構築中。

名古屋のITインフラお守り係です。ITイベントへの参加記録などを残していきます。

IPAからではなくて

登録セキスペ 資格・検定

委託先からあらためて返事が来ました。

hmatsu47.hatenablog.com

思ったよりは早かったのですが…IPA側の見解は聞けずじまい、になりそうです。

Struts1については、予想通り「専門ベンダの独自サポートを受けている」とのことなので、Struts1自体の脆弱性が発見されたら対処されるでしょう(WAF有無については言及なし)。

また、今後、何らかの対応を検討しているそうです(具体的に何かはわかりませんが)。

 

ただ、もう1点の指摘事項(登録セキスペ用のオンライン受講システムに限って言えば大きな問題ではなさそう)がずっと放置されていたところを見ると、Webアプリケーション自体の脆弱性検査は受けていない模様です。

これ↓に「まずい実装」という趣旨で書かれているのと同じ作りになっている部分があります。

www.ipa.go.jp

プロが見逃すわけがない。

実際には悪用できるかどうかまでは試していないので「脆弱性」といえるかどうかはわかりませんが(人によっては、試すまでもなく「脆弱性がある」と言い切るかもしれない)、少なくとも脆弱性を生みそうな作りになっていることは確かです。

よほど酷い仕様・実装になっていない限り、Webアプリケーション等の修正はすぐにできると思いますけど(今後、調査と対応を進めるそうです)。

 

 

登録セキスペの登録申請準備以降の記事一覧はこちらです。

難聴、というより低音耳鳴りは続く

雑記

耳の聞こえは右耳の低音が少しだけ悪い程度ですが(でもうるさい場所で他人の声が聞こえづらいことも時々ある)、低音の「ボー」という耳鳴りがおさまりません。また、自分の声が頭の中で反響してます(「自声強聴」というらしい)。

というわけで、かかりつけの耳鼻科にGW前に紹介状を書いてもらっていたので、近くの総合病院へ。

GW明けということもあってか、やたらと混んでいました。

「再発」ということで、突発性難聴ではないという話でしたが、検討の結果、点滴を開始することに。

これから一週間、また点滴生活の始まりです。

 

勤め先の周りのメンバーには、色々迷惑をかけ続けます…。

まさに今から、おそらく「インフラ担当」としては最後になるであろう、ブログタイトル通りのプロジェクトの本番が(長い準備期間を経て、やっと)始まるというのに…。

 

ただ、先生には「効果があるかどうかわからないよ」という、若干投げやりなことを言われ、また、処方された飲み薬(胃薬のみ)について説明をちゃんとしてもらえなかったために、調剤薬局に2度行く羽目になりました(点滴でステロイド投薬なのになぜ胃薬?エビデンスないんじゃないの?…と思ったら、点滴にプロスタグランジンE1製剤が含まれていて、そのためのものだった模様。点滴後に薬局に行ったので、すでに診療は終わっており確認できなくて、一時は困った)。

QOLがどうとか言われて久しいですが、田舎ではまだまだ、生命の危険があるとか目が見えなくなるとか耳が全く聞こえなくなるとかの重篤な症状以外については全然進歩してませんね…。

 

点滴に治療効果が期待できるかどうかわかりませんが、もし仮に効果がなかったとしたら、慢性期治療(根治ではないけど)としては、TRT(Tinnitus Retraining Therapy)なんてのがあるようです。

こちらは名古屋市内の病院のサイトの情報ですが、わかりやすく書かれています。

耳鼻咽喉科|詳細な診療情報|名古屋第一赤十字病院HOME

耳鳴に対する 自然環境音による音響療法

このCDでしょうか?

白神山地

※トラック別のMP3でも購入できるようです。

 

夜寝るときに鳴り続けるのが鬱陶しくて、最近眠りが浅いので、このようなCD(またはMP3)を買って、小音量でリピートして聞くのもいいかもしれません。

自声強聴が治る(または気にならなくなる)かどうかは…?

続・やっぱりスルーはやめた

登録セキスペ 資格・検定

GW明けの今日、思ったより早く回答がやってきました。

hmatsu47.hatenablog.com

てっきり「詳細は後日」かと思ったら…斜め方向(でもギリギリ想定内)からの回答が記されていました。

こちらの指摘が正しかったのかどうかも、よくわからず。

仕方がないので、あらためてIPA本体に確認することに…。

 

で、その過程で、今回のシステムの入札説明書をググって発見。

「情報処理安全確保支援士講習運営業務 (平成29年度 )」に係る一般競争入札(総合評価落札方式)入札説明書

21ページあたりに委託業務の概要が記されています。

おっと、オンライン講習だけかと思ったら、集合講習を含む講習運営業務(但し講師はIPAが指定して派遣)なんですね。

なるほど、集合講習は4~25人で実施するのか。東京とか、大変そうだ(トータルで年に何回開催?)。

オンライン講習Bは、今年は受講者がいないので対象外のようです。

事業内容(仕様書)31ページにあるとおり、IPAは受託者との間で、実施するセキュリティ対策についてちゃんと協議したのかな?

オンライン講習システム単体よりも、講習受講者全体の情報管理システムのほうが大丈夫なのか?という、余計な心配もしたりして(カード決済非対応なのでカード情報は漏えいしませんが)。

 

いずれにせよ、受講内容に近いことを「実体験」させてもらえるなんて(サービス提供者に対して話が通じないという「ありがちな設定」も込みで)、これだけで20,000円の価値があった、と言えそうです(皮肉ではなくて、リアルに)。

 

 

登録セキスペの登録申請準備以降の記事一覧はこちらです。