「ＴＩＳ、人工知能ベンチャーに出資」とか、ニューラルネットで書かせた絵とか（３月２１日追加）

人工知能話をまとめて・・・

ＴＩＳ、人工知能ベンチャーに出資
http://www.nikkei.com/article/DGXLZO98428070U6A310C1TI5000/

AIとかFinTechとかは、既存の大手が取り組むというよりは、
既存の大手が、ベンチャーを買収しちゃうというケースが
多い気がする。
まさに、時間を買っている・・・

Man Combines Random People’s Photos Using Neural Networks And The Results Are Amazing
http://www.boredpanda.com/inceptionism-neural-network-deep-dream-art/

ニューラルネットをつかって、２つの絵を合成するというもの
英語の部分はどうでもよくて、ちょっと先から始まる絵をみてみましょう！

＃５の猫が、お気に入りです（＾＾）ｖ

う～ん、このぐらい出来るのなら、
パクリデザイナーは人工知能に負けるかも？＊


妖しげな技術ではなくソフトウェアとしての人工知能を実際に体験する――『はじめての人工知能』紹介
http://codezine.jp/article/detail/9258

お勉強の本として、メモメモ

＊ＰＳ
この絵について

【画像まとめ】あの人工知能に実際に描いてもらった絵がすごすぎた
http://ima.goo.ne.jp/column/article/4072.html

なまとめがでてきて、そこに、この絵を作ってくれるサイトのＵＲＬが載ってたので
メモメモ。以下のサイト

TURN YOUR PHOTOS INTO ART.
http://www.deepart.io/

サイバーセキュリティ経営ガイドラインとは

「裁判事例と経産省ガイドラインで読み解く、経営課題としてのセキュリティ対策」に行ってきた
http://blog.goo.ne.jp/xmldtp/e/540d8c8b9556bc3ec301430ef975911d

に出てくる「サイバーセキュリティ経営ガイドライン」とは

サイバーセキュリティ経営ガイドラインを策定しました
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html

にあるガイドラインのこと。背景（目的）については、上記サイトを
参照のこと。

内容は以下のPDF

サイバーセキュリティ経営ガイドライン　Ver 1.0
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf

（以下太字は上記PDFより引用)

概要ははじめのページにまとめられていて、
・経営者が認識する必要がある「３原則」
・担当幹部（CISO 等）に指示すべき「重要１０項目」
がある。

経営者が認識する必要がある「３原則」は、以下のとおり（一部省略）

(1) セキュリティ投資に対するリターンの算出はほぼ不可能。経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。

(2) 自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。

(3) 平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。


担当幹部（CISO 等）に指示すべき「重要１０項目」 は、以下のとおり

指示１：サイバーセキュリティリスクへの対応について、組織の内外に示すための方針（セキュリティポリシー）を策定すること。

指示２：方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。

指示３：経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること。

指示４：計画が確実に実施され、改善が図られるよう、PDCA を実施すること。また、対策状況については、CISO 等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべく適切に開示すること。

指示５：系列企業やサプライチェーンのビジネスパートナーを含め、自社同様にPDCA の運用を含むサイバーセキュリティ対策を行わせること。

指示６：PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成など資源の確保について検討すること。

指示７：IT システムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織に委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への攻撃を想定したサイバーセキュリティの確保を確認すること。

指示８：攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映すること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被害が社会全体に広がることの未然防止に貢献すること。

指示９：サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT（サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織）の整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施すること。

指示１０：サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。


いじょう。

Excel仕様書、Java+JS実装、UML、VDM間の関係について － その２：ＳＡ工程

きのう書いた

Excel仕様書、Java+JS実装、UML、VDM間の関係について　－　その１：おおざっぱに
http://blog.goo.ne.jp/xmldtp/e/19497a99c73ce73a299879a9eb6c2989

のつづき。

具体的にＳＡ（要求分析）工程における、ＵＭＬ、構造化手法、ＶＤＭと、
それらと実装との対応をかいてみる

---

■一般に
・何をシステム化するかを、大まかに決め、詳細化していく
　　（部→課→係レベルで、することを詳細化していく）

・そこに関係する人（ステークホルダー）を挙げる

・最終的に、担当者がやるべきことが、入出力レベルできまる

・そうしたら、入力、出力の内容を決める

・入出力項目を正規化すると、概念モデルがでてくる

---

■ＵＭＬで解析する場合
・何をシステム化するかを、大まかに決め、詳細化していく
　　→ユースケース図で記述する。システム化する対象がユースケースとなり

・そこに関係する人（ステークホルダー）を挙げる
　　→そのユースケースにかかわるステークホルダーをアクターとして記述する
　　　アクターはユースケースに入出力する人・システムということになる


・最終的に、担当者がやるべきことが、入出力レベルできまる
　　→ユースケースを詳細化していくと、最終的に、
　　　　○○を入力し、△△を出力するという形の連鎖になる。
　　　　これがアクティビティで、このアクティビティの連鎖をアクティビティ図に記入する


・そうしたら、入力、出力の内容を決める
　　→入力、出力の対象と、その項目内容をクラス図で書く
　　　　１画面１クラス、１帳票１クラスとなる
　　　　画面・帳票の入力・出力項目は、その画面・帳票クラスの属性となり
　　　　画面のボタンなどによるイベント操作は、メソッドとなる

・入出力項目を正規化すると、概念モデルがでてくる
　　→入出力項目を正規化し、クラス図を作成する
　　　このクラス図に対応するものが、テーブルになる

---

■構造化設計の場合

・何をシステム化するかを、大まかに決め、詳細化していく
・そこに関係する人（ステークホルダー）を挙げる
　　　→一番初めに書かれるのが、コンテキストダイアグラムになる
　　　（システムを１つの丸として書き、そこに入出力するアクターを描く）
　　　　そこから、詳細化していき、ＤＦＤを作成する
　　　→ＤＦＤの場合、詳細化しながらデータをきめていく

・最終的に、担当者がやるべきことが、入出力レベルできまる
　　　→DFDを詳細化していくと最終的に、
　　　　○○を入力し、△△を出力するという形の連鎖になる。
　　　　これをプロセスとし、その流れをプロセスフロー
　　　　WFA（業務流れ図）で表現する

・そうしたら、入力、出力の内容を決める
　　　WFAは入出力が書かれる。その入出力の内容を決める


・入出力項目を正規化すると、概念モデルがでてくる
　　　→上記入出力の内容を正規化して出てきたエンティティをＥＲ図で表現する

---

■ＶＤＭの場合

・何をシステム化するかを、大まかに決め、詳細化していく
　　（部→課→係レベルで、することを詳細化していく）
・そこに関係する人（ステークホルダー）を挙げる
・最終的に、担当者がやるべきことが、入出力レベルできまる
　→やるべきことは最終的に、各担当者ごとに
　　　　○○を入力し、△△を出力するという形（プロセスと呼ぶ）の連鎖になる。
　　そこで、担当者を１つのクラスとし、プロセスをoperetionまたはfunctionとする
　　入力がfunction・operationの引数となり、
　　出力はfunctionの場合返り値(postのreturn）となるので、そこまで記述
　　→以降、function,oparationを合わせてOparationと書いている。

・そうしたら、入力、出力の内容を決める
・入出力項目を正規化すると、概念モデルがでてくる
　　引数、返り値の型を指定し、その型のクラスを、辞書のＶＤＭに記述する
　　型が基本型（っていうの？）で記述できるまで。

【以下、ＶＤＭのみ】

・oparationを呼び出すテスト用ＶＤＭを作成する
　このＶＤＭで、引数の値を指定する
　ここで、テスト用ＶＤＭは２種類作れる
　　　Oparationを単純に値を設定して呼び出すもの：モデル用
　　　Oparationを上述のプロセスの連鎖の順番に従って呼び出すもの：画面用
　が、ここでは上記「のみ」を作成する。すなわち、引数のデータを用意し、
　runで、引数を設定して、Oparationだけを呼び出す。
　　→画面用はＵＩで確かめる

・テスト用のモデル用ＶＤＭを実行して確かめる

---

■後工程の実装との対応

・画面クラス図におけるイベント、ＶＤＭでのoparationが
　モデルクラスのメソッドとなる
　　→イベントやoparationのクラスがどのような名前になるかなどは、
　　　フレームワークによる

・概念モデルのクラス図やＥＲ図、辞書に書いたVDMが
　　データベースのテーブルとなる。すなわちクラス図、ＥＲ図、ＶＤＭから
　　テーブルを作成するＳＱＬを記述する
　　必要ならば、ＤＡＯ，ＪＰＯ等を作成する

・ＶＤＭの場合は、テスト用ＶＤＭができている。
　このＶＤＭのデータの部分をもとに、JUnitを作成する。
　→はじめの赤くするテストはできるはず。なぜなら、上記でモデルを作成しているから

・ここまでで、モデル部分のソースができ、ＶＤＭの場合はさらに、検証ができる。

「裁判事例と経産省ガイドラインで読み解く、経営課題としてのセキュリティ対策」に行ってきた

きのう（３月１４日）EnterpriseZine Seminar
裁判事例と経産省ガイドラインで読み解く、経営課題としてのセキュリティ対策

に行ってきた！その内容をメモメモ

---

■セキュリティ関連判例に見る、経営リスクとしてのセキュリティ事故
　その時、企業は何を問われるか？

・自己紹介
　ＩＴの調停
　　多くは、ろくでもないソフトとかいう話
　　ＩＴ専門委員：つめたく証言
　→セキュリティ関係もある

予備知識：不正アクセス防止法　第２条の４
・アクセス機能を有する～・・・
→アクセス機能が不十分なコンピューターは、法律でも守られません！
　個人情報、営業機密
・窃盗罪？
→ちがいます。窃盗罪：モノがなくなることが要件→コピーした場合、モノがなくならない

もはや、セキュリティ事故は日常茶飯事
→守り切る仕組みとともに、漏えいした時のことも考えましょう

どちらでしょう
・漏えいを起こした会社
　　被害者・加害者
　　情報を守る専門化？・素人だから仕方ない？

加害者か被害者か？素人か専門家か？
・インターネット検索サービス会社による個人情報漏えい
　　５００円の金券→５人が納得しない
　やることやってなかったら加害者→不法行為
　　：専門家であるべき
→旅館・民宿の宿帳：葉書出すために→個人情報
　情報盗まれたら、不法行為
　→素人だからしょうがないねと裁判所はみなさない

加害者にならないために、何をどこまでやっておくの？
・クレジットカードの個人情報漏えい
　決済代行会社→不正利用されている
　→裁判所はこれぐらい必要と判断したこと
　　　入力検証、不正データ無効化
　　　パスワード、セッション
　　　データ暗号化
　　　アクセス制御
　　　ログ
　昔は、ファイヤーウォールで暗号化でよかった
　平成３５年だったら？
　→時流に合わせてセキュリティ

・新聞または雑誌で周知されている技術は、適用する義務がある

大切なことは、タイムリーな仕組み
・日々学び続ける
　　→情報を取り扱う会社は
　　人：モチベーション
・情報源、キャリアパス

どこで学びましょう
・JP-CERT
・警視庁のリンク集
→会社の中で、だれが学ぶ？


セキュリティ脅威は日進月歩だけど
・ウィルスによる個人情報流出
　経済産業省のＨＰ→ソフトハウス発注→個人がデザイン：そのパソコンに感染
　Ｐ２Ｐソフトで→３００万賠償（Ｐ２Ｐソフトは知られていたので）
　→４２０万が損害だった：発注者側も管理不備があったから
　→情報提供する側もセキュリティ

個人情報って、いくら
・規則はない
・下限は５００円（お見舞金だけど）
　多いのは５０００円（高め？）
　ただし・・・
・エステティックサロン：訴えたのは１４人→１００万円で提訴
　　→３万円になった
→請求者の気持ちによる
→お客さんがいなくなる
　裁判なんてやるもんじゃない。失うものが多い

まずは心構えとビジネスモデルの検証
→責任を持って管理といわれても
　情報を守れないのなら、そんな商売するな
　とはいえ、すべての情報をがちがちに管理していたのでは、商売にならない
　　　→情報の取りアー時

情報の分類
　どんな情報を持っているか洗い出し
　分類する
　　　経営に重大な影響があっても守る
　　　上記ほどではないが、対外的に影響が大きい
　　　外部に及ぶ損害は限定的
　　　限定的
　　→分類はいろいろ
　トリアージに基づく情報保護法新
→一般的なウィルス対策やファイヤーウォールをやった上で

お金と謝罪についても考えておきましょう
・もう一つのトリアージ
　　情報の値札付け（だいたいでいいけど）
　　謝る人を決めておく：トップが謝らなきゃしょうがない。
　　　→初動を誤り、中間管理職が誤って問題が起こることも
→会社つぶれないために必要

体制こそ大事
・情報保護方針の制定者は経営者、経営層
・情報アクセスは立ち会う中で
・常時監視
→派遣社員、よその会社が盗むほうが多い

昨日まで許されたことが、今日は許されなくなる。

■サイバーセキュリティ経営ガイドラインから読み解く企業のすべきこと
１２月２８日に出た
・サイバーセキュリティガイドラインＶｅｒ1.0
　サイバーセキュリティと情報セキュリティの違いは？
　　→サイバーセキュリティのほうが広い
　　　情報セキュリティ：コンピューター、ネットワーク
　　　サイバーセキュリティ：組み込み、不正送金も

多発しているセキュリティ事故
・２０１３年から急に

ビジネスとしてのサイバー犯罪
・プロフェッショナル化するセキュリティ犯罪
　　犯罪支援のツール
　　ブラックマーケット

セキュリティ事故事例
・事故多発

サイバー攻撃の変化
・明確な目的を持って、企業等を狙っている
　　対策ソフト研究：検知されていないマルウェア（ゼロデイ攻撃）
　　ネットワーク機器のぜい弱性を利用
　　人間の心理を利用した標的型攻撃
　→ランサムウェア
　　ファイルが暗号化されてロック：Ｗｏｒdに添付されて送られてくる

サイバー攻撃で何が狙われるか
・個人情報だけではない
・設計図、ＣＡＤ、作業工程、デザイン、医療情報
　→他社（海外）からみると、おたからかも？

ガイドライン誕生へ
・サイバー攻撃により企業活動の停止
　ノウハウ流出
　海外競争力の低下
　企業規模、業種を問わないセキュリティへの対応が不可欠

ガイドラインの構成
・はじめに：メッセージ
・３原則
・１０項目

はじめにに見るガイドラインの位置づけ
・サイバー攻撃に対処するのは経営者の責務
　　→ガイドラインをやっているかどうか
・保険会社もチェック→保険料変わる？

サイバーセキュリティ経営の３原則
・リーダーシップ
・自社はもちろん、協力会社、サプライチェーンも対策
・関係者と適切なコミュニケーション

重要な１０項目
（ガイドラインでわかれているわけではないが）４つのカテゴリー

・１．リーダーシップと耐性
　ＣＩＳＯ：セキュリティ責任者情報システム部役員とか
　指示１，２

・２．リスクの管理と計画
　経営者巻き込んで対策リスク
　指示３、４、５

・３、サイバー攻撃の事前対策
　予算の管理、情報収集
　指示６，７，８

・４．サイバー攻撃の事後対策
　指示９，１０


リーダーシップと体制
・経営者を説得する材料になった
・予算をつけて、計画的に、経営者が

リスクの管理と計画
・リスク→外部のコンサルタントと
・昔のリスク分析は陳腐化してるかも？

セキュリティリスクの考え方
・可視化して

リスクの管理と計画
・サプライチェーン

サイバー攻撃の事前対策
・教育しろ！
　→意識低い人が狙われる
・従来、ファイヤーウォールいれておわり
　→いまはモニタリングしないとだめ
・技術対策
　多層防御：多重にセキュリティ入れる。どの企業も入れている
　→入口対策、出口対策
　　　→ログの相関分析

サイバー攻撃の事後対策
・起きた時のフロー、マニュアル化
・ＣＩＳＲＴ（しいさーと）の構築
・ログ分析→つきあわせてみないと（帰っているのに通信）

まとめ
・リスクの把握
・ビデオ
・特徴
　　技術
　　人
　　組織

■クロストーク
　これだけは最低限やっておきたい背旧知ティ対策に必要な１０のこと
１．自分だけの持っている情報を洗い出せ
２．情報トリアージ
３．リスクを洗い出す
４．社内の対策、社外の対策の仕分けをする
５．経営幹部、経営層を巻き込む
６．予算を確保する
７．セキュリティ以外の情報システム部門との連携を取る
８．社員全員への意義づけ
９．セキュリティ情報について継続的に学ぶ
１０．情報を預かるモノは、防衛策を講じないと不法行為になること


トップが無事でない事例はある→啓蒙する
　→経営陣の中に味方をつける
セキュリティ予算付いている：社長にインプット→情報を与えないと
　→ベンチマーク有効
モニタリング→入れてすぐにわかることも

資産のチェック→脆弱性モニタリング

「おまかせしてました」「裏切られました」
→裁判所のＮＧワード
　ポリシーはユーザーさん

セキュリティ人材
　ジョブローテーション
　業務改善として入れていく

まず、ガイドラインのインプット
危機感の共有→伝えるための仕組み