カテゴリー別アーカイブ: 講演

情報セキュリティについてもう一度学んでみた

【スクー】ビジネスパーソンのための情報セキュリティ入門 -情報漏えい対策-
を見て情報セキュリティについてもう一度学んでみました。
誤字や聞き間違い等があるかもしれませんがご容赦ください。

———————
■公衆無線LANの注意点
———————
サービスとしては広がっている
使うこと自体は悪いことではない

有料と無料のものがある
無料のものは気をつけた方が良い
→誰が提供しているか分からない
 登録不要なものは誰が使っているか特定できない

認証無しのものにつなぐのはかなり気をつけた方が良い
認証あり=暗号化されている
認証無し=暗号化されていない
→暗号化されていないことが問題(データの内容が把握できてしまう)

WiFi設定画面で鍵が表示されるもの→暗号化されている

スマホの自動接続機能
一度暗号化されていない無線LANに接続してしまうと、次回から自動接続されてしまう
(便利な反面どこにつながっているか分からない)
→細かく注意しながら接続する

知らないアクセスポイント、暗号化されていないアクセスポイントは使わない
暗号化されていてもWEPだと解読される可能性がある(WPA/WPA2が好ましい)

暗号化されていないサイトではパスワードを入力するウェブサイトにはアクセスしない
(データは見られているものだと思って利用する、情報検索程度にとどめる)
個人情報をやりとりするアプリは使わない

知っている名前によく似たアクセスポイントにも注意する
(あやしいアクセスポイントの場合がある)

キャリアの用意している公衆無線LANサービスでも暗号化されていないものは注意する

————————–
■携帯充電サービスの注意点
————————–
装置自体が改造されている可能性がある

充電と同時にデータが抜き取られる可能性がある(実際に事件が発生している)
USBケーブル→充電以外にデータのやりとりにも使える

対策として、充電専用のケーブルや変換アダプタを利用する
→情報を抜き取られずに充電できる
 100円ショップでも購入できる

—————————-
■ウェブサイト閲覧時の注意点
—————————-
世界のサイトを見ることができるが、
世界のあらゆるサイトから自分のPCやスマホの中身を見ることもできる
(双方向の世界であることを意識する)

ホームページ、ネットワーク、自分のPC、ブラウザに仕掛けのある場合がある
(仕掛けがあっても分からない場合が多い)

自分のPCに重要な情報が入っていなくても知らない間に加害者になっている場合がある
→他人のPCやサイトなどを攻撃するプログラムを入れられてしまう

あやしいボタンは押さない
ポップアップ、あやしい警告はすぐに消す(場合に応じて、ネットワークの切断、再起動をする)

カード情報などを送る場合はSSL保護(https://)を確認する

セキュリティ対策ソフトのフルスキャンを定期的に実行する
ブラウザの不要なアドインを削除する

—————————-
■電子メール送受信時の注意点
—————————-
企業の情報漏洩問題の原因は電子メールが多い

迷惑メール受信時:
自分が登録したメルマガ等→登録解除をする
(URLが正しいことを確認する(業者、SSL保護など))

知らない送信元からのメールには返信しない
→存在していることを証明してしまうことになる
 メールアドレス自体はネットワーク上でやりとりをしている時点で他人に知られている
普段やりとりしているアドレスがスパムメールの送信元になっていることもある
あやしいメールアドレスから送信されるものだけが迷惑メールではない
→簡単になりすますことが出来る

おかしいことに気づいたらネットワークを切断して
上司や管理者に報告する
(遮断をする)

メール送信時:
送信前に送信先、内容、添付ファイルを慎重に確認する
送信先を間違えない
添付ファイルは暗号化する

添付ファイルのパスワードは別メールで送る
(別メールにすることでデータが違うネットワーク上のルートを通って送信される)

ITmedia Virtual EXPO 2012を視聴してみた。

先月になりますがITmedia Virtual EXPO 2012を視聴したのでそのときのメモを公開します。
メモの内容には聞き間違い等あるかもしれませんがご容赦ください。

今回視聴したのは下記の3つです。
・セキュリティ専門家が斬る!Anonymousの影響と人の脆弱性
・変貌するWebの世界― クラウドとクラウド・デバイスのインパクト
・LINEを生み出したNHN Japanの開発風土とは

——————————————————
セキュリティ専門家が斬る!Anonymousの影響と人の脆弱性
——————————————————

攻撃はきまぐれ
他人に攻撃をけしかけている雰囲気がある

調査してから攻撃する
攻撃できるという確信を持ってから行う(事前に仕込んでいる)

sip(シップ)のスキャン急にが多くなる

じわじわ攻撃を受けているサイトもある

政府機関のサイト、有名企業のサイト:
年中何らかの攻撃を受けている、報道もされない
=攻撃慣れしているしびくともしない
=攻撃慣れしている人たちから見るとそんなにたいした攻撃ではなかったりする場合もある

ちゃんと構築していれば防げるレベル

過去に見つかった脆弱性などが狙われる(2,3年前のもの)

ちゃんと対策をしていれば8割は防げる

さくっと侵入できるケースは少ない

メディアの注目を高めるために攻撃をやっている
ITに関係のない人まで知っている

チュニジアでの攻撃に日本人が参加していた

DDos攻撃に同時参加する人数
多くても2桁ぐらい
botが使われることが多い

javascriptをわざと踏ませて関係ない人間を攻撃に荷担させる場合もある

いまさら聞けないアノニマス
http://www.atmarkit.co.jp/fsecurity/special/172anon/01.html

セキュリティは楽しいかね?
http://d.hatena.ne.jp/ukky3/

複数のサービスをまたがった攻撃もある:
サポートセンターへの電話で情報を取得
メールのやりとりなど

サポートセンターの攻撃対応も必要
Facebookの情報で分かるような内容で本人確認してはいけない

オレオレ詐欺:
ソーシャルエンジニアリングの一つ

セキュリティ:疑うところから始まる

仕組みとしてセキュリティを高めていく
(ワンタイムパスワードなどを当たり前にしていく)

使う側でも分かるアプローチが必要

————————————————————-
変貌するWebの世界― クラウドとクラウド・デバイスのインパクト
————————————————————-

2012年:21世紀の二つ目の10年の始まり

最初の十年:911に始まり311(東日本大震災)で終わった。
携帯電話の爆発的普及
クラウドの登場と発展(googleの登場、amazon ec2の登場、microsoft azureの登場)
2007年iphoneの登場
2008年androidの登場

iphone,android等のクラウド端末の台数がpcを上回る勢い

トランジスタの数も15倍に

日本のスマホ普及率:先進国で最低クラス
・ガラケーの成功も原因

現在では1つのチップに中国の人口ぐらいのトランジスタが集積されている
(1970年には2000個ぐらい)
今後一つの電子、原子を制御するレベルまで小さくなってくる

Tegra3:5つのコアをもつ(公称は4つ)
製品への採用が進んでいる
スマホのスペックがpcを上回っていく

これからの5年間:
トランジスタの数は200倍になる

日常生活のあらゆる所にCPUが存在
すべてがネットワークにつながる力を持っている

Gang of Four:
Google
Apple
Facebook
Amazon

2011年に起きたこと:
6月icloud
9月facebookが8億人突破
11月amazon kindle fire登場

それまで自前のクラウドとクラウドデバイスを持っているのはgoogleしかなかった。
microsoft:windowsphoneの発表
facebook:クラウドデータセンターを稼働、携帯にも参入

去年一年でクラウドとクラウドデバイスを持つプレーヤーが形成された(非常に大きな変化)

日本:通信障害が発生するようになった。
ブロードバンドの帯域もスマホによって瞬く間に消費される。

スマホ:電池の持ちを良くするために制御信号を多発する

PC:データ量大、制御信号小
スマホ:データ量小、制御信号大

スマホ:ずっとネットに接続しているアプリが多数ある
実際には細かな接続/切断を繰り返している=多量の制御信号を送る

androidはiphoneよりも制御信号をたくさん送る
android4.0では改善されている

これからおきること:
新しいネットワークメディアの躍進
ネットワークマーケットの台頭

HTML5が鍵になる

2020年:世界人口の大部分がスマホを持つ(ネットワークにつながる)

すべての経済行動がネットワーク上で行われるようになる

AJAX:ブラウザとサーバがユーザのアクションに従って動的に動く
→これがリアルタイムに動くようになる

HTTP:文書の転送のためにデザインされた。
HTML5websocketはこれを改善する
(データ量減少、現在の通信方式とも共生できる)

ネットワークメディアに期待されるもの:
コミュニケーション、情報共有、豊かな自由時間

情報は誰のものかという問題を多くの人が意識し始める

コンテンツサービス、クラウドの利用:
日本は少し遅れている

音楽市場:
iTunesが圧倒的シェア

spotify:音楽をリアルタイムで共有できる

アメリカでは新旧メディアの対立がある:SOPA
著作権の強化、ISPによる特定サイトの遮断などまでが争点となっている

プライバシー問題:
日本ではプライバシーを守る意識が高い

電話初期、普及を妨げた最大の問題は交換手が会話の内容を聞けることだった
やがて危惧よりも利便性の方がそれを上回った

Appleの位置情報取得問題その後:
取得自体はやめていない
プライバシーポリシーに明記されるようになっただけ

Gang of Fourのプライバシーポリシーの特徴:
常に変わる
ビジネスと結びついている
事前了承が得られていればよしとする合意が形成されてきている

プライバシー観も変化していく

—————————————–
LINEを生み出したNHN Japanの開発風土とは
—————————————–

開発プロセスの違い:
ライブドア:企画→開発→デザイン
ネイバー:企画とデザインが同時に動き出す→開発
プロトタイピングが激しい

エンジニアリングだけで戦える時代でもない
エンジニアリングはあって当然、その上で武器を持たなくてはならない
(デザインなど)

ネイバーは400人(4割ぐらい)がエンジニア

Javaをよく使う
スマホに注力している

オープンソースのプロダクトをよく使っている

LINE:
メッセージ数がとても多い
Hbaseにデータを保存
アーラン(エリクソン)を使っている

これを使わなければ行けない、という決まりはない

新しいテクノロジーにも手を出している

社内の交流も多い
技術系スタッフの統合もハードルはなかった

スマホアプリのスタッフの統合が一番早かった

LINEが最初のネットの入り口になってくる
SDKを提供
サードパーティーも巻き込んでいく

SDK:
HTML5とJavascriptで提供される

LINEが生まれた背景:
スマホに注力したかった
スマホで流行るもの=コミュニケーション、ゲーム、写真
ゲーム、写真はすでにサービスを提供していた
企画が変容していってLINEになった

企画はだいぶ削られた(欲張った機能など)

企画者が尊重される
LINEは15人ぐらいで始まった

大規模なシステムの経験者を求めている
(インフラ経験者など)

次のアーキテクチャなどを先回りできるエンジニアが理想

ユーザー数で倍を目指している
未知の領域に入ってきている

現場に関しては開発陣の影響力が大きい

コードが書けることとマネージメントができることは別の才能だと考えている
得意なことをやってもらっている

PHPカンファレンス2011へ行ってきました(1)

昨日PHPカンファレンス2011に参加してきたので、その時のメモを公開したいと思います。
当日は大勢の人が熱心に耳を傾けていました。
会場が満席で聞けない話があったのが少し残念と言えば残念でした。
メモの内容には聞き間違い等あるかもしれませんがご容赦ください。

——————
基調講演
——————-

PHPがブレイクしたのはver4.0(2000年)
PHPカンファレンスも2000年から
2004年ver5.0→オブジェクト指向
2009年ver5.3
ver5.4→5.3に比べると地味なアップデートになる

PHP
リリースサイクル1年
ライフサイクル3年(バグ修正2年、セキュリティ修正1年)

PHP5.4
9月半ばにβ版
今年中にはリリース
セーフモード、レジスタグローバル、マジッククォートはなくなる
SQLiteはver3のみとなる
5.3に比べて19%〜43%高速化
trait:コードを再利用する仕組み
  多重継承よりもシンプル
オープンタグの短縮形が追加
配列の簡略定義が可能
配列デリファレンシング、
2進数表現が可能に
不正なUTF-8に対するチェックの強化
Unicode6.0のケータイ絵文字を収録

セキュリティに対して:
基本を守る
最新の情報をチェックする

Coverity→ソースをチェックするツール?
Coverityでスキャンした結果、PHPの品質は高かった
もっと高かったもの=Ruby

PHPの成功理由
・小規模〜大規模なサイト(Facebook,Yahoo!)までサポート
・言語がシンプルでドキュメントが充実
・必要十分な現実的な解を提供している
(キラーアプリの存在、モバイル対応、新標準への対応)

————————————————–
PHPライブラリの歩き方・作り方
————————————————–

技術の動向によって、ライブラリに求められる機能は増えていく

主なライブラリ
PEAR:570ぐらい
PECL:270ぐらい

Rubyなどでは1万を超えている

欲しいものがなければ作るしかない

ライブラリのパッケージ名:
ネームスペースを使うと良い
まだ使われていないものを使う

クラス読み込みの定義:PSR-0に従う

PSR-0に従うと
require_once,class_existsを使う必要がなくなる

例外処理:SPLを使う

マジックメソッドは学習を困難にさせる

ライブラリ:パッケージにまとめて配布する

Pyrus:
任意のディレクトリにPEARパッケージをインストールできる
パッケージの作成もできる

紹介していた本:
オープンソースの育て方

PHPカンファレンス2011へ行ってきました(2)へ続きます。

「Think!提携講座 特別編 野中郁次郎×奥山清行が語る、日本のモノづくりに大切なこと ~稲葉製作所が挑む“Premium Innovation”~」を聞いてきました。

去る2月2日、六本木ヒルズにて、
「Think!提携講座 特別編
野中郁次郎×奥山清行が語る、日本のモノづくりに大切なこと
~稲葉製作所が挑む“Premium Innovation”~」
の講演を聞いてきましたので、その際のメモを公開したいと思います。
聞き違い等あるかもしれませんがご容赦ください。

————————————————————
「ものづくり」と「ことづくり」の未来
————————————————————

職人:
・肉体労働者のように見える
・実際は創意工夫を行い、
 余計に見えるところまで改善する

B級の職人:
言葉に変えて人に教えられる

A級の職人:
言葉では伝えられないことまで知っている
→徒弟制度で伝わってきた

A級の職人のノウハウが途絶えつつある:
終身雇用の崩壊等による
世界的な問題

職人=知識労働

フェラーリに世界の人たちが憧れる理由
→職人さんがいる

ヨーロッパ:
過去から未来へつながるものづくりをしている

技術単体に価値はない

イノベーション:
最新の技術だけではなく
枯れた技術からも起こりうる
例:ウォークマン→エクスペリエンスデザイン

どうやって顧客価値をつくりだすか?
(仕方なく買うのではなく、買いたくて仕方のないもの)

ものを使って何をするかという「ことづくり」
ことづくりがあってものは生きてくる

ヨーロッパのもの:
ものを使うことによってどんな生活が送れるか
想像できる=売れる

稲葉製作所:すごい技術を持っている(アルミダイギャスト、Xair)

流通:
お客さんの意見を肌で感じる

—————————————
知識基盤
ビジネス・イノベーション
—————————————

組織でどうやって知識をクリエイトしていくか

知識:
関係性、知識を使う人の想いで変わってくる

経験=暗黙知
→言語化することによってよみがえる
→暗黙知もまた養われる(還元される)

ことづくりはものづくり:
人間はユニークな経験そのもの

一人一人の主観
→みんなの主観にしていく(イノベーション)

ビジネスモデル
→「知」を利潤の流れに変換していく

イノベーション=新しい価値の提供

ものを組み込んだことづくり

iPad:
遊べる、仕事ができる、人とつながれる
→ものにことが組み込まれているから売れる

どうやって価値命題をつくりだすか

実践知だけが日常の課題を解決できる

創造とは、一回性の中に普遍を見ること

ものづくりのないことづくりはない

————————————-
パネルディスカッション
————————————-

日本:ものと心は同一

アメリカ:
ものづくりを否定している
その先のお金を出しすぎている
お金を稼いでどうするのかが考えられていない

イタリア:
過去と未来を普通の人がものすごくよく見ている

日本もことを意識できる段階まできた

ことを読む力を育成する能力:
匠→何がよいかを無限に追求していく

仮説→検証を無限に繰り返していく(スパイラル)

ビジネスモデルを持っていないと知を利益に変えられない

アジャイル、スクラム→ICTではメインストリーム

ペアプログラミング:ICTと徒弟制度の融合

地域を開いて知を総合していく:
その媒体は企業