ken1flanのブログ

自己紹介・最近やってることなどを書くつもりです。

第55回Software Design (2024年4月号) 輪読&座談会 に参加してきました

いつもおせわになっている第55回Software Design (2024年4月号) 輪読&座談会に参加してきました。

softwaredesign.connpass.com

今回は特に刺激的な会でした。 また次回も行こうっと。

Software Design 2024/04 メモ

Software Design 2024年04月号を読んで、ちょこっとずつ感想を書いてます。

gihyo.jp

表紙

  • 新年度にふさわしい爽やかなグリーン…!

第1特集 新年度のはじまりに学ぶ! Linux基礎知識60 あなたの実力をチェックしてみよう

Introduction:Linux基礎知識チェックリスト ......編集部

  • うわあ…自信ないw
  • 結構知らない単語が…。
    • LVM、UsrMerge、CGroups、runuserコマンド、NetworkManager、Netplan
    • 名前だけとか、説明できそうもないのも結構…。
  • でも、なんとなくでも目を通しておけば、ちゃんと役立ちそうで、期待…!

第1章:ディレクトリ構造とファイルシステム スタンダードなLinux操作の基本を知る ......水野 源

  • GPT、聞いたことなかったかも。しばらくノートだからなぁ…。
  • UEFI、なんとなくしか知りませんでした…。
  • LVMは思い出しました…!
    • 1層余計に挟むことで、デバイスをまたいでボリュームを作れたり、あとから追加できたり…便利!
  • FHSにバージョンがあるんですね…それは知りませんでした。
  • UsrMerge、へえええ!
    • 昔、OS添付のcshは/bin、自分でコンパイルしたtcshは/usr/local/binとかやっていましたが…。
  • 自分はハードリンク、あんまり使わないんですが…みなさん、どんなときに使います?
  • シンボリックリンクのalternativesシステム、知りませんでした。へええ…。

第2章:プロセス管理 実行中のプログラムの情報確認、操作、制限方法を押さえよう ......青田 直大

  • 最近、sush🍣でちょっと馴染みました…!
  • カーネルスレッドの[][]のつけた実行ファイル……偽装に使ってるヤカラがいるんですね、きっと…。
  • procs、いいですね…。入れました!
  • psやtopなどのコマンドを今まで雰囲気で使ってました💦
  • /proc…macOSにはないようで、すぐに試せないのがちょっと残念。
  • 昔はプロセスの優先度を弄りたいときがありましたが…最近あんまないですね…。
  • プロセス管理って、どんなときにされます…?
    • (最近自分は使いたくなったことがないです…。)

第3章:ユーザー権限とアクセス権 管理者権限を正しくコントロールしよう ......くつなりょうすけ

  • ユーザ管理もあんまりしなくなってしまった感…。
    • サーバに役割がはっきりしたからかなぁ…。
    • …でも、なんか動かんなぜだ!となると、この知識ベースで調べたりしてましたね、よく考えると。
  • 昔からあまり変わってないのかも…?ホント、よくできてるんですね。

第4章:ネットワーク設定と管理 動作の確認方法と強力な管理ツールの使い方を押さえよう ......宮原 徹

  • このあたりは…最近あんまり使ってないですね…。
    • 新しいサーバを置こうとしてないからかなぁ…。
    • 最初の設置のときはつまづいて調べますもんね…。

第2特集 常識として知っておきたい 今から始めるテクニカルライティング 伝わる/役立つドキュメント作成のポイント

  • 章立てを見ながら、あー、ですよねぇ…という感じが…。ちゃんと読んどこ。

第1章:テクニカルライティング入門 「伝わる」ドキュメントに必要な三箇条とは ......米山 柚香子

  • 「自分にとって必要な情報だけを知りたい人」…ドキッ!
    • 構造化とかセクションタイトルとかに興味あるのはこのせいかもなぁ…。

第2章:読者に合わせたドキュメントを書く 必要なことを必要なだけ書くために ......米山 柚香子

  • 読み手を意識するところまではなんとかやっているつもりです…。
    • このメモは…!読み手はおらず、自分が読んでいくときに思ったまま書いてるので、読みにくいです!
      • 目的は、雑誌を読んだときの思考の流れがざっくり再現されればいいなぁ…くらい。
  • 読み手の目的は強く意識していて、前提知識は…これもなんとなく意識はしてますかねぇ…。
    • 読み手は実際に対象者がいることが多いかも。
  • ただ、読み手を意識するようになったのはここ数年な気がします💦
  • 読み手の範囲を絞るのは、同人誌のときにやりました…!
    • 技術書がそうやって書いてあるから、マネしたんですが…書きやすくなりましたね。(読みやすいかはわかりませんが><)
  • コラムの本、気になります…。

第3章:アウトラインで伝える情報を整理する ドキュメントの階層構造を意識しよう ......piyo

  • アウトラインから書く…これは必ずやりますね…。
    • だって……対象が大きすぎると、何を書いているのかよくわかんなくなっちゃいまして…。
    • …と、よく考えたら、書いている方がわかんなくなっちゃってる文章、他人である読む人が分かる可能性、かなり低くなりそうですよね…。
  • アウトラインを作る流れ、よさそう!
    • 最初に伝えたいことを雑多に出しますね!

第4章:明確な文章を書く技術 読み手の負荷を減らすためのポイント ......小野 葵

  • ドキュメントは一部しか読まれない…書き手には残酷なw
    • 読み手としたら、当たり前ですね。時間ないもん!
  • Fパターン…!たしかにやりますねえ…。
  • 一文一義…なるほど、これは知りませんでした!気をつけようと思います。
  • 読み手の視点も忘れがちですね…気をつけます…!
  • ドキュメントもプログラムも、読みやすくするテクニック、同じところが多いですね。
  • これ、会社でも読みたい気持ち…。

連載:Column

万能IT技術研究所【23】能登半島地震時の電離層変化を「みちびき衛星」で調べよう! ――「地震前には地中に電池が生まれて地震予知もできる」説!? ......万能IT技術研究所

  • 上空の電離層から地震予知…?ホント、いろいろなところから記事を書いててスゴイ…。
  • オープンデータが進んできたからこそ、こういうことを個人ができるのだと思うと…感慨深いですね。
  • 大気の揺れだから、ロケットの軌道もわかるのか…すご…。
  • 地震予知、一周回ってナマズがホントに可能性ありそうで、オチもスゴイ…。

ハピネスチームビルディング【25】コミュニティに参加して楽しみながら成長する ......小島 優介

  • コミュニティに参加する…。
    • 今参加しているのは、Software Design読書会だけですね…。
    • 自分の運営するものに追われて、若干諦めてたけど…またどっか行きたい気持ちになってきました。

エンジニアのためのやる気UPエクササイズ【20】エンジニアのための昼寝ガイド ......えくろプロテイン

  • …これ、日常的に短時間の睡眠を入れようかなぁ…。

あなたのスキルは社会に役立つ~エンジニアだからできる社会貢献~【148】テクノロジーに対する不信感が募る時代に、納得感のある合意形成ができるテクノロジーを考える ......高木 俊輔

  • 「テクノロジー vs. 民主主義」…こういう構造をどうしても作りたくなっちゃうのは、人間のバグかあ。(人間たる自分もそういうふうにしちゃいがちなので、わかる…。)
  • チャーチルの名言を思い出したい。
  • 今まで平等にするにはいろいろ難しかった民主主義のいろいろをテクノロジーでなんとかできるんじゃないか、的な。
  • ブロックチェーンの技術は結構期待しているんですよね。いろいろなものの根幹になりそうです。(仮想通貨は投機でなんかグチャグチャですが…)
  • こんな活動があったんですね…ちょっと期待しちゃいます。

連載:Development

Databricksで勝つデータ活用【新連載】データプラットフォームの歴史とデータインテリジェンスプラットフォーム ......桑野 章弘

  • Databricksとは|Databricks on AWS
    • なんかスゴそう…。AWSでも使えるじゃないの!
    • 従量課金みたい。
      • こりゃウチじゃ使いこなせないと高いですね…。
  • パイプラインをひとつのサービスで扱えるところが結構ヨサゲです。
    • あ、BIツールは別なんですね…。
  • MLflow…モデルのライフサイクル管理?これはよさそう…。
  • この先の連載が気になります…。
  • HTML/CSSの解釈や表示を担ってるなら、Blink利用のブラウザはほぼ同じ表示になる感じですかね…。
  • EdgeとChromeピクセル単位で比べてみるべき…?

Google Cloud流クラウドネイティブなシステムデザインパターン【3】データウェアハウス ......田中 万葉、監修:宮城 望

  • あ、これもDWH…!
  • GCPといえば、BigQueryか!
  • Dataform、テストやコード管理なんかもあるとは…これはいいですね…。
  • データ量が少なければわりとやすそうなのも魅力…。

ぼくらの「開発者体験」改善クエスト【4】iOSアプリのUIテスト基盤、リアーキテクチャ、自動化 ......金子 雄大

  • フロントもレガシーコード…。
  • 「開発者体験の良さ」のうちの一つは、開発しやすさで、ビジネススピードに直結しそう…。これは説得材料ですね…。
  • 行動ログの正しさの検証を含めているのはおもしろいですね。データを取ることがビジネスとして大事にしているのがわかります…!
  • 新しいアーキテクチャの段階的な導入…気になります…。
    • 新規画面で小さく試し始める…なるほどです。
  • テストが手厚いフレームワークはありがたいですね…。これは日々実感しています。
  • Visual Regression Test…いいなぁ…。
    • うちのは扱いにくい形で書いちゃったので、なんとかリブートしたいです…。
  • androidはどうしているんだろう…と思ったら、来月だそうで…たのしみです!

実践データベースリファクタリング【5】キャッシュ中毒 ......曽根 壮大

  • キャッシュ中毒…はなったことない…。そこまでパフォーマンス・チューニングをする段階まで至ってない感じです…。
  • ちょっと先の世界を覗き見する感じ…。
  • キャッシュのテスト、どう書くんでしょう…?
    • 自分は…書かないかも…。
  • 多段キャッシュは怖いので、よく使う、なるべく大きなパーツで取るようにしようと思ってますが…。
  • Railsのキャッシュはあんまり考えないで使っても、デフォルトのキーが更新日時など必要なものを考慮してくれてて、扱いやすいかも…?

Cloudflare Workersへの招待【5】Honoで作る短文投稿Webアプリ ......福岡 秀一郎

  • コスト、マヂで安いですね…。D1もか…!
  • 無料分も結構あるし…試したい…。
  • あ…テストとかどうするんでしょう?
    • zenn.dev
    • D1のローカル環境があるみたい…。
    • これならgithub actionsでもできるし、よさそう。

実践LLMアプリケーション開発【7】LangChain Expression Language 落ち穂拾い ......西見 公宏

  • わからないなりに連載を読み続けて、ようやくLLMアプリケーションというのがなんなのか、見えてきました…。
  • ちょっと作ってみたくなってきました…。

MLOpsのすすめ【9】LLMのデータエンジニアリング ......澁井 雄介

  • Common Crawlなんているのがあるんですね…。
  • 学習の前に行う処理にコツが要りそうです…。
  • 来月で最後…ちょっと寂しいですね…。

位置情報エンジニアリングのすすめ【9】防災マップの作成④ 空間演算による距離計測と避難所到達圏の可視化 ......小松 聖

  • 最近の端末のリッチさよ…。
  • 到達圏の表示…!サンプルとは思えないくらいよく考えられているように見えます…!

AWS活用ジャーニー【19】AWS Systems Manager ......杉金 晋

  • …そういえば、Elastic Beanstalkの環境のバージョンアップをしたときに聞いた名前でした。
  • 今は使ってないけど、使えるってことかも。
  • 複数台にいっぺんに実行できるRun Commandは便利かも…。
  • Change Calenderで自社の営業日を入れて参照できるのは便利かも…。

連載:OS/Network/Security

ドメイン解体新書【3】DNS操作のベストプラクティス ......谷口 元紀

  • 基幹サービス故に、何重にもキャッシュが効いているから、変更はしづらいですよね…。
  • ネガティブキャッシュ…そういうのもあるんですね…。
  • 権威サーバ移転のベストプラクティス、なるほどでした!
    • 同じ情報を新旧の権威サーバで登録しとけばって。

魅惑の自作シェルの世界【17】ジョブの制御――&&と|| ......上田 隆一

  •  ゾンビがたくさん出ます って…理由はわかるけど、言葉がなんかスゴイ…。
  • そういえばシェルスクリプトって、意外に並列に処理を書きやすいんでした。自分のやりたいことがシンプルだったからですかね…。
  • 2つ以上のパイプラインがあるときにバックグラウンドで、というのはプロセスがカッコの役割をしているっぽいのかなあ。
  • 次回はゾンビ退治 なんかオモロイw

アラカルト

ITエンジニア必須の最新用語解説【184】CheerpJ ......杉山 貴章

  • Javaアプレットを思い出しました。
    • JVMをブラウザにインストールする必要があったんですね…。(昔過ぎて忘れてました…。)

読者プレゼントのお知らせ

SD BOOK REVIEW

  • ロボットの確率・統計
    • www.coronasha.co.jp
    • ロボットという題材も、ギャンブルとかズル嘘…?コラムも面白そうです…!
    • くー…全く仕事と関係ないけど読みたい…。

バックナンバーのお知らせ

SD NEWS & PRODUCTS

  • クリィeKYC
  • SpreadJS
    • メシウスって聞いたことないなぁ…と思ってたら、グレープシティ!
    • あいかわらずこういったものを売られているようで、やっぱりノウハウがありそう…。
    • 企業がちゃんとメンテしているUI部品、たしかに価値がありそう。
  • ITエンジニア本大賞2024
    • www.shoeisha.co.jp
    • もうすぐ良いコード悪いコード〜が終わるから、またひとつチョイスしてやってみるか…。
    • それはそうと、デブサミ行きそびれてしょんぼり(´・ω・`)
  • Flatt Security
    • flatt.tech
    • flatt.tech
    • しばらく前にfacebookで井出さんの投稿を読みました。結構熱い内容で、自分もFlatt Securityが1兆円企業になるのを楽しみにしています…!
  • どこかでお見かけしたお名前が…

次号のお知らせ

  • なかなか入門してないTypeScriptですが、楽しみにしています…!
  • レガシーシステム攻略…!おもしろそうです!

特別広報

グローバルへ挑戦するココネのエンジニアリング力を探る【10】スケールしても開発に専念できる組織体制に ......編集部

  • 前回のテーマの後編っぽい。
  • 制度設計もしっかりされているようで、結構いいですね…。

情報セキュリティ対策自主研修 第16回 「IPAの情報セキュリティ10大脅威 2024 解説書をざっくり読もう」を開催しました

academist-reading.connpass.com

情報セキュリティ対策自主研修 第16回 「IPAの情報セキュリティ10大脅威 2024 解説書をざっくり読もうを開催したので、簡単な感想を書きます。

題材

www.ipa.go.jp

感想

  • 表紙最高…!
    • よくこんなに詰め込みましたね…。
  • 挿絵もいい感じ…!
    • ざっと脅威の説明を読んだあとに、絵を見ると説明したくなりましたもん。
  • トレンドマイクロがこんなよさそうな資料を出してくれていたとは…。もっと前に知りたかった…!
    • www.trendmicro.com
    • …とはいえ、知らなくて資料を自分で読み込んだのは悪くなかったかも。
  • ひとりで読むよりずっと楽しい…!
    • 自分だったら気にならないところが気になる方がいたりして、学びが2倍以上になっている感があります。

運営としてのふりかえり

KPT方式で。

前回のTry

  • 次回のネタを決めます…!
    • 決められていませんでした。うーん、どうしよう?

Keep

  • いろいろと質問が出てたすかりました…!
    • 訊かれた自分は楽しかったですが…質問者・参加者は…楽しかったならよいのですが。
  • ちゃんと事前に読めた…!

Problem

  • 次回何をやるか、まだ未定でした…。
    • 情報モラルの話がどっかにあったらやりたいのですが…。

Try

  • 次回のネタを決めます…!

おわりに

参加してくれたみなさん、ありがとうございました! あとでざっと見直しても、やっぱりひとりで見るより、圧倒的に気づくことが多いので、今後も継続してやっていきたいと思います!

メモ

  • 終わったあとにやること
    • [x] 前回のjamboardの削除
    • [x] Google Meetのメッセージの保存
    • 謝辞と感想
      • [x] twitter
      • [x] facebook
      • [x] mastodon
      • [x] bluesky
      • [x] threads
      • [x] connpassのイベントメッセージ
      • [x] ブログ
  • 次回準備
    • [ ] jamboard
    • [ ] カレンダー/Google Meet URL
    • [ ] connpassイベント
    • [ ] ネタぎめ
    • [ ] 告知
  • 直前
    • [ ] 告知
    • [x] リマインドメール

情報セキュリティ10大脅威 2024を軽く読む

情報セキュリティ10大脅威 2024解説書を見て、ざっと気になったり思ったことをメモしています。

表紙

  • なにげに面白い…。
  • どんな要素が入ってますかね…?
    • 手前右、USBメモリを外部の人に渡そうとしている → 内部不正による情報漏洩
    • 手前左、持ち出し厳禁や社外秘っぽい資料がちらばっている → 不注意による情報漏洩
    • 中段右、盗聴・盗撮
    • 上段、クラッキングによる営業妨害

はじめに

  • 順位は選考会での投票
  • 個人版
    • 順位を廃止
      • 順位が危険度と誤解されるおそれのため、五十音順
    • 手口は古典的で、存在を知っているだけでも対策になる
  • 企業版
    • 社会的影響で判断

情報セキュリティ10大脅威2024

  • 順位にとらわれないで、それぞれの立場・環境で優先度をつけ直して対応してほしいそう。
  • 「セキュリティ対策の基本」が重要
    • 攻撃手口、対策、目的でまとまってて、わかりやすいかも。
    • 2015年版に攻撃の糸口が解説されているとのこと…ですが、リンクがみつけにくいです><
  • セキュリティ対策の基本の基本+α
    • 企業の対策っぽいですね。

1. 情報セキュリティ 10 大脅威(個人)

  • 攻撃者/被害者/脅威と影響/攻撃手口/事例または傾向/対策と対応 でそれぞれまとまってますね。
    • 対策と対応が予防/早期検知/被害後の対応とまとめられていて、わかりやすいです。

インターネット上のサービスからの個人情報の窃取

  • 攻撃手口
    • 脆弱性や設定不備以外にも、他のサービスから取得した認証情報を悪用…。
    • パスワードの使いまわしをすると、被害が簡単に拡大しちゃう感じですね><
      • 若干脱線かもですが、マイナンバーカードでいろいろ共通化とか、勘弁してほしい感じです…。
      • いろいろ同時に盗める便利なものは、クラックするための手間や費用がかかってもやりますよね><
  • 対策と対応
    • 不必要なサービスは退会
      • 不必要だとわかったとき = 興味がなくなっているとき なので、思い出さないですよね><
      • 今、うちの会社では使っているものをリストアップしていて、半年に1回見直している感じですね。
    • 被害の検知
      • 月に一度、クレカと銀行の明細を見るようにしてます。

インターネット上のサービスへの不正ログイン

  • 二要素認証が突破されるケースもあるみたいです💦
  • 脅威と影響
    • 金銭的な被害の他に、写真やメッセージの覗き見、嫌がらせ投稿、フィッシング詐欺の投稿も…。
    • 数年前に知り合いが「レイバンのサングラス」をインスタグラムで投稿してました…。

クレジットカード情報の不正利用

  • 事例または傾向
    • 他のものもそうですが、全く人ごとに思えません…。

スマホ決済の不正利用

  • 「攻撃者も簡単決済」…うはぁ…。

偽警告によるインターネット詐欺

  • これは、IPAの体験ページを一回やるべきです…!
  • ブラウザの通知機能、ホントうるさいですよね…。

ネット上の誹謗・中傷・デマ

  • 攻撃者
  • 対策と対応
    • これだけ毛色が違うんですよね。どこかにまとまった情報ないのかな…?
      • 情報リテラリー、モラルの学習用の資料

フィッシングによる個人情報等の詐取

  • 事例または傾向
    • 給付金、インターネットバンキングはわかりやすいですが…QRコード、接続先がみえないのでたしかにイヤですね。直前でURLをちゃんと確認するようにします…。

不正アプリによるスマートフォン利用者への被害

  • 事例または傾向
    • 公式マーケット以外はNGですが、公式マーケットにもまぎれているというのは、少し頭の片隅においておいてもいいかも。
  • 対策と対応
    • ここに書いてあること以外に、アプリの権限を不用意に与えないようにするのも大事かも。結構細かく機能を分けているので、多少期待しています。

メールや SMS 等を使った脅迫・詐欺の手口による金銭要求

  • 攻撃の手口
    • 様々すぎて参考になりますね…。
  • 対策と対応
    • 変なメールは無視は、実際のところあまり自分が見えるところに届いていません。gmailのフィルタがバンバンやってくれてて…助かりますね…。

ワンクリック請求等の不当請求による金銭被害

  • 「契約」について、ある程度の知識があれば避けられますかね…。
  • ブラウザアクセス時のデバイス情報を表示して、ここまで知ってるんだぞ!的なことを言ってきますが…職業柄通信時に送っている情報がだいたいわかってるので、せやなーと流せますが…そうでないひとはどうしたら…?
    • 何事も不当だと思ったら無視して、然るべきところへ通報、ですかね…?

コラム:パスキーを知っていますか?新しい認証方式でパスワードレスの時代に!

  • 何箇所か設定してて、少し利用しましたが…なんかうまくできないです…><
  • ただ、デバイスに連絡が来たりするのはよさそうなので、自社サービスにもなんとか入れたいです…!

コラム:そのショッピングサイト、本物ですか?

  • 情報をクロールして使われて、その上、犯罪者一味扱いされる可能性があるとか、どんだけ踏んだり蹴ったり…
  • ドメイン名のpunycode、かなりヤバいですね…。
  • SAGICHECK
    • …よい取り組みですが、毎回入れて確認するのはちょっと💦
  • ¥マーク問題…日本円と中国人民元で同じ記号ですが、1CNH ≒ 20JPY なのでトラブリやすいみたいです。

2. 情報セキュリティ10大脅威(組織)

  • 個人とまとめ方は同じで、わかりやすくていいです!

1位 ランサムウェアによる被害

  • 事例または傾向
    • 名古屋港の話が入っています…!復旧、早かったと思います。
  • 対策と対応
    • 被害を受けたときに裏取引で身代金を払ってしまうと、犯罪組織に資金提供をしたとみなされてしまうおそれが…。ええ〜…厳しい><

2位 サプライチェーンの弱点を悪用した攻撃

  • イラストがわかりやすいです!
    • このことを考えると、ビジネスで組む相手は〜の認証を取得しているところ、となるのもわかります…。
    • せめて、〜に対し、〜をしていますと説明できるくらいにしておきたいところ。
      • 認証はめちゃくちゃ高いので…。(理由はわかるけど。)
  • 攻撃手口
    • ソフトウェアのサプライチェーン攻撃は……利用しているすべてのライブラリがOSSなので、ある程度の人間の目で見られている、という安心感は自分もソースをちょくちょく覗く、という行為をしていこう、ということなのかも。
      • 時間を取るようにしましょ。
  • 事例または傾向
    • 外部委託先のシステムが…というのが多いですね。
    • 委託先の社員などが…というのは含まれないのかな?
      • 適正な価格じゃないと、質が保てないぞ、みたいな面もありますね…。
      • www3.nhk.or.jp

3位 内部不正による情報漏えい等の被害

  • 情報リテラシー、モラルについて学べる体制、チェックする体制、面倒な業務を改善する姿勢…
    • これって健康な会社そのものでは…。
  • 対策と対応
    • システム操作履歴、案外残っているので…と社員にもちゃんと周知しておくのは大事かも。
      • (ただしくっつけてすぐに誰かをわかるようにするのはしたくないし)

4位 標的型攻撃による機密情報の窃取

  • 事例または傾向
    • 東大の事例、怖いですね…。講演依頼として何度かメールのやりとりをしている中で、リンクを踏ませたみたいです。標的型は…避けられる自信はありませんね…。
    • ネットワーク貫通型
      • ネットワーク内に何らかの方法で侵入できてしまうと…。組織をターゲットにするときには動機があるので、これも避けるのが難しそう…。
      • ネットワーク内にも更に壁を作っておくとよいのかも。
        • ただし利便性が…。
        • なるべくラクな認証を組み合わせるとか…。
      • こういうことから「ゼロトラスト」が来たのかな…?
  • 対策と対応
    • 結局は、普段から対策をしっかりやっておきましょう、ということになるんですよね。銀の弾丸はない、的な。

5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃

  • 攻撃手口
    • 公開前の脆弱性ですもんね…。
    • スゴイ努力…。
    • セキュリティ関連のコミュニティ内に紛れてたりもするんでしょうね…。
  • 対策と対応
    • サポートのしっかりしたところの製品を使う、は基本ですね。

6位 不注意による情報漏えい等の被害

  • 要因
    • 情報リテラシーの低さとかプロセスの不備だとか、組織の対応が足りてない系が多いです…。
    • 体調不良、多忙…たしかに要因になりますね。パッと出てきませんでした。
  • 対策と対応
    • がんばって制度を整えていくってことですかね…。

7位 脆弱性対策情報の公開に伴う悪用増加

  • 脆弱性が公開されてパッチがリリースされた、という情報を元に攻撃…!
    • みんながみんな当てませんもんね…。
    • 残念ですが、リーズナブルな攻撃感あります。
  • 対策と対応
    • 重要なシステムにはちゃんと管理者をおいて、運用していきましょう…。

8位 ビジネスメール詐欺による金銭被害

  • 従業員になりすまして…流石にうちはこれにやられにくいですね。
  • 中規模で業務フローが整備されてないとなりそう…。
  • 対策と対応
    • 詐欺の手口をなんとなく頭に入れておくと、少しマシかも…。
      • 普段とちょっと言い回しが違う、やたら急がせる…

9位 テレワーク等のニューノーマルな働き方を狙った攻撃

  • うち、VPNそんなに使ってないからマシかも…?
    • とはいえ、個人の端末に何かしらある可能性はあるので…どこまで対策するか、ですかねえ…。
  • 対策と対応
    • 体制の整備、防御の多層化、みたいなところでしょうか…。

10位 犯罪のビジネス化(アンダーグラウンドサービス)

  • ホント、こんなものが商売になる時代が来るとは…。
    • ネットはいろんなものが売られるようになりました。
  • 事例または傾向
    • え…月額でウィルスを販売、サポートありって…。
  • 対策と対応
    • ダークウェブの監視とか、結構テクニカルなものがあるし…外注とかできたりするんでしょうか?

コラム:AI とうまく付き AI(あい)たい

  • バーチャル誘拐…そんなのもあるのか…。
  • このコラム自体はAIの利用についての話かも。

「共通対策」

  • ほとんどの攻撃に対して、それぞれに特別な対応があるわけでもなく、基本的なことをきっちりやりましょう、的な感じっぽいですね。

パスワードを適切に運用する

  • 適切な保管・運用…これ、結構難しいですよね。
    • 個人のものは心配ないですが…ひとつのアカウントをみんなで共有しようとしたときに、めっちゃ崩れてる気がします。
      • 付箋紙、簡単なパスワード…

情報リテラシー、モラルを向上させる

  • 教育する、はわかるけども…何を使えばいいんでしょう…?
    • うちは「情報セキュリティ対策自主研修」を月に一回設けてますが…題材に困りますもん。

メールの添付ファイル開封や、メールや SMS のリンク、URL のクリックを安易にしない

  • これ、サービスをしている我々はURLをメールにいっぱい書いているんですよね…。実際はどうしたらいいんでしょう…?

適切な報告/連絡/相談を行う

  • 相談先の一覧、ありがたいです!
  • 企業も、インシデント相談窓口をまとめたほうがよさそうです…。やらねば…!

インシデント対応体制を整備し対応する

  • CISO、CSIRTを構築…これは中小だと厳しくないですか…?
  • …まずは中小企業のための〜をやろうっと…!

サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う

  • やっていること、これからやりたいことが並んでいます…。
  • チェックリスト的に使おうかな…?

適切なバックアップ運用を行う

  • バックアップの復旧訓練をどこかでやりたい…!
    • そして定期訓練に…。

感想

  • うんざりするほど、対策が共通でした。つまり、当たり前のことをしっかりやっておきましょう、ということだと痛感したというか…。
  • 各脅威の最新の事例がつけられているのはとてもありがたかったです。今後何か訊かれたらこれをみに来ても良さそうです。
  • 思った以上におもしろかったので、来年も軽く流し読みしようと思います…!

第53回Software Design (2024年3月号) 輪読&座談会 に参加してきました

いつもおせわになっている53回Software Design (2024年3月号) 輪読&座談会に参加してきました。

softwaredesign.connpass.com

  • 今回は第1特集、DDDでめちゃくちゃ盛り上がりました。
  • 結構プロマネをされていそうな方が多く、現場での知見が盛り沢山でした。
    • 戦略/戦術 がだんだん視座が上がっていって、経営の話にまで辿り着いちゃってました。
    • なんだかんだと相似形ですよね。
  • イベントストーミング/イベントソーシングのところで、ユースケースじゃないの?的な話がとてもよかったです。最終的に、最近マイクロサービスだから…ということをおっしゃった方がいて、なるほど…と思いました。
    • うちだとあんまピンとこないな…と思っていたのはそのせいだったのかも。
  • AWSの話でそのうちにブルーグリーンデプロイ来るかも?
    • 自分は簡単・安心・爆速でめっちゃいい体験だったので、広まるといいなぁ…!
  • 最後にtsurugiの話を駆け足でしてもらった中に、トランザクションは書けずにやって、失敗したらabortさせる、とあり、自分が読んだときはあんまり変わらずに書けるじゃんと思っていたのが覆されました!あと、我々が死ぬ頃にはtsurugiが真ん中にドーンと立ってるんじゃないですかね…と仰ってた言葉もよかったです。どこかでホスティングされたら使いたくなりました…!

今回は特に刺激的な会でした。 また次回も行こうっと。

Software Design 2024/03 メモ

Software Design 2024年03月号を読んで、ちょこっとずつ感想を書いてます。

gihyo.jp

表紙

  • 実践ガイドのオレンジは、人参のオレンジと同じ…?
  • 全体的に落ち着いた色で結構好きかも…。

第1特集 どうやって実現する? ドメイン駆動設計[実践]ガイド 理論の先にある応用力を身につけよう

第1章:ドメイン駆動設計の概要 本来の目的を再確認し、軽量DDDから脱却する ......増田 亨

  • 今、「良いコード悪いコードで学ぶ設計入門」読んでますが…あまり意味が説明されずに軽量DDDのあたりをやっていた感じかもしれません。
  • この章を読んで、「良いコード〜」のテクニックがなんのためにあるのか、少しわかった気がしました。

メモ - ドメイン駆動設計だから、領域の知識である業務ロジックに焦点を当てるのは自然ですよね。 - 競合他社と差別化するために、簡単に真似できない独自のやり方を工夫……複雑になりやすい要因がコレですか。ちょっと納得しました。 - 役に立つソフトウェアは新たな要求を呼び寄せる……たしかにそう、だから変更しやすくリファクタリングしよう、ということですか。 - リファクタリングはモデルの改善とコードの改善が双方向…わかる…。だから、ちゃんと一致させよう、ということですかね。違うとハマりますからね…。 - 戦術的設計がDDDの基礎を作る……なるほどです。基礎だからそれだけ取り込むこともできるっていうことでもあるんですかね…。 - 土台部分をやってその後へ進まないから、軽量DDDとちょっと嫌な感じで言ってるのか、早く進めよと…。 - ユビキタス言語、辞書とはちょっと範囲が違うみたいですね。全部じゃなくて業務ロジックを正確に記述できるところまでだから、少し狭くてもいいみたいです。 - ユビキタス言語の登録単語と値オブジェクトが紐づくのか…ちょっと価値が見えてきました。 - 「良いコード悪いコード〜」 - 値オブジェクトを抽出しろっていわれてたけど、イマイチ良さがわからなかったんですが…ユビキタス言語と紐づくなら、ちょっと可能性を感じます…。 - コアドメインリファクタリングを継続的に…なるほど、全部じゃキツイですもんね…。たしかに一理あります…!

第2章:ユビキタス言語 定義と効果を理解してチームで実践してみよう ......大西 政徳

  • エンジニアとドメインエキスパートが議論を交わすためのツール…!と目的をはっきりさせると、どれくらいがんばればいいのか、力加減が見えてきて、ちょっとやってみたい気持ちになりました。
  • ユビキタス言語管理ツールとかないのかな…?
    • Notionでいけそうかも?
      • AIにユビキタス言語にある単語を強調表示してくださいって頼んだのが↓ですが、ここから外れている単語についてまた考える、みたいにすればよさそう。
    • ユビキタス言語の管理をNotionで

メモ - 「ドメインエキスパートの知見を借りやすくするツール」 - 1章で読んだときになんとなく思ってたことでした。 - 続きが気になります…。 - コラム、めっちゃわかります!ドメインエキスパートの話をちゃんと聴き込むといいアイデアも出るし、どういうものを作ります、的なことも話すので、出来上がったあとも使ってもらいやすい気がしてます。 - 「ドメインエキスパートを任命してください」と言ってみるのもいいかも?責任感が出そうです。 - よく、ふにゃふにゃ答えられて聞き出すのが大変だった記憶が…。 - あなたはプロフェッショナルです、という名前をつけると、権限が渡されて、ちゃんと役割を認識できるかも。 - 用語集、利用するほうは理解できるのですが…更新し続けるイメージがなかなか…。 - 開発するときに必要だからそのときにメンテナンスする、くらいなのかも? - 面談と面接の意味の違いがあるとは……。 - うーん…ドメインエキスパートがここで出てきたユビキタス言語をちゃんと使ってくれるのかが微妙…? - ユビキタス言語管理ツールとかないのかな…? - Notionでいけそうかも? - AIにユビキタス言語にある単語を強調表示してくださいって頼んだのが↓ですが、ここから外れている単語についてまた考える、みたいにすればよさそう。 -
ユビキタス言語の管理をNotionで
- あとの言葉と被らないような言葉を選ぶ……だいたい選ばれてないんです、引き継いだときには。 - あんまり登録語数を増やしすぎないほうがよいみたいですね…。 - エンジニアとドメインエキスパートが議論を交わすためのツール…! - ドメインモデル図として管理…!開発中はちゃんとメンテナンスされそうです。

第3章:イベントストーミング ドメインを解析してモデルを形作る ......成瀬 允宣

  • 実際に開催するとかなり時間がかかりそうで、今だとここまでできなそう…。
    • もっとも、自分もぼちぼちドメインについて詳しくなっているので、だいたいわかるというのもありますが…。
  • 何かで最初作ってみようかな…。イベントストーミングとして開催するのは良さが確実にわかったあとかも。

メモ - 実際に開催するとかなり時間がかかりそうで、今だとここまでできなそう…。 - もっとも、自分もぼちぼちドメインについて詳しくなっているので、だいたいわかるというのもありますが…。 - イベントを書き出す作業、有効そう…。 - 例の「サーバの準備が完了した」は、そんなのいる?って思いましたが、故障などのイベントも漏らさず知っておきたいだろう気がしたので、よい!と思い直しました。 - ホットスポットの考え方はイベントストーミング内だけじゃなく、他でもやりますね。 - 「一旦issueに書いて、あとでちゃんと時間とってやりましょうか」 - 起票した人との主観でざっと議論で大事かもと思ったことを軽く添えられるとよい…。 - 何かで最初作ってみようかな…。イベントストーミングとして開催するのはそのあとかも。

第4章:イベントソーシング イベントストーミング図を基に実装する ......成瀬 允宣

  • イベントストーミングで分析した結果をそのまま持ち込めるのは、ちょっとおもしろそうに感じます…。
  • うちでも一応入れられそう…。
  • 事例もぼちぼち出ているような気がしますが…うーん…どうだろ?

第2特集 使って試す 次世代高速RDB「Tsurugi」 基本の使い方から応用技術まで

第1章:コンソールからTsurugiを扱う 次世代RDB超入門 ......神林 飛志、菱田 真人

  • 何度か特集されてきてて、ずっとドキドキしてる、よさそうなDBMS…!
    • なのに、仕事ではそのポテンシャルを活かせるような規模のものがないのが悲しいです…><
      • db.t4g.smallで十分…
      • コア少なめ、メモリ貴重、ベースはディスク…。
  • こういうのを見ると、ちょっと大規模なデータベースにあこがれちゃいますよね…。
    • 前々職のときは大きいのをさわれてたけど、当時はOracleスゲェでした。

第2章:簡単なWebアプリでTsurugiを使う 高レベルAPI「Iceaxe」による操作を体験 ......青江 崇、中澤 杉夫

  • Iceaxe → ピッケル
    • 剣岳を登るのに使うのかしら…。
  • createQuery / createStatement と早い段階でただの問い合わせか更新か分けているの、いいですね。(あんまり直接JDBC使ってないもので…普通なのかしら…。)
  • 読んでいて、特別感がないように見えました。
  • …つまり、実装する側からすると他のものと変わらず利用できるのに、速いってことですよね。
  • めちゃくちゃありがたい気がします…!

第3章:PG-Stromを用いてTsurugiのデータを分析する GPUの並列処理とNVME-SSD直接読み出しで高速化 ......海外 浩平

  • www.heterodb.com
    • strom → ドイツ語で大河
    • PostgreSQL用のもの?
    • 期待させてくれますね…!
  • あれ…でもdumpしてるから、直接tsurugiから扱うわけじゃないのかな…?
  • …とはいえ、GPU-Direct SQLスゴイですね…!

連載:Column

万能IT技術研究所【22】見えない宇宙を見通せる天体望遠鏡の作り方――始めよう! 天体観測……電波望遠鏡からガンマ線まで ......万能IT技術研究所

  • オープンにされている宇宙の写真をちゃんと座標に配置して、それをスマホで覗くように見る…。これはいい体験だと思います。どこも作ってないのかな…?
  • あ…ライセンスの問題もあるんですね…。

ハピネスチームビルディング【24】マネジメントのやり方や考え方を記事に書こう ......小島 優介

  • いずれも納得のメリット、同意です。
  • センシティブな話題が混じらないようにするのが大変そうですが、どうしているんでしょう?

エンジニアのためのやる気UPエクササイズ【19】エンジニアにやってほしい自宅エクササイズ3選 ......えくろプロテイン

  • この連載のおかげで、なんとなくスキマスキマで体を動かすようになっている気がします。
  • 部屋が狭いから、あんま派手なのはやりませんが…。

あなたのスキルは社会に役立つ~エンジニアだからできる社会貢献~【147】たとえば「ドラ娘システム」をアプデしてみよう〜テックコミュニティとジェンダー〜 ......今村 かずき、古川 泰人、武貞 真未

  • ドラ娘システム…?そりゃたしかにアレな気がします💦
    • いつしか自分も叩きたいと思ってたのに、そんなハードルがあったとは…。
    • たしかに旧バージョン感あります。
      • 自分はLT初期の記憶しかなく、司会者がやっていたイメージでした。もっと古いバージョンだったかも…。
  • リアルイベントはイノベーションとアンコンシャス・バイアスという諸刃の剣を持ち合わせている…たしかに。
  • すごい、あの女性がたくさん入っている理事会は時間がかかります問題に対して、テックによる提案を出したということか…!
  • チェックリスト、いいですね。自分も見直します。

連載:Development

あなたの知らないChromeの世界【2】Chromiumとは ......小河 亮

  • Chromium、動画/音声のコーデックが一部使えないのは知りませんでした。
  • ホントあちこちで使われていますよね。
    • メジャーなブラウザはBlinkばっかですね…。
  • Edge、ウィンドウ分割とかあるのか…。
  • 新しいのは厳しいかと思ってましたが…希望が…!

Google Cloud流クラウドネイティブなシステムデザインパターン【2】高いシステム要件を求める大規模システム ......北野 敦資、(監修)阿部 正平

  • AWSやAzureのk8sクラスタも管理対象にできるって…GKE Enterprise、スゴイですね…。
  • ううむ……デカいシステムを相手にするのもたしかにおもしろいかもしれません…。
    • いま、めっちゃコンパクトなんですよね。

ぼくらの「開発者体験」改善クエスト【3】クラウドらしいリリースフローを目指すデプロイエンジニアリング ......武藤 雅幸

  • リリースがめっちゃ大変そう…。こんなに縛られてたら、確かにツライかも。
  • 「新しい何かを作ることに注力する時期」…まぁ、わかります。
  • CTOはどう説明して開発生産性に舵を切れたんでしょう…?
    • うちは人数が少ないので、朝のミーティングでだいたい語れてしまってるので、ちょいちょいメンテナンスを挟めていますが…。
  • 「プッシュを止めるな!」…いいプロジェクト名ですね。楽しさがあってめっちゃいいです!
    • ビジネス的にもプッシュが止まると結構な痛手になるのかな、とも想像してます。
  • タグでリリース…結構よさそうと思ったんですが、最近はあんまやらないんですかね…。
  • E2Eテスト、いいなぁ…。
  • かなりドラマチックですね…。かっこいい…。
  • ウチもガッツリデプロイのプロセスを弄りたい…。

実践データベースリファクタリング【4】検索フォームの混沌 ......曽根 壮大

Cloudflare Workersへの招待【4】HonoではじめるCloudflare Workers ......福岡 秀一郎

  • エッジで何でも動いちゃうなんて…。
  • hono.dev
    • 炎なのかー。
    • CDNエッジ向けな特徴…!
      • Node.js以外のランタイム上でも動く!
      • 速い!
      • 小さい!
    • ちょっと興味が出てきました…!

実践LLMアプリケーション開発【6】LangChain安定バージョンの発表とLangChain Expression Language ......西見 公宏

  • 今までパッチバージョンで来ていたとは知りませんでした…。これからもう少し変更が穏やかになるとのこと、自分が使うときに少し安心かも。
  • なるほど、条件によってチェーンを分岐みたいなことができるのはおもしろいかも…!

画像解析AIの作り方【最終回】さらなるモデルの改善 ......髙木 優介

  • なるほど、改善方法が興味深いです…。
    • 教師データを増やす、最適化アルゴリズムの変更以外に、モデルの選定が…!
    • 教師データを増やすのを擬似的に…。
      • 回転、拡縮、コントラスト変更…
      • なるほどすぎます…!
  • あんまり知らなかった分野の話で、めっちゃおもしろかった、ありがとうございました!

MLOpsのすすめ【8】機械学習の引き継ぎ ......澁井 雄介

  • この連載の最初、今号の位置付けを話してくれるので、よい感じがします。
  • 引き継ぎを責任/課題解決能力/維持に分けて成否を判定するのは結構よさそうです。機械学習に限らなそうです。
    • 「責任が特に大事」というのはスゴく納得…。引き継ぎをするときには気をつけようと思います。
  • 「当たり前」のことが多いですが、それがなかなかできないんですよね…。ちょっとずつやろ…。
  • データの管理!たしかに難しそう…。
    • AWS Glue Data Catalogというサービスがあるんですね…。

位置情報エンジニアリングのすすめ【8】防災マップの作成③ ポップアップ機能による地点の情報表示 ......小松 聖

  • タップしたら情報が出るのって、直感的でいいですよね…。
  • ううむ……楽しそう、作りたい……。

AWS活用ジャーニー【18】AWS IAM Identity Center ......杉金 晋

  • 複数のアカウントを運用…。
    • 今うちはそうしていませんが…最近は各環境ごとに細かくアカウントを分けているようなので、そのうちに検討しないとなぁ…。
  • 1つのアカウントで複数の権限をユーザにアサイン?そんなことができたんですね…。結構よさそう…。
  • 一時資格情報?いいですね、これ…。
  • IAM Identity Centerもやっぱりterraformでできるっぽい!
  • 外部ベンダーに権限承認を管理してくれるサービス…
    • www.cyberark.com
    • いいなぁ…!と思いますが、うちじゃ人数少なすぎて…。
    • 覚えておきます!
  • 緊急時に赤い消防斧で出たりすることをイメージした「ガラス破りアクセス」
    • ちゃんとアクセス制御を作り込んだうえで、有事の際にどうするか?みたいなことを考えておくとよさそう、的なものでしょうか。
    • ちょっと覚えておいてもいいかも。
    • 普段からガラス破り的なのは避けたい…!

連載:OS/Network/Security

ドメイン解体新書【2】DNSの基本 ......谷口 元紀

  • 確かにこのあたり、仕様がバンバン変わったらヤバいですよねw
  • hosts.txt…DNSを準備する前は寮内LANで使ってました。なつかしい…。
  • リソースレコード
    • AAAAレコード、あんまり見覚えが…と思ってたら、IPv6用のAレコードなんですね。なるほどです。
    • HTTPSレコード???おお知りませんでした…!
  • キャッシュサーバ、あんまり細かく知りませんでした。
    • TLSの秒数だけ覚えといてくれるヤツ…。

魅惑の自作シェルの世界【16】プロセスグループとフォアグラウンドプロセス ......上田 隆一

  • フォア/バックグラウンドの違い、そういえばちゃんと知らなかったです…!
  • ls -l /proc/$$/fd を見ようと思ったら、macOS、そもそも/procがないです…。
    • superuser.com
    • lsof -p $$ で見れました。
      • list open files
      • lsof -p $$

アラカルト

ITエンジニア必須の最新用語解説【183】OpenTofu ......杉山 貴章

  • 気になってました…!
  • この手の動きがいいのか悪いのか…なんとも判断できない感じですが…。
  • 競ってよい感じになってくれればありがたいです。。。

読者プレゼントのお知らせ

  • 高性能ミニPC「UN1245W」
    • 小さいっていうだけでかなり憧れが…。
    • メモリも十分だし、かなりよいのでは…?
    • www.links.co.jp
  • 精密ドライバーセット「126 CYLINDER」
    • 120個のビット!絶対使わないけど……欲しくなってしまう…。
    • 会社のプレスリリースのリストで「ロマンぎっしり」…わかってしまう…。
    • www.area-powers.jp

SD BOOK REVIEW

  • サイバー攻撃から企業システムを守る!OSINT実践ガイド
    • info.nikkeibp.co.jp
    • 世の中で公開されているいろいろな情報源からセキュリティ情報を収集…スゴく地道な作業に見えます…。
    • 中国、ロシアの事例…!
    • どんなことが書いてあるのかちょっと気になります…。
  • ゼロから学ぶ Flutterアプリ開発
    • gihyo.jp
    • よくお見かけするkboyさんの本。
    • flutterの本を見るたびにやらねば…という気持ちがもたげるけど…時間が><
    • 自分はもしかしてこっちのほうがいいかも…?

SD NEWS & PRODUCTS

  • 医療AIは期待大ですね…。
    • 必要となる知識量が半端ないので、そのあたりをうまくカバーしてもらえると、めちゃくちゃ助かる気がします。

次号のお知らせ

  • Linux基礎知識50
    • 購読するようになって、知識をアップデートする機会になってめっちゃ助かります。
  • 今こそ知りたいテクニカルライティング
    • ああ、気になれど、毎回なんもしてない><
    • 仕事でちょいちょいテキスト書くけど、伝わってるのかなぁ…。
    • 楽しみにしてます…!
  • Databricksで勝つデータ活用
    • www.databricks.com
    • これかしら……全く知らなかったので、ちょっと楽しみ!

特別広報

グローバルへ挑戦するココネのエンジニアリング力を探る【9】スケールしても開発に専念できる組織体制に ......編集部

  • 技術を担当するテックリードとマネジメントを担当するエンジニアリングマネージャーを別に立ててるそう…。よさそう。
    • テックリードがマネジメントで忙殺されないのが結構よさげ。場合によっては離職しちゃうかもだしなぁ…。
  • ごはん…おいしそう(^q^)

2024年02月

2月何したっけ…?というまとめ。

以前のまとめ

Special Thanks