Inside ASENS

この記事をブックマークする :

タガヤっす。

めっちゃアセりました。
2時間の格闘で何とか原因がわかったのでエントリ。

◆

Proxy型の脆弱性スキャナをVMWare上にインストールしてます。
テスト時には、VMWare上のProxyを設定するわけですが、
最近、人ん家のサイトのチェックなんぞを依頼されるわけです。

ブラウザのProxy切り替えがめんどくさい。
そのためのツールの設定もめんどくさい。
見比べもできるように、普段使っていないIEをスキャナ用にProxy刺したままで放置してました。

最近になって、McAfeeのアラートが発生するようになりました。
DATが更新されていないと言ってますが、手動で更新させたらキレイに完了するんですがアラートは消えません。


マズい(汗)

McAfeeの通信を阻害する「何か」の存在する可能性が非常に高い。

いろいろ調べましたが、ズバリな答は見当たらず。
たまらず再インストールの道を模索しました。

すると！！
インストーラはダウンロードできたのに、インストーラを起動したら、通信できないとエラーが返って来ました。

いよいよヤバい。

msconfig などで、徹底的にスタートアップ項目を洗い出します。
怪しいものはありません。

アドミで作業しろと怒られたので、素直に従います。

あれ？
アドミだと、普通にDATファイルが更新されました。

なんで？？
オレのアカウントだけがヤバいのが確定した瞬間です。

ここでふと記憶が蘇ります。
McAfeeのQ&Aに、Proxyに関する記述がありました。

Proxyが通信に影響するのかと。

・・・


！！！
デフォルト設定ではない、IEのProxyを参照していることが判明。
しかも、IEの設定はユーザ毎なのだと気がつきました。

そりゃそうかと。

つーわけで、たった今解決。

ふー、ひさしぶりにアセった。
なんぞ悪意のあるツールに引っ掛かったかとヒヤヒヤした。

ま、そんなことは今までないんだけどネｗ

この記事をブックマークする :

タガヤっす。

先日、ふと思ったんです。
営業職とは会社のブランドを背負って歩くマーケッターなんだって。
会社の顔と言えば簡単かな。

なぜそう思ったのか。

◆

そもそも、取引きが始まる経緯は概ね以下のとおり。

１．引き合い
２．折衝
３．調整
４．契約

考えはお互いにある。
家電を買いに行ったときを例に挙げると、
安く買いたい自分と、高く売りたい定員さんとの攻防みたいな。

両社の利益関係のベクトルは、180度違う。
つまり真逆を行くわけなのです。
そんな両社が折衝するわけですから、
どっちかが有利になれば、片方は不利になる。

ボクはいつも、両社にメリットがある、
とっても小さな着陸ポイントを探るわけです。

実はこの「折衝」がとっても重要です。

もし、そのときに契約に到らなくても、
次にいい機会があるかも知れません。
それは両社に言えることなのです。

この「あの契約はダメだった」の感想の次に
感じてもらう感情が、営業職の力がわかります。

「次にいい機会があれば、あの人と一緒に仕事がしたい」

こう思ってもらえる営業職は、
契約できなくても、会社の価値を上げる優秀な営業マン、
つまり会社の顔として機能してると言えます。

こういう営業さんがとっても少ないと感じてます。
もったいない。

もう少し突っ込んで書くと。

契約時にはとっても重要な数字ですけど、
契約に必要な意思決定時には、
数字よりも大切なことが存在しています。

それは「将来のメリット」です。
将来的にグロスで見たとき、その会社とお付き合いさせてもらうことは自社にとってメリットかどうか。

コストメリットは数字を取れば簡単にわかります。
でも数字では見えないトコが非常に重要です。

相見積りを取ることは、ビジネス上重要でしょう。
しかし相見積りではわからない重要なポイントを軽視するあまり、自社のブランドを傷つけてる会社が多い。
断り方が悪いと、「なんだよ、あの会社は！」となるんですネ。

◆

営業とは、自社の力になってくれる味方探しなんです。
もちろん、相手に味方と感じてもらわなくてはなりません。

持ちつ持たれつ。
Give & Take

Give & Give では、商売が成立しませんし、
Take & Take では、自社のブランドは向上しません。

あと、Give & Take と言いますが、Give が先に来てるのも見逃せません。
まずは与える（言葉は悪いです）ことが重要です。
なにかいい材料を持って帰ってもらうわけですネ。

ボクは日々、こんなことを考えてます。
相手にとって喜んで貰えることとは何なのか。
喜んで貰った対価(当社のメリット)は何なのか。

これがハッキリしないとボクは契約しません。

ただ、Give が先であるため Give だけして終わることもあります(涙)
そういうトコとはお付き合いしなければいいので、良い取引先の見分け方として最初に小さな Give をして見極めるのは、結果的にいいことなのかも知れません。

この記事をブックマークする :

タガヤっす。

アセンスの事務所は、中央区のビジネス街に位置していますが、
人通りがまばらですネ。
お昼時も、そんなに多くありません。

三井住友系企業のお膝元なので、
みなさんはさっさとお盆休みなのかも知れません。

オレも休みてー！
でも、休んでもやることネー！！

ってことで、だらだらと仕事しております。

あ、そうそう。
宝塚アンの奥井さん所有のサイトを
クラックしてみてほしいと、
特異な依頼を請けまして。

そろそろやっておかないと。

この記事をブックマークする :

タガヤっす。

8日間預かっていたCherry(ミニチュア・フォックステリア)が帰宅しました。
大人しいので、なんら仕事に支障が出るわけでもなく。

ただ、毎朝と毎晩の散歩が激しくめんどくさかっただけ。

その散歩から開放されたうれしさと
いなくなってしまった寂しさが混在してます。

でも、どっちかと言うと、うれしさの方が大きいオレは
犬を飼っちゃいけないと再認識。

◆

友人が事務所に遊びに来ました。
おかしを食べながら世間話、Cherryをめでて帰りました。

もうCherryはいませんが、
基本的にそんな事務所なので、気軽に遊びに来てくださいｗ

この記事をブックマークする :

タガヤっす。

最近WEBプログラマで人気の高いフリーの脆弱性スキャナをご紹介しておきます。
ボクは要件によってツールを使い分けています。
必要であれば、経験に基づいたメソッドも用いることがあります。

あ、調べてたらまとめサイトがあったので。

http://security.c-inf.com/index.php?VulnerabilityAssessmentTools

見て勉強してください。

情報が漏れないようにする仕組みも大事ですけど、
漏れても大丈夫な仕組みにしておくのも重要です。

絶対に漏れない保証ができないのであればこそだと思います。

サーバはペネトレーションテスト、
アプリはスキャナ。
DBもスキャナ。

これでも完璧にはできないんだから。
ここまでしてる会社をオレは知らんけどネ。

ちなみに。
経営者のセキュリティに関する危機感を煽ってる営業がいます。
＃以前のエントリで書いた

・ ファイヤーウォールは必須です！
・ IDSが無くては犯人を特定できません！
・ ウィルス対策は万全ですか？
・ データを暗号化しましょう！
・ 個人情報の保護は万全ですか？（これはオレが経験した）

こういうことをウリにする会社は信頼できんよ。

ボク、ファイアウォールを運用しないサーバ構成の方が経験が多いですし、IDSはあった方がいいですけど防止にはなりません。サーバにウィルス対策が必要ない会社もあります。（アクティブディレクトリなどでクライアントを一括で管理するなど）

なにより、セキュリティに万全はないっ！
セキュリティポリシーを設定する方が何倍も重要。

例えば、御社のスタッフが顧客リストを持ち出すとか。
従業員の方への指導と意識改革の方が重要です。

そこからがスタートと言っても過言じゃないです。

あるとき、外注の方が何の断りも無く、当時所属していた会社のPCにUSBメモリを挿しました。ウチの技術者はその行為を問題だと認識しなかった。こっちの方が問題なのですよ。
もちろん外注の方には、理由を述べて丁重にUSBメモリ使用のお断りを入れ、中身を検閲させてもらいました。
そして技術部へのセキュリティに関する教育がはじまりました。

今ではとてもいい思い出ですｗ

この記事をブックマークする :

タガヤっす。

大阪なのでよく知ってる「ナチュラム」も被害にあってしまったようです。関係者みなさんのご苦労をお察しいたします・・・

◆

さて先日も書いてたセキュリティに関することになってしまいます。
ボク個人の考えですが、日本の文化として「保険」という考え方は根付きにくいのかなあと感じています。

バイクが盗難にあったとき、盗難保険の大切さを知りました。
クルマで事故を起こしたとき、自動車保険の大切さを知りました。
関西大震災のとき、地震保険の大切さを知りました。

全てボクの経験です。
恐らく他にもまだまだあると思います。
さらに、友人たちにも同じようなことがたくさん起こっています。
しかし、すべて気付いたときには既に遅いのです。

今では、バイクを買う友人には盗難保険を勧めますし、
クルマを買う人には、任意保険(車両保険付き)を勧めてます。

転ばぬ先の杖、日本人はどうも苦手なようです。

経営については、自分だけの問題ではないので、
想定できるリスクについては、「ほとんど」ヘッジしています。

なぜ「全部」じゃないの？
想定できないリスクも含めて考えると、
想定できるリスクはすべてヘッジしておかないといけないでしょう！

と考えるのが普通でしょう。

なぜ「ほとんど」なのか。
その答えはお金です。

リスクヘッジにはお金がかかるのです。
保険にはお金がかかります。
防犯対策にもお金がかかります。

ご存知のとおり、ITの世界にかかるコストは非常に高いです。
当然セキュリティにかかる費用はさらに高くなります。
専門性の高い高度な技術者が必要だからです。

どうしても予算に応じた対策しかできなくなります。

生命保険を例に上げれば分かりやすいですネ。
自分が死んだとき、残された家族に多くのお金を残して上げたいと考えますが、月々に支払える保険料には限りがあります。これぐらいあれば足りるだろうという金額を考えて、毎月支払える額で保険を契約するでしょう。

セイキュリティについても同じことが言えます。
スタートアップ時のセキュリティ対策と、大きなお金が動くようになったシステムのセキュリティ対策は、正確も目的も違います。
売上に応じてセキュリティ費用も高くなるでしょう。

◆

気付いたときには遅かった。
そうならないために、今できる対策があるはずだと思うんです。

ウチのブログを読んでくれてる方には、
手遅れにならないうちに、何らかの対策を講じることを強くオススメします。

ウチの業務として、ちゃんと営業しよーかと思ってますｗ

年間売上数十億円規模のWEBシステムのセキュリティを
ポリシーから面倒見ていた経験もありますし、
数百台規模のサーバセキュリティを担当したこともあります。

ただ、プログラムレベルのセキュリティ対策については、
まだまだ勉強の余地はありますが。

スキーム作りと現場へのレクチャー、運用支援など、
セキュリティコンサルティングはできますので、
一度ご相談してみてください＾＾

この記事をブックマークする :

話題のストリートビューでASENSを発見しました。

こんな感じです。


大きな地図で見る

壁面にでっぱりがあるビルの4FがASENSです。

写真と違ってマウスでグリグリ動かしてウォークスルーできるのが便利かなと思って会社のサイトにのっけてみました。

これで迷うことはありません。お気軽にあそびに来てくださいネ（笑）

この記事をブックマークする :

タガヤっす。

本日の営業先にてとんでもなくムカついたのでエントリ。
ある企画を提案してる会社さんがいて、そことの打合せにて。

他にお付き合いがある会社さんが複数いるらしいのですが、
それ自体はあまり珍しいことではないです。
その付き合いのある某社が、提案先の会社にとんでもない
ツッコミをしてきたらしいです。

「ソコ（ウチ）はセキュリティとか大丈夫なんですか？」と。


オマエんトコが担当したサイト、片っ端から潰したろかゴルァ。

◆

ボクは昔、ハッカーまがいのことをしてました。
クラッカーではなくハッカー。
穴を見つけるのが楽しい、見つけたら終わり。

だからか、セキュリティには昔から興味がありました。
人間の作るものなので、どこかに間違いが潜んでます。
それを見つけ出すのが楽しいと思ってたからです。

パチンコ、パチスロ台の攻略法をこっそり見つけたり、
銀行ATMや金融ATMにもバグはありました。
駅の改札や券売機、テレホンカード式の公衆電話など、
数えればキリがないです。

そんなことをしてるうちに、インターネット登場。

インターネットが一気に普及すると共に、
無防備なサーバがいたずらに構築され続け、
クラックされまくりました。
当時はプロバイダにさえ満足なセキュリティは存在しませんでした。
＃メールアカウントを使ってtelnetで接続し、/etcのｐ（ｒｙ

その結果、個人情報保護法なんぞが成立し、
ベンダーはこぞってセキュリティ強化に乗り出します。

しかしちょっと待て、それって遅くねーか？
と、ボクは思うわけです。

2002年夏に、セキュリティに関するセミナーをさせてもらった経験があります。そのときにも言いましたが、

「セキュリティに万全はない」

運用とコスト、想定されるリスクを天秤にかけ、
自社で運用すべきセキュリティポリシーを設定し、
ＰＤＣＡサイクルで定期的に見直していくということが必要なんです。

◆

その人に是非お聞きしたい。

インターネット上でセキュリティが大丈夫と断言できる状態とは、
どんな状態をさすのかと。
＃ポートをすべて閉じるのはナシね。
＃サーバとして運用できないのは意味ないでしょ？

みなさんに一言。
自社のセキュリティについてシステム担当者に聞いてみてください。

・具体的な対策をわかりやすく説明でき、現在のリスクを説明できる　80点
・よく理解できないが、かなり熱く説明できる　60点
・小難しい説明に終始する　30点
・大丈夫です！と元気だけいい　0点
・知りません　-100点

先に書いたとおり、100点は存在しません。

まずは、現在どんなリスクが存在しているのか、
理解しておく必要があるのではないでしょうか？

あ、ボクで良ければ相談にのりますよｗ

この記事をブックマークする :

タガヤっす。

以前からお付き合いのある方と最近、ひさしぶりに呑みまして。
そこで「Blog読んでます！」っと言ってもらえました。

その方も最近、Blogを書いてるそうです。

気楽な感じで「リンクしてくださいっ！」と頼まれたので、
気楽な感じでリンクしてみましたｗ

あ、この会社は大阪北浜にある岩盤浴のお店で、
slim*slim って言います。
ひょっとしたら女性の方はご存知かもしれません。

slim*slim（スリムスリム）

「タガヤのブログで見た！」と言って予約してもらえますと、
なんと「タガヤ価格」でご利用いただけますっ！！
ちゃんと社長に了承をいただいていますので、安心してご利用ください。

それでも、「は？」と言われた場合、
「一圓（いちえん）社長に確認してくれ」と言ってください。

相手のスタッフは間違いなくビビると思います（・∀・）
一般スタッフの方がタガヤを万が一知らなくても、
社長のがめっちゃ怖いことは知ってると思うので。

それほど怖い貫禄のある経営者になってしまいました。


さて、ちゃんと書きましたよ、一圓社長！
今度焼肉オゴってください（・∀・）

この記事をブックマークする :

和むなぁ・・・