AlphaGoのサーバ料金は最低60億円!!?

囲碁の名人を破った、Googleの人工知能のおかげで

囲碁界お通夜ムード、Googleの人工知能「アルファ碁」の神がかり的な強さの前に
http://kabumatome.doorblog.jp/archives/65856412.html

ってことらしいけど、ただ

AlphaGoのサーバ料金は最低60億円!!?
http://fukuyuki.net/post-785/

にあるように、お金もはんぱなくかかるので、
中小企業がちょっと進出するっていう雰囲気のものではなさそう・・・
中小企業レベルの投資（数百万でR使って・・）となると、
そこそこのことしか出来ないのが、現状ですかね・・・

SHA1ハッシュ値から、もとの言葉を教えてくれるサイト

昨日の徳丸氏の講演の中にあった、

SHA1ハッシュ値から、もとの言葉がぐぐれるという話、
結局、以下のサイトにアクセスして、その結果を受け取っているようだ

http://sha1.gromweb.com/

ためしてみましょう！

上記サイトでSHA1ハッシュを生成（できるけど）してしまうと、
怪しすぎるので、ほかのサイトで生成。

ここ

http://www.convertstring.com/ja/Hash/SHA1

でpasswordで発生させてみた

5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
となったので、これを貼り付ける

あちゃ、ばればれです！
ただ、これ、もともと、ありそうな単語のハッシュ値を計算しておいて、
それとマッチングさせているようで、だから、12345678は、すぐにみつかるけど、
元の単語が、今、世間で話題のkatosariにすると
SHA1は
9E0200C6B1DC0B00C305796FC27549BFC9DA1522
だけど、

となり、表示されない。まだ、加藤紗里さんは、SHA1界では有名ではないらしい

Excel仕様書、Java+JS実装、UML、VDM間の関係について － その３：UI工程

Excel仕様書、Java+JS実装、UML、VDM間の関係について　－　その１：おおざっぱに
http://blog.goo.ne.jp/xmldtp/e/19497a99c73ce73a299879a9eb6c2989

と

Excel仕様書、Java+JS実装、UML、VDM間の関係について　－　その２：ＳＡ工程
http://blog.goo.ne.jp/xmldtp/e/f42121f37f7c889c87c030d815ce42ac

のつづき。今回はUI工程。ただし、UI工程に入る前に前工程のSA工程
をまとめ（補足？）しておきます。

---

■ＳＡ工程で、すでに決まっていること

　前回までで

【一般に】
・入力ー処理ー出力の処理（アクティビティ）の一連の流れは定義されている
・入力項目、出力項目は定義されている
・その項目をもとに、ＤＢ（テーブル）、ファイルに保存すべきデータが正規化され
　概念モデルとして構築されている

　これを表現するのは、以下の通り（前回とちょっと書き方違うかもしれないが・・）

【ＵＭＬの場合】
・アクティビティの一連の流れはアクティビティ図で定義されている
・各アクティビティはモデルとして、クラスのメソッドで定義されている
　　→そのメソッドをどのクラスに入れるのかはフレームワークの考えによる
　　　それが決まれば（例えば１アクティビティ１クラス）、クラス図で表現できる
　　　そのとき、入力項目がメソッドの引数となる可能性が大きい
・正規化された概念モデルは、クラス図に定義されている

【構造化設計の場合】
・アクティビティの一連の流れは業務流れ図（WFA）で定義されている
　同時に末端のＤＦＤにも記載される
　各アクティビティの処理内容は、ミニスペックに記述される
・正規化された概念モデルは、ＥＲ図に定義されている

【ＶＤＭ＋＋の場合】
・アクティビティ図１つぶんを１クラスとすると、
　各アクティビティは、oparationまたはfunctionとして定義できる
　　このとき入力は、引数であり、
　　出力結果はPostで指定される。functionの場合、返り値はRETURNで書かれる
　これが操作内容について書かれたＶＤＭである（発表では「データ処理仕様」に相当する。
　なお、「発表」とは情報処理学会の全国大会
　　5A-04エンタプライズ系業務システムの仕様をVDM++で記述する設計手法の提案
　　http://www.gakkai-web.net/gakkai/ipsj/78program/data/pdf/5A-04.html
　を指す。以下同じ。また、この発表（研究）に自分は関与していないので、
　「相当する」というのは、自分が勝手に思っていることである）

・その入力、出力の型定義が必要になるが、これは別のＶＤＭクラスで定義するとよい
　この定義するＶＤＭを辞書用ＶＤＭと呼ぶことにする。ここで、概念モデルが記述される
　（発表中、これは明確には書かれていない。「データ処理仕様」の一部と思われる）

・ＶＤＭはデータにより検証できる。ここでは、単純にoparationを呼び出すだけとする
　operationにどのような値を設定するかを定義する。これをテスト用ＶＤＭとよぶ
　（発表では、この段階での「テスト仕様」に相当するが、発表は、この段階ではなく、UIでの
　　テストを言及している）

【ＶＤＭ＋＋と実装との関係】
・操作内容について書かれたＶＤＭのoparationが、モデル部分に相当する
・辞書用ＶＤＭクラスがテーブル定義や制約に相当する
・データによって検証する部分がJUnitのテストに相当する。

---

■ＵＩ工程　一般に

・アクティビティの入力項目、出力項目は、画面、帳票、ＤＢの
　　どこから来るか／どこに出すかを決定する
　これにより、どのような画面を作ればよいか決定する
　→言い換えると、各画面と画面項目が決まる
　　１アクティビティ１画面とすると美しいが、かならずしもそうはならず
　　複数のアクティビティが同一画面になることもある
　　このときは、画面の１ボタンが１アクティビティに対応したりする

・上記画面と画面項目をまとめて、画面レイアウト図を作成する
　　入出力項目が、画面項目となる
　　入出力項目の内容により、項目の型（何ケタの整数、文字列等）が決定する

　　アクティビティを呼び出すために、イベントを発生させる
　　一般にイベントを発生させるにはボタンをクリックするが、
　　かならずしもそうでなくてもよい（マウスオーバー、キーボード入力などもあり）

　　項目とボタンがきまったのでＨＴＭＬで書けば、論理的に画面はできる
　　適当なＣＳＳを用意すれば、それっぽいレイアウトが完成するので、レイアウト図に貼り付ける

・各画面と、アクティビティの一連の流れから、画面遷移が決定する
　（画面入力し、ボタンが押されたら、正常なら、次のアクティビティ（の画面）に遷移するはず・・・
　　というように考えていくと、アクティビティの一連の流れはＳＡ工程で決まっているので、
　　画面遷移も決定するはず）
　そこで、画面遷移図を作成する

---

■ＵＩ工程　ＵＭＬ
・上記画面レイアウト図の１画面１クラスとして
　　　画面項目を属性として
　　　ボタン（イベント）をメソッドとし、メソッドがアクティビティを呼び出すとして
　クラス図を描き

・上記画面遷移図の画面遷移を状態遷移と考え、状態遷移図（ステートマシン図）を

　書くことも可能だが、意味はない

---

■ＵＩ工程　構造化設計
・上記画面レイアウト図、画面遷移図ができてしまえば、それでＯＫ

---

■ＵＩ工程　ＶＤＭ＋＋
・上記画面レイアウト図の１画面１クラスとして
　　　画面項目を属性として
　　　ボタン（イベント）をoperationsとし、operations内で、
　　　　　　　モデルのクラスをnewし、
　　　　　　　モデルのoperationsを呼び出す
　画面のＶＤＭを作成する（発表では画面仕様に相当する）。
　画面の入力項目の制約は、invになる

・画面遷移図をもとに上記画面のＶＤＭを呼び出すＶＤＭを作成する
　これが画面のテスト用ＶＤＭとなる（発表では操作仕様、業務仕様かはっきりしない）。
　しかし、これだけでは値が設定されないので、
　値を設定した画面テストの値用ＶＤＭ（発表ではテスト仕様）も作成する

---

■ＵＩ工程ＶＤＭ＋＋と実装との関係

・画面レイアウトを作成した時のＨＴＭＬがビューのもととなる
・画面のＶＤＭがそのビューを受け取り、モデルを呼び出すコントローラーとなり
　入力項目の制約が、バリデーションチェックに使われる

・画面のテスト用ＶＤＭ＋画面テストの値用ＶＤＭが結合テストのシナリオになり、　
　具体的にはseleniumで使える形にされる

---

・・・こんなかんじかな

　
　

「安全なＷｅｂアプリケーションの要件」について、徳丸氏の講演を聞いてきた！

きのう（３月１５日）シマンテックの

安全なＷｅｂアプリケーションの要件～脆弱性の正しい評価と対応策～

講師：徳丸氏とシマンテックの人
を聞いてきた！その内容をメモメモ

---

■Ｗｅｂサイト攻撃のトレンドと対処法、安全なＷｅｂサイトと脆弱性との向き合い方
・Ｗｅｂサイト攻撃のトレンドと対処法
　　Ｗｅｂサイトに対する侵入事件のトレンド
　　　２０００年　省庁かいざん事件→ファイヤーウォールさえ入ってなかった
　　　２００５年　ＳＱＬインジェクション攻撃：いまもさかん
　　　　　　　→ピークは２０１１年→対策進んだ
　　　２０１３年　パスワードリスト攻撃
　　　２０１４年　HeartbleedmStruts,Drupageddon
　　　２０１５年　Joomla
　　いたちごっこ？
　　　２０００年　ＲＰＣのようなものが狙われた？
　　　　　　　　　→そもそも、ポート開けとくなよ！
　　　攻撃通用しなくなった
　　　　ＳＱＬインジェクション
　　　それが
　　　　マルウェア感染、パスワード攻撃
　　→侵入口は、脆弱性か、ログイン口しかない
　　　　脆弱性をつぶすのは困難

・HeartBleed
　OpenSSL：メモリの一部漏えい（偶然に支配）
　　　→パスワードやセッションＩＤが漏れると！
　　パッチを当てれば治ります。準備をしている間にやられる→すみやかに

・ＳＳＬ／ＴＬＳの最近のぜい弱性
　POODLE：プロトコルの問題→ＳＳＬは使わない
　FREAK　弱い暗号にダウングレードする
　Logjam　暗号を解読しやすくする
→パッチを当てられるものは当てる。暗号は強固に

・ShellShock
　ＣＧＩなどでBashが動いている場合、外部から環境変数を与え、
　環境変数経由で攻撃を与えられる

　誰が対応する
　　　レンタルサーバー：レンタルサーバー会社
　　　ＶＰＳ，ＩａａＳ：パッチ適応は利用者
　　　ＰａａＳ、ＳａａＳ：事業者がやってくれるのは原則→ボタンを押さないといけないことも

・攻撃を受けるケース
　ものすごくはないが、いくつかある

・ＳＱＬインジェクション攻撃
　従来：発注者が指定しないと、指定しないほうが悪い
　今：言わなくても対策する専門家としての責務がある
　→情報漏えいする（手順は難しい）
　　SHA-1ハッシュ値をGoogle検索すると・・・
　　　→答えが出てくる
　　パスワードにしそうなものを、あらかじめ計算してＤＢ化している

・パスワードリスト攻撃
　　脆弱なサイトから、パスワードとってくる
　　セキュリティ厳しいサイトに、そのパスワードでアタックすると
　　　０．１～１０％で、当たってしまう（パスワードの使い回ししてる！）
　　パスワードリストは販売されている→高度に分業化

攻撃者の視点
２種類
・ビジネスになっている：相手誰でもいい
・標的型攻撃：特定ターゲット
　特定ターゲット
　　　改ざん検知
　不特定ターゲット
　　　狙いやすい攻撃使う→すばやく。１日で対処：できなければＷＡＦ

狙われやすいところ
・ＣＭＳのプラグインとか注意
・プラットフォーム、フレームワークのぜい弱性：既知の脆弱性
　　わからなかったら、あてるしかない
・ログイン口
　　外部に公開しない
　　公開するときはＩＰアドレス制限


■シマンテックのウェブサイトセキュリティソリューション

ウェブサイトセキュリティが置かれている状態
・７６％は何らかのぜい弱性、２０％は重大な脆弱性
・見つかった後が狙われている
・ＳＳＬがらみが多い
・DDoS攻撃：Ｂｏｔｓを借りている３０分単位の攻撃
　２種類
　　　大量リクエストを投げる
　　　重いリクエストを人のふりして投げる
　攻撃サイズ
　　１０Ｇｂｐｓ→２００Ｇ，３００Ｇごえ

対策
・ＰＤＣＡ→ＣＡＰＤ：チェックから入る
・iLogScanner：攻撃が分かる
・脆弱性診断
・証明書を買うと、マルウェアスキャンがついている
・シールインサーチ
・脆弱性アセスメント→３部で
・有料サービス：人の目で
・ＷＡＦ：入れたほうが安いことも
　　→見つかった後の対策：３分の１が脆弱性対策に３カ月以上

ＷＡＦ（Web Application Firewall）
・トラフィックを全部チェック
・導入：最後まで考えないと・・
・クラウドのＷＡＦ：運用外出し

事例
・自民党
・はとばす
・ＭＴＩ
・あぴりっつ

基本は脆弱性を作りこまない。センサーを入れておく

■脆弱性アセスメントレポート結果の読み解き方
・ＳＳＬサーバー証明書の上位で無償でついてくる

診断の設定
・ポータルから
・証明書がある；ホスト名は分かっているので、チェックして、ボタンを押すだけ
・診断が終わると、ポータルは脆弱性がいくつあるか表示
　　再診断もできる
・サマリが重要：２段階評価
クリティカルの一覧：詳細をクリックすると、内容がでてくる
　脆弱なＵＲＬが重要
　表示の脆弱性、サイト全体が影響受ける
・ＣＶＥ～のメッセージがでたら、コピペしてGoogle検索すると
　いろいろ出てくる
・ＣＶＳＳベーススコア　７．５は結構
・弱いパスワードを見つけてくれることも→ペネトレーション検査
・ＤＮＳゾーン転送：コピーを作る

ポートスキャンの結果
　・ありのままが表示
　・ＦＴＰ→ＳＣＰつかおう
　・ＭｙＳＱＬ，ＰｏｓｔｇｒｅＳＱＬ
　・３１２８：すくいど→オープンプロキシ注意

シマンテックの検査：わからないくらい程度の負荷

コンサルの学歴なんて、どうでもよくね？（ただし、センテンス・スプリングのスクープはすごすぎ！）

ショーンＫ“経歴詐称”謝罪　「報ステ」出演含め活動自粛へ
http://www.sponichi.co.jp/entertainment/news/2016/03/15/kiji/K20160315012221010.html

まず、センテンス・スプリングはすごい！これは認める。
で、だ、上記の記事によると（以下太字は上記記事から引用）

今後の活動は以下の番組を含め自粛したい旨、お伝えしております。

●　４月より放送予定であったフジテレビ「ユアタイム」
●　フジテレビ「とくダネ！」
●　テレビ朝日「報道ステーション」
●　ＢＳスカパー「Ｎｅｗｓザップ」
●　８１．３ＦＭ　Ｊ－ＷＡＶＥ「ＭａｋｅＩＴ２１」


え～（＠＿＠）！ショーンＫさん、よかったのに・・・
別にコンサルの学歴なんて、どうでもよくね？

ただ、学歴が間違っていることを見つけた週刊文春はすごい！
そろそろ、週刊文春、定期購読しようかなとマジで考えている
っていうのは「ウィリアムのいたずらの嘘」
っていうか、週刊文春って、定期購読できるのか？

【１０：３０　追加】
もう、対応を決めた番組もあるのですね

ショーンＫ、学歴ウソ！活動自粛へ
http://www.hochi.co.jp/entertainment/20160316-OHT1T50001.html


で、ここ

ショーンＫがＨＰで学歴詐称疑惑を謝罪！出演番組自粛へ
http://www.hochi.co.jp/entertainment/20160315-OHT1T50148.html

によると、記事中にはブログ、見出しはHPで謝罪とあるが
どっちなんだろう？
HPは５０３でつながらない

【１４：３０追加】
つながった。記事に書いてあることと同じ

http://www.djdj.co.jp/production/profile/seank_info.html


それと、与沢翼から「嘘ついたらだめ」と説教されるレベルだそうな（＾＾；）

ショーンKが犯した8つの詐称が酷すぎて与沢翼が「そんな嘘ついたらダメだよ」と顔真っ赤にして説教するレベル
http://netgeek.biz/archives/68189