雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2008-07-04 [長年日記]

WASForum 2008 CIO/CTO DAY

かなり充実した半日でした。

CIOが為すべきITマネージメントとセキュリティ対策
(よい意味で)教科書的な内容。一番印象に残ったのは、規定を作っていく過程で、どういったことを誰がやるのかといった点や社内体制の矛盾が明らかになった、という言葉。ただ、そうした規定作りなどはやりたくないけどしょうがなくやってると言っていたのは、余計な一言ではと思った。
不正アクセス事件から学んだこと
カカクコムのインシデントレスポンス話。その時の対処からこれまでの取り組みまで。社員のモチベーション維持というのが実は結構重要なキーワードだったような気がする。
Web攻撃の脅威に立ち向かうには
サウンドハウスのインシデントレスポンス話。ものすごくアクが強い社長でしたが、判りやすく、人を惹きつける話し方ができる人という印象。パネルディスカッションで攻撃を受けてムスッとされてましたが、逆に今のセキュリティ業界にはああいう理解しようとしている経営層こそ必要だと思う。ので、もうちょっと正しい知識を吸収してあの調子で今後もがんばって欲しい。応援してます。
インターネットとセキュリティに関する企業の責任
今回一番の発表。経営者層向けには一番説得力のある内容だったように思う。今後の仕事(社内のみならず受託でも)での相手の説得には使わせてもらおう。
パネルディスカッション
キーワード^J実店舗なら客の姿が見えるがオンラインでは今日は不振な客が多いなとかがわからない。^J経営者だって理解したいと思っているが、企業からの助言はどうしても売り込みに見えてしまう^Jあらゆる(360度からのと言っていた)攻撃をカバーするポートフォリオ(って理想論振りかざされても経営サイドは困っちゃうんじゃ?と思った)^JセキュリティのPDCAサイクル:常に新しい攻撃などの環境の変化に対応し続ける^J事故は必ず起きるという前提で予算・体制を組もう^JCIO/CTOは技術と経営の間のよき翻訳者とならなければならない^J経営者視点では現状一寸先は闇、道筋を示す光が欲しい

あと、今日の一連の流れを通じて、経営サイドとフォーラムサイド(というと語弊があるかも)の間での大きな認識の違いにひとつ気づいた。カカクコムの安田氏に対し、慶応の先生が「当時、『最高のセキュリティ対策を施していた』という発言があったがそれでよかったと思うか」と質問していたのに対して安田氏は「当時としてはよかったと思う」と答えた。また、高木氏がディスカッションでサウンドハウスの中島氏に「ちゃんとした開発者はいたのか」と質問したのに対し「2名は詳しいものがいた」と答えた。これらの発言は経営サイドとしてはごくまっとうだ(というか、こう言うしかない)と言うことをフォーラム側の人たちも理解する必要があると思う。「社員が無能だったから不正アクセスされました」とか、そういうニュアンスを少しでも感じさせる発言をしたら、その会社は内部から崩壊してしまうからだ。ディスカッションの途中、中島社長がポロッと「経営者にはセキュリティ以外にも人事・金策など考えないといけないことがたくさんある」と本音を漏らしたが、会場はそれをスルーしてしまった。中川氏がNGNについて語った際、高木氏がボソッと「NGNはだめでしょう」と言って会場が大爆笑して話が終わってしまった。

そんなつもりはなかったのだろうが、せっかく話を聞く気になってくれた経営サイドを無駄に追い詰めたり、小馬鹿にしたと受け取られかねないような態度を取っていたら、いつまでたっても溝は埋まらないと思う。


2008-07-05 [長年日記]

WASForum 2008 Developers DAY

昨日に引き続き参加。

EV SSLの意義と課題
私の主張にようやく世の中が追いついてきた感じ(偉そう)。というか、当時のClass3証明書と今のEV SSLって認証局的にやってることの違いがよくわかんないんですが、あの値段差はどこから来るんでしょう?
SQLインジェクション対策再考
SQLインジェクションの話。ってそのままやんけ。
携帯電話向けWebのセキュリティ
現場の人の話。理想と現実の間での実装の選択についての視点とかが面白かった。あと、向こうの世界のリテラシ話とか。
OpenIDのセキュリティ
入門的なお話とセキュリティ(?)。実装の話かと思ったら信頼性とかの話に行ったので、やや期待はずれ。
セキュリティの作り込みはどのように行われているのか?
Security Development Lifecycleの話。零細企業はどうすれば良いのみたいな質問が出て、個人的にも一番知りたかったが明確な答えは出ず。残念。
Security Wars Episode III
I,IIが長すぎて(しかもどっかで聞いたような話で)寝ちゃった。セキュリティとリバースエンジニアリングの話が印象的(というのは最後の質問タイムだったり)。
Webセキュリティのマルプラクティス
内容的には面白かったが、そちらより門林氏の手のひら返しっぷりにかなり引いた。つうか「よき翻訳者であれ」という叱咤は今日こそすべきだったのでは?^Jあれだけ恣意的な質問の投げ方だったにもかかわらず、3分の1のオーディエンスが中島氏に賛同したという票を入れたのには、ちょっと安心した。

いや、なんでここまで中島氏を擁護するかと言うと、私にはどうも彼が裸の王様にしか見えないんです。で、フォーラムの人たちは無邪気な子供の役でいいの? とか思っちゃったわけです。


2008-07-25 [長年日記]

[Ruby]<%=ul_display 0,'hikidoc.rbの書式をさらに拡張' %>

先日公開したhikidoc.rbの書式拡張版ですが、ふと、『あれ、これって簡単にできるかも』とか思って試しに実装してみたら、やはり簡単だったので新機能追加版を。まずは最新バージョンでできることのサンプルをば。

.red.カ.blue.ラ.gold.フ.green.ルな色使い .tright.右寄せ .tcenter.センタリング .tjustify.両端ぞろえ(が日本語でうまくいかないのはブラウザの仕様。たぶん)

強調の中で.red.赤とか打ち消し線の中で.green.緑とかももちろんできるよ

複数の属性値を組み合わせて.tsmall cyan.ボソッ とか.tbig orangered.デカッとかも書けちゃいます

右寄せ、センタリングは前からできてましたが、ついでなのでこんなこともできるよということで。^Jで、上のサンプルのソース(blockquoteを除いたもの)はこちら。

``.red.カ````.blue.ラ````.gold.フ````.green.ル``な色使い
.tright.右寄せ
.tcenter.センタリング
.tjustify.両端ぞろえ(が日本語でうまくいかないのはブラウザの仕様。たぶん)

'''強調の中で``.red.赤``'''とか==打ち消し線の中で``.green.緑``==とかももちろんできるよ

複数の属性値を組み合わせて``.tsmall cyan.ボソッ`` とか``.tbig orangered.デカッ``とかも書けちゃいます

仕込みとして、append-cssプラグインを有効にして、を登録してあります。

以下、新機能の解説です。

span 要素
バッククォート2つで囲まれた部分はspanになる。CSSと組み合わせれば、文の途中で簡単に文字の.red.色.tsmall.サイズを変えられます。
属性値の複数指定
class/id属性に、スペース区切りで複数の値を入れられるようにしました。ってHTMLの文法をまんま利用しただけですが。

新機能も含めたテストは。

あまりやりすぎると元のテーマを崩してしまいますが、節度ある使い方をすれば、ちょっとした表現力の向上手段としてなかなか便利になったのではないかと自画自賛しておきます。

ツッコミ不許可

独自のツッコミSPAM対策なんかやってたことをすっかり忘れていたもんだから、3月にアップデートした時から、ついさっきまで問答無用でツッコミをはじく状態だったようです。素直にこちらを参考にして標準的な方法に合わせることに。 って作業したほんの数分の間に2桁のツッコミSPAMにやられてしまった。すごいな。