コラム｜トライベック・ストラテジー

当サイトを最適な状態で閲覧していただくにはブラウザのJavaScriptを有効にしてご利用下さい。
JavaScriptを無効のままご覧いただいた場合には一部機能がご利用頂けない場合や正しい情報を取得できない場合がございます。

COLUMN

コラム

トライベック・ストラテジー社員が多様なテーマで情報を発信するコラムです。また、社外からではなかなか見えにくい社内のさまざまなトピックもお届けします。

広報・PR

2018年6月18日

「宣伝会議インターネット・マーケティングフォーラム2018」に協賛しました

2018年6月5日（火）・6日（水）にANAインターコンチネンタルホテル東京で開催された宣伝会議主催の「インターネット・マーケティングフォーラム2018」に、今年もプラチナスポンサーとして協賛しました。今年で7年目となります。【 1日目】準備と講演スタート初日は、会場となるANAインターコンチネンタルホテルへと荷物の搬入から始まります。ブースにテレビモニターを設置する工事があるため、8：00には会場へ搬入しなければなりません。7：30にオフィスへ一旦出社し、荷物を運び出して、いざ会場へ。 8：00からは講演リハーサルが始まるため、そちらに立ち会わなければなりません。そこで、ブースの配置やパンフレットの用意などはデータドリブンマーケティング部やコンサルティング部の若者たちに任せて、大会場のリハーサルのほうに参加しました。音声やPCの切り替えなどのチェックを行ったあとは、講演後の手土産として小冊子を配布するために、会場係の方とスムーズに配布するための打ち合わせなどを行い、朝からバタバタです。準備を終えて一息ついたら、10：00からのオープニングキーノートに合わせてお客様の来場が始まりました。トライベックの講演枠は11：50から。今年はどんなお客様が来場されるか、ドキドキです。配布冊子は、ちょっとだけこだわってみました講演終了時にアンケートと交換で配布する小冊子。今回はデザインを刷新しました。また紙の質にも少しこだわってみました。講演配布の小冊子今年は講演タイトルに合わせて『デジタルマーケティングの未来はヒューマンインサイトCXにある　～消費二極化時代の今、立ち止まって本質を考えるべき理由とは～』という小冊子をお配りしました。毎年、講演を聴いていただいたお客様に大変好評の冊子です。展示ブースもがんばりました展示ブースでは、国産マーケティングプラットフォーム「HIRAMEKI management®」を中心に、トライベックのサービス全般をご案内させていただきました。すぐにトライベックのスタッフだとわかるように、赤いポロシャツに「TRIBECK」ロゴの入ったユニフォームでお迎えします。日頃お世話になっているお客様や、懐かしい方との再会などもありました。新卒社員もがんばります【 2日目】雨の中、展示ブースでご案内です朝も早くから雨というあいにくの天気でスタート。雨にもかかわらずたくさんの方に来場していただき、我々スタッフもさわやかに元気よくお客様をお迎えします。昨日に引き続き、この春入社した新卒メンバー5名にも、パンフレットを持っての呼び込みをしてもらいました。これも大事な仕事のひとつです。さわやかメンバー 2日目はトライベックの講演がないので、トライベックのクライアントの来場は若干少なめでしたが、それでも来場していただいたお客様へご挨拶させていただき、18：30までみんなでがんばりました。 19：00に運送業者が荷物を引き取りに来るため、30分で慌てて梱包しました。こういう時の一致団結はスバラシイと思います。車に荷物を積み込んで、見送ったら搬出完了です！あとは、この2日間のがんばりをねぎらうしかありませんね。無事に2日間のイベントが終了。みんなで乾杯、お疲れ様でした！...

社内イベント紹介

2018年6月11日

トライベック「登山部」活動開始しました！

トライベックには、社員の健康促進や、社員交流を目的とした、部活動の補助制度があります。今期は新たな部活がいくつか誕生しました。トライベックに新たに誕生した「登山部」トライベックで新たな部活動の申請が始まった際、ダメ元で申請したら意外と人数が集まって創部された「登山部」。6月2日（土）に、初めての活動をおこないました。体験入部の人や、登山が初めての人もいることから、今回の目的地は高尾山にしました。首都圏に住んでいても意外と自分の足で登ったことがない人が多いようです。高尾山には1号路から6号路、そして稲荷山コースと呼ばれるルートなど選択肢が複数あるのですが、今回は稲荷山コースで登り、1号路を下ることにしました。 1か月以上前から予定していたので、まずは天気が心配でしたが、関東はまだ梅雨入り前、晴天に恵まれ最高の滑り出しです！　現在所属する11名のメンバーのうち、都合がついた9名が今回参加しました。さぁ、出発です！京王・高尾山口駅にまずは8名が時間通りに集合し、出発です。（1名は前日の残業の影響で遅れるため、山頂合流となりました）装備や服装もさまざまです。（インディ・ジョーンズと街歩き？　という組み合わせ）稲荷山コースは、ほぼ未舗装で、木の根が出ているところや丸太の階段など、足元が不安定な道が続きます。登り始めから急な階段などでいきなり足に負荷がかかりますが、ゆっくりと慣らしつつ、皆でしゃべりながら登ります。あずま屋がある展望台に到着して一服。ここまで約30分かけて登ってきました。水分補給とちょっとしたお菓子をつまみながら、八王子や、遠くには新宿のビル群を望みます。森林浴でリフレッシュ！　そして最後の難関が再び登り始めると、しばらくは尾根道で林間のなだらかな道を歩きます。この辺りに来ると、さまざまな鳥のさえずりが耳に入ってきて、空気も美味しく感じられました。また、緑あふれる空間に、普段PCばかり見ているメンバーは思わず「癒される……」とつぶやいていました。気持ちの良い木陰の道を抜けると、急な階段が目の前に現れます。この200段を登らねば山頂には到達できません。「ゆっくりと自分のぺースで登ろうね」と言った矢先、トレイルランナーである部長と元陸上部の新卒男子は、我先にと駆け上がっていってしまいました……。ともあれ、全員無事に登頂！山頂に到着～下山は楽しく観光客・登山客でにぎわう山頂で、もう1人のメンバーと合流。残念ながら雲が多くて富士山は見えませんでしたが、全員で記念撮影です。今回、登山部のロゴをクリエイティブUX部が作成してくれたので、パネルにして持参しました。やる気が出ますね！予定より早く登ってこられたのと、まだそれほど空腹ではないということで、お昼ご飯はちょっと我慢して、それぞれアイスやフランクフルトなどを茶屋で購入してかぶりつきました。下山はケーブルカー駅にもつながる1号路を選択し、寄り道・食べ歩き推奨で楽しみながら下ります。1号路は舗装されているので、おしゃべりに夢中でも足元は安心です。薬王院の本社・本殿でそれぞれお参り。厄除開運の「願叶輪潜（ねがいかなうわくぐり）」には皆で並んでくぐってきました。ご利益があると良いですね。茶屋を見つけた途端に、空腹を感じるのはなぜでしょう……。思い思いに買い物をして、立ったまま味わいます。冷やしキュウリに味噌田楽……美味しかったです！顔出しパネルもあったので、ちゃんとやってきました。開運ひっぱり蛸に群がるメンバー。 1号路は土産物屋でにぎわうケーブルカーの駅を過ぎると、ひたすら急な下り坂です。疲労した足にかなりの負荷がかかりますが、あと2kmほどと頑張りました。全員無事に下山～登山後のお楽しみ全員が無事に下山し、名物のお蕎麦で昼ごはん。風呂上りではありませんが、何人かはフライングで生ビールを頼んでしまいました。大変美味しかったです！食後には高尾山口駅すぐにできた「京王高尾山温泉/極楽湯」で汗を流しました。この後、まだまだ陽は高い15時過ぎでしたが、8名で打ち上げになだれ込みました。打ち上げは3時間近く盛り上がってしまいました。早起きして登山をして、一日がとても長く感じる充実した休日になりました。メンバーからは早くも「次はいつ？」「どこへ登るの？」と質問や要望の声が上がり、次を早く計画せねば！　と思っています。トライベック「登山部」では、初心者でも楽しめて、心身ともにリフレッシュできる活動をこれからも続けていきます！...

マーケティング

2018年6月4日

Webサイト運用あるある：「更新の依頼方法が分からない」編

こんにちは！ Web運用ディレクターのY氏です。日頃のWebサイト運用更新でよく発生する状況を「Webサイト運用あるある」として取り上げ、より安定した運用を継続するためのポイントをご紹介します。今回のテーマは「更新の依頼方法」です。下記のような経験をされたことはありませんか？ Webサイトの更新依頼をしたいが、何をどう伝えれば良いか分からない Webサイトの更新依頼を受けたが、どのページのどこをどう更新すれば良いか分からない Webサイト運用更新には“つきもの”と言えるほどよく発生する状況ですが、更新を依頼する側（以下、依頼者）もされる側（以下、作業者）も、できるだけ円滑に更新を進めたいという気持ちは同じです。しかし、依頼内容が複雑になればなるほど、誤認や手戻りのリスクが増えてしまい、スムーズに進行することが難しくなります。今回は、Webサイトの更新を依頼する際のポイントをご紹介します。作業者が“完成イメージを正しく理解できる”形で依頼する依頼の形式や書式に決まりはありませんが、「どのページがどう更新されればよいか」を作業者が正しく理解できるように、依頼者が“必要な情報を揃えて依頼”することがとても重要です。更新ページ数が多い場合やページの内容を大幅に変える場合など、複雑な依頼を行うときは、メールなどで概要を連絡しつつ補足資料としてWord、Excel、PowerPoint などで作成した“指示書”や“テキスト原稿”などを添付すると良いでしょう。依頼内容には、最低限下記の要素を含めるようにします。更新対象ページのURL（複数ある場合は一覧表を添付）更新箇所（現状のページ内容をベースに変更箇所と変更内容を明記、複数ページの場合はページごとに記載）掲載するテキスト情報（必ずコピーペーストできる形で準備）リンク先のURLと遷移方法（同窓・別窓）の指定（リンクが複数ある場合は一覧表を添付）画像やPDFなど、掲載用の素材（画像はサイズを変更しても粗くならないよう、できるだけ大きいサイズで準備）このように依頼者が具体的な情報を揃えておくことで、作業者の誤認や依頼者への確認・手戻りが発生するリスクを減らすことができ、更新作業をスムーズに進行できます。ここで、分かりにくい更新依頼のパターンと、そこから得られる教訓をいくつかご紹介します。 “曖昧”な表現や、“ざっくり”とした指示はNG 例えば、作業対象ページを「○○のページ」というように具体的なURLを示さずに指定すると、作業者が似ているページを誤って修正してしまうことがあります。ページを指定するときは「○○のページ」ではなく、“具体的なURL”を伝えましょう。また、頻繁に行う更新をいつもの作業者に依頼する場合、「いつもの感じで」や「以下同文で」というように指示を省略してしまうことがあります。しかし、途中で作業者が変わった場合や、後から他の依頼者が同様の依頼をしようとしたときに、明確な指示内容が残っていないとスムーズに更新業務を引き継げません。依頼をした本人も時間が経ってから同じ作業を依頼しようとして「この時どういう風に依頼したかな」と後で確認するケースもあります。さまざまなケースを想定して、指示はできるだけ“明確に資料化”しておくことをおすすめします。発生頻度の高い作業は、“依頼時に使う資料そのものを定型化”しておき、資料作成の手間を省けるようにしておきましょう。ガイドラインやHTMLコーディングルールなどに則していない指示もNG 依頼時の情報や素材に不足がない場合でも、依頼内容そのものに不備があるケースがあります。よくあるのが、依頼内容がガイドラインなどの“ルールに準拠していないケース”です。例えば、ガイドラインでは赤色文字を禁止しているのに赤色文字を使うように指示している場合や、小見出しは太字で下線をつけないルールなのに「小見出しに下線をつけてほしい」という指示をしてしまうことがあります。「ルール通りだと目立たない」というときにありがちですが、ガイドラインやルールはサイト全体の体裁を保ち、サイトの機能やブランドイメージを保持しつつ、必要な情報がサイトの閲覧者の目に止まるように設計されているので、それらを無視して個別の体裁を指示しないようにしましょう。また、ガイドラインに既定されているパーツを使って指示をしている場合でも、例えば大見出しと小見出しを逆の体裁で入れるように指示するなど、“HTMLの構造を踏まえずに依頼してしまうケース”もあります。大見出しや小見出しはHTMLの構造に沿って適切に表示されるようCSSで制御しているケースがほとんどなので、HTMLの構造と異なる指示を受けると作業者は困惑します。依頼者はガイドラインやHTMLなどの“前提条件を最低限把握”した上で、“作業者が無理なく対応できるように依頼する”ことを心がけましょう。テキスト情報は必ず“コピー&ペーストできる形”で準備し、表記ルールも考慮例えば、依頼者が「修正後のテキストはこの画像と同じにしてください」というような指示をした場合、作業者は画像を見ながら文字を手入力することになり、作業が複雑化する上に間違えて入力してしまう可能性があります。また、依頼者が作業内容を確認する際も、コピー&ペーストでページ内検索を使って確認した方が、目視確認よりも早く正確にチェックできます。“依頼者・作業者双方にメリットがある”ので、テキスト情報は必ずコピー&ペーストできる形で準備しましょう。また、依頼者がテキスト情報を準備する際に、表記ルールに沿って原稿を作成することも大切です。作業者が表記ルールに沿ってテキスト情報を修正しながら更新することもできますが、作業者の工程が複雑化する上に、依頼者が確認時にコピー&ペーストによるページ内検索をしてもヒットしなくなってしまい、詳細な目視チェックが必須になってしまいます。全行程をスムーズに進めるためにも、“依頼者側で表記ルールに沿ったテキスト情報を準備”しましょう。図表やイラストなどのクリエイティブ素材の制作指示は、できるだけ“具体的”にクリエイティブ素材は表現の幅が広く、個人の感覚に依存するため、曖昧な指示で細かい部分を作業者まかせにしてしまうと、できあがったものが依頼者の意図から大きく外れてしまう可能性が高いです。「いい感じに」や「かっこよく」というような曖昧な指示ではなく、イメージやデザインコンセプト、使う文言や画像、配色、トーン&マナーなどを“できるだけ細かく指定して、修正箇所が少なくなるように依頼”しましょう。ラフイメージや似ている画像を“参考イメージとして添付”するのも効果的です。...

テクノロジー

2018年5月28日

どっちを選ぶ？　誰も教えてくれなかった意外な答え

EGセキュアソリューションズ　徳丸浩氏特別インタビュー　第4回（全4回）セキュリティを高めようとすると利便性が低下したり、コストがかかったりすることが多々あります。やった方がいいのはわかるけれども、問題なければ楽な方、安い方を選びたい、そう考えるのは当然だといえます。判断に迷ういろんなものをEGセキュアソリューションズ代表　徳丸浩氏、セキュリティエンジニア　岡本早和子氏に聞いてみました（聞き手：トライベック・ストラテジー　工藤友美）。レンタルサーバって意外と良い！？ li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kudou:after { display: block; content: '工藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } .columndetail .wysiwyg-body ul > li.kome2:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } --> Web健康診断を受ける費用もない、でもこれからサイトを立てなければならない、という場合はどうすればよいのでしょうかクラウドだと「自分で導入しない・作らない」ということが重要です。SaaS型のものを利用し、プログラムは入れない、コンテンツを入れるだけ、という割り切りですね。レンタルサーバや一部のVPSにはWAFが入っているものもあります。レンタルサーバとVPSの比較は難しいですが、お金がない前提であればレンタルサーバの方がお勧めです。ソフトウェアの導入もたいていやってくれますし、アップデートまではやらないものの注意喚起などもしてくれます。そういうこまやかな対応をしてくれるところを使うといいですね。世間的にはレンタルサーバはダメ、という印象があるようですが、しっかりしているところを選べば意外によいと思いますよ。レンタルサーバはPaaS相当なので、IaaS相当のVPSに比べるとセキュリティ作業は少なくて済みますから。 SaaS　Software as a Service。必要な機能をサービスとして利用できるようにしたソフトウェアまたはその提供形態。ソフトウェアを動作させるためのサーバを用意する必要がない VPS　Virtual Private Server。一台の物理サーバ上で動作する複数の仮想マシンを専用サーバとして個別に提供するサービス。自由度が高い割に安価レンタルサーバ　事業者によって管理される物理サーバを複数顧客で共有するサービス。顧客間の影響・不正利用を防ぐためユーザの権限は限定される PaaS　Platform as a Service。アプリケーションソフトが動作するためのプラットフォーム（ハードウェアやOS）をサービスとして提供するもの IaaS　Infrastructure as a Service。ハードウェアやネットワークなどのインフラを仮想化してサービスとして提供するもの。ユーザはその仮想マシン上にOSをインストールして利用するお勧めのレンタルサーバはどこですか？さくら……と言いたいところですが、レンタルサーバではWAFが今イチですね。せっかくいいWAFを使っているのに、チューニングが一切できないんですよ。どこですかね。過去やらかしているところはちょっとお勧めしづらいですし……KDDIウェブコミュニケーションズとか？ CMSを使いたいというように、はっきりとした目的があったときは最初からCMSが使えるようになっているもの、目的に沿ってApacheの設定がなされているようなところがいいのでしょうか。設定はレンタルサーバ事業者側にお任せ、という形になるわけですが。 CMS　Contents Management System。Webのコンテンツを管理するシステムで、一般的なブログツールに比べバージョン管理、承認フローなど企業利用に求められる機能が豊富 Apache　代表的なWebサーバプログラムのひとつそちらの方がいいですね。ただプラグインの確認は必要です。自動アップデートにしておくべきです。動作確認の前にアップデート、という運用でしょうか？乱暴だという意見もありますが、そうするしかないと私は思いますね。クラウドだとイメージ全体のスナップショットを取ることができますから、最悪切り戻しが可能です。今の攻撃のスピードを考えると普段は確認なんかせずにアップデートしろ、というのが私の意見です。動作確認に時間をかけるより、素早く切り戻しできる運用体制を構築すべき、ということですね。そうです。 SaaSよりももっと自由度が必要な場合はIaaSになると思いますが、気を付けるところはどこでしょうか。 IaaSの場合はOS、ミドルウェアのパッチ適用を自分でしなければいけませんが、それができないエンドユーザはそこをやってくれるベンダにお願いする必要があります。このあたりは曖昧になりがちなので契約の際に明確にしておくべきです。「ソフトウェアのアップデートは運用に入るんですか」というようなことですね。トライベックでは緊急度の高いパッチの適用を2人日/月を上限として実施、定期的なパッチの一斉適用を別途見積、というように明確に出しています。ベンダの方から適用が必要なパッチを知らせてくれるところがいいですね。言われたらやる、というベンダだとエンドユーザ側に知識と情報収集を強いることになります。そこをはっきりさせておくことはエンドユーザのためだけでなく、ベンダ側の免責にもなることです。パッチ適用がオプションとしてメニューにあった場合、それを買わなかったらエンドユーザの責任になるので明確化しておくことはいいことなんですけど、なぜかなあなあにしちゃうんですよね。コンペに勝ちたい一心なんでしょうけど。「RedHat」v.s.「CentOS」v.s.「Windows Server」 IaaSだとOSの選択肢がありますが、CentOSとRedHatにセキュリティ面の違いはありますか。 RedHat　RedHat社が販売・開発・サポートする有償のLinuxディストリビューション、RedHat Enterprise Linuxのこと CentOS　RedHat Enterprise Linuxとの完全互換を目指したフリーのLinuxディストリビューション現実的にはないんじゃないかと思ってますが、RedHatがほんのちょっとアップデートが早いかな。 RedHatの場合はELSがあるのに対し、CentOSは標準サポートで終了します。ただ、ELSはパッチが少ないですよね。それくらいなら標準サポートが切れる前にメジャーバージョンアップしてしまうのがいいんでしょうか。 ELS　RedHat Enterprise Linux Extended Life Cyle Support（延長ライフサイクルサポート）。標準サポート期間終了後に追加料金を支払うことで受けられる延長サポートそう思います。CentOSもRedHatもサポートは10年ですが、10年の後半はそもそも脆弱性があってもよっぽどクリティカルなものでない限り、あまりパッチが出てきません。なのでパッチが頻繁に出ている間に移行した方がいいと思います。ただ、それ言うとRedHatもCentOSもバージョン7が出てからかなり経ってますが、なんで8が出ないんだか（笑）。 WindowsとLinuxだとどうですか。長期的に利用するのであればWindowsはいい選択だと思います。マイクロソフトはパッチに対して非常に真面目ですので、サポート終了まできっちりパッチが出てきます。が、日本ではWindowsでサイト運用しているベンダが少なく、経験もあまりないのでそこは気を付ける必要があります。うちもWindowsは基本お断りしてますね。海外ではStack Overflowなど大手でも採用実績があるんですけどね。 Stack Overflow　プログラミング技術などに関する技術系ナレッジコミュニティサイトもう企業認証証明書なんていらない！？今は常時HTTPS化が必須となっていますが、その際に導入するサーバ証明書にもドメイン認証、企業認証、EV証明書と複数のグレードがあります、そこの選び方はプレミアムプラン・スタンダードプランを選ぶときのように「どこまでを求めるか」というところになってくるのでしょうか？サーバ証明書　ブラウザ・Webサーバ間の通信を暗号化するHTTPS通信において、サーバが正しいものであることを保証する証明書。正規の認証局によって発行されるドメイン認証　サーバ証明書の一種。当該ドメインの管理者によって申請されていることを保証する。簡易的な認証なので安価なものが多い企業認証　サーバ証明書の一種。当該ドメインを所有している企業が存在し、そこに在籍する担当者によって申請されたことを保証する EV認証　サーバ証明書の一種で実在認証ともいう。企業認証に加え、所在地の認証などより厳格な認証を行う。ブラウザのアドレスバーが緑色になり、運営組織が表示される私は割り切った考えをしています。つまり、EVかドメイン認証の二択。ユーザはいちいち証明書なんか見ないですよね。 EVはブラウザのアドレスバーに表示されるので目につきますけどね。そう、だからEVは意味がある。でも、EVでなければ企業認証なのかドメイン認証なのかなんて、ユーザにはわかりません。例のシマンテック騒動がありましたけど、シマンテックって旧ベリサインですよ。そこがダメって言われるんだったら、もうなにを信用すればいいのやら。だからドメイン認証で十分だと思いますね。シマンテック騒動　サーバ証明書発行最大手だったシマンテックの証明書発行プロセスに問題があるとして、Googleはシマンテックの発行した証明書を無効化すると発表した。その後、シマンテックはサーバ証明書事業をデジサートに譲渡しているベリサイン　かつてサーバ証明書の最高級ブランドのひとつだったが、2010年にシマンテックに売却されたうちもこの騒動には泣かされていて。シマンテックからデジサートへの移行がうまくいっていなかったのか、シマンテック傘下のRapidSSLが3か月ほど購入できずに困りました。 RapidSSL　現デジサートが販売する、安価なドメイン認証型証明書のひとつもうLet's Encryptでいいと思いますよ。私も個人用サイトはすべてLet's Encryptです。 Let's Encrypt　電子フロンティア財団、Mozilla Foundationなどによって創立された認証局。発行プロセスが完全自動化されており、ドメイン認証型証明書を無償で利用できる徳丸本改訂版の内容は……？さて、『体系的に学ぶ　安全なWebアプリケーションの作り方』、いわゆる徳丸本の改訂版を上梓されるとのこと、おめでとうございます。改訂版のポイントはどこでしょうか。徳丸本　『体系的に学ぶ　安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践（SBクリエイティブ）』のこと。Webアプリケーション開発者必読の書とされている元々はHTML5対応と謳うつもりだったんですが断念しました（笑）。WebAPIに対応したこと、それからJavaScript側の脆弱性も取り上げています。こちらはHTML５といってもいい内容です。そのほかXXE、デシリアライゼーションなどOWASP TOP10 2017への対応、それから脆弱性診断体験ができるものを用意しています。 OWASP TOP 10　OWASPが3～4年ごとに発表しているWebアプリケーションの脆弱性トップ10。カード決済業者向けの規格PCI DSSなどが参照しており、大きな影響力がある。OWASP TOP 10 2017はその2017年版 OWASP　The Open Web Application Security Project。Webアプリケーションのセキュアな開発の促進などを目的とした国際的なオープンソース・ソフトウェアコミュニティ XXE/デシリアライゼーション　OWASP TOP 10 2017で新たに追加された、脆弱性が懸念される仕組み脆弱性診断体験とはどういったものでしょうか。脆弱な診断対応アプリをおまけでつけます。それに対してOWASP ZAPの自動診断を体験してもらいます。それとOpenVASというフリーの脆弱性診断ツールをVMで用意しようとしていたんですけど、思ったほどの性能ではなくて、どうしたものかな、と。 OWASP ZAP　OWASPの開発した脆弱性検査ツール OpenVAS　オープンソースで開発されている脆弱性スキャナ発売はいつですか？ 6月です。お聞きしているとまだかなり作業が残っているように聞こえますが……。大体はできているんですよ。でも、どうして今日になって排他制御の話が出てくるかなあ（笑）。書きたい（笑）。 IPAのITパスポート試験における個人情報漏洩ですね。排他制御は2、3年に1回話題になるんですよ。日経の記事によると日立製作所だそうで、そのレベルの企業でもやってしまう、というのは驚きですね。ただ、基幹業務系をやっている人が排他制御をおろそかにすることは考えにくいですが、逆にWeb系の技術者だとありそうです。この話が盛り込まれるのかどうか含め、6月の発売を楽しみにしています。本日はどうもありがとうございました。本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。関連コラム第1回：気づかぬうちに暗号通貨を掘り出す攻撃者たち第2回：セキュリティ対策はどこまでやる？第3回：セキュリティ対策、最初の一歩は？関連リンクトライベック・セキュリティソリューション...

会社紹介・その他

2018年5月21日

The 社員インタビュー（2018年新卒メンバー）

トライベック・グループには、様々なキャリアをもったメンバーが在籍しています。Web業界で豊富な経験を積んできたメンバーはもちろん、全くの異業種からの転職や新卒入社など、バラエティに富んだメンバーが揃っています。当コラムではそんなメンバーをピックアップしてご紹介。 2018年春、トライベックには5名の新卒入社メンバーが新たに加わりました。トライベックへ入社を決めた理由や、働きはじめて感じた率直な感想を語ってもらいました。プロフィール（集合写真左から）野内春汰（ノウチシュンタ）大学院・農学研究科・林学専攻高木裕美（タカギヒロミ）文学部・人間関係学科宍戸亜里紗（シシドアリサ）経済学部・経済学科宍戸真穂（シシドチカホ）経済学部・経済学科佐藤清朗（サトウセイロウ）経済学部・経済学科 li { padding-left:5em; } .columndetail .wysiwyg-body ul > li.sato:after { display: block; content: '佐藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.arisa:after { display: block; content: '宍戸(亜)'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.chikaho:after { display: block; content: '宍戸(真)'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.takagi:after { display: block; content: '高木'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nouchi:after { display: block; content: '野内'; position: absolute; top: 0; left: 0; font-weight:bold; } --> 学生時代についてまずはじめに、みなさんの大学生活について教えてください。学生時代はどのようなことをされていたのでしょうか？私は、ゼミ活動、学外活動に打ち込んできました会計ゼミで企業の財務分析を行っていました。販売促進のアルバイトなども行っていました学業では社会調査士の資格を取るために、ゼミや実習に励んでいました。それ以外にも軽音などサークル活動や、年一回の被災地ボランティアに4年間参加と、いろいろ活動していましたよアルバイトに打ち込んでいました。コンサルティング部に所属することを念頭に置いていたので、卒業までの半年間、会話力や社交性を強化するため、接客業のアルバイトをしていました（笑）私は音楽鑑賞が趣味なので、プライベートでは好きなアーティストのライブをよく観に行っていました就職活動について就活全体を振り返って、どのような業界を中心に回っていたのでしょうか？ 2017年5月頃までは、金融業界をメインにしつつ、リサーチやシンクタンクという職種を軸にして探していました。Web/デジタルマーケティング業界に本格的に興味を持ち始めたのは、6月からです就活初期は、大学で学んでいた会計知識を活かせる事務やリース業界を見ていました。会計システムなどから派生してフィンテックに興味を持ち、2月頃からIT業界をまわり、5月頃からはWebやデジタルマーケティングに絞って就活をしていました企業訪問では業界を絞らずに4つの業界(マーケティング/食品/アパレル/広告)を訪問しました。その中で、マーケティング業界のコンサルタントという職業に興味を持ちましたみなさん様々な業界/企業をまわってゆくなかで、しだいにWeb/ デジタルマーケティングに興味を持たれたのですね。「トライベック」のことを知ったキッカケはどのようなものでしたか？リサーチ業界を検討していた時に、マイナビの検索でトライベックのことを知りましたマイナビで“デジタルマーケティング”を軸に企業探しをして巡り会いましたきっかけはマイナビのサイトです。業界の絞り込みをしたときにたまたま見つけました。トライベックの会社説明会に参加し、社長のプレゼン力に感銘を受けて、この会社で働きたい!と考えるようになりました数ある企業の中からトライベックへエントリーをして、入社を決断した理由は、どのようなものでしたか？説明会でオウンドメディアの面白さを知ることができたからです。面接で嘘をつかずに素の自分で語ることができた会社だったというのも大きいですね決断に至った1番の理由は、後藤社長についていきたいと思ったためです。入社したいと考えた理由の中には、目指す方向が同じということ等もありますが、“この人についていきたい！”という直感も大事なのかもしれません会社説明会で後藤社長の話を聞いて、デジタルマーケティングの中心としてのオウンドメディアというものに魅力を感じたからですねトライベックの企業方針に共感したからです。“伝わる”コミュニケーションは非常に難しいことだと学生時代に感じていました。もっと“伝わる”を身に着けたいと考え、トライベックへ入社を決断しました実際に説明会で後藤社長のプレゼンを聞いて、“自分も企業ブランド向上の役に立ちたい！”と思ったからです。また社員の方々の丁寧な対応に感銘を受けたからですトライベックに入社して 4月にトライベックに入社されてから、研修/OJTを重ねることで業務の具体的なイメージが湧いてきたと思います。入社前に抱いていたイメージとのギャップはありましたか？社会人になる前は、仕事はユーザーの立場に立って施策を練るものと考えておりました。しかし研修を通して、ユーザーだけでなく、そのサービスを提供する企業や関係者など様々な立場にたって考慮し、解決策を提案しなければならないと学び気づくことができました入社前は、デジタルの会社なのですべてツールやソフトで仕事すると思っていました。しかし実際の業務では、ユーザー視点を重視するため、人の目で1つ1つ確認する診断があるなど、デジタルという道具に頼りすぎない点が良い意味でギャップでしたね入社前は、一人でする仕事が多いのではないかとイメージしていました。しかし、実際にはチームのメンバーで協力し、自分の意見を発する場面が多いと思いました。若手の意見であっても、きちんと物事を考えれば理解してもらえる環境だと思います研修で先輩に接する機会が多くありますが、先輩の仕事に対する姿勢/印象はどのようなものですか？ “ひとの気持ちを大切にする”という姿勢は、トライベック全社員に共通していると思います。顧客やユーザー、パートナー、社員など、徹底的にその人の視点に立って、物事に取り組む姿勢は印象に残りました良い意味で“仕事へのこだわり”を持っている方が多いですね。トライベックだけの視点ではなく、常にお客様にとってベストが何か考えている方が多いと思います皆さん活気づいて仕事をしていると感じました。トライベックは会議室が外から見える構造になっているのですが、部署やポジションに関係なく、意見を活発に交換しているので、こうやってお客様にとってより良いものを常に追及しているのだと感じます現在は研修で様々なことを学んでいる最中ですが、印象的な研修はありましたか？データドリブンマーケティング部の研修が印象的でした。トライベックが提供するコンテンツをどう活用するのかという演習があり、業務の内容を理解するだけでなく、実際の施策提案のデモンストレーションが非常に難しかったですが、勉強になりましたデータドリブンマーケティング部の研修では、マーケティングオートメーションツールのHIRAMEKIを使い、実習や課題演習を行いました。想像以上に実践的な内容が多く、勉強になりました UX/UIの研修が印象に残っています。プレゼンやワークがあり、研修が終わると自然と内容が理解できるといったものでした。“学ぶ”だけではなく、“感じる”という表現が合っている研修ですオウンドメディアの診断を行う研修です。徹底的なユーザー視点で診断を行い、Webサイトを見る視点が今までと180度変わりました今後、トライベックで本格的に社会人として経験を積んでいくにあたって、どのようなことにチャレンジしてみたいですか？私は、トライベックに入社したからには、常にお客様の視点を持った人間になりたいですねまずは、ユーザビリティ診断とレポーティングを確実に出来るようになりたいと考えています。いずれはコンサルだけでなく、調査・分析の仕事にも携わってみたいと思っていますまずは目の前の仕事に目的意識を持って取り組み、将来的にはオンラインのオウンドメディアに加えて、オフラインも含めてユーザーの行動をデザインしてみたいですねお客様から、“この人がいるからトライベックにしよう”と思っていただけるような人材になりたいです。研修を通して、理解する力・伝える力・寄り添う力が本当に大切な職場であると、改めて感じました。一つ一つ地道に繰り返すことで、最終的に叶うと信じ業務に携わりたいと考えています私は将来、デジタルが浸透していない地方のデジタルマーケティングを支援したいと考えています。そのために、自分はどうステップを踏んでいけばよいかを常に意識しながら、業務に取り組みたいと思います就活中の学生の皆さんへ最後にお聞きしたいのですが、今、就職活動を行っている学生みなさんに「トライベックの魅力」を伝えるとしたらどのような点でしょうか？トライベックには、“ひとにやさしく”というマインドセットがあります。これは業務においてだけではなく、社員間にもあるので、魅力的ですよトライベックのイメージは、“人にやさしい”と“ジブンゴト化”で表せると思います。これらが社内で意識されているため、個性を発揮しながら成長できる環境だと思いますよトライベックは、自分の得意分野を伸ばし、様々な領域で活躍のチャンスがあります。社内は部署同士の連携も多く、風通しの良い職場なので、業務中だけでなく休憩時間や部活動でも関われる機会があるのも魅力ですよ若手の先輩方が多く、年齢/性別に関係なくチームの中で重要なポジションを担って活躍しています。刺激を受けながら、成長できる会社だと思いますよ。クライアントも大手から中小企業まで幅広いので、これからの日本の企業のデジタルマーケティングに関わっているという実感を持って仕事ができますトライベックでは、物事を多面的にとらえる力が身につきます。トライベックの業務は、生活者・企業・取引先の担当者など、多様な立場に立つ人のことを考察しながら行います。最初は、一度に多様な立場に立つことは非常に難しく感じるかもしれませんが、心配はいりません。研修やOJTを通して先輩が懇切丁寧に教えてくれるので、自然とたくさんの“気づき”を得ることができます。自分の視野を広げ、“人に貢献したい”と考えている方であれば、トライベックで自己実現が叶うのではないかと考えます関連リンク新卒採用...

テクノロジー

2018年5月14日

セキュリティ対策、最初の一歩は？

EGセキュアソリューションズ　徳丸浩氏特別インタビュー　第3回（全4回）セキュリティ対策の第一歩として現状把握のためにスタンダードプランを行うのがよいとのことでした。しかし、スタンダードプランの費用をすぐには捻出できない場合もあります。そういった場合はどうすればよいのでしょうか。EGセキュアソリューションズ代表　徳丸浩氏、セキュリティエンジニア　岡本早和子氏に伺いました（聞き手：トライベック・ストラテジー　工藤友美）。 Web健康診断 li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kudou:after { display: block; content: '工藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } .columndetail .wysiwyg-body ul > li.kome2:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } --> 今回、新たにメニューに追加されたWeb健康診断は安価で短納期と、今までなにもしてこなかったところがとっかかりとするのによいと思いますがどうでしょうか。そうですね、健康診断というくらいですから状況把握に使われる診断メニューですし、低予算でやりたい、というところにはお勧めです。 Web健康診断の基準はEGセキュアソリューションズで作ったものなんですか？元々はLASDEC（現J-LIS）の依頼で私が作ったものです。そこで地方公共団体のセキュリティ対策を大規模にやったことがあるのですが、サイト数が多いので1サイトあたりの費用は低額でなければなりませんでした。また、入札でベンダを選ぶことになりますので、均質な診断のための基準として作りました。その後、LASDECだと長期的な維持が難しいため、IPAに移管されました。『安全なウェブサイトの作り方』と整合するように作られています。 LASDEC　地方自治情報センター。自治体の行政情報化などを推進する団体。2014年にJ-LISに組織変更された J-LIS　地方公共団体情報システム機構。個人番号（マイナンバー）カードの作成などを行っている LASDEC時代からカウントするとどれくらいの診断実績がありますか。正確な数字はわかりませんが、数千のオーダーになりますね。もちろん、診断を行ったのは弊社だけではありませんが。現在もWeb健康診断を申し込まれる方は多いのでしょうか。今はお客様からWeb健康診断を指定されることはそれほど多くありませんが、お問い合わせに対してこちらからお勧めする場合もあります。例えば、我々の繁忙期で大規模の診断は難しいが、ユーザとしては手が空くまで待てない、なるべく早く手を打ちたい、という場合などです。そういうときにはいったん状況を把握し、次の一手を検討するための最初のとっかかりとして、短納期で安価なWeb健康診断をお勧めしています。もっとも、Web健康診断をやって終わりというケースはあまりありませんが。まずWeb健康診断を行って素早く状況を把握、その結果を見て必要な診断・対策を判断するわけですね。はい。Web健康診断の結果が良ければ緊急度は低くなります。逆に、その時点でボロボロであれば早急に手当てが必要です。スタンダードプランだと結果が出るまでに時間がかかりますので、「すぐに対応が必要かどうか」を素早く見極めるにはWeb健康診断は有用です。では、今年のWeb健康診断で問題が指摘されなかった場合、来年もWeb健康診断をやる意味はありますか。あまり意味はないですね。もっとも、Web健康診断は抜き取り診断なので、違うページを診断すれば多少の意味はあります。続けて依頼されたときにはそこは考慮しますが、次年以降は基本診断以上がよいですね。予算的に全ページを一気に診断することは難しいということもあるかと思います。Web健康診断で大きな問題は出なかった場合、数年かけて全ページにスタンダード診断をかける、というようなやり方でもよいのでしょうか。はい。しかし、できれば早めに全部やった方がいいです。あるページに脆弱性があった場合、そのページにある情報ではなく、サーバに保存されている情報が洩れることが多いという怖さがあるからです。それでも、やらないよりはやった方がはるかにいいですね。 0か100ではなく、できるなら10でも20でもやったほうがよい、ということですね。そうです。どれをやればいいか悩んでいるときにはまず、トライベックにご相談いただければと思います。予算の中で最適なプランをご提示します。また、Web健康診断を通してサイトの規模もわかるので、それを踏まえて適切なプランを提示することもできます。選んではいけないWAFもある！？なにも対策をしてないのであればまず、WAFを入れる、という手もありますね。 WAF　Web Application Firewall。Webサイトとの通信の中に攻撃コードが含まれていないかをチェックし、自動的に遮断するセキュリティソフト/機器しかしWAFにもいろいろな種類があって、中には「これはどうなんだろうか」というのもあります。徳丸さんとしてはアレはどうですか？ああ、表向きには言ってませんがアレはどうかと思いますねえ。徳丸のお墨付き、という営業をしていると漏れ聞こえてくるんですが「そんなことは言ってません」とリリースを打つわけにもいかず（笑）。「どうなんだろう」という理由はなんでしょうか。まずはアーキテクチャですね。仕組み上、一度は攻撃を許してしまうわけなので。原理的にIPアドレスを毎回変えて攻撃すれば止められません。攻撃……されたら……遮断、という仕組みですね。それと体制的に弱いですね。WAFをやっているところは素早く対応できるようにそれぞれの専門家がいるものなんですが、そこがどうにも弱くて。Struts2の有名な脆弱性も対応するのに1週間くらいかかっていました。ただ営業力はすごいのでいろんなところに入っています。 UDPで送ったログをサーバ側で判定する、という仕組みなので、極論するとサーバが止まっていても利用者からは判断しようがないんですよね。 UDP　ネットワーク通信方式のひとつ。軽量である反面、データが届かなくてもエラーにならないそうですね。サーバが止まっていたらなにもしないですね。 WAFによって脆弱性に対する対応の速度、そもそも対応するかどうかの判断など結構違いますが、お勧めはどこでしょうか。SiteGuardでしょうか。（笑）弊社のお勧めとしてはそうですね。 EGセキュアソリューションズはSiteGuardの代理店を行っている SiteGuard　ジェイピー・セキュアが開発・販売する国産WAF。通信経路上に設置するSiteGuardとWebサーバに設置するSiteGuard Liteがあるあとはアレですね。SiteGuardのライバルになるので表立っては言えませんが、アレはすごいです。さすがKNTKさん、です。アレ　トライベック・ストラテジーでも導入実績のある国産のSaaS型WAF 日本を代表するWAF技術者の方ですよね。そう言っていいと思います。そのほかにもホスティング事業者がオプションで用意しているWAFもあります。チューニングできないという制約があったりはしますが、無料だったり、設定も簡単だったりするのでなにもしていない、予算も少ない、というところではWAFを入れ、時間稼ぎをしたうえで診断をしてもらうのが現実的かもしれません。【今回のポイント】予算が少ない場合は「Web健康診断」をとりあえずWAFを導入するという手もあり WAFの選定は慎重に最終回の次回は、どちらがいいのか判断に迷ういろんなものをズバリ、徳丸氏にお聞きします。本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。関連コラム第1回：気づかぬうちに暗号通貨を掘り出す攻撃者たち第2回：セキュリティ対策はどこまでやる？第4回：どっちを選ぶ？　誰も教えてくれなかった意外な答え関連リンクトライベック・セキュリティソリューション...

社内イベント紹介

2018年5月9日

「浦和レッドダイヤモンズ」の応援に行ってきました！

昨年の12月にトライベック主催のカンファレンスイベント「T-CONFERENCE」に浦和レッドダイヤモンズの星野さまに登壇していただきましたが、今度はトライベックの有志メンバーで浦和レッドダイヤモンズの応援に行ってまいりました。当日は晴天で気温も高く、絶好の応援日和となりました。少し暑すぎでしたが……。天気は抜群。気分も高まります特別スタジアム見学ツアー当日は、浦和レッドダイヤモンズ広報部星野さまのご厚意で、試合開始前に特別スタジアム見学ツアーを開催していただきました。綺麗な芝生のフィールドが目の前に！各施設の説明を聞きながら通路を歩いていると、対戦相手の北海道コンサドーレ札幌のミハイロ・ペトロヴィッチ監督（昨年までは浦和レッズの監督でした！）とばったり遭遇しました。「コンニチワ」と気さくに声を掛けていただき、びっくり。なんという奇跡。そして、普段は入れない記者会見場では、模擬記者会見体験もしてまいりました。なんちゃって記者会見 VIPルームエリア見学 4階にあるVIPルームエリアも見学させていただきました。VIPルームの多くはスポンサー企業が年間で契約しているのですが、空いている個室ラウンジは個人でも利用することができるそうです。個室ラウンジ「ビューボックス」参考リンク：ビューボックス外に出ると、テラス席にはふかふかなシートが18席ほどあり、直接試合を観戦することができます。コースはさまざまですが、リーズナブルなコースなら着席10名で20万円から利用できるそうです。サッカー好きの方は、誕生会などちょっとリッチなパーティにいかがでしょうか。テラス席からの眺めちなみに、いわゆるセレブと呼ばれるような方々は、お食事しながら室内のテレビモニターでサッカーを観戦するそうです。すぐ外で試合が行われているにもかかわらずです。世の中には、まだ知らない世界がいっぱいあると感じました。応援席は北門ゲートから見学ツアーのあとは、チケットを持って北側の自分たちの席へ。北海道コンサドーレ札幌のユニフォームも赤系のため、スタジアム全体が赤一色に！盛り上がる浦和レッズの応援席自席からのサッカー観戦結果は惜しくも0対0のスコアレスドローとなりましたが、ビール片手に楽しいサッカー観戦となりました。ご案内いただいた浦和レッドダイヤモンズ広報部の星野さま、ありがとうございました。...

テクノロジー

2018年5月1日

セキュリティ対策はどこまでやる？

EGセキュアソリューションズ　徳丸浩氏特別インタビュー　第2回（全4回）サイバー攻撃は企業規模に関係なく、誰でもターゲットにされる可能性があります。では、セキュリティ対策はどこまでやればいいのでしょうか。EGセキュアソリューションズ代表　徳丸浩氏、セキュリティエンジニア　岡本早和子氏に伺いました（聞き手：トライベック・ストラテジー　工藤友美）。セキュリティ対策はどこまでやればOK？ li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kudou:after { display: block; content: '工藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } .columndetail .wysiwyg-body ul > li.kome2:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } --> 決済機能や個人情報の有無など、サイトにも違いがありますが、それぞれセキュリティ対策をどこまでやっていなければならないのでしょうか。最終的には経営者が決めることになりますが、決済が発生するところはより念入りにというのはあります。そのほかにもECサイトで用いる決済代行業者からWAFの導入を求められる、ということもあるようです。その一方で企業情報サイトは何も求められないので、何もやっていないところも多いです。でも脆弱性診断くらいはやろうよ、と。それ以上だと改ざん検知、WAFなどコストはそれなりにかかりますが、効果の高い対策の導入は考えてほしいですね。 WAF　Web Application Firewall。Webサイトとの通信の中に攻撃コードが含まれていないかをチェックし、自動的に遮断するセキュリティソフト/機器その場合の基準はどう考えればよいのでしょうか。自力でやるのは難しいので、業界標準・基準を使うのがお勧めです。以前にSQLインジェクションの脆弱性を作りこんでしまったのは開発会社の重過失である、とした有名な判決（https://blog.tokumaru.org/2015/01/sql.html）がありましたが、そのときの基準となったものがIPAの『安全なウェブサイトの作り方』を参照した経産省の注意喚起でした。つまり、『安全なウェブサイトの作り方』は裁判の際にも基準として使われるものだということになります。 IPA　独立行政法人情報処理推進機構。日本におけるIT国家戦略を技術面、人材面からサポートする経済産業省所管の独立行政法人（https://www.ipa.go.jp/）安全なウェブサイトの作り方　IPAが届け出を受けた脆弱性関連情報を基に、届け出が多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成するための資料（https://www.ipa.go.jp/security/vuln/websecurity.html）。企業・官公庁などのセキュリティ要件として参照されることが多い「セキュリティを担保するのはWebサイトの管理者ではなく、開発会社の責任」ということなのでしょうか。それは違います。あくまで「開発会社にも責任がある」という判決です。その判決では2,300万円ほどの支払いが命じられたのですが、責任相殺で3割ほど減額になっています。それに被害額はもっと大きいですし、信用失墜も大きい。取り返せたとしても十分ではなかったと思います。裁判費用や弁護士費用もとれていません。なので、この判決で学ぶべきことは「発注元も開発会社も一定の基準を持ってセキュリティ対策を行わなければいけない」ということです。そうなると、開発会社がどこまできちんとやってくれるかという見極めも必要ですね。一番重要ですが、難しいですよね。そういうきちんとしているところが最終的にはコストパフォーマンスがよいのですが、目先の見積に流されて安かろう悪かろうに流れていっちゃってるんじゃないかな、と思いますね。開発の際には必ず脆弱性診断を入れる、という指針にした方がいいのでしょうか。そうですね。考え方としては開発側がやる、受け入れ側がやる、の二通りがありますが、すごくちゃんとしているところは両方でやっています。トライベック・セキュリティソリューションの診断メニューはすべて『安全なウェブサイトの作り方』を踏襲しているので、万が一、裁判になるようなことがあっても、基準を満たしているということができますね。トライベック・セキュリティソリューションの選び方今までいっさいセキュリティ対策をしていないところや、今回危機感をもったところが最初に手を付けるべき対策はどこでしょうか。まずは現状把握という意味で脆弱性診断を行ってほしいと思います。診断メニューには基本診断、総合診断、スタンダート、プレミアムなどがあります。さらにソースコード診断もあります。どれを選べばいいのでしょうか。お勧めはスタンダードプランです。ただ、規模が大きくなるとかなりコストがかかるので、抜き出して診断を行う割安プランとして基本診断プランなども用意しています。より高セキュリティが求められる場合はソースコード診断プランやプレミアムプランということになります。基本はスタンダードなのですね。弊社としてはそうです。そこを軸にした場合、プレミアムはより多くの項目を診断するわけですが、どちらを選ぶかはどうやって判断すればいいのでしょうか。つまるところ、発注者がどこまで安全を確認したいか、ということになります。ひとつの基準として、個人情報を持っていないからプレミアムまでは不要、という考え方はどうでしょうか。ありです。ただ、個人情報、決済処理の有無だけで杓子定規には判断できません。例えばEGセキュアソリューションズのサイトは個人情報も扱いませんし、規模も小さいです。ですが、セキュリティを生業としている弊社のサイトが改ざんされたらこれは事業継続に関わる大ごとです。想定される被害額がたかだか数百万なのに、数百万かけて診断するのはおかしいですが、数億の被害が予想されるのなら数百万かける意味はあります。ブランド毀損リスクなども勘案するわけですね。ではソースコード診断の方はどうでしょうか。どういったときにソースコード診断をすべきでしょうか。侵入を受けたのでしっかり診断・対策したいとき、などですね。脆弱性診断には実際のプログラムやWebサイトの動きから診断するブラックボックス診断、ソースコードを静的に確認するホワイトボックス診断の２つがありますが、主流はブラックボックス診断です。基本診断プランやスタンダードプランはブラックボックス診断になります。ホワイトボックス診断であるソースコード診断は特殊なケースと言えるでしょう。プレミアムはブラックボックス診断ですか？プレミアムはブラックボックス診断とホワイトボックス診断の両方を行う、グレーボックス診断相当になります。【今回のポイント】『安全なウェブサイトの作り方』を基準にする現状把握としてまずは脆弱性診断をお勧めはスタンダードプラン次回は、セキュリティ対策はどこから手を付ければいいのか、をお聞きします。本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。関連コラム第1回：気づかぬうちに暗号通貨を掘り出す攻撃者たち第3回：セキュリティ対策、最初の一歩は？第4回：どっちを選ぶ？　誰も教えてくれなかった意外な答え関連リンクトライベック・セキュリティソリューション...

広報・PR

2018年4月25日

「ヘルスケアIT 2018」に行ってきました

2018年4月18日（水）～20日（金）に東京ビッグサイトで開催されたUBMジャパン主催の「ヘルスケアIT 2018」に行ってきました。「ジャパンライフサイエンスウィーク」と題して、同時開催の「Medtec」や「CPhl japan」と相互入場できるイベントとなっています。東京ビッグサイト入口「ジャパンライフサイエンスウィーク」展示だけでなく、各セミナーが充実普段はデジタルマーケティング系のイベントに足を運ぶことが多いのですが、今回はメディコム社が公式スポンサーとなり、パイプドビッツ社とトライベックの3社で発表した「製薬企業と医師をつなぐマーケティングオートメーション“ＢtoＤ”」が、ブース出展しましたので行ってきました。「ＢtoＤ」のブーストライベックでは、データドリブンマーケティング部が主体となり開発を進めてきましたので、メディコム社のユニフォームを借りて3日間ブースに立ちました。データドリブンマーケティング部がお手伝いデジタルマーケティング系のイベントと違うのは、声掛けによる勧誘があまりなく、全体的に落ち着いていることと、会場をぐるりと囲む形でA～Eまでセミナー会場があり、セミナー自体が充実していたことです。「健康経営」という考え方トライベックのクライアントでもある「オムロンヘルスケア」様のセミナーにも参加、「OMRON connect」の話題などを聞いてまいりました。他にもさまざまなブースでたくさんのパンフレットをいただきましたが、医療分野はとても先進的に変わってきているなと肌で実感しました。その中でも印象的なのは、最近のトレンド「健康経営」という考え方。それは、企業が従業員の健康に配慮することによって、医療費という経費の節減だけでなく、生産性の向上、企業イメージの向上、従業員の創造性の向上、健康管理を経営的視点から考え、戦略的に実践することによって大きな成果が期待できるという考え方です。企業一体となって従業員の健康を支援するツールや仕組みなどが紹介されており、大変勉強になりました。トライベックでも「健康経営」というワードは大切だと考えています。今後、新しい取り組みがトライベックから発信できればと考えていますので、ご期待ください。関連リンク製薬企業と医師をつなぐマーケティングオートメーション「ＢtoＤ」...

ブランディング

2018年4月23日

Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（３）

前回は、「Webサイトのブランド価値貢献度」を向上させるための指標のひとつ目「認知貢献効果」をアップさせるための取り組みについて事例を交えて紹介しました。今回は、2つ目の指標である「好感効果」をアップさせるための取り組みについて事例を交えて見ていきます。取り組みその２「好感効果」を高めるためにメリット提供からブランド共感へ転換しゆるぎない好感を獲得まずは、トライベック・ブランド戦略研究所が行った調査「Webサイトのブランド価値貢献度」の「好感効果」ランキングを見てみましょう。 1位のサントリーは豊富な「お楽しみコンテンツ」や「キャンペーン情報」を提供しているサイトですが、「キャンペーン情報」については、ユーザーのコンテンツの閲覧割合とコンテンツを良かったと感じている割合が調査対象となっている全サイト（調査対象企業はこちら）の中で最も高い結果でした。全体的に上位にはエンターテインメント系コンテンツやキャンペーンを頻繁に情報提供しているようなサイトが占める結果になっていることが、下のグラフからわかります。各社の良かったコンテンツ多様なコンテンツを通じてブランド体験を提供し継続的な好感へつなげるこの上位のサイトの中で着目すべきは、5位のパナソニックでした。パナソニックのサイトのキャンペーン情報は上位5社のうち最も低い結果でしたが、下のグラフを見ると、他の上位サイトに比較し、ブランドサイトや企業情報、お役立ち情報などについても、ユーザーにとって良かったコンテンツとして、好感を抱かれていることがわかります。さらに、「閲覧されているコンテンツ」についてみてみると、パナソニックはキャンペーンのみではなく、上位他社に比べてブランドサイトや企業情報、お役立ち情報などもよく閲覧されていることがわかります。各社の良かったコンテンツ各社の閲覧コンテンツパナソニックはキャンペーン実施の頻度や数は上位他社に比べて多くはありませんが、製品およびキャンペーンをきっかけに来訪したユーザーを、キャンペーン参加目的だけに留まらせず、丁寧な導線設計によってブランドサイトやお役立ちコンテンツへ誘導し、その結果、高い好感を得ている好例といえるでしょう。メリット提供からブランド共感へ転換しゆるぎない好感を獲得キャンペーン情報の提供は間違いなくユーザーの好感を得るための直接的かつ即効性のあるコンテンツといえますが、一方でキャンペーンの実施はともすれば一過性の直接的なメリット訴求に陥ってしまうことも考えられます。そのため、好感を維持するためには継続的にキャンペーンを企画し実施し続けなければなりません。さらにキャンペーンによる好感獲得だけでなく、キャンペーンをきっかけとして、ユーザーにサイトの中の多様なコンテンツを閲覧してもらうことを通じてブランドを体験してもらい、好感を持ってもらうことも重要な取り組みであるといえるでしょう。企業によっては、予算や運用上の制約からそれほど頻繁にキャンペーンを実施できないケースもありますが、パナソニックの例のようにブランドサイトやお役立ち情報など、ユーザーの多様な価値観やライフスタイルに応じた良質なコンテンツを豊富に提供することで好感効果が高まる可能性も考えられます。好感効果向上取り組み事例１　パナソニック製品情報を軸に、キャンペーン情報、製品を使用する際のお役立ち情報、そして製品開発に込める想いを形にしたブランディングコンテンツなど、ユーザーがストレスなく自然に情報接触できるような導線設計が丁寧に実施されている事例といえます。カテゴリごとに縦割りになるなどしてユーザー行動が寸断されることなく、全体最適の観点でも相互に回遊できるような設計を行うことで、ユーザーのさまざまなコンテンツの閲覧機会を高めています。さらに、各個別のコンテンツの企画や作りこみなども、動画をふんだんに使い印象に残る高い品質のコンテンツが豊富なため、コンテンツ閲覧後の好感度を高める要因となっていると言えるでしょう。パナソニック Webサイト好感効果向上取り組み事例２　サントリーサントリーは非常に多くのキャンペーンコンテンツを有するサイトです。キャンペーンの実施頻度も高く継続的に行われているため、キャンペーンをきっかけとしたユーザーの好感度の獲得に成功しているといえます。単なる一過性のキャンペーン参加者の獲得だけでなく、キャンペーン参加者を会員化し囲い込むことで継続的なキャンペーンへの参加を促すことにも取り組んでいます。 LINEで「おとな」限定の公式アカウントを開設したり、Instagramを活用するなど、SNSを通してユーザーとより親密なコミュニケーションを行うためのキャンペーンも実施することで、モバイルでのコンタクトポイントを通じた好感効果の向上にも積極的に取り組んでいます。サントリーモバイルアプリキャンペーンの中には、企業のCSR、環境へ配慮した企業の取り組みを認知してもらうためにキャンペーンを連動させるなど、製品ブランドだけでなく、コーポレートブランドに対する好感度を向上させるための工夫も見られました。サントリー Webサイト次回は、Webサイトのブランド価値貢献度向上に向けて３つめの重要な指標である「ロイヤルティ効果」の向上に向けた取り組みについて述べていきたいと思います。関連コラム Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（１） Webサイトの価値を高めるために取り組むべきWebブランディング５つのポイント（２）...

社内イベント紹介

2018年4月16日

「Tribeck DAY 2018 spring」開催

トライベック・グループでは春と夏の年2回、「Tribeck DAY」と題した全社研修を開催しています。春の「Tribeck DAY」は、後藤社長からの中期経営計画の発表のほか、新しいプロジェクトの発表や新入社員5名によるプレゼンなどがあります。また、毎年恒例のグループワークショップなど、盛りだくさんの内容です。今回は新橋のLearning Squareをお借りして開催しました。午前中にさっさと仕事を巻きで終わらせて、14時までに会場入りです。本日のスケジュールを説明する後藤社長今回のタイトルは「持続的成長に向けた融合と革新」はじめに後藤社長から、上期と同様に中期経営計画「Premium 2020」についての説明がありました。また、下期の取り組み「融合と革新」についても説明がありました。「融合」とは部署×部署、会社×会社などのコラボレーションによる、新しいソリューションやメソッドのこと。「革新」は新しい物を追い求めカタチにしていくことです。技術や働き方など、新しいものに挑戦してくことはわくわくしますね。中期経営計画の共有のつぎは、新入社員5名によるプレゼン大会でした。キラキラしてまぶしい感じです。みんなそれぞれしっかりした意見や目指す姿を描いていて驚きました。私が新卒で入ったとき、こんなプレゼンできたかしら？　と自分に重ね合わせていました。ワークショップのお題は「NASAゲーム」そのあとは、グループに分かれてのワークショップです。月に不時着した宇宙飛行士の我々が、みんなで一緒に320Km先の母船に向かうために必要なアイテム15のうち、重要度に応じて順位をつけるというミッションです。グループワークの時間はお菓子も必需品のひとつ。そしてスマホは厳禁です。部署も会社も全部ひっくるめてシャッフルされたチームに分かれ、お菓子を食べながらコミュニケーションを図ります。話をしたことがない人、最近新しく入ってきた人、人見知りの人。人それぞれグループワークを通じて距離を縮めます。ちなみに、私たちのグループはこんな感じの優先順位になりました。9グループ中、同点で2位でした。1位のグループはなんと、社長のポケットマネーで豪華ランチをごちそうになれるという特典が発表されました。懇親会で残り半期もがんばりましょう半日がかりの全社集会「Tribeck DAY」の最後は、お待ちかねの懇親会です。汐留シティセンター41階の「ルミヴェールTOKYO」を貸し切って行いました。普段、この会場はウエディングパーティが行われる場所です。素敵な会場「ルミヴェールTOKYO」抜群の夜景普段、接しない部署の人たちと垣根を越えての交流全員集合！夜景の素敵な会場で乾杯～。美味しいごはんとお酒をありがとうございました。下半期の残りもがんばっていきましょう。...

テクノロジー

2018年4月11日

気づかぬうちに暗号通貨を掘り出す攻撃者たち

EGセキュアソリューションズ　徳丸浩氏特別インタビュー　第1回（全4回）トライベック・ストラテジーはEGセキュアソリューションズと共同で、トライベック・セキュリティソリューションの新しいメニューの提供を開始します。その背景には、ますます増加し変化し続けるサイバー攻撃と、セキュリティ対策に対するニーズの高まりがあります。 EGセキュアソリューションズ代表　徳丸浩氏、セキュリティエンジニア　岡本早和子氏に最新の情報セキュリティについて伺いました（聞き手：トライベック・ストラテジー　工藤友美）。 li { padding-left:4em; } .columndetail .wysiwyg-body ul > li.tokumaru:after { display: block; content: '徳丸'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.okamoto:after { display: block; content: '岡本'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.nakashima:after { display: block; content: '中島'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kudou:after { display: block; content: '工藤'; position: absolute; top: 0; left: 0; font-weight:bold; } .columndetail .wysiwyg-body ul > li.kome:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } .columndetail .wysiwyg-body ul > li.kome { font-size: small; line-height: 1.5; padding-left:2em; } .columndetail .wysiwyg-body ul > li.kome2:after { display: block; content: '※'; position: absolute; top: 0; left: 0; } --> なぜなくならない？　頻発するセキュリティインシデント情報セキュリティの事件・事故は相変わらず頻発している印象があります。なにか傾向みたいなものはあるのでしょうか。メルカリのように高い技術力を持っていて、セキュリティもしっかりしていたにも関わらず、非常に特殊な条件下で発生したケースもありますが、一般化してお話ししますと、新興企業で勢いのあるところはセキュリティが後回しになることが多いですね。新興企業、というとサービス開始直後に炎上してサービス停止になった投げ銭サービスが思い出されます。あそこはかなり問題点が指摘されていましたね。どうしてそのようなことが起きるのでしょうか。今や、Webサイトはセキュリティを気にしなければ簡単に立てられるようになりました。クラウドの普及で、その傾向はますます加速しています。その結果、事業立ち上げを優先してセキュリティを顧みないケースが多くなっているように思います。しかし、年金機構など新興企業でなくても情報流出を起こした団体や大手企業も多く見られます。彼らのセキュリティ意識もやはり低かったのでしょうか。いえ、一般的な企業と比べると高かったのではないかと思います。そのレベルを上回る攻撃があったこと、それほどの攻撃を行う動機が攻撃者側にあったことも原因でしょう。トレンドは「マイニング」では、サイバー攻撃のターゲットは「奪う情報」の価値が高い大企業や、セキュリティの甘い新興企業ということになりますか？いえ、中小企業も狙われています。Webを狙う攻撃は大半が金銭目的なのですが、攻撃にもはやり廃りがあります。今の流行は侵入したサーバで暗号通貨の採掘（マイニング）を行う、というものです。情報が盗まれたり、Webページが改ざんされたりしないので、被害を受けていても気づきにくい、気づいても許容される場合すらあるので表面化しづらい。非常にやっかいですね。マイニング　暗号通貨の仕組みの根幹をなす処理の一つで、暗号通貨を得るためにある条件を満たす数値を見つけ出すこと。早いもの勝ちなので計算能力が高いマシンが有利となる。中小企業といえど、攻撃の危険に晒されている以上はなんらかの対策はすべき、ということになりますね。はい。個人情報を扱ってないから対策は不要だという考え方は根強いのですが、マイニングのターゲットとなるサーバは、どこのサイトかということとは無関係です。仮に、多少CPUを使われても構わないと思う人がいたとしても、プロバイダによってサーバを停止させられてしまうこともあります。1台のサーバを共有しているのにCPUリソースを独占されると迷惑ですし、ウイルス感染が明らかであれば止めてしまうんですね。 CPUリソース　コンピュータの計算能力結果的にサイトがダウンしてしまうわけですね。それはさすがに許容できないでしょう。やはり最低限のことはやっておかないといけません。脆弱性を突かれてマイニングを仕込まれたサーバなら、他の攻撃を受ける可能性もありますよね。ありますね。最近はターゲットを決めて、じっくりと時間をかけた攻撃はしないんです。脆弱性のあるサイトを探して攻撃します。特定のプラグインの脆弱性を、自動化された攻撃で絨毯爆撃のように次々と行う。今はマイニングがトレンドですが、見つかった脆弱性を他の攻撃に使われる可能性も十分あります。個人情報の有無にかかわらず、しっかり対応しておかなければならないわけですね。マイニングは発見が難しいということでしたが、セキュリティ診断で検出できるものなのでしょうか。セキュリティ診断では攻撃を受ける原因を調べるので、脆弱性があったことはわかりますが、すでに侵入されているかどうかはわかりません。それはまた別のものになります。サーバのCPU利用率をチェックしていればわかりますか？わかる場合もありますが、大抵、サーバ管理者ではなく、クラウド事業者が気づいて止めてしまいますね。ただ、今後は攻撃側も見つからないようにCPU利用率を抑えてくるのは間違いないので、それだけで判断するのは危険です。今はあるだけCPUを使ってますが、そのうち70%などで抑えるようになっていくでしょう。上品になっていくと（笑）。こういうことは繰り返されるものなのですが、パスワードリスト攻撃もそうでした。以前は海外の同一IPアドレスから集中的にログインが試行されていたので、同一IPアドレスからの繰り返しログインや、海外からのアクセスを遮断・監視することで対応できていました。しかし、今はIPアドレスを分散させたり、国内からゆっくり試行したり、と洗練されてきているので、もう正常なアクセスと見分けがつきません。 IPアドレス　ネットワーク上のコンピュータの住所となるもの。インターネットのコンピュータはすべて異なるIPアドレスを持っているでは、ログ診断だとどうですか。わかるものもありますが、侵入されたかどうかまでは難しいですね。そうなると、SIEMやEDRが必要になってきますか？　中小企業にはちょっとハードルが高いように思いますが。 SIEM　Security Information and Event Management。さまざまなネットワーク機器やアプリケーションなどのログを一元管理して、複合的に分析を行うシステム EDR　Endpoint Detection and Response。管理対象内の疑わしい挙動を監視し、対処するためのシステム。主に侵入成功後の被害の把握、拡大阻止を目的とする侵入を検知しようとすると複合的にやっていかなければならないので、どうしてもそうなります。対策として比較的導入しやすいのは改ざん検知ですね。製品によって機能はさまざまですが、弊社が販売代理店を行っているWebARGUSだと改ざんを検知するだけでなく、元のファイルへの復旧まで瞬時に行います。攻撃者にとってはかなりやっかいな製品だと思いますね。外部からの不正スクリプト混入対策として、最近は診断でCSPを導入していないことを指摘されることが増えました。ですが、Google AnalyticsやDoubleClickなどのマーケティング用タグを入れたサイトだと何重にもスクリプトを読み込む仕組みになっています。コンテンツ管理側とサーバ管理側で密な協調が必要ですし、CSPの運用はかなり困難だという印象です。 CSP　Content Security Policy。ブラウザのセキュリティ対策のひとつで、ページから読み込むコンテンツのドメインを制限する機能がある確かに、最近CSPの不備を指摘するツールが出てきているので導入を相談されることもあるのですが、「本当にやるんですか？」というのが正直なところですね。そうそう、例の投げ銭サービスですが、サービス再開後のサイトを見てみたらCSPが導入されていたのでびっくりしました。もっとも、登録ドメインが非常に多く、苦労しているな、という印象でした。そういった外部のスクリプトを置いているところが1か所でも改ざんされたりすればマイニングスクリプトを埋め込まれることがあります。先ほどのマイニングはサーバ上でしたが、JavaScriptの場合はクライアント側でCPUパワーを使います。 JavaScriptを使ったマイニングには合法のものもあるんでしょうか。合法化するにはユーザに明確に許可を取る必要があります。クライアントのCPUパワーを使うという意味では広告のアニメーションも同じだと思います。広告はユーザに許可を取らずに表示しても合法ですが、その違いはなんでしょうか。広告は目に見えるので、見るのをやめる、もう二度と利用しなくなるなどの対応をユーザが取ることができます。マイニングは気づかれにくいので秘密裏のうちに搾取され続けることになります。【今回のポイント】誰でも攻撃される可能性がある攻撃者によるマイニングが流行中マイニングは気づきにくいが、放置は厳禁次回は、セキュリティ対策はどこまでやればいいのか、をお聞きします。本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。関連コラム第2回：気づかぬうちに暗号通貨を掘り出す攻撃者たち第3回：セキュリティ対策、最初の一歩は？第4回：どっちを選ぶ？　誰も教えてくれなかった意外な答え関連リンクトライベック・セキュリティソリューション...

ブランディング

2018年4月2日

オウンドメディアでブランディングを図るときに気をつけたいポイント

技術革新や製品ライフサイクルの短縮化により、目新しい商品もあっという間にコモディティ化してしまう時代になりました。自社の製品やサービスの強みを明確にし、他社との差別化を図るための「ブランディング」は、もはや企業戦略そのものといえます。また、自社のブランドを伝えるコンタクトポイントも多様化しています。特に、オウンドメディアは、企業と生活者のコミュニケーションHUBとしてさまざまなコンタクトポイントをつなぐ重要な役割を担うようになっています。そのため、近年では多くの企業サイトでブランディングを意識した取り組みが見られるようになり、その表現や手法も多様化しています。今回は、オウンドメディアにおいて、自社（あるいは商品・サービス）のブランドを適切に表現し、生活者に“伝わる”ようにするためには、どのようなポイントを意識する必要があるのか考えてみたいと思います。自社のブランド（＝らしさ）を明確にするはじめにやるべきことは、そもそも自社のブランドとは何か？を明確にすることです。その時に気を付けなければならないことは、自分たちが思い描き、伝えたいと考えているブランドイメージが、生活者が抱くイメージと一致しているのかということです。もし、そこにわずかでもズレが生じているのであれば、まずは生活者視点でブランドを捉え直し、顧客にとっての価値を再定義する必要があるでしょう。ブランドには、顧客の抱くイメージや期待が存在しています。そこには企業や製品・サービスの“らしさ”が反映されていることが求められるのです。一貫性のあるブランドコミュニケーションを意識するテレビCMなどのマス広告を見てオウンドメディアにアクセスするというように、複数のチャネルを横断することで購買意欲が喚起され商品・サービスの購入に至るケースが多くありますが、チャネルごとに訴求するメッセージや表現方法がバラバラの場合、ブランドイメージの低下・棄損につながる恐れがあります。特に、オウンドメディアは広告・プロモーションの受け皿として位置付けられることが多いため、ブランド訴求の一貫性が強く求められます。また、PC/スマートフォン/タブレットなど、オウンドメディアへアクセスするデバイスも多様化していますので、どのようなデバイスでアクセスしても同じブランド体験ができることも重要になるでしょう。生活者目線のブランドストーリーで自社の提供価値を伝える会社紹介ページに理念・ビジョンを掲載している企業は多くありますが、そのほとんどが自社のありたい姿を一方的に発信しているのみです。また、テキストだけで訴求されているものが多く、生活者にブランドが“伝わる”コミュニケーションにはなっていません。自社のブランドが伝わり、生活者の理解・賛同を得るためには、社会や生活者にどのような価値を提供している会社なのかということを、生活者目線のブランドストーリーとして展開することが必要です。コンテンツを制作する際は、自社の想いだけでなく、具体的な活動や取り組み・事例などを交えて紹介することがポイントです。このようなコンテンツを定期的に発信していくことで、ユーザーとの長期的なつながりを創出し、ブランドロイヤリティの向上にもつながります。操作性や利便性など機能的な心地よさもブランド体験となるブランディングというと、配色やイメージなどデザイン面での取り組みを想起する人が多いと思いますが、デジタル上のコミュニケーションにおいては、使い勝手や機能性など操作に伴う心地よさも企業のブランドイメージを形成する一端となります。顧客が抱くブランドイメージを正しく把握して“らしさ”が伝わるクリエイティブに落とし込むのはもちろんですが、Webサイト内の回遊や情報探索といった能動的な行動において、顧客の期待を超えるような心地よい体験が提供できるかどうかが、ブランドのアドバンテージにつながっていくのです。...