2024.12.10
“放置系”なのにサイバー攻撃を監視・検知、「統合ログ管理ツール」とは 最先端のログ管理体制を実現する方法
ライトニングトーク(全1記事)
提供:ユナイトアンドグロウ株式会社
リンクをコピー
記事をブックマーク
じみー氏(以下、じみー):それではさっそく、ライトニングトーク一人目、アキトさんよろしくお願いします。すいません、ヒゲ(の社員)が多くて。びっくりですね。
(会場笑)
アキト氏(以下、アキト):当社はヒゲは禁止です。
<img src="https://images.logmi.jp/wp-content/uploads/2018/06/IMG_8134.jpg" alt="IMG_8134"width="800" height="533" class="aligncenter size-full wp-image-296468" />
(会場笑)
アキトです。どうぞよろしくお願いしまーす。
(会場拍手)
時間が短いので、どのような内容で話そうか考えたのですが、私が一番関わってるISMS(Information Security Management System/情報セキュリティマネジメントシステム)のことを話したいと思います。普段は公認内部統制管理士と情報セキュリティコンサルタントという肩書で、仕事をしています。
もともとは、1992年にプロジェクトマネジメントのコンサルティング会社にビジネスコンサルタントとして就職したのがはじまりになります。この中で、橋梁とか、建設とか、原子力発電所のシャットダウンメンテナンス、あと生産管理、そういったプロジェクトに関わってきました。
1996年にPMBOK(Project Management Body Of Knowledge/プロジェクトマネジメント知識体系)がリリースされましたが、私は翌1997年にリリースされる日本語版の編集メンバーとして関わらせてもらいました。社内では誰も知らないと思いますが(笑)。
(会場笑)
2010年から当社に転職してまいりまして、今までお客さま歴は65社、うち新規成約47社、実際にお客さま先で時間で稼働してきたのは16社です。
主なお客様先のご支援は、情報システムに限らず、管理部門の内部統制系であるとか、主にそういったお仕事をしています。現在は秋葉原のお客さまのところで、情シスの情報セキュリティ担当、それと経理部の支援もしています。現在は4社対応しています。
今日は、ISMS認証取得のワンポイントアドバイスをしたいと思います。これまで認証取得、事務局等で関わられたことがある人がいたら、すでに知ってる内容かもしれないのですが、よろしくお願いします。
ときどき質問されます。ISMSの認証を取得するにあたり、「ICカードとかの入退館システムが必須なんですよね?」とか、「USBメモリとか使えないようにしないとNGですよね?」とか、「ルールがガチガチになる」とか、「設備投資でお金がかかる」とか。たぶん厳しくなるようなイメージをお持ちだと思います。今日の説明を聞いた後、これらに対してみなさんがどのような答えのイメージを持たれるのか、楽しみに思っています。
まず簡単に説明しますが、ISMSの国際規格はISO/IEC 27001、日本のJIS、工業規格で言うとJIS Q 27001と言いますが、この薄っぺらい本が規格そのものになります。通称 ISO27001とよく呼ばれます。
この規格の構成としては、ISMSを構築して、有効に運用するための「要求事項」と呼ばれる10章の項目。それと、ISMSを運用するための114項目の「管理策」である、別名「附属書A」の2部構成です。今日はこれだけでも覚えていってください。
「10章の要求事項と114項目の管理策、10章の要求事項と114項目の管理策!」
(会場笑)
今日はこれだけでよいです。
まず10章の項目というのは、会社が情報セキュリティマネジメントシステム(ISMS)を運用するために、PDCAサイクルを回すための要求事項です。これがちゃんと機能していないと、認証取得は不適合ということになり、重い不適合なら再審査、軽い不適合は改善計画のレポートを提出しなければなりません。比較的重い要求事項ですね。
「組織やマネジメントに関する要求事項」とか、「会社リソース投入に関する要求事項」とか、「有効性の評価に関する要求事項」など、大枠のところを、10章の要求事項で謳っています。
それに対して、114個の管理策について。ここにA5~A18の大項目があって、これに中項目と小項目という細かいものが含まれて、合計114個になります。会社の情報セキュリティを整備するために、チェックポイント的にさまざまな事項が網羅されています。
「ネットワークに関する管理策」とか、「アクセス権に関する管理策」、「採用する際の管理策」、「雇用中の教育・研修に関する管理策」とかですね。こういうものが細かくあります。これらが社内規程や業務フローに展開されて、セキュリティポリシーと呼ばれるかたちになって、それらが有効に機能していることが重要になります。
今日はこのうち、「A.11 物理的及び環境的セキュリティ」のお話をします。もう時間がなくなってました(笑)。
(会場笑)
去年の私のお客さまで、D社です。「認証取得したい」というご要望で、行ってみたところ、D社がですね、なんとA社の執務室の中にあるという状況でした。
(会場笑)
(笑)。A社は当然ISMSとなんの関係もないです。A社の有志のベンチャー企業であるD社が、A社の中に立ち上がったっていうことで、仕切りは天井までありましたが、デジタル鍵が付いてるドアが一つだけで開けっ放し、しかも、A社の人はD社に自由に出入りしていると。
……あー。
(会場笑)
これは困りました。さらに、D社のスタッフの個人ロッカーは、なんとA社の執務室内にあります。それと、宅配便や郵便は、A社執務室の一時置き場を利用しているし、ポストに届いたD社の郵便物は、A社の人が親切に1階から取ってきてくれていました。
さらに、D社はA社の執務室に設置しているシュレッダーと書類溶解箱を、日常的にシレっと使用している、さらに、D社は複合機で消費するコピー用紙を、A社のストック棚からちゃっかり拝借していました。
(会場笑)
もうひどい、これは困りました。
「これは、どうしたものか」と思ったんですけど、先ほどの管理策の1つ「A.11 物理的及び環境的セキュリティ」とは、「セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護しなければならない」。これが規格で求められている管理策の基準です。
客観的にこれができていればいいので、具体的なルールとしては、社員のエスコートなしで入社できるのはA社の人だけで、それ以外の人はNGというルールとしました。次に、D社の朝一の出社と最終退出者が、管理簿に時刻と名前を記載し、最終退出者はドアを必ず施錠するルールとしました。
それと、日中は執務室を無人にしない。やむを得ず無人になってしまう際は、ドアを施錠するというルールとしました。さらに、執務室にA社の人が入ってくるので、クリアデスク・クリアスクリーンもルールとして明文化しました。以上ですが、もちろんこれらを、教育で徹底しました。
さらに宅配便や郵便の受け渡しなどもルール化し、これで「よその会社の中に会社がある」問題はクリアできましたが、他にも多数のクリアするべき管理策を実装し、このD社は無事に認証取得ができました。はい。
まとめ。(タイムキーパーの時計を確認して)……ああ、すばらしい。
(会場笑)
(笑)。とはいうもののですね、情報セキュリティを整備するうえで、もっとも重要でもっとも難しいことは、誰に聞かれても、私はこう答えます。「人の意識改革」に間違いありません。
どんなに仕組みをちゃんとつくっても、実施するのは人です。また、事故が起きないようにする管理策も重要ですけど、起きてしまった時に傷口をそれ以上広げないための仕組みも必要だし、それらが機能するためには、やはり人の意識というのはとても重要なことだと思い知らされることが多いです。
なにか起きたらすみやかに連絡する、報告する。「来週でいいや」ではなくて、その時に決められたレポートラインで連絡をする、ということがすごく重要だということで、私の発表は以上になります。ありがとうございました。
(会場拍手)
じみー:はい。アキトさん、ありがとうございました。質問等は、4部の質問コーナーで、ぜひぜひ捕まえてやってもらうといいかなと思います。続いてシモンさん、お願いします。
シモン氏(以下、シモン):はい。どうも、夜遅い中……。どうぞお楽にしてください。
(会場笑)
こういうタイトルで発表させていただきたいんですけども。まずは、自己紹介からさせていただきます。シモンと申します。1978年、北海道は函館市に生まれました。ついに40になってしまいました。大学の在学中、2000年ぐらいからこの業界におります。ルーターの設置とか撤去とか、そういうことをやっていました。
その後、とあるメーカーがつくっているネットワーク機器の総販売代理店で、品質というか、脆弱性調査や問題対応をしていました。要するにお客さん、それもベンダーさんのほうのサポートを、7年、8年ぐらいずっとやっていました。
その後、業界第5位ぐらいの通信キャリアのほうで、自社網やサービスの保守とか、あと、IP電話関連のエンジニアなどもやっていました。その後、官公庁向けのSIerのほうを経由して、今年が2018年ですので、まあ、1年半過ぎたのか。
それで、かみさんと猫2匹と、スカイツリーのすぐそばに住んでいます。最近、ベランダにスズメが巣をつくりまして(笑)、猫が窓辺でジーッと眺めてるっていう。
(会場笑)
(スライドの猫の写真を指して)こんなのがおります。……本当、バカです。……まあ、バカはおまえだって話なんですけども。
じゃあ、本題に入ります。いろいろとゴチャゴチャと書いてますが、CMSは簡単に言えば、Webサイトを半ば自動的に管理する仕組みですね。だいたい2005年ぐらいから普及しはじめました。実は2005年っていうと、覚えておられるかわかんないんですけども、やれブログだなんだっていうようなのが、確かに流行りはじめたぐらいだったりします。
ちょっと調べてみたんですけど、郵政解散があったりとか、まあ、ブログが流行りはじめて。さらに、Yahoo!メッセンジャーとかMSNメッセンジャーとかが、そこそこ詳しい人間の間で流行りはじめて、Webの掲示板、要するに2ちゃんねるなどで、ああでもないこうでもないとやってた時代ですね。
本屋とかのほうですと、こういう『ブログをもっと楽しく活用する本』(が出版されていました)。中身は実はアフィリエイトとか、あのへんをどうするかというような話だったんですけども。2005年当時、よもやこの著者と一緒に暮らすことになるとは思いませんでした。
まず、今日の結論です。あらゆるCMS及びそのプラグインは、常に最新の状態で運用すること(MUST)。脆弱性情報は、日常的にこまめにチェックすること(MUST)。そして、デフォルト値のまま利用することを避ける(MUST)。ちょっとRFC風に書いてみました。
もう1つ、これは「努力したいな」って感じなんですけども。CMSのログイン履歴とかログイン情報というのは、確実にログ情報は取得しておいて、毎日チェックしてほしい。それで、目的に応じて、本当にCMSが必要なのかというのを考えなきゃいけない。
そして、WAF(Web Application Firewall)の導入を真剣に検討すること。「WAFって何だ?」っていうのは、ちょっと後で説明します。上記のいずれも実施できない場合は、CMSの利用を避けること。これはSHOULDなんですけども、本音を言えばMUSTだと思っています。
じゃあ、ちょっとCMSにまつわる3つの数字を、みなさんにご紹介したいと思います。この数字は、今回この資料をつくった中で、一番驚いた数字でした。これは、AmazonがやってるAlexaというサーベイサイトですね。1,000万サイトのデータをいろいろ調べていく中で、QueAccessというオーストラリアの会社が調べた数字なんですけど。
この48.4パーセントというのは、CMSを使ってないサイトの全体比率なんです。つまり、残りの51.6パーセントは全部CMSか、なんらかのかたちでCMSを使ってる。
実はこれ、例えば2013年の1月のデータですと、(CMSを)使ってないサイトが68.2パーセントだった。それを考えると、この2018年のこの数字から、もうずいぶんと時代が変わってきたんだな、ということが分かるかなと思います。5年間で(CMSを使っていないサイトが)19.8ポイント減ったということです。
続いてです、6.9パーセント。これは、ここに紹介されてますように、JPCERT(Japan Computer Emergency Response Team)さんのほうで、攻撃されたなどのセキュリティインシデントに関する報告の比率の中で、一番多いのが「スキャンをされました。脆弱性があるかないかを調べるスクリプトを走らされた」というもの。それが47.8パーセント。次がフィッシングサイト。フィッシングサイトのほうに誘導されるなどといったものが24パーセント。
そして、その次にある被害が改ざんなんですね。改ざんが6.9パーセント。「でも、6.9パーセントでしょ」ということなんですけども、スキャンとかフィッシングを軽微な攻撃と考えたとして、それを抜いて考えた時に、他の改ざんとかそこらへんの攻撃の中で、この改ざん被害が25パーセントぐらいになる。だから、決して少なくはない数字です。
具体的には、スキャンが1,845件、フィッシングサイトが924件、さらに改ざんが268件ですね。ちょっと全体の母数は忘れましたけども、ごめんなさい、ご興味ある方はこちらのURLへどうぞ。
最後です、83パーセント。これは、2017年におけるもっともマルウェアに感染したCMSのうち、83パーセントがWordPressだった。ほとんどって言っていいぐらいですよね。
ちなみに、マルウェアの母数は、3万4,371サイトの中の83パーセント。今、WordPressという言葉が出てきましたけども、CMSの種類をちょっと見てみましょう。
はい、今出てきましたWordPress。もう一時はMovable Typeのほうが法人向けにはシェアをたくさん持ってたんですけども、今は完全にWordPressがマーケットを席巻してる状態ですね。(ユーザーが)多い分、プラグインやテーマもたくさん出ています。そうすると、ますますみんなこれを使う。
だいぶ差が開くんですけども、これが実は、WordPressを追いかけている「Drupal」というCMSですね。これは日本ですと、毎日新聞さんが採用されてるCMSだったりします。けっこう人気が高いですし、私自身も構築して管理していたサイトで採用したこともあります。
そして、そのDrupalのライバル的なCMSの「Joomla!」というものがありまして、これはどういう経緯なのかわからないんですけど、海外の、例えば州政府といったところでの採用が多いみたいですね。
まあ、とにかくいろんな種類があります。ただ、そのいろんな種類がある中で、CMSを使うリスクの一例ということで、ちょっと具体的にお話させていただきたいんですけども。
これは有名な言葉です。「目玉の数さえ十分あれば、どんなバグも深刻ではない」。エリック・レイモンド著『伽藍とバザール』で、オープンソースがいかにすごいかというのを最初に説いたドキュメントになります。
まあ、「目玉の数がいっぱいあれば、バグってわかるよね」という話なんですけども、目玉は善意の目玉だけではないということです。
「WordPressでやってはならないこと3箇条」ということで、ユーザー名やパーマリンクをデフォルト値のままで、本体もプラグインもほとんどアップデートしていないというのと、管理画面のアクセスに制限をかけないこと。そして、エラー画面などで、WordPressはおろか、OS全体のバージョンがわかるようにしてしまうことは、絶対にやってはいけないことです。
これをやるとなると……、とくに1と2ができなかった場合に関して、ちょっと実際にクラッキングをしてみました。こちらです。ツールの説明については、ちょっと個別で聞いていただければと思います。
いわゆるユーザー名とパスワードを組み合わせて、連続入力していって、ログインできるかできないか。それでログインできたら、乗っ取りが成功するっていう。
結果なんですが、「3分間クラッキング」って書いたんですけども、結論としては3秒、実際にやった時には3秒しかかかりませんでした。3秒間クラッキングでした。(右に)出てるんですけども、「admin」というユーザーに対して、「password」という設定がされていました。
「いくらなんでも『password』はないだろう」と思われるかもしれませんが、(スライドを指して)こちら(笑)。なにかちょっと覚えのある方は、月曜日には必ず変えてください。その中に、この「password」というのも第2位に(なっています)。
じゃあ、なぜクラッキングされたのか。「管理画面に誰でもアクセス可能だった」、「管理ユーザー名のデフォルト値は誰にでも知り得る情報だった」、「パスワードがいい加減だった」ということに関しては、管理が不十分なCMSはそれ自体がセキュリティホールであると。
なぜクラッキングができたのか? 今度はクラックする側のほうからの視点です。とくにIPアドレスを狙ってくるわけじゃないんですよ。ガーッと調べた中で、「チョロそうなところを攻撃する」というのがクラッカーのやり方です。まあ、下手な鉄砲数撃ちゃ当たるという話なんですけども。そういうレベルの低いサイトを探して狙ったほうが効率的だということです。
その結果、踏み台にされたり、もっと大きな規模のクラッキング行為に利用されたり、あるいは、それをネタにして脅迫することも可能になります。
実際の攻撃はもっと多様なんですけども、やれることからやるしかないわけでして、先ほどの結論が活きてくることになります。そして、このやってはならないこと3箇条をぜひ実践していただければと思います。
最後に説明なんですけど、WAFとは何かを簡単にいうと、そういうWebサーバーやWebアプリに特化したファイアウォールだと考えてください。今は、比較的お安い値段で利用できるようなサービスもずいぶん出てきましたが、魔法のツールではありませんので。
はい、以上となります。ちょっと時間超過しました。ありがとうございました。
(会場拍手)
じみー:シモンさん、ありがとうございます。こちらも質問ある方は、第4部でぜひシモンさんを捕まえて、聞いてみてください。じゃあ、ショウイチさん、お願いします。
ショウイチ氏(以下、ショウイチ):よろしくお願いします。
参加者一同:よろしくお願いします。
「最先端の」と書いているんですが、「最先端だといいなぁ」という感じがちょっとカッコで隠してあります。
(会場笑)
ただ、第3の選択肢という意味でぜひ聞いていただきたい内容になりますので、お聞きいただけたらと思います。最初に自己紹介です。入社してから12キロくらい太った写真だったので載せるのを非常にためらったんですけれども、今の自分を理解する上では必要だったので、載せさせていただきました。痩せます。
(会場笑)
趣味としてリアル脱出ゲームという謎解きが大好きです。来週は名古屋に行ったり、来月は福岡に行ったり、その次は京都に行ったり。全部謎解きをしに遊びに行くと。実は、今回の資料の中にもそういった要素を入れたかったんですけれども、僕の頭が追いつかなかったのでいっさい入ってません。ただ気楽に聞いていただけたらと思います。
1個だけ、私は誕生日がクリスマスです。みなさんは幸運だと思います。誕生日プレゼントとクリスマスプレゼント、2つもらえているからです。私の場合は、サンタさんがプレゼントを持ってきました。
クリスマス生まれのお子さんがいらっしゃるようであれば、年間(プレゼントを)2つあげていただけると、30歳になっても文句を言われたりしないお子さんができあがると思いますので。ぜひ優しくしてあげてください。
私が勤めているのは横河レンタ・リースです。今回この場になぜいるかと申し上げますと、ユナイトアンドグロウさんと資本関係にあり、当社に価値を感じていただければ、こういったご紹介の場をいただくことができています。今日は少しでも価値を感じていただけていたので、こういった紹介の場をいただけているのかなと思っています。
当社はレンタル事業として、IT機器のお貸し出しを行っていたり、システム事業というかたちでサーバーの仮想化、統合化をしていたりソリューションの開発を実施していたりします。
今回のお話のメインはデータレスPCとなりますが、まずはその前に、当社は今、ざっくり数十万台万台のパソコンを貸し出ししています。
数十万台万台も貸していると、いろんなお客様からいろんなご要望をいただきます。その中の1つが、セキュリティを強化したい。「このクライアントパソコンに対して、セキュリティを強化したいけど。横河さん、他社の事例ってどうなの?」とか、非常に多く聞かれます。
その場合にご案内するのは、「どの会社さんも最初は暗号化を選択します」と。とくに今後Windows10になってきたときには、サードパーティの暗号化ソフトの場合、フューチャーアップデートに対応できるのかどうかなどの話も出てくるので、ほぼほぼ今のお客様は、お話をお伺いしているとBitLocker(Windowsのデータ暗号化機能)を選択されるという話が非常に多く聞こえてきていますとお伝えします。
実際に私が担当しているお客様でも、「BitLockerにしようかな」という話が出ていてですね。サードパーティ製の暗号化はけっこう厳しくなってくるのかなというのはちょっと印象としてあります。
でも、暗号化しているとはいえ、結局データはパソコンの中の本体に残る。これは情シスさんなら経験があるかと思うんですけど、例えばパソコンが壊れたとき、結果として、(データを)復旧させて欲しいという相談が来る。
そうなると、暗号化をしているから余計に難しくなったり。「でも、この中にすごく重要なデータがあるからなんとかしてくれない?」と相談がくることもあるかと思います。こういったことを楽にするのはどうしようかと考えたときに、結果としてパソコンからユーザーデータをなくしてしまおうと考えることもあります。
そういった話をして、たぶんインターネットで検索していただくと、最初に出てくる選択肢はVDI(Virtual Desktop Infrastructure)だと思います。「VDIどうだ!」と思って、実際業者さんなどに問い合わせしていただくと、結論は「高い」です。
多くは「やっぱり高いから無理だ」という場合や、「運用が回らないからやめとこう」という話をよくお聞きします。
なぜ高いか? VDIに対応するには特殊なOSや特殊なアプリが必要です。今回は500ユーザーの例なんですけれども、500ユーザーがアクセスしても大丈夫なようなサーバー(があります)。結果的にネットワークも必要になったり。そこに対するバックアップも必要になるというところで、ざっくり500ユーザーが5年間利用すると、だいたい2億円くらいかかります。
「いやいや、そんな投資は経営者から理解得られないよ」という話でうまくいかないケースが正直多いと。結果として、暗号化とVDIは、それぞれなにが問題か? データがあると、費用が高い。この2つです。
ここから、「もし端末にあるユーザーデータをなくし」、「安いものがご提供できたら」どうだろう。これが横河レンタ・リースの発想です。その1つの回答が、「データレスPC」となります。
ユーザーデータがないってどういうことか? Cドライブに対するアクセスを制限し、ユーザーデータはすべて、自動的にサーバーへリダイレクトさせることで、結果として、クライアントのパソコン上からはユーザーデータをなくしてしまいます。
なんで高かったか? VDIの場合には、先ほど申し上げたようにサーバーにアプリ、OS、それぞれに特殊なものが必要でした。それらを、アプリとOSはクライアントのものをそのまま使い、ユーザーデータだけをサーバーのほうにリダイレクトさせるのであればどうなるか。と。
そうすると単純なファイルサーバーとクライアントPCの関係になるので、基本的には高価な設備等の投資は必要くなるので、ここから結果として、先ほど申し上げた2億円のVDIと同じような構成を作ろうとすると、だいたい2千万円くらいで環境を準備することが可能です
費用が10分の1からだいたい8分の1とかにはなり、VDIに投資するよりはお安くセキュリティも強化することが可能となります。つまりは、横河レンタ・リースが提供しているデータレスPCは、端末からユーザーデータをなくしてセキュリティを強化して、費用も安い。そういったソリューションとなります。
構成も非常に単純です。パソコンの中にソフトウェアモジュールをインストールすると、例えばOfficeアプリケーションはパソコンのローカルHDDからそのまま起動する。
しかしながら、Officeアプリケーションで作成したデータを保存しようとすると、ローカルHDDへの書き込みは制限されているので、それらがすべてサーバーのほうにリダイレクトされることとなります。
サーバーにはオンプレという選択肢もありますし、「いやいや自社でサーバー管理したくないから、なにかしらクラウド上のサーバーでやりたい」といった場合にはOneDriveにも対応可能です。
データレスPCの概要。単純に申し上げると、「ローカルハードディスクからデータをなくしましょう」。このデータというのは、ユーザーデータを指しています。アプリケーションとかはクライアントのままですね。結果としてなにが起こるか?
「安くて比較的性能のいいセキュリティ」。これは暗号化よりも使い勝手がよくて、VDIより費用が安いというところで入れさせていただいているものになります。
実際に入れていただいている会社様は、まずはネットイヤーグループ株式会社様。発売前の商品情報といった顧客企業の秘密情報も常に取り扱うため、営業担当者の持つモバイルPCのデータ保全が課題となっていました。
それに対応するためにVDIを入れようとしたけど、費用が合わなくて、ちょうど弊社がデータレスPCを出していたこともあり、導入していただくこととなりました。
次に、PE-BANK株式会社様。もともとVDIを入れていたお客様だったんですけれども、VDI導入後、操作性などいろいろ不満が出ていて、結果としてデータレスPCに変えていただきました。実際に入れていただいているお客様は他にもございます。
先ほど申し上げたサーバーのほうにデータを上げることによって、いくつかメリットもあります。データのロストがないということとイコールにはなるんですけれども、機器交換ですね。
(パソコンが)「壊れた」という話が来たときに、代替PCを準備すれば、ユーザーデータ自体はサーバー上にあるので、ユーザーがログインするとそのまま自分のデータにアクセスできるため、「はい、自分の環境ができあがりました」となります。
結果として、お客様のほうではクイックな機器交換が達成できます。そういったかたちで、「最先端だったらいいな」と思っている、データレスPCについてご紹介をさせていただきました。ありがとうございました。
(プレゼン終了時刻のアラーム音)
参加者:おお~。
(ガッツポーツ)
(会場拍手)
じみー:ショウイチさん、ありがとうございます。
ユナイトアンドグロウ株式会社
関連タグ:
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.09
国内の有名ホテルでは、マグロ丼がなんと1杯「24,000円」 「良いものをより安く」を追いすぎた日本にとって値上げが重要な理由
2024.12.09
10点満点中7点の部下に言うべきこと 部下を育成できない上司の特徴トップ5
2024.11.29
「明日までにお願いできますか?」ちょっとカチンとくる一言 頭がいい人に見える上品な言い方に変えるコツ
2024.12.04
いつも遅刻や自慢話…自分勝手な人にイラっとした時の切り返し 不平等な関係を打開する「相手の期待」を裏切る技
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.06
嫌いな相手の行動が気になって仕方ない… 臨床心理士が教える、人間関係のストレスを軽くする知恵
2024.12.03
職場の同僚にイライラ…ストレスを最小限に抑える方法 臨床心理士が語る、「いい人でいなきゃ」と自分を追い込むタイプへの処方箋
2024.12.05
「今日こそやろう」と決めたのに…自己嫌悪でイライラする日々を変えるには
PR | 2024.12.04
攻撃者はVPNを狙っている ゼロトラストならランサムウェア攻撃を防げる理由と仕組み