  |
はてなキーワード: 税務会計とは
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。
個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。
(関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨)
私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。
サーバーというのは、簡単に言うとシステムを提供しているコンピュータです。
貴方が触っているコンピュータシステムのネットワークの向こう側にいます。この増田も増田のサーバーというのがいて、私たちにサービスを提供してくれています。
しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルのネットワークで画面上に写されるものでしょうか。
サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単に説明させてください。
と言う段階があります。
ニコニコ動画のサービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。
これらの使い分けについてですが、最近は自社でサーバを持っていると自分たちで管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。
現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています。
今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報が漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。
この流れをまずは頭に入れましょう。
さて、メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステムや仮想サーバに別けた独立なシステムになっているからです。
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要な機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバがあるかなどはあまり関係がありません。
しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。
利用者の視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。
すると、どうするかというと、これらをまとめて管理するシステムというものが作られます。
これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理を提供する事で、たくさんのシステムの管理を効率化するのです。
企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。
出てきた情報から見ると、この管理するシステムと認証するシステムがやられたと思われます。
また、その前の前段はVPNと言う仕組み(ネットワークを暗号化して安全に隔離するもの)が攻撃されて破られたのではないかと推測しています。
これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置の脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性を修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名のアングラネットでは脆弱性情報が取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。
個々のシステムは独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるかの分析が困難なレベルだと言われています。
ここまで広範囲に影響するとすると、管理と認証とVPNが攻撃を受けてやられたとみるべきでしょう。
また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります。
一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運用ファイルサーバは減りました。これは今では危険と認識されているほかに、こちらの方が安く利便性も高いからです。
それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています。
オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドにアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの。
通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき、自称するだけでは入れず、身分証明書とパスワードの両方が必要なうなものです。
また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります。
とはいえ、いちいちクラウドにアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。
そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。
つまり、ネットワークは安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。
ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの。
また、社内システムからデータを窃盗するには、どのシステムが重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータを窃盗されてしまうわけです。
上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。
ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法でパスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。
しかし、単なるユーザー、お客さんではなく、KADOKAWAと会社として関わってる人や従業員、取引先で色々な書類等出した人は、既に情報が窃盗されていて、そこから今後も追加で情報が出回る可能性があります。
一方で、分かりやすい場所に保存されていたわけではない情報(システムのデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています。
犯人が本当に金が理由だとするならば、データを分析するような無駄な事に労力を割かないためです。
腹いせで全てのデータを流して、暇人が解析する可能性はあります。
ありますが、犯人はコストを回収しようとするので、これらの情報を販売しようとします。売り物になる可能性のものをただ単に流したりもしづらいのではないかと思っています。
もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています。
犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
また、周到にソーシャルハッキング(オレオレ詐欺のようになりすまして情報を搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃(不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。
それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます。
ニコニコ系のサービスと、KADOKAWAの業務システムと2つに別けて話しをしましょう。
ニコニコ系のサービスは、現在、クラウドにシステムをリフトアップしている最中だったと思われます。先日のAWS(クラウドサービスの大手企業)の講演会で発表があったようにです。
ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。
これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます。
それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。
ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレのセキュリティ対策を行っておくべきだったと思います。結果論ですが。
それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策は無駄になります。コストを考えると、私が経営者でもそう言う判断をしたかも知れません。
KADOKAWAの業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。
何故かと言うとシステムとは投資と費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。
しかし、それ故に内部的なセキュリテ対策の投資はしておくべきだったと思います。
以上の様にエンジニアのレベルととかは関係ありません。基本的には経営者の経営判断の問題です。エンジニアに責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。
ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループに経験豊富なエンジニアがいて、一足飛びにクラウドへリフトアップができそうなら、既存の自社サービスのセキュリティ変更に投資はしないと思います。
逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIerの支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然とシステムは分離されていたでしょう。
そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートしたかも知れません。
ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います。
先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。
なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。
これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。
すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります。
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
管理部配属(経理希望)だが、実際にデスクに座ってるのは3時間程度
「うちは『やれるやつがやる』職場だから」を真に受けて本当に何でもやったら雑用係と化した
現場~裏方まで顔を出す割に蚊帳の外にされがち(話が回ってこない)
あらかじめ有給使う宣言して退職際に使い切ろうとしたら怒られた
雑用係という性質上、パートやアルバイトからはすこぶる評判が良い(アルバイトの管理してる上役にも評判は良い)
労基法や税務会計、現場の専門知識や水道管の修理までゼネラリストみたいなことをしてた
「『ちょっと』困ったら増田さんに言えばいい」みたいな風潮があった
雑用係なので、取引先とよく話すが名刺等の備品はもらえない。経費削減
同僚
家庭の都合で常に8時出勤(正直仕方ない)
忙しくて雑用を頼むと不機嫌になる
「わかりました」「やっておきます」が口癖。実際にはやらないか「やろうと思ってた」と誤魔化す
自分がやりたい仕事しかやらない(業務の属人化が進んでた諸悪の根源)
上層部の評価は高いので、取引先と話す機会はロクにないのに名刺はもらえるし何を発注しても基本自由
雑用も大事な仕事だから、みたいなこと言うやつは雑用だけで1年過ごしてほしい
評価が上がるどころか「なんでお前は管理部なのに何で知らないんだ」って上から謎のパワハラ受けるから
怒られるから話を回して欲しいって頼んでも、話が回ってこないので俺は何も聞かれなくなったし
何らかの理由で長期離脱されると困るから、業務のやり方や情報の共有をしてほしいと頼んでもしてもらえなかった
また、俺が「あの備品壊れてて、使えないと皆困るんで新しく買いたいんですけど」と言うと経費削減を理由にNOと言われるが
なぜか俺が伝えたことをそのまま係長から上司に伝えてもらうとOKが出る。マジで意味分かんねえ。冷蔵庫ぶっ壊れて困るのは全員一緒だろうがよ
ちなみに同僚がコロナで長期離脱していたタイミングはマジ困ってた
俺に「あれ知らない?これは何?」と聞かれても、共有も何もないんだから知るわけもなく
結果的に全員が困ったのでまあ改善されるだろうと思ったら何も改善されなかった。この時点で転職を決めた
「次の職場は絶対に厳しい」「何が不満なんだ」「今は安いけど数年後の給料は絶対に高い」
「増田くんが居ないと困る」「増田くんの言いたいことは分かってるつもりだ」
給料面もそうだけど上司の主観で評価される謎の評価制度とか、情報の共有がまともにできないとか
田舎の悪い部分を煮詰めて凝縮したのかな?っていう感じの職場だった
唯一良かったのは、未経験だった俺を拾ってくれたことと、辞める直前の賞与は割と良い金額だったこと
(追記 : 別のエントリで簿記の言葉の意味を解説しました。→ http://anond.hatelabo.jp/20151113140308 )
これは簿記のエッセンスをまとめたとか書いてあるが、簿記でもないし、会計学でもないし、なんだかわけのわからない謎の話になっている。どのあたりが謎なのか説明していくと・・・。
明治時代に福沢諭吉(1万円札のひと)が『帳簿記入術』として紹介した、一連の経営管理の技術が、『簿記』と略された、という説が有力です。
という冒頭から怪しい。"帳簿記入術"でググってみると、このブログしかヒットしないんだよね。福沢諭吉が紹介したのは、「帳合之法」であって、『帳簿記入術』という言葉はどこからでてきたの?たぶんこの人の造語だと思うんだが確証はない。
「経営管理の技術が、『簿記』と略された、」というのもなんだかよくわからなくて、自分の理解では、簿記は単に帳簿記入が略されて簿記になったか、あるいは英語のBook Keepingが略されてぼきになったという話をきいたことがあるくらい。「経営管理の技術」をどう略したら簿記になるのか?「ぼ」も「き」も含まれて無いのに。
「簿記は『財務諸表』を正しく作るための一連の技術」というのは、ずれている。財務諸表を作成するために仕訳を切るけれど、会社の経済的価値の増加や減少を勘定項目ごとに分けて帳簿に記入するというのが簿記という言葉の意味なので。財務諸表を作成するのが簿記の最終目的のような書き方はおかしいですね。
デジタル大辞泉の簿記の説明を読んでほしい。財務諸表という言葉は一言もない。
「財務諸表のようなもの」は主要簿(仕訳帳と総勘定元帳ね一応)から誘導的に導出することができるけれど、簿記と財務諸表は独立別個の存在なので、簿記が財務諸表の従属物のような書き方をするのは間違い。
画像の「会計学の説明の、『正確な財務諸表を作るための簿記技術についての理論』」というのも、少し正確さが足りない。この説明だと、会計学が簿記の理論を支える点を説明しているけれど、それ以前の話もあるので(認識や測定の話の前の包括利益などの話もあるし、企業結合会計などはそもそも簿記外の話だ)、会計学には簿記の理論的な話も入るけれど、そうではないものもある。部分集合といったらなんとなくわかってもらえるだろうか?
同じ画像の「財務諸表の要件」という言葉は、何を意味しているのか私にはわからなかった。
会計学の基本
で、次の項に進むと・・・。
「例えば、例で見てみましょう。」って意味が重複している。
収益の認識基準の話に飛んでいくんだけど、簿記の話で大事な話はいくつもあるのに、なんでこんな損益会計の話に飛ぶのか?
「実は会計の基本的なルールについては法律には定められていません。
各種税法
」
というのも、誤解を招く書き方になっている。企業会計原則とか、財規とかは(狭義の)法律に含められないけれど、だからといって内閣府令を法律ではないと強調して表示する意味があるの?各種税法に財務諸表の作り方が載っているという話は聞いたことがない。税務会計が財務会計に影響を与えているという話は知っているけれど(いわゆるトライアングル体制)、財務諸表の「作り方」は税法で定められていない。(税務署に申告・提出する書類は財務諸表に含まれない。)
「一般に公正妥当と認められる会計処理の基準(GAAP)」は、「一般に公正妥当と認められる会計原則」を指していると思う。会計処理と狭めているのは理解ができていない証拠。こういうテクニカルタームの間違いがこれ以降もあるし、しかもその語の説明も変なのがこれからも続く。
画像の税務会計の「収める」は「納める」。この画像はトライアングル体制の説明でよく見かける概念図なんだけど、トライアングル体制の説明で中央にGAAPを持ってくるのは見たことがない。GAAPってアメリカ由来のイメージなので、別の文脈で説明するべきものだろう。
「J-GAAP」でぐぐっても、なんかそれらしいURLは無い。これも造語では?(追記:どうやら"J-GAAP"ではなくて、や"JGAAP"を意味しているらしい。US-GAPPは間にハイフンを入れるが、JGAAPは、"JGAAP"または"J GAAP"と表記するので、間にハイフンを入れるのは間違い。)
めんどうくさくなってきたので、このあたりで終わり。多分全体の1/3くらいの部分までで、どう読んでも変だろうという箇所を指摘した。残りの2/3の部分も、いくつもひどい点があるんだけど、それを指摘していくと時間が大変かかって、かかる割に報われないと思うので終わりにする。匿名ダイアリーの文量制限にも引っかかるだろうし。興味があれば誰かやってください。もちろん会計がわかる人がやらないと墓穴を掘ることになるんですが。
ざらっと見た感じだと、経営学部の学生が講義課題でレポートを書いたとして、ぎりぎり「可」がもらえるかどうかかな?というくらいの内容だと思う。簿記の話というタイトルなのに、中身はそうではないものが混じりすぎているし、テクニカルタームを間違えていて説明も間違えているし、全体の構成もどこに突き進んでいるのかよくわからないもの・・・。
初めて簿記や会計を学ぶ人は、もうちょっとちゃんとしたものを読んだほうが良いよ。最初から間違えて覚える必要はないわけだから。
