ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2005-08-31 最終日 このエントリーを含むブックマーク このエントリーのブックマークコメント

と言うわけで長かった5日間も今日で終わり。

相変わらず、内容濃いっす。いろいろ得るものがあったので、まとめなきゃなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050831

2005-08-30 あと1日 このエントリーを含むブックマーク このエントリーのブックマークコメント

中央大学の公開講座もあと一日、さすがに疲れてきたのか、午後の講義はうつらうつら^^;。

ISO15408の話があったので、講師の方にちょっと突撃インタビューw。9/1にIPAからなんだか公開されるようで、ちょっと期待。

PP作らんといかんよねぇと思う今日この頃。でも、PPをユーザー企業が作れるのか激しく疑問。ということで、SKUFネタなんだけど、どうかなぁ。

ripjyrripjyr 2005/08/30 22:52 PPもSTも無理でしょ・・・

ikepyonikepyon 2005/08/30 23:00 無理ですよねぇ、普通。一応PPのサンプルを公開するらしいので、それを見て判断かなぁとおもいます。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050830

2005-08-26 公開講座参加中

後ろのほうで、こそこそしてます。

うーん、誰がいるのだろう?

何人か知ってる人を発見。お昼一緒にしたかたありがとうございました。

明日もよろしくお願いします。

レポートについては後ほどアップかな?

とりあえず、freemindで取ったメモをアップしとこう。

http://www.geocities.jp/ikepy0n/docs/PDC0826.lzh

[] を含むブックマーク のブックマークコメント

いろいろ申し訳ありません>参加者の方。

全ては私の感覚がずれすぎていたためです。なんとなく、高いかな〜と思ってたんですが、いわれるまで気がつきませんでした。

手際悪くてすみません。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050826

2005-08-25 おわり〜〜 このエントリーを含むブックマーク このエントリーのブックマークコメント

ということで、丁稚奉公も今日で終わり。

ああ、苦痛の長い日だった(つ^T)。でも、次の仕事も気が乗らないんだよねぇ。

そういえば、openmyaも1年たつのか、早いものだw。関西では1周年記念の飲み会をまっちゃの懇親会とかねてやるみたいだけど、関東ではやらないのかなぁ。って書いてみるテスト

明日は中央大学の公開講座。でも、台風直撃っぽいんですが・・・

やたやた 2005/08/25 15:03 それは「9/3に呑みましょう」と言うお誘いですか?(Y/y)(w<関東ではやらないのかなぁ

hikitahikita 2005/08/25 16:14 9/3にもちろんやるんですよね?^^

edyedy 2005/08/25 17:27 10日のSunbathがあるからいいのでは?

ikepyonikepyon 2005/08/25 17:34 では、2週連続でw。9/3は「1周年おめでとう」で、9/10は「2年目突入するぞ〜」ということでw

MOJOMOJO 2005/08/25 23:36 何はともあれお疲れさまでした。
9/3が仕事の都合上どっちとも言えない状況なのでその時点でドタ参加できれば参加させて下さい。

ikepyonikepyon 2005/08/25 23:54 ありがとうございます>MOJOさん。
都合がつけば、是非参加してください。

vulcainvulcain 2005/08/26 00:10 もつです〜♪そして、2週連続楽しみだw

トラックバック - http://d.hatena.ne.jp/ikepyon/20050825

2005-08-24 あと1日

もうすぐドナドナ生活ともおさらばだ、わーい。

しかし、いろいろ不手際多すぎ>自分orz

全く持って自分の無能さにあきれ果てて物もいえん。人が嫌だといってることをついつい忘れてしまったり、相手の気持ちを考えずに行動したり・・・。

うーん、修行が足りなさすぎだ。

一応気づいたものはミスを認めて、謝っているのだけど、このところこんなのばかりだから、「こいつ何でも謝ればすむと思ってるんじゃないの?」とか思われてるかも。もっとミスを少なくしないといけないなぁと思う今日この頃。

[][]OWASP東京支部(from bunさんとこ) OWASP東京支部(from bunさんとこ)を含むブックマーク OWASP東京支部(from bunさんとこ)のブックマークコメント

http://www.owasp.org/local/tokyo.html

日時:9月22日(木曜日) 18:30〜20:30

場所:東京都港区赤坂1−12−32 アーク森ビル27F トランスデジタル株式会社 第2会議室地図

ということらしい。参加できそうなら参加しようっと。

しかし、OWASPのトップページからリンクは非常に探しづらいのですがw。文字コードもアレですし、何とかならないかなぁ。と言ってみるテスト

トラックバック - http://d.hatena.ne.jp/ikepyon/20050824

2005-08-23 ねむ〜

[]資料公開 資料公開を含むブックマーク 資料公開のブックマークコメント

ということで、私の発表資料を先日公開しました。

http://skuf.s-lines.net/hiki/?SKUF+Meeting%BB%F1%CE%C1

いつもながらちょ〜いい加減な資料だw。SKUF Meetingではこれを元に発表して、ディスカッションする予定。いろんな意見が出るといいなぁ。

まだ、定員に達していないので、興味のある方は是非。

[]インシデントレスポンス インシデントレスポンスを含むブックマーク インシデントレスポンスのブックマークコメント

インシデントレスポンスで一般にしなくちゃならないことを挙げて、そのタイムチャートを作って公開するとうれしい人って一杯いるのかな?ということで、考え中。やらなきゃならんことはこんな感じで増やしていけばいいのかも。

などなど。

これをPERT図みたいにして持っとくとうれしいかも。

まーまー 2005/08/23 14:30 コンサルタント参照w http://itpro.nikkeibp.co.jp/free/smbit/smbit/20050811/166281/
インシデントレスポンスは、状況把握の前に、偶然自分で見つける場合もあるだろうけど、「どこかから何か連絡が来ちゃった!さてどうする?」から入って欲しいかも。

szkszkszkszkszkszk 2005/08/23 20:43 おおげさかもしれないですが、なるべく早い段階で訴訟対応(証拠の収集も含めて)もあったほうがよいかと思います。

vulcainvulcain 2005/08/24 02:31 「インシデント発生からそれを認知するまで」もあると嬉しいかも。某柔らか銀行さんとか費用.COMさんとかを引き合いに出して 藁

ikepyonikepyon 2005/08/24 02:36 確かに訴訟対策とかも欲しいですね。
後は認知の手順かぁ、これはさすがに難しそうです。
うーん、とりあえずネタ出してSKUF第2回でディスカッションするか?(まだ1回をやってもいないのにネタを考える奴w)

トラックバック - http://d.hatena.ne.jp/ikepyon/20050823

2005-08-22 後3日〜

うう、苦痛の日々もあと少しw

戻っても仕事がびみょ〜だけど、まあ自社だから言いたいこと言えるからまだましだろうなぁ。やっぱ客相手だと言いたいこと言えません(言っちゃったけどw)。

しかし、次はもっとうまく出来るように、今回のプロジェクトの反省をしないと。

[]サイバー犯罪の傾向 サイバー犯罪の傾向を含むブックマーク サイバー犯罪の傾向のブックマークコメント

http://www.npa.go.jp/cyber/statics/h17/image/pdf25.pdf

http://www.npa.go.jp/cyber/statics/h17/image/pdf26.pdf

増えとるなぁ。まあ、今まで認知されてなかったのが認知されるようになったのかもしれないけど。

しかし、サイバー犯罪と言うのはちょっとこっぱずかしい言葉だな。IT犯罪とかのほうがいいのじゃないのとか思う今日この頃。

[]気をつけないと 気をつけないとを含むブックマーク 気をつけないとのブックマークコメント

http://next.rikunabi.com/tech/docs/ct_s03500.jsp?p=lwl003&f=slash&vos=ntecsdjb001110000001&__m=1

ストレスでかな〜りやばいことになるから気をつけないとなぁ。

tessytessy 2005/08/23 01:18 明日のガイアの夜明けも関連ですな。 http://www.tv-tokyo.co.jp/gaia/backnumber/preview050823.html

ikepyonikepyon 2005/08/23 12:32 がーんorz。見れないです<ガイアの夜明け。再放送で見ることになるかなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050822

2005-08-20 たび〜 このエントリーを含むブックマーク このエントリーのブックマークコメント

こちらへどうぞ!

まーさんとチャットしてたら旅に出たくなったので出かけてみた。予定では、昨日の晩から出る予定だったけど、疲れてたので今朝早起きして出かけてみた。

途中何度も夕立にあったけど、おかげで、虹が3回も見れた。うち一回は2重の虹だった。きれいだったなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050820

2005-08-19 後4日

で、ドナドナ生活も終わり〜〜。やったぁ〜〜

[] を含むブックマーク のブックマークコメント

http://d.hatena.ne.jp/sonodam/20050817#p3

難しい問題だなぁ。

これは、私の周りだけかもしれないけれど、ギョーカイの人は売らんかなという意識が強すぎる気がする。いや売らないとお飯食い上げなのは当然なのだけど、目先の利益のみ気にして、本当にお客さんが望んでいることを理解せずに物を売ってないかな?本当は、売ろうとしている物はいらなくて、業務手順の改善だけですむかもしれない。そういったことキッチリ考えて適切なアドバイスを行うことが本当の顧客満足度をあげることじゃないのかなと思う。本当の顧客満足度をあげると信頼がついてきて長い目で見れば儲かると思うんだけどねぇ。そういう考えをあまりしないのかな?

お客のいうこと=正しいこととは限らないし、お客が抱えている問題の本質を語っているわけではないと思う。だって、相手は素人なんだもん(エンドユーザーの場合ね)。だからこそ、プロたるギョーカイの人はお客が抱えている問題の本質を見極め、適切なアドバイスをしたり、物を提供すべきだと思う。場合によっては、それがお客側の担当者の気分を害するかもしれない。でも、幾ら担当者の言うとおりのことをやって無駄があった場合、担当者が変わってしまったら捨てられる可能性が高くなると思うんだな。

これって変なことかな?

トラックバック - http://d.hatena.ne.jp/ikepyon/20050819

2005-08-18 へろ〜

[]Webアプリケーションファイアウォールの必要性 第1回(from id:MOJOさんとこ) Webアプリケーションファイアウォールの必要性 第1回(from id:MOJOさんとこ)を含むブックマーク Webアプリケーションファイアウォールの必要性 第1回(from id:MOJOさんとこ)のブックマークコメント

http://www.atmarkit.co.jp/fsecurity/rensai/waf01/waf01.html

私はAFW(この記事ではWAF)にはかなり懐疑的なのです。まあ、あると便利だけどきっちりアプリを作ってればいらないし、設定の苦労の割りにうれしいことがそれほどない。まあ、脆弱性が見つかったときにプログラムの修正までの間のつなぎとして使う分にはいいけど、それにしては高すぎるので、普通は買えないだろうと思うんですよ。

あと、対策にコストがかかるというのもはなはだ疑問。いやまあ、コストはかかるだろうけど、それは開発費用に比べればたいしたことのないのでは?と思うわけですよ。

[]自分ダメすぎorz 自分ダメすぎorzを含むブックマーク 自分ダメすぎorzのブックマークコメント

いつも、人に物を尋ねるときはまず自分で調べてからと思っているのに、ついついそれを忘れてしまい、要らない手間を相手にかけてしまう。わかっているのに出来ないなんてさいてー過ぎるぞ>自分。今日もちょっとチェックすればいいことを会社の人に聞いてしまい、怒られた・・・。

ああ、この性格何とかならんかなぁ?こんな自分が嫌いだ。

[]ISMSとか ISMSとかを含むブックマーク ISMSとかのブックマークコメント

昨日の続きだったりする。なぜISMS等の認証が日本に合わないと思うかというと、ISMSの管理策=正しいことでそれ以外は間違いと思い込みやすいんじゃないか?ってことだったりする。減点法の教育がまずかったと言うわけではないけど、何でもかんでも絶対の正解を求めようとするところがあるのかなぁ?という気がする今日この頃。だから、失敗するみたいな。

ISMSの管理策がどのような場合でも正しいわけではなく、場合によっては間違ってる場合もあるだろうし、別のよい方法があるかもしれない。でも、ISMSの管理策と照らし合わせて、出来てる、出来てないとやって出来てないところは管理策どおりにやろうとして現実と合わなくてうまく運用できないものが出来てるのかもしれないなぁ。管理策自体、正解集ではなくあくまで一般的にこうすればいいんじゃない?という指針なはずなので、場合によっては全く違うことが一番いい管理策なのかなと思う。そういう組織にとって一番いい方法を考えなきゃいけないんだろうなぁ。

いや、出来るコンサルタントはそういうこと考えてやってるんだろうけど、自分はそういう余裕がなかったので。

[] を含むブックマーク のブックマークコメント

何を自分がやりたいのか、何を目標としているのかもっとキッチリしないとなぁ。と言うことで考えてみる。

今の自分のやりたいことは、ITコンサルティングになるのかな。で、どのようになりたいかは具体的に表現するのは難しい。これはきっちり、目標がないからだろう。なんとなくだったらこんな感じか。

・顧客が自分自身で問題を解決できるような考え方をもてるようにするコンサルタント

そのためにはもっと、以下のことを出来るようにならないといけないだろうな。

  • 適切な質問と話の聞き方
  • もっと自分の意見をわかりやすく説明する
  • 人に対してうまく指導する
  • うまくプロジェクト管理する
  • 物事をもっと深く理解する
  • 物事の本質を捉える

どれだけ出来ているか?というとほとんど出来てないorz

まずは少しずつやっていこう。

まーまー 2005/08/19 08:51 サポートのお仕事をすると、(最初は苦労するかもしれませんが)質問の仕方、聞き方、説明の仕方などは、かなり訓練になると思いますよ。お客様に育てていただく感じです。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050818

2005-08-17 うーん

どうやら、9月から某製品のサポートの仕事になるらしい。個人的にはすごくやなんですがorz。あの系統の製品って、先が無いものと思ってるし、どちらかというときっちり出来ていればいらないものなんだけど・・・。あれば便利だけど、無くても問題ないというような商品が売れるわきゃ無いと思うんだよなぁ。当然その商品が10万とかで変えるなら別だけど、数百万はするわけで・・・

あと、サポートって他人が作ったものに対してあれこれやるわけだからあんまり好きじゃないのよねぇ。

はぁ、戻っても鬱になりそうw

[]ISMSとか、セキュリティ体制とか ISMSとか、セキュリティ体制とかを含むブックマーク ISMSとか、セキュリティ体制とかのブックマークコメント

最近ワインバーグの「コンサルタント秘密ASIN:4320025377)」を読んでいるのだけどすげー面白い。で、これを読んでいて思ったのだけど、組織セキュリティ文化を根付かせるにはどうすればいいのだろう?ってことだったり。

ISMSとかBS7799の解説書ではトップダウンでやれと言ってるんだよねぇ。でも、これってホントにできる?トップは実務の詳細をわかっていないことが多いから全てをトップダウンで行うことは非常に難しいと思うんですよ。かといって、下が勝手にあれこれやるとこれまたコストがかかりすぎたり、穴が出来たり、ちぐはぐなものが出来てしまうんじゃないかなぁ。

なんとなくな感覚だけど、トップがやるべきことはセキュリティ戦略を立てて、それにのっとった戦術の承認・責任者等の任命なのかなぁと思ったりする。で、下は自分達の業務を行うことを優先しつつ、その中でセキュリティ戦略に沿ったセキュリティ対策(を行うことをうまく取り入れることという戦術)を考えるのがいいのかなぁ。で、その対策もちっちゃな取るに足らないことを徐々に取り入れていく(例えば、挨拶の励行とか。挨拶を毎回やることで不審人物を見つけやすくできるだろうし)のがいいのかなと思う。

って、こういうのISMSでも要求してるんだっけ?確かここまで要求してないよねぇ。

うまくトップダウンボトムアップをうまく組み合わせて行かないとセキュリティ文化というのは根付かないかなぁと思う。

つまり、上は細かいところを把握できないし、下は全体を見通した戦略というのがわからない。うまく根付かせるにはそれぞれ得意とするところ(上は戦略を、下は戦術を考え実行する)を行うのがいいのかなぁということだったりする(当然、戦術上戦略を実現するのが無理な場合は上に戦略を再検討してもらう必要はあるけど)。要は適材適所ということで。

[]その認証は本当に必要? その認証は本当に必要?を含むブックマーク その認証は本当に必要?のブックマークコメント

日本組織においてISMSだとかプライバシーマークだとか言う認証システムって合わないことが多い気がする。こういった認証って所詮は「この組織はこれこれこういうことが出来てますよ」ということを証明するだけのものであるのに、多くの組織において認証取得が目的になってしまってるところがあるような。認証取得が目的となっているところは形だけで中身が伴っていないところも多いんじゃないかなぁ。だって認証取得に必要な審査って、どんなに大きい組織でも数週間かけて審査員ヒアリングして、証跡をチェックして、ちらっと現場見てで終わるんだから、そのときだけいいかっこしておけば認証とおっちゃうし(事実それをやったことが・・・)。普段どのように業務を行ってるかなんて審査員はわからないっすよというのはうがった見方しすぎかなぁ?

認証取得を目的にして、本来の目的であるセキュリティ強化やら、業務改善を忘れてない?確かに、認証取得を行うことで、ルールは整備されるだろうけど、そのルールはちゃんと守られてる?ルールどおりにやることで余計なコストはかかってない?認証取得したことで安心してない?

あくまでセキュリティ強化や、業務改善が目的で認証取得はそういったことをやった結果を第三者が証明してくれるだけのことだと思うんだけどなぁ。ぶっちゃけ、「認証取得なんて飾りです。タコな人にはそれがわからんのですよ。」という感じかな。

ripjyrripjyr 2005/08/17 15:35 トップダウンの内容を理解できているかを、審査のときに
ヒアリングするはずですよ。基本はトップダウン。

あと、小さいことをスパイラルアップで、よりよくしていく
のが明文化されているはずなので、それはボトムアップかなぁ?
真ん中空洞化ってのは、どうしてもなるよねぇ・・・

ikepyonikepyon 2005/08/17 16:12 確かに、トップからの指示が浸透(知っているか)しているか審査でチェック
しますよね。ただ、その指示通り動いているか?というのが疑問だったり。
審査自体ヒアリング主体なのでなんとでも言いくるめられる(普段どうやって
るかは全くわからない)w。
トップダウンのみにすると現場から反発食らうのかなぁというのが感想です。
だから、詳細については現場を巻き込んで現場主導でやるのがいいのかな?
と思ってます。うまくいってないところは、なんとなく「上は何もわかっ
ちゃいねぇ」と独自ルールが出来てるんじゃないかなぁ。
真ん中空洞化をどうするのかってのが、両方を第三者的な立場で見れるコン
サルタントの力量のような・・・コンサルない場合は事務局がそういったことを
やらなきゃならんのでしょうが。

ripjyrripjyr 2005/08/17 17:42 結局日本会社では、真ん中空洞化現象が起こるので
がんばった下っ端技術者により、取得されちゃうわけで
俗人的という、ISMSにありえない状況になっちゃうわけで

ヒアリング自体は、微妙ですね。(審査側としても)
トップダウンのみは反発でるでしょうねぇ。アウトプットが
どういう目的で、これを出すとどうなるかをきっちり理解して
自分のためになるんだ、、、って下っ端が思ってやらないと
ボトムアップも出来そうに無いでしょうねぇ。

コンサルタントは、よいツールとよいアドバイスですよね
あんまり、空洞化に関するコンサルってしてくれないですよ。

まぁ、事務局(情報セキュリティ○○)にがんばって
上との調整をしてもらうしかないんでしょうねぇ・・・

ikepyonikepyon 2005/08/17 17:57 まず下っ端の意識が必要というのはおっしゃるとおりなんですよね。
多くの人はこれはまずいよねぇという感覚(でも具体的に何をどうすればいい
のかわからない)を持っていると思うので、そういったところをもっと引き出
すには、下っ端が自らルールを作るというのがいいのかなぁと思うのです。

空洞化を埋めるのは最終的には事務局の仕事でしょうけど、いきなりは難しいので、コンサルタントがうまくアドバイスしていくのがいいのかなぁ?という
気がしてます。

まーまー 2005/08/18 13:32 次はコンサルタント選びが問題になるとか・・w。
EC導入事例ですけど、シチュエーションの参考にはなるかも?
http://allabout.co.jp/career/corporateit/closeup/CU20041027A/index.htm
ボトムからトップをコントロールするって手も・・(ぇ

ikepyonikepyon 2005/08/18 13:57 コンサルタント選びは重要ですね。ベンダー選びもそうですけど。
コンサルタントやベンダーによってはどっかの雛形コピーを出してくるとか
(すみません、私もです^^;)、本当に望んでることとは違う提案してくるとか
しますし。
相手はプロだと思って何でもかんでも、相手任せにしてると痛い目にあいます
よねぇ。

szkszkszkszkszkszk 2005/08/18 22:12 コンサルタント選びが重要なのは激しく同意です。
私の上司は、部門取得した会社の文書を会社名だけ消して全社取得のお客様に出しちゃいます。こんなコンサルにあたったら即チェンジを要求したほうがよいです。。

ikepyonikepyon 2005/08/18 22:42 それは、ちょっとひどいですね>szkszkszkさん
でも私もやってるかもしれないf^^;。気をつけないと。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050817

2005-08-16 ねむねむ

昨日は会社の人と渋谷ギネスビールを飲みに行ってきた。うまうまでしたw。また行きたいものです。おかげで、今日はおねむです。

[]Nessus Server Win32 Port Nessus Server Win32 Portを含むブックマーク Nessus Server Win32 Portのブックマークコメント

http://www.cenzic.com/nessusport.html

ということでNessusのWindows版が出来たような感じ。これで、coLinuxとかなくてもWindowsだけでNessusが使える?でも、このページ見る限り、ソースの配布のみっぽいんだよなぁ。よく読んだらバイナリもあるらしい。これで、WindowsだけでNessusが使えますよ、奥さんw。

但し、Nessus Serverしかバイナリはないので、ユーザー作成だとか、証明書などは別途何らかの方法で用意してあげないとダメそう&クライアントが1度でも接続して、セッションを閉じると何故だかサーバー自身が終了するので気をつけないと(もしかして仕様?)サーバーが終了するのは仕様らしい<ちゃんと読め自分。

制限は以下のとおり

id:ya_taさんによると他力さんのところにnessusのコンパイルについて書かれているみたい。これかな?

http://d.hatena.ne.jp/Tariki/20050806#p3

読んでみたら他力さんとこのはUnix用のソースを修正してコンパイルしたみたいですね。今回のはWindows用にソースが書かれているようなので、.NETのプロジェクトファイル部分をmakeファイルに書き換え、ごにょごにょしたらCygwinコンパイルできないかなぁ?

[]企業のインシデントレスポンス 企業のインシデントレスポンスを含むブックマーク 企業のインシデントレスポンスのブックマークコメント

http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde

今更だけど、価格.comの話がこれから再燃しているようで。

うーん、どうなんだろ?他のサイトでも問題があると困るからインシデントの原因を公開しろと言うのはかなぁり理屈がおかしい気がする。確かに、技術者として原因を公開してもらえれば、上を説得する材料としては非常に力強いものだろうけど、ちょっと待て。本当にそれが必要なのか?というのが一時期のあちこちのサイトを見ていての疑問。

前にも書いたけど、この事件でまずかったのはインシデントを認識してから後の対応だと思うのですよ。そして、社長さんの「最高のセキュリティ」と言う言葉が最大の問題かな?と。この言葉を出し、攻撃した者のみを悪者にしたおかげで、この会社は自分たちが預かっている個人情報に付帯する責任と言うものを放棄したように思えるのですよ。預けていた側からすれば、価格.comがしっかり管理してくれてさえいれば問題がなかったものなので、加害者の片棒を担いでいると思うわけですよ。いわゆる管理不行届きというやつですな。

確かに自分に非があったことを認めるのは非常に勇気がいる(&企業にとってマイナスとなる)ものだけど、他人が見て明らかに非があることについて認めないと信頼されなくなるのではないかと思うのですよ。特に価格.comのような一般顧客を相手にするような企業であれば信頼は重要だと思うんだな(でも、日本は「人の噂も75日」と言う諺があるようにあっさり過去を忘れるのよね、実際持ち直してるらしいし)。

その上で、対策が終わった場合には、その原因と対策について詳細でなくてよいので発表する必要があるのではないか?と思う。現状のように対策はしましたと言われても単なる場当たり的な対策しかしてないのか、原因を特定し、根本的に対策をしたのかが全くわからんので不安なのですよ。ただ、原因を特定し、それに対する対策をとったと言ってもらえればそれで安心するのですよ(それが、本当かどうかはともかくね)。

だから、SQLインジェクションがどうたらとかは公表してもらわなくてもいいのですよ。ただ、例えば「原因はプログラムにミスがあり、全てのプログラムのチェックを行い、問題を修正しました。今後はこういったことが発生しないように開発体制を見直します。」という発表だけでいいんだけど。これだったら別に難しくないよね?こういった発表をするかしないかで、その組織に対する信頼感と言うのがぐっとあがると思うんだな。このいい例がジャパネット高田だと思う。

インシデントが発生しないようにするのが一番だけど、これを0にするというのは不可能なんだから、発生した後の態度がその後の印象を変えると思うんだよねぇ。

なぁんかあの対応を見る限りろくなブレーンがいないように思えるんだよねぇ。

edyedy 2005/08/16 12:07 nessusはソースからコンパイルするほうが・・・

ikepyonikepyon 2005/08/16 12:22 まあそうなんでしょうけれども、Windowsの場合コンパイラがないことが多いですし。って、Cygwinでコンパイルできるのかな?

edyedy 2005/08/16 15:06 Cygwinでできるみたいですね。エラー吐きまくるみたいですけど。

ya_taya_ta 2005/08/16 15:38 そーいや、たりきどんの所にあったような、、、誰かまとめてくれないかな?(うっすら期待モード)

edyedy 2005/08/16 16:08 他力さんとこにありますねぇ、かなり面倒みたいですけど。
普通にwhoopixとか使ったほうが楽ですね・・・

edyedy 2005/08/16 16:10 ↑whopixの oが一個多かったですね。

まーまー 2005/08/17 13:26 価格の件・・・言いたいことはあるけれど、それは別の機会にw。私も事件発生後の対応のまずさだと思います。(技術的な不備はもちろん悪いですが、それ以前に、という意味で)

ikepyonikepyon 2005/08/17 15:21 技術的な不備(アレは噂がホントだと初歩の初歩ですが)ってのはある程度は仕方が無いかなぁと思うんです。<価格の件
一度、価格の事後処理について勉強会でディスカッションするのも面白いかもw

トラックバック - http://d.hatena.ne.jp/ikepyon/20050816

2005-08-12 明日は休日出勤友の会

となりました・・・まあ、予定してたことだからいいんですが。

しかし、自社の上司から余りにも休みが多いので電話をもらってしまった。すみません、ご心配おかけします。まあ、それほどたいしたことない(ことはないかもしれないけど)と思うので、まあ大丈夫かなぁと。ってここで書いてても読んでないからわからないだろうけど。

今回の件はかな〜り自分に責任があったりするのは重々承知の上の行動なのだけど、基本的に受身の人間なので何度か行動してみてダメだったらあきらめて、相手のことを無視するようになるのです。これが、ダメなのはわかっているのだけど、なかなか変えられません。

まあ、この辺も上司には話したほうがいいなきっと。

[] を含むブックマーク のブックマークコメント

今月末から始まる某講座のお知らせがきたのだけど、BCCとToを間違うという初歩的な間違いをしているのですがw。一応セキュリティ関係の講座なのでちょっと気をつけて欲しかったなぁ。

しかし、この担当者って知ってる人かなぁ?あの特徴的な名前は親戚のような気がするが、そうだとしたら、世の中狭いなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050812

2005-08-11 だめです

とりあえず今日は出社は出来た。でも仕事をしたのは30分ほどorz

後はあまりに暇だったのでHacknotesの翻訳をやっていた。

こういうのばっかりなのでやっぱ私って要らない人なのよねぇ(つ^T)

[]「嫌い」と「やりにくい」 「嫌い」と「やりにくい」を含むブックマーク 「嫌い」と「やりにくい」のブックマークコメント

http://nosa.cocolog-nifty.com/sanonosa/2005/08/post_e538.html

まあ、書かれてる通りだと思う。

私はなるべく人を嫌わないようにはしてるし、いいところを見つけようとはしてるんだけど、それでも嫌いと言う人が社会人になって数人(全て仕事関係w)だけど要るんだよなぁ。今の売却先の人たちがそうなんだけど。

これも、コミュニケーション不足によるものだというのは重々承知してるし、相手がそうなった理由もなんとなくだがわかるのだけど、これだけはねぇ。相手の考えとこちらの考えが180度違うもんだから(相手の考えの一部は納得は出来るのだけど、根本的なところで違うので)、やりにくいどころか、そういうやり方じゃできねぇって感じなのですよ。その結果、嫌いと言うことになってしまったorz

こちらからアプローチしなきゃいけないのはわかってるんだけど、3度ばかりしてみて全くの無視だった為やる気がうせたと言うのが現状だったり。本当はもっと粘り強くしなきゃいけないんだろうけど。そこまで、私は人間が出来てないのです。

精進しないといけないなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050811

2005-08-10 だめだめ このエントリーを含むブックマーク このエントリーのブックマークコメント

今日も、頭痛がひどくて会社をサボり。

病院にも行こうと思ったのだけど、その気力が出ず結局いけなかった。

うーん、何とかしたいのだけど、今のままでは解決できませんわorz

会社にも迷惑かけているので申し訳ないんだけどねぇ。常駐先はどうでもいいやw。

明日は行けるといいんだけど、仕事ないんだろうなぁorz。ってかいらない人だし>自分。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050810

2005-08-09 うーん このエントリーを含むブックマーク このエントリーのブックマークコメント

やっぱり、仕事場へ行くと頭が痛くなる今日この頃。

昨日は休んだので、今日は出たのだけれど、結局仕事もないし、頭は痛いしorz

ということで、明日は休んだほうがいいのかも。

これって、立派に鬱だよなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050809

2005-08-06 一人でいるとまずい

うーん、一人でいるとどんどんくら〜くなってくる今日この頃。

今日は朝早く起きれたので、一人で部屋にこもっているとまずくなりそうだったので遠出してきた。その後茶道具の店を見てきて、夕方から友人と飲み。

茶道具の店では、お茶碗を見てて結構面白かった。禾目天目茶碗が綺麗で気に入ったのだけどさすがに手が出ませんw。いいものはやはりいい仕事をしてます。

夕方の飲みでは一人暗くなってた。友人と別れてからは悲しくなってきたので、うちの近くのバーへ一人で入って飲んでました。店での初めての一人飲みだったのだけど、結構面白かった。ただ、バーテンダーを見てただけだったんだけどw。

やっぱ、プロならクール仕事しないとねぇ。

一人になると悲しくて涙が出ちゃう、だって男の子だもんw。

[][個人情報保護法]「『匿名社会』が狙いではあるまい」 [個人情報保護法]「『匿名社会』が狙いではあるまい」を含むブックマーク [個人情報保護法]「『匿名社会』が狙いではあるまい」のブックマークコメント

http://www.yomiuri.co.jp/editorial/news/20050803ig90.htm

ここのところの動きを見てると、みんな過剰反応しすぎだと思う。ぶっちゃけ、何が重要なのか見失ってんじゃない?そりゃ何でもかんでも非公開にすりゃ、法律上は問題ないかもしれないけど、一番重要なのは業務を効率よくまわすことだって忘れてないか?

業務が効率よく回らなければ、利益は上がらないし、顧客の満足度も得られないのだけど、それを忘れてない?そんなことしてると、組織が潰れてしまうよ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050806

2005-08-05 頭が痛い このエントリーを含むブックマーク このエントリーのブックマークコメント

やっぱり仕事場に出ると頭が痛くなる。

これは本格的にまずいかも。無性に泣きたくなるし、物を破壊したくなる今日この頃。やっぱだめだ、月曜日休んで病院に行ってこよう。当分、1日行って1日休みとかの方がよいのかも。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050805

2005-08-04 さぼり このエントリーを含むブックマーク このエントリーのブックマークコメント

行っても、自分のやるべき仕事が見えないし(まあ、これは私が無能だからと言うのもあるかもしれないが)、頭痛かったし(飲みすぎてたかも)、そんなこんなで今日一日休んでた。ここんとここういうのばっかり。なんか今のプロジェクトにいる限り、だめだなぁ。自分に問題があるのだとは思うんだけど、目標を共有している実感がないのですよ。

プロジェクト管理がうまく出来るようにもっと働きかければよかったのかもしれないけど、常駐の身ではそんなこと出来ないし、いやこの考えがまずかったのか?

うーん、そうなのかもしれないなぁ。では、どうすればよかったのか?反省しないといけないよなぁ。

しかし、昨日の戯言は酔ってたとはいえ、なんとなく矛盾してるような。まあ、愚痴だしw。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050804

2005-08-03 あつ〜〜〜、あたまいたい〜〜

ということで病院に逝ってきました。

初めての精神科ということでどきどきしてたのだけど、診察はあっという間(てか10分w)に終わってしまった(まあ、回復期にあるような気がしてるし、いいかなとw)。とりあえず、寝つきが悪いので睡眠導入剤だけもらった。あと頭が痛いということでCTをとることに・・・でも、技師さんがいなくて次回ということになってしまった。

しかし、待ってる患者さんを見てたら、いかにもまずそうな人から、どこが悪いの?という人まで千差万別だった。うーん、結構気軽に行けるものなのね。

[]現場担当者がホンネで語る「セキュリティ対策,ここが課題」(from id:ripjyrさんとこ) 現場担当者がホンネで語る「セキュリティ対策,ここが課題」(from id:ripjyrさんとこ)を含むブックマーク 現場担当者がホンネで語る「セキュリティ対策,ここが課題」(from id:ripjyrさんとこ)のブックマークコメント

http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050802/165735/

ずばり、SKUFディスカッションしたいところだったりする。で、そのためのネタを作成中。気がついたら20ページ超えてたよorz

まあ、どこもかしこもこういう状況なのだろうなぁ。

いろいろ考えてはいるけど、考えが発散しちゃってダメですわw。一人で考えててもいいアイデアが出てこないのでSKUFでのディスカッションに期待してる今日この頃。

[]経済産業省個人情報保護のページ 経済産業省の個人情報保護のページを含むブックマーク 経済産業省の個人情報保護のページのブックマークコメント

http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm

なんかいろいろあるみたい。解説ビデオストリーミングまであるので、暇なときにでも見てみよう。

お仕事 お仕事を含むブックマーク お仕事のブックマークコメント

前からそうなんだけど、素人が専門のことについて仕事が出来ないとか、頓珍漢なことを言うとかというのは許せる。それは、知らないんだから、出来なくて当たり前、頓珍漢なこといって当たり前と思っているから。そういったことを少なくするのが素人より知識や経験のある人の勤めだと思ってるし。

素人と年下のものが下についても、それは許せるけど、絶対に許せないのが、自分より上に立つものが専門家であり、それが専門分野の能力に疑問がある場合である。これだけは逆立ちしても絶対に許せない。上が別に技術的なことは判らなくてもいい、でも、上の立場でやらねばならないことを出来ない人というのは絶対に許せない。それは、自分自身が最低の人間だと思っているからだと思う。私自身が思いつくことすら出来ない人間ってろくでもないと思っているからw。実際問題、私が上に期待することは教科書に出ていることだけなのですよ。それすら出来てないからそいつの下で働きたくないと思うわけで。

まあ、要するに上に立つからには、最低限の知識を付けろといいたい。それすらしない奴は上に立つ資格なんてねぇ。でも、そういう人って結構いるんだよねぇ。関係なければ見てて可哀想になるけど。関係あると今みたいに精神的に参ってしまう。

私の上に立つ人間はどこか尊敬できる点がないといけないので大変だろうけどねぇ。でも、そんなに無理なことを言ってないんだけどなぁ。大体上には技術的なことは全く求めてないし、求めてるのはマネジメントの話だけなんだけど。教科書どおりのことをやるのってそんなに大変なこと?

ya_taya_ta 2005/08/04 13:37 当たり前の事を当たり前にやる!って結構難しい事だと思いますよ>私感ですが
システム管理業務だと特にそうなんですが、その「当たり前の事を当たり前にやる」とか
「規則を当然のように守る」ってもナカナカうまくいかんもんです。

まーまー 2005/08/04 14:07 教科書はあくまでベースじゃないですかね。でもその教科書が古かったり、選択を間違えていれば、後に出てくるものもまったく違う方向になってしまったり。

ikepyonikepyon 2005/08/04 17:03 当たり前のことを当たり前にやるのは難しいかもしれませんが、それはやることがわかっていて何らかの理由で出来ないということなので、まだましかなと。それは出来ない理由をなくせばできるわけですから。
でもその仕事をやるのに当たり前のことを知らないかつこちらが助言しても無視するというのが我慢ならないわけです。まあ、それが年下とか経験が浅いとかならまだ許せるんですけどね。自分より年上だったりあまり変わらなかったら今まで何してきたの?と疑問が生まれてしまいます。

ya_taya_ta 2005/08/04 19:16 あぅ、思った以上になんか腐りきっちゃってるワケなのね、、、orz

トラックバック - http://d.hatena.ne.jp/ikepyon/20050803

2005-08-02 今日も一日ダメです

やはり仕事場に行くと、頭痛がする。熱も出てきてるようだしorz

[]ITセキュリティ評価・認証制度の申請、10月より有料化 ITセキュリティ評価・認証制度の申請、10月より有料化を含むブックマーク ITセキュリティ評価・認証制度の申請、10月より有料化のブックマークコメント

http://www.itmedia.co.jp/enterprise/articles/0508/01/news090.html

結構するなぁ。うーん審査に時間がかかるから仕方ないけど。

トラックバック - http://d.hatena.ne.jp/ikepyon/20050802

2005-08-01 う〜〜〜 このエントリーを含むブックマーク このエントリーのブックマークコメント

頭痛が痛いです。

やっぱり医者に行こうかなぁ。でも、仕事もあるし、どうするかなぁ?まあ、自分の分は一応やってるはずだしいいのか?それに失敗したとしても自分のせいじゃないしw。幾ら言ってもスケジュール組んだり、リスク管理しなかったタコが悪いんだしw。もうしらん。

とほほ、どうやらTVが壊れたらしいorz。そういえばCDコンポも壊れてるし・・・

要らぬ出費が・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20050801

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |