前職を退職した際に受け取る退職一時金をどうするか。

昨年の5月のGWに起業して年収1000万円もらおうとする場合に、どれぐらいの売り上げが必要なのかを調べたんですよ。 その時の記憶で確定拠出年金（401k）はいいぞー！っていう意識があって、、、、前職の人事から退職金を401kに全額回すか、現金でもらうかどっちがいいですか？と聞かれたのでどっちがお得かを考えてみました。

そもそも…なんで確定拠出年金（401k）がいいと思っていたか。それは節税効果です。 自営業の場合に節税としても、将来への蓄えとしても利用できるものはいくつかあるんですが、その中でも確定拠出年金は非常に効果が高い。

改めて考えると、今回みたいに退職金を確定拠出年金（401k）に投入することって、意味ないんですよ。だって、控除が受けられるわけではないですもん。退職金一時金として受け取っても、退職控除で全額もらえますからね。

keiei.co

１．掛金拠出時（積立時）の控除 掛金が全額所得控除になる

自営業で節税効果の高い仕組み

小規模企業共済（年84万）＞確定拠出年金（401k）（年66万）＞倒産防止共済（年36万）

結局、どうする。

結論は②の退職一時金として受け取ることにしました。

①　確定拠出年金（401k）に全額投資する 運用資金を増やすことができる。 ⇒必ずしも運用益が出せるかどうかも怪しいので、運用資金が増えたとて別にメリットにはなりえないと判断。

②　退職一時金として受け取る 退職控除により額面通り受け取ることができる。 ⇒住宅購入時に頭金を50万をプラスできる。年間12000円、35年で42万安くなる。こっちのほうが手堅くていいな。

suumo.jp

9.6万円/月　=　物件価格：4000万、金利：0.65%、頭金：400万円、支払期間：35年 9.5万円/月　=　物件価格：4000万、金利：0.65%、頭金：450万円、支払期間：35年

～おしまい～

CASBとは*1

CASB（Cloud Access Security Broker：キャスビー）とは、ガートナーが2012年に提唱した言葉で、企業が利用するクラウド・アプリケーションについて可視化、データ・プロテクション、ガバナンスを実現するサービス／製品を指す。

ゼロトラストネットワークの記事で言及した、社内でクラウドサービスを使う機会が増えてきた場合の対応方法ですが、昨今ではCASBというのが熱いらしいです。

ガートナーが2012年に提言し始めたところから考えると、私の情報Updateが明らかに追いついていない（汗

そもそもなんでこんな考え方が必要になったのか

cloudsecurityalliance.jp

クラウドシフト、最近では「働き方改革」といったワークスタイルの変革により、「データ」自体がオンプレミスを離れ、さらにはユーザ自体が多層防御の効かない企業外から、同じアカウントを別のパソコンから（場合によってはスマートフォンから）利用することでもアクセスが可能になってしまった。

WAF・IPS/IDS・FW・Proxyの構成しか知らなかったのでなんでCASBがいるんだろうな～と思ってましたが、よくよく考えてみるとすべてオンプレプロキシーを経由させる迂回構成はコスト高いですからね… O365の多セッションも後押ししているように感じます。

CASB製品って何ができるの

www.sbbit.jp

CASB製品を利用するうえでの条件

クラウドプロキシで終端したクラウドアクセスに対するセキュリティ機能の提供や、各アプリケーション提供APIによる詳細なデータアクセス制御、シャドーITと言われるリスクの高いアプリケーションに対する制御に限定される。

CASB製品の機能とシステム構成要件

大企業においては、CASB製品が未対応のクラウド利用なんかを認めるわけないので、APIモード+リバプロモードの組み合わせにすればエージェント導入も不要なんじゃないかと夢想。

ちなみに、ファイルが機密情報なのかそうでないのかを判断するためのラベリングが非常に大変だということも聞いたことがある。機能を実現するための仕組みに複雑さは感じないが、運用するための整理が非常に苦労しそう。

1つ目のAPIモードは、SaaS（クラウド）が提供するAPIを所定の権限で利用して、アクセス／データの流れを可視化する。そして、APIを介して詳細なレベルのアクセス権限設定やデータ保存の制御を実行する。これを得意としているベンダーがSkyhighである。 2つ目のフォワードプロキシ・モードは、オンプレミスとクラウドの双方の提供形態がある。基本的にトラフィックをフォワードしてクラウドとやり取りする仕組みだ。これを得意としているのがNetskopeである。同社の場合、フォワードプロキシと端末側にエージェントをインストールし、両者を連携させながら制御している。 フォワードプロキシ・モードで通信する場合、端末側のエージェントが必ずプロキシを通過するので、未承認クラウドとのやり取りも可視化できるというわけだ。もちろん、認証クラウドでは詳細な制御が実行できる。 3つ目のリバースプロキシ・モードは承認済みクラウドに近い位置に配置する。そのため、承認済みクラウドとのやり取りは可視化できるが、未承認クラウドとのやり取りは可視化の対象にならない。その反面、端末にエージェントをインストールする必要はなく、接続する端末やアカウント、承認済みクラウドでの詳細設定が可能だ。 導入のイメージとしては、BYOD（Bring your own device／個人端末の業務利用）を積極的に進めている企業はリバースプロキシ・モードを、逆に会社支給のデバイスのみ利用を許可している企業はフォワードプロキシ・モードの製品を採用することがよいだろう。 ちなみに、4つ目のエグジスティングプロキシ・モードは、一般的なプロキシを指す。ここで取得したログをCASBベンダーが分析し、利用者はその分析結果をダッシュボードで確認できる。つまり、すでに導入しているセキュリティソリューションのログデータをCASBが分析するというイメージだ。

CASBの今後

cloudsecurityalliance.jp

厳密なCASBだけのメリットというのも定義は難しくなっているのも現場の混乱を招いている一因と言える。実はこれについてはGartnerが2016年のGartner Summitにおいて、CASBはやがてネットワークファイアウォール、SWG、WAFなどにパッケージ化されていくだろうという予測を出しており、導入する側の企業としては、その要件について純粋なCASBが満たすのかそれともパッケージ化された既存技術が適切なのかを判断するよう説いている。

製品が複数機能を持ちすぎて、理解が難しくなりそうですが、製品導入の際にはSaaS利用も見越した製品選定が必要であることを忘れないようにしようと思う。

昨日はSUNABACOさんが企画している「WordPress初級講座」を受けてきました。

techplay.jp

インフラエンジニアもアプリケーションを知らないとだめでしょう。 という意識は昔からあったのですが、プログラミングと聞くだけで抵抗感が（苦笑）

WordPressはツールを使って構築するという印象を持っていたので、やれる！という気持ちで望みました。講師の方の親切丁寧な説明のおかげで初級編を終えただけですが、企業HP作れそうな気がしています。

将来、嫁を活用（悪意はありません（苦笑））してスナックか小料理屋を経営しようと思っているので、そのホームページでもできたらいいなぁ。

今の手元の開発環境は、Azure App ServiceのWordPress（月額3,000円程度）なんですが、仮想マシンと違って停止しても課金は止まらないんですよ。 ということで、正式に外部公開するまでは安く済ませたいので、Azure仮想マシン上にWordPress環境を構築して、公開できるようになったらロリポップサーバ+ムームードメインの組み合わせにしようかと思います。

今後の流れ

1. 仮想マシンデプロイ(Linux)+WordPress環境構築 参考サイト*1
2. WordPressにてホームページ作成 参考イメージ*2
3. WordPress設定のエクスポート
4. ロリポップサーバに移設
5. WordPress設定のインポート
6. 独自ドメインの取得、SSL化
7. 外部公開

おまけ：一定額支払ってプロに委託（自分のレベルを測る）

質問したいことリスト

• 上記流れで移設できるのか、後からドメイン変更しても問題ないか
• WordPressを利用するうえでのセキュリティ対策
  • 投稿フォームさえなければよいのか

～おしまい～

転職（転職先は大手SIer）したし、CISO（Chief Information Security Officer　最高情報セキュリティ責任者）*1になりたいです。って公言しようかと思っています。

将来の夢を持つのは自由さ～♬

志した（個人的な）理由

１．なんかかっこいい

これは説明不要。ハッカーが格好良く見えるのと同じ理由だと思われる。

２．セキュリティリスクは常に進化し続けるので絶え間ない努力が必要

追いつくのが大変ということは追われる立場になった時も優位性がありそう。

３．日本におけるCISOの設置企業が極めて少ないこと（≒稀少価値がある）

日本で設置している企業が少ないというのは、そもそもいらないから設置していない可能性もあるため、必ずしも稀少価値がでるかはわからないが、少なくとも、グローバル進出するほどセキュリティリスクは上がるはず。

４．問題が発生したときは大規模なのでわくわくできそう

大トラブルの時こそ、決断力や冷静な状況整理が必要となるため、性格診断上向いている。

ESTP型 起業家タイプ*2

ESTP型の人は、性格診断の全タイプ中で、もっとも決断が早く行動力があります。

５．セキュリティ分野は人気がなく、各担当者の技術力が低い傾向にあるため競争率が低い（勝手なイメージ）

これは経験則と聞いた話からの推測。あながち間違っていないと思う。

想定問答

Ｑ１．CISOに必要なスキルとは？

• CIO（Chief Information Officer　最高情報責任者）をはじめとした、経営方針に寄与する人物との交渉能力。

• セキュリティは際限なくお金がかけられる分野な一方で、お金を生まない分野なので交渉が非常に難しいと想定している。

• 常に情報のアップデートを行うこと。

• 英会話をはじめとした英語のスキル（アメリカ・イスラエルが最先端技術を持っているため）。

Ｑ２．君がやる意味は？

やりたいと思っているから。

• 人間性：

  • 技術的な話を素人に対してかみ砕いて説明できる能力に長けている。また、有事の際にも迅速な判断ができる。（判断結果が正しいとは言っていない）

• 技術力：

  • ベンダーで5年間の下積みを経験しているため、技術力のベースが備わっている。但し、アプリケーションに弱い側面を補う必要がある。

  • セキュリティ分野に関する知識はないため、フォローアップが必要。（机上学習・現場経験の両面からアプローチ）

Ｑ３．君がやることで会社にはどのようなメリットがある？

• 私がやることを評価されたという前提では、派遣契約でユーザー企業のCISOに着任

• セキュリティ強化に向けて必要な体制（SOCなど）を依頼が受けられればストックビジネスとして成立する

Ｑ４．君に足りないものは？

• ゼロからセキュリティ体制を組成する場合の必要な手順

• 協力してくれるメンバー2名（アプリケーション/インフラ分野の有識者1名ずつ）※その他メンバーは育成

Ｑ５．君に足りないものをどうやって補う？

• 英語：

  • 地道に頑張る（通勤時間のヒアリング、就寝前の発音練習（聞く耳））

  • セキュリティ関連の英語論文を読む

• 必要なメンバー：

  • 業務を行いながら探す⇒公言していればそのうち共感してくれる人は見つかる（と信じてる）

• セキュリティ分野に関する知識：

  • 現場経験を3年程度積んだのちに「情報処理安全確保支援士試験」を受験 （CISSPなどの高難度の資格試験は必要に迫られたら検討）

セキュリティ分野における国家資格には、「情報セキュリティスペシャリスト試験」に代わる試験制度として2017年から開始された「情報処理安全確保支援士（以下、支援士）試験」があります。 https://cybersecurity-jp.com/how-to/21726

Ｑ６．会社に何を求める？

資格取得支援やキャリアを実現するためのプロジェクトアサイン

～おしまい～