でJOCは一時的に業務ができなくなり、事務局で使用していたおよそ100台のパソコンやサーバーのうち、ウイルスに感染した可能性がある7割ほどを入れ替え、およそ3000万円の費用がかかったということです。

JOCの籾井圭子常務理事は、去年4月に受けたサイバー攻撃について「ルートや原因は特定されていないが、情報漏えいはなかった。ただ、万全なセキュリティー体制が整っていたかというとそうではなかったと思う。これをきっかけにシステムの強化と職員への教育をきちんとやっていく方向性にしている」と話しました。

被害を公表しなかったことについては、「情報漏えいのおそれがあれば関係者にもリスクがあり、公表する必要があるが、今回はその必要性がなく、JOCのサーバーがぜい弱だと思われる可能性もあり、競技団体も含めて公表しなかった。スポーツ庁には報告し、専門家にも相談したうえでルールにのっとって対応した」と説明しました。

加藤官房長官は、午後の記者会見で「去年5月の時点で、スポーツ庁に対し、事務的に情報提供がなされていたものの、その後、特に関係機関などへの情報共有は行われていなかったと聞いている。情報共有が速やかに行われなかったことが適切であったかどうかについては、当時の経緯をしっかりと検証する必要があると考えている」と述べました。

そのうえで「安心・安全の東京大会を実現するためにも、官民や政府内でサイバーセキュリティーに関する連携強化を図っていくことが極めて重要であり、大会組織委員会はじめ関係組織も含めて、東京大会の成功に向けた対策をしっかり進めていく」と述べました。

COVID-19（武漢ウイルス）のせいでBA特典航空券のキャンセルが面倒なことに‥‥

 COVID-19（武漢ウイルス）の蔓延により1年以上旅に行けていない。

海外については全くめどが立たないないか、今年は国内にでも行ってみようといろいろ思案している。

んで、何故かぱっとひらめいたのが鹿児島の知覧である。

知覧と言えば、大東亜戦争末期における、特攻の前線基地である。

という訳で早速チケットを押さえることに。

ブリティッシュエアウェイズ(BA)のAVIOを使ってJALの特典航空券に変えるわけだが、鹿児島行きの便に以外に空きがなく、熊本城もついでに見ておきたいと思ったことから、熊本行きを往復で取った。

取った後でよくよく考えると、羽田→熊本→鹿児島→熊本→羽田のルートにするよりも、日程をずらすか多少コストをかけてでも羽田→鹿児島→熊本→羽田のルートが精神衛生上よいなと思い、結局日程をずらして鹿児島入りすることにした。

結果、羽田→熊本のチケットが不要になったので、BAのサイトからキャンセルしようとすると、何故かキャンセルではなく、バウチャー発行画面に遷移してしまう。

まいっかと思いながら手続きを進めていくと、便はキャンセルできてものの、本当にバウチャーが発券されてしまった。。。

これは困ったと、ネットを調べてみたところ、どうやら電話することでAVIOSによる返還に応じてくれるらしい。

BAは日本にコールセンター用意してくれているので助かる。

昨年くらいまでいろいろなマイルに手を出していたが、海外マイルに手を出す際は、自分がどこまでトラブルシューティングできるかを踏まえた方が良い。

BAの場合は、日本にコールセンターが用意されているので、辛抱強く待てば恐らくつながる。

海外の航空会社によってはWebによるキャンセルができず、電話が必要なケースもある。日本語対応できない場合は当然英語で頑張る必要がある。

まさに自己責任ですな～。

【参考】

ウイズコロナ時代のＢＡ特典航空券キャンセル方法

ブリティッシュエアウェイズ(BA)のAviosで発券した特典航空券をバウチャーにせずAvios払戻しでキャンセルした方法

機密性の高いIoTデータを見つけるためのShodan 検索クエリ40選 / Top 40 Shodan Dorks for Finding Sensitive IoT Data（転載）

Top 40 Shodan Dorks for Finding Sensitive IoT Data: 

増え続けるデータベースと使いやすさで、ShodanはセキュリティリサーチャーがIoTの情報収集に使用する最も人気のあるツールの一つとなっています。

Shodanは、研究者が情報収集を行う際の出発点となります。Shodanは、データの場所やソフトウェアのバージョン、最後に見た日などでデータをフィルタリングすることができるため、研究者が特定の調査ポイントに照準を合わせることができ、作業を簡単かつ効率的に行うことができます。

また、Shodanはマーケティングチームやソフトウェアベンダーにも最適で、サーバー上で動作するソフトウェアの異なるバージョンをフィルタリングすることができます。また、国や都市、地域ごとのインスタンス数を確認することもできます。

Shodanでは、人の指紋が人を識別するのと同じように、デバイスを見つけてタグ付けする方法として、サイバーセキュリティフィンガープリントを採用しています。あるIPアドレス上で実行されているさまざまな情報やサービスは、そのIPアドレス上で実行されているデバイスの識別に役立ちます。

例えば、あるIPアドレスに添付されているSSL証明書の発行者を調べることで、そのIPアドレスが関連付けられているデバイスの製造者を特定できることがあります。

今日は、IoT接続されたデバイスからセンシティブなデータを見つけるための、トップのShodan dorksをご紹介します。

Most popular Shodan dorks

Shodanには、インターネット上の様々なデータやフィルターが用意されていますが、いくつかのコツや「ドーク」（有名なGoogleドークのようなもの）を知っておくと、IP情報の調査の際に、適切な結果を得ることができます。

Shodanをご利用いただくには、まずShodanの右上にある「ログインまたは登録」ボタンをクリックして、Shodanにログイン（またはアカウントを作成してログイン）してください。

その後、Shodanのアカウントにログインまたは作成してください。

このリストは、ランダムな順序で表示されています。どの初段の人も、他のどの人よりも重要ではなく、それぞれが異なる目的で使用されています。

それでは、始めましょう。

Databases

データベースには重要な情報が含まれていることがあります。開発者が簡単にアクセスできるようにするためであれ、単に設定ミスであれ、公共のインターネットに公開されると、大きなセキュリティホールができてしまいます。

Shodanでは、公共のインターネット上で認証が可能なMongoDBデータベースサーバーを検索するために、以下の検索条件を設定しています。

"MongoDB Server Information" port:27017 -authentication

また、MongoDBには、Mongo Express Web GUIというphpMyAdminに似たWeb管理アプリケーションがあり、以下のクエリで見つけることができます。

"Set-Cookie: mongo-express=" "200 OK"

同様に、MySQLを搭載したデータベースを探すには：

mysql port:"3306"

ElasticSearchを搭載した人気の高いインスタンスを検索するには：

port:"9200" all:"elastic indices"

そして、PostgreSQLのデータベースを調べるためには：

port:5432 PostgreSQL

Exposed ports

FTPサーバーやSSHサーバーなど、公共のインターネット上でアクセス可能なオープンポートで動作するサービスを検索するには、次のようなクエリを使用します。

FTPについては、一般的なFTPサーバーであるproftpdを照会する：

proftpd port:21

匿名でのログインが可能なFTPサーバーを探すには：

"220" "230 Login successful." port:21

一般的なSSHサーバーである「OpenSSH」を照会する：

openssh port:22

Telnetの場合は、23番ポートを照会します：

port:"23"

25番ポートでEXIM搭載のメールサーバーを調べるため：

port:"25" product:"exim"

Memcachedは、一般的に11211番ポートで利用されており、巨大なDDoS攻撃につながるUDP増幅攻撃の主な原因となっています。公共のインターネット上で利用可能なMemcachedを実行するサービスは、しばしばこれらの攻撃に悪用されます：

port:"11211" product:"Memcached"

Jenkinsは、自動化されたビルド、デプロイ、テストツールとして人気があり、リリースに向けてソフトウェアをビルドする際の出発点となることが多い。このツールは、以下のクエリで見つけることができます：

"X-Jenkins" "Set-Cookie: JSESSIONID" http.title:"Dashboard"

DNS servers

再帰を有効にしているDNSサーバーは、ネットワークの脅威の大きな原因となります。このようなサーバーを見つけるには、次のようなクエリを使用します：

"port: 53" Recursion: Enabled

Network infrastructure

MikroTik社製のルーター、スイッチ、その他のネットワーク機器に搭載されているRouterOSオペレーティングシステムの特定のバージョンを実行しているデバイスを見つけるには、以下の検索条件を使用します：

port:8291 os:"MikroTik RouterOS 6.45.9"

これにより、古いバージョンで脆弱性がある可能性があるRouterOSオペレーティングシステムを実行しているスイッチ、ルーター、その他のネットワーク機器を見つけることができます。ルーターOSは、ウェブ管理UIに使用されるポート番号8291で実行されます。

Web servers

Shodanでは、Webサーバーのバージョンを検索してフィルタリングすることも可能です。例えば、一般的なWebサーバーであるApacheの特定のバージョンをホストしているIPを見つけるために使用します：

product:"Apache httpd" port:"80"

上記のクエリでは、ウェブサーバの最も一般的なポートである80番ポートのApacheウェブサーバを見つけることができます。

同様に、Microsoft IISを搭載したWebサイトやWebサーバーを調べることができます。

product:"Microsoft IIS httpd"

Nginxを搭載したWebサイトやWebサーバーを調べるには：

product:"nginx"

上記の製品検索は、「ポート」オプションと組み合わせることもできます。例えば、ポート8080のNginxを搭載したウェブサーバを検索したい場合：

"port: 8080" product:"nginx"

Operating systems

また、Windows 7などの古いOSの場合は、次のようなクエリを使用して、Shodanで検索することができます。

os:"windows 7"

同様に、Windows 10の特定のビルドバージョンを調べるには、次のクエリを使用します。ここでは、ビルドバージョン19041のWindows 10 Home Editionを調べます。

os:"Windows 10 Home 19041"

Linuxベースのデバイスをフィルタリングして検索するには、次のようなクエリを使用できます。

os:"Linux"

Filtering by country, city or location

特定の時点では、Shodanから返されるデータの量が少し多すぎるかもしれません。そこで、「国」や「都市」といったフィルターをかけることができるようになりました。

例えば、国でフィルタリングしたい場合：

country:"UK"

都市でフィルタリングするには：

"city: London"

最後に、地域や都市のGPS座標を介して調べることもできます。

geo:"51.5074, 0.1278"

この位置情報フィルタは、他のフィルタと組み合わせることもできます。例えば、イギリスのWindows 7デバイスを探したい場合は、次のようなクエリを使用できます。

os:"windows 7" country:"UK"

SSL certificates

また、Shodanでは、有効期限が切れたSSL証明書や自己署名証明書を探すことができます。

自己署名証明書を検索するには、以下のようなクエリを使用することができます。

ssl.cert.issuer.cn:example.com ssl.cert.subject.cn:example.com

SSL証明書を検索するには:

ssl.cert.expired:true

Other useful Shodan dorks for IoT device intelligence

「Shodan dorking」で他にどんなものが見つかるか見てみましょう。

Webcams

ウェブカムは、古くて安全でないソフトウェアを使って公共のインターネット上で実行されていることが多く、簡単に危険にさらされます。幸いなことに、Shodanでは次のようなクエリでウェブカムをフィルタリングして見つけることができます。

Server: SQ-WEBCAM

さらに、Yawcamのようなウェブカメラ用のソフトウェアを提供している特定のソフトウェアベンダーを、次のようなクエリでフィルタリングすることができます。

"Server: yawcam" "Mime-Type: text/html"

McAfee創業者のジョン・マカフィーさん死亡 / John McAfee found dead in Spanish jail cell（転載）

首吊り自殺でジョン・マカフィーさん亡くなったってまじか。お悔やみ申し上げます。: 

John McAfee found dead in Spanish jail cell

地元紙エル・パイスによると、ウイルス対策企業マカフィーの創業者であるジョン・マカフィー氏が本日、バルセロナの刑務所の独房で死亡しているのが発見されました。

ロイター通信によると、死因は首吊り自殺とされており、カタルーニャ州司法省およびマカフィー氏の弁護士に確認したという。

元サイバーセキュリティ業界の大物は、米国司法省が3月にマカフィーを、暗号通貨のポンプ・アンド・ダンプ方式に関連した詐欺およびマネーロンダリングの容疑で起訴した後、拘束されていました。

マカフィー氏は、米国の刑務所で最長30年の刑期を迎えることになっていました。

スペインの新聞「El Mundo」は、バルセロナの判事が彼の米国への引き渡しを承認した数時間後に、彼の死を報じています。

マカフィー氏は、引き渡しを不服として訴えることができた。

彼は75歳だった。

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実 / The Cost of Cloud, a Trillion Dollar Paradox（転載）

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実:

The Cost of Cloud, a Trillion Dollar Paradox

クラウドの真のコスト

総売上原価（COR）に占めるクラウド費用の割合が非常に大きいことを考えると、クラウドのリパトリエーションによる50％の節約は特に意味があります。パブリック・ソフトウェア・カンパニー（コミットしたクラウド・インフラストラクチャの支出を開示している企業）をベンチマークした結果、契約上のコミット支出は平均してCORの50％であることがわかりました。

しかし、実際の支出の割合は、コミットされた支出よりもさらに高いのが一般的です。ある10億ドル規模の民間ソフトウェア企業では、パブリッククラウドへの支出がCORの81％に達しており、「売上原価の75～80％に相当するクラウドコストがソフトウェア企業では一般的である」と述べています。Dullien氏は、業界のリーダーであるGoogleと現在のOptimyzeに在籍していた経験から、企業はクラウドのコミットサイズを決める際に、支出が過剰になることを恐れて保守的になり、ベースラインの負荷のみにコミットすることが多いと述べています。経験則から言うと、コミットした費用は実際の費用よりも20％程度低いことが多い。私たちが取材した企業の中には、コミットしたクラウド利用額の予想を少なくとも2倍以上上回ったと報告しているところもあります。

これらのベンチマークを、インフラにパブリッククラウドを利用しているソフトウェア企業全体に広げると、（年次報告書にある程度のクラウド利用を明記している）株式公開されているソフトウェア企業上位50社のクラウド利用額は、合計で80億ドルに達すると考えられる。これらの企業の中には、パブリッククラウドとオンプレミスのハイブリッドアプローチを採用しているところもありますが（つまり、クラウドへの支出が中核部門に占める割合はベンチマークに比べて低いかもしれません）、分析では、コミットされた支出が全体的に実際の支出と同じであると仮定することで、そのバランスをとっています。また、専門家との意見交換から、クラウドのリパトリエーションによってクラウドへの支出が50％削減され、その結果、40億ドルの利益が回復されたと仮定しています。クラウドインフラを利用している大規模な公共ソフトウェア企業や消費者向けインターネット企業の場合、この数字はもっと大きくなるでしょう。

40億ドルという推定純減はそれだけでも驚異的ですが、この数字を時価総額に換算すると、さらに目を見張るものがあります。すべての企業は、将来のキャッシュフローの現在価値として評価されるため、これらの年間節約額を実現することは、40億ドルをはるかに超える時価総額の創出につながります。

どのくらい多いのでしょうか？ひとつの目安として、公開市場では追加の粗利益をどのように評価しているかを見てみましょう。高成長のソフトウェア企業で、いまだに現金を燃やし続けている企業は、その企業の長期的な成長と利益率構造に関する仮定を反映した売上総利益倍率で評価されることがよくあります。一般的に参照される売上高倍率は、企業の長期的な利益率を反映しているため、成長率調整後であっても、粗利益率の高い企業ほど高くなる傾向にあります）。しかし、いずれの資本倍率も、企業の将来のキャッシュフローを市場がどのように割り引いているかを推定するためのヒューリスティックな指標となります。

分析したソフトウェア企業50社のうち、平均的な総企業価値と2021Eの粗利益の倍率（本稿執筆時のCapIQに基づく）は24-25倍です。言い換えれば 1ドルの粗利益を節約するごとに、クラウドリパトリエーションによって節約される純コストの24～25倍の時価総額が平均的に上昇する。これは、クラウドリパトリエーションによって得られるコスト削減額が、設備投資の増加によって発生する減価償却費を差し引いたものであることを前提としています（該当する場合）。

つまり、この50社だけで、40億ドルの売上総利益があれば、1,000億ドルの時価総額が増加すると見積もることができるのです。さらに、（フリーキャッシュフロー倍率ではなく）売上総利益倍率を用いることは、売上総利益の増加に伴い、一定の営業費用が増加することを前提としているため、このアプローチでは、年間40億ドルの純貯蓄による時価総額への影響を過小評価する可能性があります。

また、特定の企業の評価によっては、その影響がさらに大きくなる可能性もあります。この現象を説明するために、サービス型インフラ監視企業であるDatadog社を例に挙げます。Datadogは、記事作成時に2021年の推定粗利益の40倍近くで取引されており、S-1ではAWSへの3年間のコミットメント総額2億2500万ドルを開示していました。仮にAWSの年間コストを7500万ドルとし、その50％にあたる3750万ドルがクラウドのリパトリエーションによって回収されると仮定すると、コミットされたコストの削減だけで、この企業の時価総額はおよそ15億ドルになると考えられます。

このような基礎的な分析は決して完璧ではありませんが、方向性は明らかです。つまり、規模の大きい上場ソフトウェア企業の時価総額は、クラウドのコストによって何千億ドルもの負担を強いられているのです。企業向けソフトウェアや消費者向けインターネット企業にまで拡大すると、この数字は5,000億ドルを超える可能性があります。これは、クラウド全体の支出の50％が、クラウドの還流によって利益を得ることができる規模のテクノロジー企業によって消費されていると仮定した場合です。

企業経営者、業界アナリスト、構築担当者にとって、長期的な、あるいは短期的なインフラの意思決定を行う際に、時価総額への影響を無視することは、あまりにも高価なことです。

クラウドのパラドックス

ここから先はどうすればいいのか？一方では、ワークロードをクラウドから移行することは大きな決断です。事前に計画を立てていない人にとっては、必要な書き換えは不可能なほど非現実的なものです。このような事業を行うには、強力なインフラチームが必要ですが、そのチームが存在しない場合もあります。また、このような作業には、強力なインフラチームが必要となりますが、このようなチームは存在しない可能性があります。クラウドは、大規模化しても、オンデマンドのキャパシティや、新規プロジェクトや新しい地域をサポートするための既存サービスの数など、多くのメリットがあります。

しかし一方で、この記事で紹介したような現象が起きています。つまり、クラウドのコストがある時点で「支配」され、数千億ドルの時価総額がロックされてしまい、このパラドックスから抜け出せなくなっているのです。

では、このパラドックスから抜け出すために、企業は何をすればよいのでしょうか。前述したように、私たちはどちらかにリパトリエーションを行うべきだと主張しているのではなく、インフラ支出は第一級の指標であるべきだと指摘しているのです。これはどういうことでしょうか。企業は早期に、頻繁に、そして時にはクラウド外でも最適化する必要があります。大規模な企業を構築する際には、宗教的な教義にとらわれる余地はほとんどありません。

考え方の転換やベストプラクティスについては、まだまだ語るべきことがありますが、特に最近になって全体像が明らかになってきたこともあり、ここでは、企業が膨れ上がるクラウドのコストに対処する上で役立ついくつかの検討事項を紹介します。

KPIとしてのクラウド費用：インフラを一流の指標にするには、それがビジネスの重要なパフォーマンス指標であることを確認する必要があります。例えば、Spotify社のCost Insightsは、クラウドにかかる費用を追跡する自社開発のツールです。クラウドのコストを追跡することで、財務チームだけでなく、エンジニアがクラウドのコストに責任を持てるようにしています。元Digital Oceanで、現在はVantage社の共同設立者兼CEOであるBen Schaechter氏は、業界全体の企業が、ビジネスのライフサイクルの早い段階で、中核的なパフォーマンスや信頼性の指標と並んで、クラウドのコスト指標に注目するようになってきているだけでなく、「不意のクラウド料金請求に悩まされてきた開発者たちは、より精通してきており、チームのクラウド支出に対するアプローチに、より厳格な対応を期待している」と述べています。

正しい行動にインセンティブを与える：インフラに関する一流のKPIから得られるデータをエンジニアに提供することで、意識を高めることはできますが、物事のやり方を変えるためのインセンティブは得られません。ある著名な業界のCTOによると、彼の会社では、営業で使われるような短期的なインセンティブ（SPIFF）を導入し、ワークロードの最適化やシャットダウンによって一定量のクラウド費用を節約したエンジニアには、スポットボーナスが支給されたそうです（節約額は定期的に発生するため、会社のROIは高いままです）。その結果、組織全体の10％がボーナスを受け取り、わずか6カ月で全体の支出を300万ドル削減したため、実際のコストは少なくて済んだという。注目すべきは、この従来とは異なるモデルを支持したのは、会社のCFOだったということです。

最適化、最適化、最適化：ビジネスの価値を評価する際、最も重要な要素の一つが売上原価（COGS）です。顧客データプラットフォームを提供するSegment社は、インフラの意思決定を段階的に最適化することで、インフラコストを30％削減し、同時にトラフィック量を25％増加させたという事例を紹介しました。サードパーティ製の最適化ツールには、既存のシステムを短期間で改善できるものが数多くあり、当社の経験では10〜40％の改善効果があります。

リパトリエーション（本国への送金）について前もって考えておく：クラウドが企業の初期段階では安価で優れているが、企業の進化の過程ではコストが高くなるというクラウドパラドックスが存在するからといって、企業が計画を立てずに受動的に受け入れる必要はありません。システム・アーキテクトは、早い段階でリパトリエーションの可能性を認識しておく必要があります。クラウドのコストが収益の伸びに追いつき、あるいはそれを上回るようになってからでは遅すぎます。クラウドのコストが収益の伸びに追いつき、あるいはそれ以上になってからでは手遅れになるからです。ワークロードの可搬性を高めるKubernetesやソフトウェアのコンテナ化が普及したのは、特定のクラウドに縛られたくないという企業のニーズに応えるためでもあります。

リパトリエーションを増やしていく：また、本国への送還（それが本当にビジネスにとって正しい動きであれば）は、段階的に、そしてハイブリッドな方法で行うことができない理由はありません。ここでは、どちらか一方だけの議論ではなく、より詳細なニュアンスが必要です。例えば、本国送還が意味をなすのは、最もリソースを必要とするワークロードの一部に限られるでしょう。例えば、リパトリエーションが意味を持つのは、最もリソースを必要とするワークロードの一部に限られます。実際、私たちが話を聞いた多くの企業では、最も積極的にワークロードを引き取る企業でも、10～30%以上をクラウドに残していました。

これらの推奨事項はSaaS企業に焦点を当てたものですが、他にもできることがあります。例えば、インフラ・ベンダーであれば、顧客のクラウド・クレジットを利用するなど、コストを転嫁するためのオプションを検討することで、自社の帳簿からコストが残らないようにすることができます。エコシステム全体で、クラウドのコストを考える必要があるのです。

業界がどのようにしてここまで来たかは、簡単に理解できます。クラウドは、イノベーション、アジリティ、成長のために最適化された完璧なプラットフォームです。また、民間の資本によって運営されている業界では、利益率は二の次になりがちです。そのため、企業は効率性よりも機能開発の速度を優先し、新規プロジェクトはクラウドで開始される傾向にあります。

しかし、これでわかったことがあります。しかし、長期的な影響についてはあまり理解されていません。そもそもクラウドに移行する理由として、60％以上の企業がコスト削減を挙げていることを考えると、皮肉なことです。新しいスタートアップや新しいプロジェクトにとって、クラウドは当然の選択です。そして、クラウドが提供する軽快さのために、適度な「柔軟性税」を支払う価値があることも確かです。

問題は、大企業（大規模化した新興企業を含む）の場合、この税金は多くの場合、何千億ドルもの株式価値に相当するということです...しかも、企業がすでにクラウドに深くコミットしてしまった後で（そして、多くの場合、あまりにも凝り固まってしまったために抜け出すことができない後で）課税されるのです。興味深いことに、早期にクラウドへ移行する理由として最もよく挙げられるのは、多額の先行投資（CapEx）であり、本国送還にはもはや必要ありません。ここ数年、パブリッククラウドに代わるインフラは大きく進化しており、資本支出ではなく営業費用（OpEx）のみで構築、導入、管理することができます。

ここで紹介したいくつかの数字は大きく見えますが、実際には保守的な仮定であることにも注意してください。実際の支出はコミットされたものよりも多いことが多く、また、弾力的な価格設定に基づく超過料金も考慮していません。そのため、業界全体の市場規模に対する実際の影響は、想定よりもはるかに大きいと思われます。

クラウドプロバイダーが現在享受している30％のマージンは、いずれ競争を勝ち抜き、問題の大きさを変えることができるでしょうか。現在、クラウドへの支出の大半が3社の寡占状態にあることを考えると、そうはならないだろう。アマゾン、グーグル、マイクロソフトの3社の時価総額は合わせて約5兆ドルですが、これらの企業が競争にさらされている理由のひとつは、自社でインフラを運営することで高い利益率を確保しているため、製品や人材への再投資を増やし、株価を上昇させることができているからです。

つまり、パブリッククラウドがマージンを失うか、あるいはワークロードを失うか、どちらかになるでしょう。いずれにしても、インフラにおける最大のチャンスは、クラウドのハードウェアとその上で実行される最適化されていないコードの間にあるのかもしれません。

セキュリティ対策状況開示の良見本「東芝グループ サイバーセキュリティ報告書2021」（転載）

セキュリティ対策状況開示の良見本「東芝グループ サイバーセキュリティ報告書2021」:

　株式会社東芝は6月7日、同社グループの2020年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2021」を発行した。

　同社グループの事業の中心となるインフラサービスでは、従来の情報・製品セキュリティに加え、産業インフラの現場やサイバー空間へと必要とされるセキュリティの範囲が拡大しており、同社グループは、これらのセキュリティのトータルな実現のため、サイバー攻撃などのセキュリティインシデントに備え、その影響を最小化し、早期に回復する能力を意味する「サイバーレジリエンス」を取り入れた戦略を実行している。

　「サイバーレジリエンス」では具体的に、「システムの稼働時間（P）を長く」「インシデントによる損失（M）を小さく」「対応・復旧時間（R）を短く」することが求められるが、本報告書では実現の施策として、意思決定・指揮系統を明確化する「ガバナンス」、監視・検知／対応・復旧／防御を行う「セキュリティオペレーション」、これらを運用し発展させていく「人材育成」について詳説している。

　第2章「セキュリティ確保への取り組み」では、社内ITインフラへの対策として「監視・検知の強化」「EDRツールによるエンドポイント対策の強化」「インシデント対応への取り組み」「ハッカー視点の高度な攻撃・侵入テスト」「自主監査・アセスメント 」「インターネット接続点のセキュリティ対策」「脅威インテリジェンスの活用」などがネットワーク構成図とともにくわしく解説されている。上場企業などがセキュリティ対策状況を、何をどこまで株主や社会に開示すべきかの模範例としても活用できるだろう。

　同社グループは今後も、Webサイトやサイバーセキュリティ報告書を通じて考え方や戦略、セキュリティ確保の具体的な取り組みなどについて報告を行い、サイバーセキュリティに関する説明責任を果たすとのこと。

バックアップ

SPGアメックスの使い道再考

 八木エミリーさんという、超美人の不動産投資家がいる。

先日本を出版されたということで、セミナーに参加してみた。

自身は芦沢さんを勝手に師匠と仰ぐ中古区分をメインとしており、エミリーさんと不動産投資の領域は異なるのだが、非常に勉強になるセミナーだった。

何が勉強になったかというと、計画の立て方や行動力である。

エミリーさんは10年や1年の単位で、健康(人間ドッグ受診するとか)、人間関係(家族とか)、仕事、趣味(〇〇に旅行に行くとか)、金融(投資、資産運用)のカテゴリで計画を立てて実行されている。

1年単位での計画については、自身も内藤忍さんが提唱する100のリストをやっているが、このカテゴリ分けの整理が進んだという点で非常に勉強になった。

で、最も大きな学びだったのが毎年誕生日にホテルに籠って10年計画や1年計画を見直すという点、そして、そのホテルの宿泊にSPGアメックスの特典を活用しているという点であった。

SPGアメックスはマイラー界隈では非常に有名なカードなのだが、個人的にはこの宿泊特典の活用が義務のように感じられ、これまで避けてきた。

エミリーさんのように、誕生日に諸々の将来的な作戦会議を兼ねて1泊使うというのはストレスフリーで非常に良い使い方なのではなかろうか？

誕生日がオフピークとかぶっていれば、こんな素晴らしい使い方は無いかもと感じ、SPGアメックスを見直してみようと感じた今日この頃である。

現代版の「はたらく」の定義を考えてみる（転載）

「はたらく」を現代的に再定義しよう。人間が資本に使われないために。:

多くの人々に

• 「はたらく」＝「サラリーマン」
• 「はたらく」＝「組織に属する」

という固定観念が存在しているように感じます。

たしかに戦後・高度成長期・現代に至るまでは、その通りでした。

戦後の日本人の暮らしが克明に描かれた書籍「花森安治選集」にはこんな描写があります。

昭和12年そのころ、同級生と会うと「会社」という言葉が出た。誰もどんなところか知らなかったがとてもいいところらしかった。

1958年はこうだったのです。現代の若者に会社のイメージを聞くと、まったく別の答えが返ってくるでしょう。

それだけ時代背景・社会背景の違いというのは大きいのです。

では現代における「はたらく」とは、どんなものがしっくり来るでしょうか。

私は原義に立ち返って「傍（はた）をらくにする」ことかなと思います。

周囲を楽にしたり、知を共有したり、なにかを与えることでだれかの光になったり。

たとえば、

• 親が体力的にすべて草刈りや雑草を抜けない時に子が精力的に代わって作業することも、はたをらくにすることでしょう。
  
  
• 農業を学んで、その過程で得たことを共有することも、はたをらくにすることでしょう。
  
  
• 資産運用など、自分の得意な分野について人々の相談に応えることも、はたをらくにすることでしょう。
  
  
• 専業主婦・専業主夫の方々は、「家族というはた」をらくにしているでしょう。

社会や人々になんらかの還元をすることは、なにも組織でしか成しえないことではありません。個人に人的資本・経験・知識・実践・学習があれば、成しえることです。

FIRE（Financial Independence Retire Early）も、「Retire」は「サラリーマンを辞めること」とほぼ同義でしょう。なぜなら、現代に至るまで「はたらく＝サラリーマン」という図式が支配的だったので「リタイアする＝サラリーマンを辞める」という図式も同時に成り立ちます。

つまり、「FIRE＝はたらかない」ことを一義的に意味するわけではありません。現代風に言えば「FIRE＝経済的に自立した上で、自由に生きる」という「自由」の中に「はたをらくにする」ことも当然含まれうるということです。

もういちど、はたをらくにする例を見てみましょう。

• 親が体力的にすべて草刈りや雑草を抜けない時に子が精力的に代わって作業することも、はたをらくにすることでしょう。
  
  
• 農業を学んで、その過程で得たことを共有することも、はたをらくにすることでしょう。
  
  
• 資産運用など、自分の得意な分野について人々の相談に応えることも、はたをらくにすることでしょう。
  
  
• 専業主婦・専業主夫の方々は、「家族というはた」をらくにしているでしょう。

 上記の活動は、GDPという尺度で測ることはできません。当然ながら、人々の幸福もGDPで測ることはできません。

私たちはいつのまにか、GDP・利益・貨幣という数字に使われる側になってしまっていると思います。

その極致として、長時間労働・ブラック企業・過労死などの社会現象として表出したのだと思います。

資本による「利潤の最大化・効率化」といった要請を受け、いつのまにか資本に使われ、GDPという数字を追い求めているうちに、人々の日常・文化・牧歌的な幸福が毀損されていたのです。

都市でサラリーマンをすると、概して「満員電車に揺られて、会社ではパソコンと対峙し、疲れた身体で家を往復する」側面が少なからずあります。

これは、「効率化・利益の最大化・GDP（付加価値）の増大」には貢献します。

しかし、人間の幸福に貢献しているのでしょうか。

農業・林業・漁業・除雪・エッセンシャルワーカーなど、たとえGDPの貢献には限定的でも、

「作物や魚を取って余った分は近所で譲り合って、農作業を終えれば各人が園芸・スポーツ・文化活動など趣味に精を出して、温泉や地域コミュニティ・自然の中で仲間や家族と語らう」方が、よほど人間の幸福に貢献すると私は思います。思いますというか実感しています。

こういった生活は、貨幣・利益・効率化といったものに過度に依拠していないのです。それは、人間の幸福、そしてなにかに追われない生活に寄与すると実感しています。

時代や技術は移り変わっていくので、社会的な定義よりも、自分で時流に即して再定義をするぐらい主体的に生きることが、ますます重要になってくる時代だと思います。

私たちは、資本主義社会・自由主義経済に生きるあまり、貨幣・GDPを尺度としたものにどっぷり漬かって依存しすぎているのではないでしょうか。

近代資本主義は消費を肯定的にとらえます。「消費しないと経済は回らない」、果たして本当にそうでしょうか。物質消費の裏には、有限である地球資源の消費があることは忘れられがちです。

私は休暇を取っては、自然豊かな土地に滞在したり、登山したりしていました。そういう形で、実態が見えにくい数字とは距離を取って、人間本来の豊かさに資する自然との距離を近づけていました。

技術革新が進めば進むほど、そういった人間本来の活動の希少性と重要性が増していく、そう確信しています。

スポーツクラブNAS、ランサムウェアの被害を報告 / Sports Club NAS Report Ransomware Incidents（転載）

JP: Sports Club NAS and Concrete Manufacturer Ito Yogyo Both Report Ransomware Incidents

大和ハウスグループの子会社であるスポーツクラブNASは、以下の声明を発表した。

弊社サーバーへの不正アクセスに関するお詫びとご報告

2021年4月2日、弊社のサーバー（以下「本件サーバー」といいます。）に対する外部からの不正なアクセスにより、弊社の一部の店舗（計9店舗）で運用しておりました会員管理システム（以下「本件システム」といいます。）に障害が発生いたしました。皆様に多大なるご迷惑とご心配をお掛けいたしますこと、深くお詫び申し上げます。また、システム復旧の検討、情報漏洩の調査ならびに本件サーバーに保管されていた個人情報の抽出・精査に時間を要し、ご報告が大変遅くなりましたこと重ねてお詫び申し上げます。

調査専門会社により調査を行ったところ、今回本件サーバーが感染したランサムウェアが情報を窃取するタイプのものではないということもあり、調査専門会社からは2021年5月18日時点において、お客様等の情報が外部サイトにおいて公開されている事実は確認できていないとの報告を受けております。

今後も、当面の間、外部の調査専門会社の協力のもと、外部サイトにお客様等の情報が公開されていないかの調査を行ってまいります。

なお、現在まで、お客様等の情報が利用されたことによる二次被害は確認されておりませんが、本件に関するお問い合わせ等の情報の集約のため、コールセンターを設置いたしました。万一、不審なメール、電話等がございましたら、大変お手数ですが末尾のお問い合わせ先までご一報いただけますようお願い申し上げます。

今後の調査等によって、お客様等の情報の漏洩が確認された場合は、改めてご報告させていただきます。

なお、多数の方からのお問い合わせが集中することが予想されます。多く寄せられるご質問やお問い合わせの内容によりましては、書面（電子メールを含みます。）または弊社のホームページへの掲載により回答させていただく場合がございます。何卒ご理解を賜りますよう、お願い申し上げます

この投稿の残りの部分では、サーバー上の情報に関する具体的な詳細と、データが流出したとは考えられない理由が述べられています。影響を受けた人の数については、サーバー上に情報を持っていた人の数は以下の通りです。

会員情報：

150,084人

(クレジットカード情報を含む34,920人)

- 氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先 、クレジットカード情報、口座情報、勤務先（氏名、住所、電話番号）のいずれかまたは複数

従業員の情報：

460名

- 氏名、生年月日

 声明の全文や詳細については、同社のウェブサイトをご覧ください。

バックアップ

海外FXで証拠金をクレジットカード払いで口座に入金。ポイントを貯めるお得技（転載）

海外FXで証拠金をクレジットカード払いで口座に入金。ポイントを貯めるお得技

FXトレードをする個人投資家の方も少なくないと思います。今回はFX口座への入金でクレジットカードのポイントを貯める方法を紹介します。

海外FX会社では、証拠金の入金に「クレジットカード払い」が使えます。 

国内のFX会社の場合、口座に入金するのは基本的には銀行振込みです。しかし、海外のFX会社の場合、銀行振込みも利用できるのですが、海外のFX会社の口座は海外の銀行にあるため「海外送金」になってしまうのです。「海外送金」の場合は、海外送金手数料が1回につき3,000円～5,000円程度かかってしまうのです。

これは大きなデメリットになってしまうため、海外FXの会社では、クレジットカードで海外のお店で買い物ができるのと同じように、クレジットカード払いで、FX口座に入金できる仕組みを用意しています。

つまり

FXトレードに利用する証拠金の入金額に対して、ポイントが付与される

ことになります。

ポイント還元率1.0％のクレジットカードで50万円のFXトレード用資金を入金すれば、それだけで5000円分のポイントが貯まるのです。

これが海外FXでクレジットカードのポイントを貯めるおすすめの方法なのです。

ただし、海外FXのクレジットカードの入金は、1年以内に出金をするとキャンセル扱いになるので、注意が必要です。

50万円のクレジットカード払いでの海外FX口座に入金をして、1カ月後に10万円出金しようとすると、10万円のクレジットカード払いがキャンセル扱いになり、実質40万円のクレジットカード払いが発生したことになります。

この場合は、ポイントが40万円分しか付きません。

海外FXの出金方法は、海外送金やペイパルなどが利用できるのですが、クレジットカードでの入金のときはその入金額に達するまでは優先的にクレジットカードによるキャンセル出金処理になってしまうのです。

クレジットカードで入金して1年間出金をせずに継続していると、クレジットカードのキャンセル処理はできなくなるため、入金が確定されポイントも付与されます。この後であれば、出金方法は海外送金やペイパルが選択できるので、ポイント分をゲットすることが可能になります。

糖質制限食の通販サイトに不正アクセス - クレカ情報が流出（転載）～想定損害賠償額は1億円程度か～

糖質制限食の通販サイトに不正アクセス - クレカ情報が流出

「糖質制限ドットコム」のカード情報漏えい
 

通信販売サイト「糖質制限食の専門ショップ 糖質制限ドットコム」が不正アクセスを受け、クレジットカード情報が外部に流出し、悪用された可能性があることがわかった。

同サイトを運営する京都高雄倶楽部によれば、同サイトの脆弱性を突く不正アクセスがあり、決済アプリケーションを改ざんされたもの。

2020年1月28日からクレジットカード決済を停止した2021年1月15日までに同サイトで利用されたクレジットカード情報が外部に流出し、不正に利用された可能性がある。対象となるのは、3877人の顧客で、利用したクレジットカードの名義、番号、有効期限、セキュリティコードが被害に遭った可能性がある。

1月15日にクレジットカード会社から情報流出の可能性について指摘を受け、問題が発覚。個人情報保護委員会には2月4日に報告し、翌5日に警察に相談した。

外部事業者による調査は3月22日に完了。顧客に対しては、6月16日よりメールで個別に連絡を取り、経緯を説明するとともに謝罪し、クレジットカードにおいて身に覚えのない請求が行われていないか注意するよう呼びかけている。

カフェ関連商品を扱う通信販売サイトに不正アクセス（転載）～想定損害賠償額は3200万円程度か～

カフェ関連商品を扱う通信販売サイトに不正アクセス

「Daiichi F&L」からのカード情報漏えい

 カフェ関連の商品を扱う通信販売サイト「Daiichi F＆Lオンラインショップ」が不正アクセスを受け、クレジットカード情報が流出し、悪用された可能性があることがわかった。

同サイトを運営する大一電化社によれば、不正アクセスにより決済アプリケーションが改ざんされたもので、2020年3月3日から2021年2月12日にかけて新規に入力されたクレジットカード情報が流出し、不正に利用された可能性があることが判明したという。

対象となるのは、顧客1246人が入力したクレジットカード情報最大2551件。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。2月10日にクレジットカード会社から決済代行会社に連絡があり、同社では2月12日に情報が流出した可能性を把握したという。

外部事業者による調査は5月20日に完了し、6月10日に個人情報保護委員会へ報告。同日警察にも被害を申告した。対象となる顧客に対しては、6月17日よりメールや書面で経緯を説明し、謝罪を行っており、身に覚えのない請求がないか確認するよう注意を呼びかけている。

同社は、セキュリティ対策や監視体制の強化を行い、再発防止を図るとしており、今回不正アクセスを受けたサーバやシステムについては破棄したと説明。異なるサーバやカートシステムを導入したあらたなサイトを立ち上げたという。今後クレジットカード会社の承認を経てクレジットカード決済を再開する予定。

賃貸契約で、契約締結&諸費用支払後、入居前キャンセルを行ったらどうなったか（事例紹介）～大手サイトの記事でも事実とは限らない～

 

パートナーと同棲をしようということになり、賃貸アパートを探して契約締結を行ったものの、同棲に向けた準備の中でお互いの価値観や性格に決定的な乖離があることが判明し、同棲は白紙に戻し、賃貸契約もキャンセルすることとなった。

賃貸契約を締結し、必要な費用を支払った後、入居前の段階でキャンセルすると、支払った費用はいったいどうなるのだろうか？

ネットで検索してみるといくつかの事例が見つかる。

やむを得ない事情で入居前にキャンセル……。賃貸契約後に解除するには

代替どこも同じような感じで、下記のような感じとなる。

• 敷金：返金可能性大（入居しており、原状回復の必要がある場合は償却した額を返金）
• 礼金：大家次第だがほぼ絶望的（返金の必要なし）
• 家賃（前家賃）：入居していなければ返金可能性大。入居していれば経過日数に応じて日割りで帰ってくる可能性あり
• 仲介手数料：不動産屋次第だが、ほぼ絶望的（返金の必要なし）
• 火災保険料：保険会社次第（サービス約款に準ずる）

賃貸契約書に押印している時点で完全に不利な状態に変わりなく、敷金と前家賃程度を取り返せれば御の字かと思っていた。

が、結論としては下記のようになった。

• 敷金：全額返金
• 礼金：全額返金
• 家賃（前家賃）：全額返金
• 仲介手数料：振込手数料をいた金額を返金
• 火災保険料：全額返金

何ともうれしい誤算だった。

一応いろいろ調べてみたところ、賃貸契約には民法的な解釈の仕方と宅建業法的な解釈の仕方があるようである。

一般的な賃貸契約の流れは概ね下記となる。

①入居申し込み（ある場合は申込金の支払い）

↓

②審査・契約書の作成＆室内清掃などの準備

↓

③重要事項説明

④契約書に署名捺印

⑤契約金（前家賃、敷金・礼金など）の支払い

↓

⑥鍵の受け渡し、契約書交付

⑦入居、引っ越し

さて、どこのタイミングでっ契約締結となるだろうか？

民法上の解釈では④が契約締結となる。

一方、宅建業法上は⑥が契約締結となる。

今回は宅建業法上の解釈が優先されたか、不動産屋さんと貸主が善良だったというところだろうか？

ちなみにネットでいろいろ検索しても借主視点の有益な情報は少なく、唯一参考になったサイトのリンクを貼っておく。

入居前のキャンセル

あと、SUUMOのような大手サイトの記事でも事実かどうかは疑ってかからないといけないと感じた。

スマホ運用のセキュリティ対策チェックシートに新版（転載）

スマホ運用のセキュリティ対策チェックシートに新版 - JSSEC:

日本スマートフォンセキュリティ協会（JSSEC）は、スマートフォンの導入や運用、利用停止の各段階においてセキュリティ面より考慮すべきポイントについて取りまとめた「対策チェックシートII」を公開した。

同チェックシートは、あらたにスマートフォンを活用したり、情報セキュリティポリシー全体の見直しを実施する際、セキュリティ要件として検討すべきポイントを網羅的にまとめたチェックシート。スマートフォンを導入したり、セキュリティポリシーの策定、運用などを行う責任者の利用を想定している。

同協会が2014年3月に発行した「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン 第2版」とあわせて提供してきた「対策チェックシート」の改訂版にあたる。

「NIST Cybersecurity Framework（CSF）」の分類と一致した50項目からなり、A3ファイル1枚の両面に収まるようデザイン。対策を網羅的にカバーしつつ、ポリシーの採用状況や理由など、自組織の状況を記録するスペースも配置した。

同チェックシートを取りまとめた同協会利用ガイドラインワーキンググループでリーダーを務める松下綾子氏は、「働き方改革や個人情報の取り扱いなど社会情勢を反映した」と変更点を紹介した。

「NIST CSF」の5機能にあわせて項目を再構成したことから、「防御」が中心だった従来の構成から、「検知」や「対応」「復旧」などの項目を充実させ、網羅的にチェックが行えるようになったと説明。PDFファイルにくわえ、自由にカスタマイズができ、書き込みも行える「Excel形式」のファイルも用意しており、セキュリティ対策にぜひ活用してほしいと呼びかけている。

バックアップ

総務省「テレワークセキュリティガイドライン（第5版）」公開、意見募集と回答も併せて公表（転載）～個人的には「テレワーク」ではなく「リモートワーク」でお願いしたい

総務省「テレワークセキュリティガイドライン（第5版）」公開、意見募集と回答も併せて公表:

総務省は「テレワークセキュリティガイドライン（第5版）」（案）に対する意見募集の結果と当該ガイドラインを公表した。同省では2月15日から3月5日までの間、「テレワークセキュリティガイドライン（第5版）」の案について広く意見を募集しており、その結果、法人3件、個人・匿名17件の計20件の意見の提出があった。

　同省では、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として「テレワークセキュリティガイドライン」を策定、2004年12月に初版を公表し、その後も改訂を行ってきた。

　今回、公開した第5版では、オンライン会議を含めたテレワーク導入が拡大し、クラウドサービスの普及やスマートフォンの活用等が一層進展するなど、テレワークを取り巻く環境の変化するとともに、サイバー攻撃の高度化等によるセキュリティ動向の変化を踏まえ、全面的な改定を行っている。

　意見募集では株式会社ブロードバンドセキュリティから、テレワークで脆弱になりがちな、テレワーク環境のネットワークセキュリティや物理セキュリティについて、独立した節を設けて説明すべしとの指摘があり、同省ではガイドラインに自宅でのセキュリティ対策等について追記している。

　また一般社団法人新経済連盟事務局からは、「テレワークセキュリティガイドライン」そのものについて「事業の効率的かつ健全な発展」という観点から、マネジメントやカルチャーについても言及し、本当の意味でテレワークを推進する立場にたったガイドラインとすべきという意見があり、同省ではテレワーク総合情報サイト（ https://telework.soumu.go.jp/）を開設している他、関係省庁とも連携しつつその推進に取り組むと回答している。

バックアップ

CompTIA CySA+に合格するためのヒントとリソース / Tips and resources for passing CompTIA CySA+（転載）

Tips and resources for passing CompTIA CySA+:

先日、何度も予定外のことがあったにもかかわらず、CompTIA CySA+ CS0-002試験を無事に終了し、認定を受けることができました。

これは決して簡単な試験ではありませんでしたが、十分な時間をかけて勉強し、実践的な準備をすれば達成可能な試験です。

CompTIA CySA+は、CompTIA IT認定資格ロードマップのAdvancedカテゴリーに属しており、これより上位の資格はエキスパートのCASP+のみです。

CySA+の推奨前提条件は、Network+、Security+または同等の知識を持ち、3～4年以上の情報セキュリティまたは関連する実務経験を持つことですが、実際にはそうではありません。

すべては、あなたがどれだけ自習する気があるか、どれだけ規律を守れるかにかかっています。そして、あなたがどれだけその分野に精通しているかです。

"CompTIA CySA+認定資格の取得者は、セキュリティ分析、侵入検知、対応に対応するスキル、知識、能力を備えています。CompTIA CySA+アナリストは、データ分析を行い、その結果を解釈して、組織の脆弱性、脅威、リスクを特定する能力と、システムを安全に保護するためのスキルを証明しています。"

使用した学習教材:

• Jason Dion’s Udemy CompTIA CySA+ (CS0-002) Complete Course & Practice Exam
• Jason Dion’s Udemy CompTIA CySA+ (CS0-002) Practice Certification Exams
• Measureup’s CompTIA Practice Test CS0-002 CySA+ (このテストセットは高価なので、もっと安価な代替品があります。) 
• CompTIA CySA+ CS0-002 Certification Study Guide (私はこの本を無料で入手しました。もしそうでなければ、160ドルも払うことはなかったでしょう。このような安価な代替品を見つけることができます。)
• Exam Topics CompTIA CS0-002 Exam Actual Questions (無料のリソースですが、キャプチャーに悩まされています。また、このサイトで提供されている公式回答の多くは間違っているようなので、各質問の下にあるディスカッションを読み、他のソースで回答を裏付けるようにしてください。)

試験の目的は以下の通りです:

comptia-cysa-002-exam-objectivesDownload

そして、勉強中に取った自分のメモは以下の通りです（内容が膨大で時間がないため100％ではありませんが、おそらく75％は完成していると思います）:

CySA-002-NotesDownload

前述のように、私はExam Topicsの無料テストにも参加しました。私は自分の知識と理解の範囲内で質問に答えようとしましたが、それは時に難しいものでした。

編集：CompTIAが例題のいくつかを好ましくないと見なすかどうかの曖昧さを避けるために、以下のファイルを削除しました。この件に関しては、慎重に判断した方が良いでしょう。

CySA-002-Exam-Topics

上記のファイルの完全性を確認したい場合は、それぞれのMD5ハッシュを同じ順序で示します:

• da4ca9b60b98697cd827ec1556f23eaf
• 10cc91c775368fbdd21287c87e0a2aa9
• e20d45793b4675261f76312c07be9c02

試験のコツ:

1. 試験時間は165分で、すべての問題を解答、修正、復習するのに十分な時間があります。
   
   
2. 最初に少なくとも3つの大きな実践的なシミュレーション問題が出題されます。これらの問題に最も時間を費やすことになるでしょう。私はそれらを最後まで残しました。
   
   
3. 私の意見では、最も重要なドメインは、「Security Operations & Monitoring」と「Threat & Vulnerability Management」です。これは、私が最も時間をかけて準備した分野であり、全試験問題の50％近くがこの分野に集中しています。
   
   
4. 問題に「For Review」のマークを付けて、後から見直すことができることを利用します。私はまず、絶対に答えを知っていると確信している問題を解いていきました。それ以外の問題は2回目に回しました。
   
   
5. 問題の文言を何度も何度も読み返してください。多くの質問は数段落の長さで、「特定のモデルに含まれないものは何か」や「イベントXの最も少ないマイナス/プラスの結果は何か」など、特定のシナリオの文脈でトリッキーな方法で質問されています。
   
   
6. いくつかの質問では、ファイアウォールやその他のツールからのインシデントログの読み取りに関する様々な側面を取り上げました。ログの読み方についてはよく知っておく必要があります。
   
   
7. nmapのようなユーティリティーや、コマンドラインから出力されるものに関する質問もあります。それらを実際に使って練習してみてください。WindowsとLinuxの両方で。
   
   
8. WiresharkからQualysやProwlerのようなあまり知られていないものまで、様々なツールとその機能（または機能しないもの）に関する一般的な質問に出くわします。これらのツールが何のためにあるのか、少なくとも高いレベルで理解していること。
   
   
9. よく知られているポートと登録されているポートを確認してください。これは Network+ の領域のように思えるかもしれません。ポートやそこで使われるサービスについて間接的に質問されることがあります。
   
   
10. 特定の質問について疑問がある場合は、コンプライアンス/リスク管理の考え方に立ち返ってください。すぐに答えが見つからないような一般的な質問では、リスク、攻撃対象、暗黙の脅威を最小限に抑えるための対策が問われることがほとんどです。

2021年のGlobal Threat Intelligence Report発行。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしている（転載）

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。http://bit.ly/3b2AiX2 #GTIR2021 #cybersecurity:

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。 bit.ly/3b2AiX2 #GTIR2021 #cybersecurity

NTT Ltd.は、本日、2021年版グローバル・スレット・インテリジェンス・レポート（GTIR）を発表しました。このレポートでは、ハッカーが世界的な不安定化を利用して、基幹産業やリモートワークへの移行による共通の脆弱性を狙っていることを明らかにしています。医療、製造、金融の各業界では、攻撃が増加し（それぞれ200%、300%、53%）、これら上位3つのセクターの合計が、2020年の全攻撃の62%を占め、2019年から11%増加しています。

企業がクライアントポータルを利用して仮想的なリモートアクセスを提供しようとする中で、アプリケーション固有の攻撃やWebアプリケーションへの攻撃が急増し、攻撃全体の67％を占め、過去2年間で2倍以上に増加しました。医療機関は、遠隔医療やリモートケアへの移行に伴い、これらの攻撃の矢面に立たされており、この業界を標的とした敵対行為の97％がWebアプリケーションまたはアプリケーション固有の攻撃でした。

GTIRは、NTTのサイバーセキュリティアドバイザリから得られた知見をもとに、産業界のセキュリティプログラムの成熟度をスコア化したもので、スコアが高いほど、より成熟した行動計画であることを示しています。懸念されるのは、ヘルスケアと製造業の成熟度スコアが相対的に低く、それぞれ1.02と1.21であることです。これらは、2019年の基準値である1.12と1.32から減少していますが、攻撃率は大幅に上昇しています。製造業は3年間にわたってスコアが低下していますが、これは運用環境の変化と攻撃の進化が原因である可能性が高いです。一方、金融は3年連続で最高の成熟度ベンチマークスコアを示し続け、1.84となりましたが、昨年より0.02減少しました。

NTTのセキュリティ部門のCEOであるカズ・ヨザワは、「昨年、私たちは標的型攻撃やオポチュニスティック攻撃が急増すると予測しましたが、残念ながらそれはあまりにも真実であることがわかりました。これらの業界は、混乱した時代にも必要なサービスを維持するために最善を尽くしてきましたが、企業が最も必要とする時にセキュリティ基準が低下していることは憂慮すべきことです。サービスのオンライン化が進み、新しい常態に対応するためにデジタル化が進む中、企業はセキュリティのベストプラクティスを維持するために一層の注意を払う必要があります」と述べています。

マルウェアが変貌を遂げる。暗号マルウェアが急増する一方、トロイの木馬が一般的になる

マルウェアは、機能や特徴がコモディティ化している一方で、昨年は多機能なマルウェアの増加により多様化しています。世界で最も一般的なマルウェアは、スパイウェアに代わってクリプトマイナーが主流となっていますが、特定の産業に対する特定の亜種のマルウェアの使用は進化し続けています。ワームは、金融業と製造業で最も多く出現しました。ヘルスケア分野では、リモートアクセス用のトロイの木馬が、テクノロジー分野ではランサムウェアが標的となりました。 教育分野では、保護されていないインフラを悪用したマイニングが学生の間で流行したことにより、クリプトマイナーの被害を受けました。

暗号通貨市場はその代表例で、2020年に検出されるマルウェアのうち、クリプトマイナーが41％という驚異的な割合を占めています。XMRig coinminerは最も一般的な亜種で、coinminerの活動全体の約82％、特にEMEAでは約99％を占めています。

NTTのグローバル・スレット・インテリジェンス・センターを率いるマーク・トーマスは次のように述べています。"一方では、世界的な災害を利用する脅威のアクターがいて、他方では、前例のない市場の好況を利用するサイバー犯罪者がいます。どちらの状況にも共通しているのは、予測不可能性とリスクです。事業モデルの変化や新技術の導入は、悪意のあるアクターにとってチャンスであり、経験の浅い学生に人気のある暗号通貨市場の急成長により、攻撃は起こるべくして起こりました。パンデミックがより安定した段階に入った今、企業も個人も同様に、サプライチェーンを含むすべての業界でサイバーセキュリティの衛生管理を優先しなければなりません」と述べています。

2021年のGTIRのハイライト：

• 製造業に対する攻撃は、昨年の7％から22％に増加し、医療機関は7％から17％に、金融機関は15％から23％に増加しています。
  
  
• 複数の業界の組織で、COVID-19ワクチンと関連するサプライチェーンに関連する攻撃が見られました。
  
  
• COVID-19のサイバー犯罪者の日和見主義は激化し、Ozie Team、Agent Tesla、TA505などのグループに加え、Vicious Panda、Mustang Panda、Cozy Bearなどの国民国家のアクターが2020年に非常に活発に活動しました。
  
  
• 2020年に最も多く発生したマルウェアの形態は、マイナー。41％、トロイの木馬 26％、ワーム：10％、ランサムウェア：6％でした。
  
  
• クリプトマイナーは、ヨーロッパ、中東、アフリカ（EMEA）およびアメリカ大陸で多く見られましたが、アジア太平洋（APAC）では比較的まれでした。
  
  
• 南北アメリカで最も標的とされたテクノロジーはOpenSSLでしたが、APACではトップ10にも入っていませんでした。
  
  
• Schrems IIの判決を受けて、EU-USプライバシーシールドが無効になり、EUから第三国に個人データを転送する組織に追加の義務が課せられました。
  
  
• NTTの調査によると、世界の企業の50％が、クラウドサービスのセキュリティ確保を優先しており、今後18ヶ月間のサイバーセキュリティの最重要課題となっています。

本年度の報告書が、今日のサイバー脅威の状況に対処するための強固なフレームワークを企業に提供している点については、リンクをクリックしてNTT Ltd. 2021 GTIRをダウンロードしてください。

健康食品通販サイトでクレカ情報が流出～想定損害賠償額は約2.2億円か～

健康食品通販サイトでクレカ情報が流出 - 不正利用の可能性 

健康食品など扱う通信販売サイト「クラウディアHP」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかになった。

同サイトを運営するクラウディアによれば、ウェブサイトの脆弱性が突かれ、決済アプリケーションが改ざんされたもの。2020年10月8日にクレジットカード会社より情報流出の可能性について指摘があり、問題が判明した。

2019年10月4日から2020年10月8日にかけて、決済に利用された顧客のクレジットカードに関する名義や番号、有効期限、セキュリティコードなど8644件が外部に流出し、不正に利用された可能性がある。

調査は2021年2月28日に完了しており、3月30日に個人情報保護委員会や警察に報告を行った。顧客に対しては、6月14日よりメールや書面を通じて連絡を取り、身に覚えのない請求が行われていないか、確認するよう注意を呼びかける。

プレスリリース

バックアップ