クラウドコンピューティングと経営革新

[1]第1回データサイエンティスト養成講座入門編、なぜかできる方ばかりが受講

鈴木禎子代表による説明

1月23日(金)に銀座のJoe’sビジネスセンターで、データサイエンティスト養成講座入門編を開催し、16名の方が参加されました。最初、鈴木禎子社長が全体の概要を説明し、専門のデータサイエンティストが詳細に関する話をしました。

 

今回のセミナーは、初めての開催ということもあって、どのような方が参加されるか、正直な話、予想が付きませんでした。そのため、受講生が予備知識をもっていないことを前提として、準備を進めてきました。しかし、ATNDで募集していたこともあってか、ITに従事している方が大半であることがわかりました。

 

R vs エクセル、比較するまでもなかったかもしれない

 

R言語をやっていなくても、こちらの説明から、何をすべきかを先読みして動かれる方もいらっしました。プログラミング言語に一つでも習熟していれば、R言語の操作は難しくないと思われます。

 

Rの重要な機能、可視化

 
 
 
 

統計的検定の原理

 
 
 

今回のセミナーは、以下のようなことを想定していました。
1. なぜ、データ解析なのか
2. なぜ、Excelではなく、Rなのか。
3. R言語をいかにして効率よく習得できるのか
4. 統計学をどのように勉強すればよいか。
5. データ解析という情報処理を、身の回りの業務やサービス提供でどのように応用していくことができるのか。

 

ガンバ大阪は、ホームでもアウェイでも同じ強さという帰無仮説は棄却された

そして、以下の問題を解きました。
1. Jリーグ ガンバ大阪の勝ち負け引き分けの回数が、ホームとアウェイとで差異があるかないかの統計的検定を行う(J1での通算成績)
2. ドル為替が過去1年間でどのように変動したかをプロットし、それを直線にあてはめる(過去3,6,9,12か月)。
3. 大相撲の幕内、十両の体重に関する箱ひげ図と、2014年秋場所の勝ち数のヒストグラムを書く
といった課題を通して、すすめていきました。どれも簡単なように思えますが、ウェブサイトにあるHTMLのデータを、ダウンロードしてCSVに落とす技術が必要で、簡単ではありません。

為替の変動を直線で当てはめる。横軸が日時なので、思いのほか難しい。

 
 

さらに、受講された方に、インストールの仕方、R言語の勉強の仕方について、作成したビデオを事前に配布しました(インターネットアクセス)。
 

R言語のビデオは、15分程度のものを6個作成しました。ただ、完成したのが当日の2日前でした。

 

今回は、ATNDの操作がうまくいかず、会場の地図が正しく記載されていなかったこともあって、若干混乱してしましました。

 

反省点はいくつかありますが、無事に21:30にセミナーを終えることができました。

 
 

2月は、東京と大阪の2会場で、土曜または日曜の午後に開催の予定です。

 

2月14日(土) Joe’sビジネスセンター梅田 13:30-17:45 (休憩15分) 定員18名
2月15日(日) Joe’sビジネスセンター銀座 13:30-17:45 (休憩15分) 定員18名

 

どちらも有償(6,000円)での開催となります。

 

[4]ビックデータしていますか

R言語のコマンド実行

「ビックデータを活用しよう」という言葉がちまたにあふれています。しかし、実際に、それをどうやってビジネスにいかしていけばよいのでしょうか。そのためにはまず、他社にサービスを提供する前に、自社でビックデータを活用することが先決と思われます。

 

データサイエンスの基本は、データから法則を見出すということです。ニュートンの運動法則のような一般的な結論を見出すというレベルでなくても、自分の周りで見出していかないといけない因果関係というものがあります。たとえば、

 

1. 自社で、売上げを伸ばすためには、どの広告媒体をつかえばよいか。
2. 為替の変動を利用して利益を得たいが、円とドルを変えるタイミングをどうすればよいか。

 

とった法則を見出すことを想定してみてください。

相撲データを提供しているサイトの表をコピー

 

データサイエンスは、「統計学を勉強しないとダメだ」という人がいます。もちろん、そのような数学の知識があればそれに越したことはありません。しかし、データ解析の手法では、入力すべきデータとその出力結果の意味に関して、わかりやすい説明がついているのが普通で、しかも大半は難しい数学を使わなくてもわかるものです。むしろ、どのようなデータが関係してくるかを判断したり、因果関係を見極める判断能力が問われます。

 

ほとんど手作業をしないで、Excelデータに格納するもスキルがいる

 

データサイエンスは、「データという事実に基づいて判断し、行動する」という、成功しているビジネスマンから見ると、当たり前の行動にすぎません。よく、学校やセミナーで学んだガセ情報をうのみにして、それを棒暗記して生きていこうという人がいます。環境が違えば、そこで成立する法則も違ってくるので、実データは法則性を見出していくための情報になります。それを積極的に活用してこうという営みです。
 

上司に解析結果を見せれば、きっと納得してもらえるはずです。データからそのような法則性があることが実証されたわけですから。

 

大相撲の力士の体重の箱ひげ図。幕下でも体重は幕内と大きな差がないなど、自分がデータから発見したという経験が、データサイエンティストとしての自信につながってく

 

実際の解析の手順ですが、データはExcel形式で十分です。Excelには統計解析のための関数が備わってるので、最初はそれでスタートしてもよいですが、もし本格的にデータサイエンティストをめざす、または簡単なプログラミングの経験をお持ちでしたら、R言語という統計パッケージを利用されることをおすすめします。Rはオープンソース(無料)で、WindowsやMACのノートPCに簡単にインストールできます。

 

http://cse.niaes.affrc.go.jp/miwa/ja/R/setupReasy/

 
 

しかも、操作が非常に簡単です。オープンソースですので、全世界の人がパッケージ(無料)を開発していて、疑問点があってもインターネット検索で簡単に解決することが多いのです。

 

最初は、1+1(リターン)を実行してみてください。そして、各種のコマンドをで実行してみてください。電卓式に、式を入力すれば、その解が出力されます。国内R利用者で、最も多く利用されているのが、

 

http://cse.naro.affrc.go.jp/takezawa/r-tips/r.html

 

というサイトです。完ぺきではないですが、コマンドを忘れたときなど便利で、重宝します。Rは、わからないことがあれば、インターネット検索で調べていきます。

九州場所の成績のヒストグラム。6個のグラフを2行x3列で並べることは難しくない。インターネット検索で調べまくるのが基本

 

プログラミング言語ではなく、電卓という側面もあり、最初のうちは、文法をあまり意識しなくてよいと思います。むしろ、本来の目的である、データから法則性を見出していくという処理ができるのかどうか、それを見極めてから、本格的に取り組んでよいかと思います。

 

文法で時間をかけないと理解できないのは、せいぜいオブジェクト指向の概念ぐらいです。関数を作成するとしても、平均を求めたり、散布図を求めたりするひな形があって、それらを組み合わせて複雑な処理が数行でかけます。

 

また、グラフィックなどもExcelと比べて格段に美しく表示され、それを見た人は、駆け出しでも、プロのデータサイエンティストが出力したものだと思うでしょう。

 

特に、文法を全部やるよりは、事例から入ることをお勧めします。たとえば、

 

http://sumodb.sumogames.de/Banzuke.aspx?b=201411&heya=-1&shusshin=-1&w=on&l=e

 

の大相撲のデータを解析するとします。
実データの解析の場合、データをExcelに入れるまでが大変です。
サイト(http/https)やpdfの場合、いったんリッチでないテキスト(.txt)におとし、Excelで読み込んだときにフォーマットを指定します。そして、それをさらにRに読み込んで実行します。ここでは、幕内、十両、幕内、三段目、序二段、序の口のそれぞれでの体重の分布と、九州場所での成績のヒストグラムを表示しています。

 

Joe'sビジネスセンターは、厳格な審査をするバーチャルオフィスとして知られている

 
Joe’sでも、Joe’sビジネス・センターの入会時の審査にすることを検討しています。バーチャルオフィスが犯罪の目的で利用されることがあるからです。
 

2006年秋のサービス開始から2014年までの8年間で会員規約に抵触するケースが3件ありました。ただ、通算会員数は3000件を超えているので、全体からみると0.1%程度になります。その確率を0%に限りなく低くするために、ビックデータを活用することを検討しています。詳細については、次号では発表できるものと考えています。

 
 

また、2015年は、Joe’sではビックデータの解析に力を入れていきます。代表の鈴木禎子が、2015年1月24日(金)19:00~ に、Joe’sビジネス・センター(銀座)でビックデータの解析に関するセミナーを行います(3,000円の有償ですが、将来的に価格を変更する場合があります)。理論を経験に移してこそ自信が生まれます。よろしければ、ご参加ください。

 

2015年こそ、ビッグデータの活用へ一歩踏み出してください。

[3]今年大きく成長したconcrete5、今年最後の大阪勉強会

コミュニティのリーダー格、Uenoさんのお話

 

今年コミュニティが大きく成長したOSSとして、concrete5があげられます。2月の「concrete5公式ガイドブック」の出版でユーザが格段に増えています。

 

12月15日(月)にコミュニティの牽引役でもあるkatz Ueno氏が大阪の勉強会に来られ、熱弁を振るわれました。Uenoさんは、コミュニティの中では知らない人がいないくらい有名な方で、concrete5を広めるための動画を多数アップロードされています。

 

https://www.youtube.com/watch?v=vtbyPIbsXI8

 

concrete5公式活用ガイドブック

テクニカルなことにはあまり触れず、米国の本家の会社の経緯や、concrete5はバージョンが5.Xしかないとかエピソード的なことも話されていました。Joe’sから今回は2名参加し、1名はライトングトークをしました。

 

ライトニングトークで、Joe’sのスタッフは「concrete5公式ガイドブック」を使ってみての感想を述べていました。この書籍のクライマックスは、何といっても4章です。この書籍のいい面も悪い面も、そこに集約されています。

 
 

Trattoria Sensazione di Olive

 

Trattoria Sensazione di Oliveという架空のイタリア料理のサイトがモックアップとして用意してあって、それをconcrete5のサイトに作り替えていくという実戦の形式をとっています。素材などは、GitHubからダウンロードできます。

 

CMSでサイトを構築する場合、WordPressなどでもそうですが、気に入ったテーマをどこかからダウンロードしてきて、その上で静的ページやブログを構築していくことが多いと思います。

 

concrete5のオーバーライドの仕組み

 

ただ、このテキストでは、既存サイトから、共通で読み込むパーツfooter、headerなどを抽出し、それらをつかってdefault.php, home.php, left_sidebar.php、veiw.phpなどのテーマファイルを構成していく手順を述べています。オブジェクト指向はおろかPHPも難しいと思っている読者だと若干つらいですが、そこはそういうものとして読んでいくべきでしょうか。

 

テーマをどうやって作成するかがわかるので、上級者にとっては興味がもてるかと思われます。
優れている点として、オーバーライドのしくみ、マーケットプレイスに登録・concrete5.orgに登録・プロジェクト・ライセンスの間の関係など、テクニカルではないが、知っておくべきことを簡潔に説明していることはよいと思います。

 

オートナビの設定の仕方など、苦心のあとがみられる

また、04-03-07のオートナビのカスタマイズと04-04のDesign Contentはこの通りにできたとしても、なぜそうするのかわからないままの読者もいるかもしれません。しかし、このあたりは筆者の意図を考えながら読み進めていくと、深くわかってきます。メニュー用のブロックタイプを作成する際には、最初うまくいかなくても、その後でエディタで修正すればよいとかです。

 

勉強会が終わってから、参加者で飲みに行きました。Joe’sでもNetCommons関西女子会のメンバーが、concrete5も勉強している(NetCommonsと似ている)ので、近いうちに梅田のJoe’sで勉強会をしていただけるように、菱川さんにお願いしました。

 

oncrete5標準サーバーで始めてみては

 

コンクリートファイブジャパン株式会社では、インテグレートパートナーを募集しているということです。

 

http://concrete5-japan.org/partners/integrate/

 

インテグレートパートナーになるためには、少なくとも1サイト以上の実績が必要で、Joe’sのサイトのいくつかを、concrete5で作り変える計画をしています。

 
 
最後に、Joe’sでは、concrete5標準サーバー(http://cc5.jp)といって、SSDが標準のconcrete5専門のサービスがあります。そのうち、入門プランは1年間無償で、concrete5がインストールされたサーバーを利用できるようになっています。

 

皆さんも、2015年はconcrete5を始めてみてはいかがでしょうか。

[2]企業研修でも利用されているMoodle、バージョン2.8がリリース

Moodleムート 2013(東京)の懇親会の様子。外国人の語学の先生の参加が多い

 

御社の企業研修では、Moodleを使っていますか? Moodleは、教師が教材を配布したり、課題を集めたり採点したり、成績をつけたりするところをインターネットを利用して管理する、いわゆるLMS(Learning Management System)です。LMSには、Blackboardなど有償のサービスと、Moodle(PHPベース)やSakai(Javaベース)などのオープンソースのソフトウェアがあります。

 

LMSは、大学だけではなく、回数を重ねるいわゆるコース形式の教育なら、どのような場面でも威力を発揮します。たとえば、PHPの10週間の研修であれば、パワポに音声をつけた資料と課題を上級プログラマの人がMoodleに設定し、新人がその資料を使って勉強して課題を毎週提出し、それをその上級プログラマが採点するなどということも可能です。

 

Moodleカフェ 東京の様子(2014年11月、ヒューマンサイエンス)

サンプルプログラムや動画をMoodle内に置いたり、課題の毎回の点数を上級プログラマ・新人の双方が、ログインしてみることができます。また、そうした資料は、一度作っておけば、翌年も再利用できます。業務を中断して、全員が集合して研修するというやり方では、効率が良くないかもしれません。

 

Moodleを使いたいが、始めるのに敷居が高いと思われる方が多いかと思われます。インストールできる人がいないとか、Moodleを使ったことがないとか、業務が多忙で新しいことを始める余裕がないとかです。そういう方にお勧めしたいのが、イベントへの参加です。

 

oodleを使っていると、バージョンアップしましたという連絡が届くようになっている

 

Moodleムートといって、年に一度Moodle関係者が一堂に集まる大会があります。開発した成果を発表するなど、上級者向けのセッションもありますが、初心者講習会や質問コーナーなど、これから始めようとする人を歓迎するような雰囲気があります。次回は、2015年2月20-22日に京都産業大学で開催されます。

 

http://moodlejapan.org/home/mod/forum/discuss.php?d=828

 

Moodle 2.8のNotice (Martin Dougiamas氏)


 

また、企業研修にMoodleを導入しているで知られている畠中俊巳氏、藤田豊氏を中心に、Moodleカフェ東京という勉強会が行われています。

 

https://www.facebook.com/moodlecafe?fref=ts

 
 

バージョン2.8から、インターフェイスがみちがえるほどよくなったという印象がある(バージョン2.8)

 

Joe’sでも、Moodleがインストールされたサーバーを1年間無償で提供したり(LMS標準サーバ 入門プラン http://lms.ac)、Moodleの勉強会に会場を無償で提供したり、Moodleのイベントに協賛するなど、Moodleの普及に努めています。

 

11月になって、Moodle 2.8がリリースされています。2.8の情報は、Moodle東京カフェで畠中さんが、発表したスライドなどが参考になると思います。

 

http://www.slideshare.net/toshimin910/moodle-tokyo-cafe-14

 

ただ、2.5, 2.6, 2.7くらいを利用されている方から見ると、小ぶりなバージョンアップと思えるかもしれません。

 

バージョン2.6

ざっとみてみると、

 

1. テキストの自動保存、ユーザメニュー、いいね
2. 評定者レポート
3. フォーラムの新機能
4. 小テスト、投票、課題の新機能
5. 分析とレポート
6. コーポレート

 

などが新機能や変更点になるようです。

Joe'sのLMS標準サーバー

 

Joe’sのLMS標準サーバでは、現在お申込みになりますと、最新版の2.8がご利用になれます。

 

Joe’sでは、読者の皆さんにMoodleの導入をおすすめします。LMS標準サーバのうち1年間無料の入門プランで準備を進め、次回の研修ではLMS標準サーバー標準プラン(月額1,575円)でかっこよくデビューして下さい。読者の皆さんの職場でも、Moodleで優れた人材を育てることを祈ってやみません。

[1]オレオレ証明書ではない、無料のSSL証明書が流通するって本当?

SSL証明書は無料であるべきと立ち上がった Let's Encryptプロジェクト

 

ITのサービスは、例外なく低価格化・無料化が進んでいるようです。今年の11月18日に、米国のセキュリティ関連の非営利団体ISRG(Internet Security Research Group)から、2015年夏以降、SSL証明書を誰でも無償で簡単に取得できるようにする、という発表がありました。「Let’s Encrypt」というプロジェクトです。ISRGは、電子フロンティア財団(EFF)やアカマイ・テクノロジーズ、シスコシステムズ、モジラなどインターネット関連の企業がスポンサーになっていて、日本でいうNPO法人とは違うようです。ITProやCNET Janpanなど、多くの国内WEBメディアが取り上げています。

 

SSL証明書は、ブラウザに登録されていないと、認識されない。

Joe’s SSL市場は、大丈夫でしょうか、とよく聞かれます。この1か月の間、色々調査してみました。まず、暗号化の機能はあるが、なりすましのために誰でも認証局をつくれる、いわゆるオレオレ証明書ではないことはすぐにわかりました。

SSL証明書が何故こんなに高価なのか、またどうして取得に時間がかかるのか不思議に思われる方も多いかと思います。ISRGもそのような問題意識のもとに、インターネットの健全な発展のためにそのようなプロジェクトをおこしたということです。そのような視点は、Joe’s SSL市場でも共有しています。

過去にセキュリティ的な不具合で閉鎖を余儀なくされた認証局もある。SSL証明書の発行は責任がともなう。

 

しかしながら、SSL証明書の発行は、フィッシングやサイトのなりすましを防ぐために、ブラウザに登録されているような権威ある認証局が、申請に対して審査をして発行するものです。必然的に、SSL証明書の発行には責任がともないます。SSL証明書が誤って発行されたために、サイト訪問者が詐欺などの被害にあった場合に弁償する、といったことも想定しています(実際には、特にJoe’s SSL市場で販売されているような証明書では、そのような犯罪は生じていません)。したがって、無償でSSL証明書を発行するとしても、そうしたリスクを背負わなければならないため、発行する認証局としてはコストがかかります。

 
 

ただ、そうしたことを理由に、証明書を高価な値段で提供している認証局が多いのも事実です。ブランド価値を高めて、価格が値崩れしないようにして利益を確保しているといっても、過言ではないと思います。Joe’s SSL市場は、各種のSSL証明書を低価格で販売する草分け的存在で、当初から、そうした認証局の営業の方から、「そんなに安く売らないでください」とよく言われていました。

 

今回の調査の結果、SSL証明書の中でも、ドメイン認証という審査を経て発行されるサービスのみが該当することがわかりました。申請者が正当なサイトの所有者であることを確認する手順によって、証明書は以下の3種類にわ分類されます。

 

1. whois情報(ドメインの所有者の情報が自己申告で記載されたもの)の内容が正しいことを前提に、そこに記載されたメールアドレスに、メールで申請が実際に行われたかを確認するドメイン認証の証明書
2. 帝国データバンクなどに記載された企業データベースに記載された電話番号に電話して、証明書の発行の申請が実際に行われたかを確認する実在認証の証明書
3. 実在認証の中で最も厳しい審査を行い、URLが緑で表示されるようにするEV証明書

 

実在認証では、帝国データバンクまたはNTTの電話帳などの別情報を参照して、電話をかけて申請があったかどうかを確認する

ドメイン認証よりは実在認証、実在認証よりはEV証明書の方がサービス価格が高くなっています。シマンテック(旧ベリサイン)、セコム、サイバートラストの3ブランドは、実在認証もしくはEVの証明書しか提供していません。逆に、グローバルサイン、ジオトラスト、Comodo、Thawteは、ドメイン認証と実在認証の両方を販売しています。

 

やはり、ドメイン認証の証明書の発行枚数の多い、グローバルサイン、ジオトラスト、Comodoには少なからず影響があるものと思われます。逆に、ベリサインやサイバートラストなど実在認証の証明書を提供しているところは、証明書の利用者が多くなり、それだけ使われるようになるので、その中で実在認証を利用したいと考える利用者も含まれているので、むしろ追い風とみているかもしれません。

 

また、ドメイン認証の証明書でも、自社製品について、それなりのブランド力があるのだから、無償配布が行われても大丈夫であるとみているかもしれません。

URLがグリーンになるEV証明書

 

この中で、グローバルサインは、ドメイン認証(クイック認証SSL)と実在認証(企業認証SSL)を審査の違いだけで同じルートの証明書を提供しているので、何らかの対応がなされる可能性があります。もちろん、シールをクリックすると、その企業名が表示されますが、そうしたことに気が付かないサイト訪問者がほとんどであるように思われます(シマンテックなら、ベリサインとジオトラストというように明確にわかれている)。また、グローバルサインのクイック認証SSLは、ドメイン認証の中でも最も高価で、しかも日本国内からの申請だけ価格を高くして販売しています(米国サイトから申請出来ないようになっている)。

 
 

Joe's SSL市場は、中立な立場で皆様を応援しています

他方、考えたくないシナリオとして、無償配布の証明書で、フィッシングなどの事故が多発し、信用を失い、やはり有償版でないとビジネスには向かないとか、そのような方向にすすむ可能性もありえます。これまで、SSL証明書を提供してきた認証局でも、セキュリティ的な問題が生じないよう(ブランド力を下げないよう)努力してきました。不特定多数から申請された証明書について、まったく問題なく証明書を発行できるものでしょうか。既存の認証局は、お手並み拝見、むしろ差別化ができるのでチャンスと見ているかもしれません。

 

Joe’s SSL市場では、皆様からのお問い合わせ・ご相談をお待ちしています。中立な立場から、助言しています。よろしくお願いします。

[4]関西オープンフォーラム(KOF)、若返ってもよいかもしれない

実行委員長の中野先生、キックオフの挨拶。

 
11月7日(金)~8日(土)に、大阪南港のATCで恒例の関西オープンフォーラム(KOF:Kansai Open Forum)が開催されました。Joe’sでも、2011年に協賛してから、4年連続の参加になります。

 

https://joes.co.jp/2013/11/20/kof2013/
https://joes.co.jp/2012/11/21/kof/
https://joes.co.jp/2011/11/16/joes-opensource-kof-2011-11164/

 

Joe'sのセミナー、今年のKOFは先月のOSCに引き続き、Joe'sのJoeと言われている人が話をした。

Joe'sのセミナー、今年のKOFは先月のOSCに引き続き、Joe'sのJoeと言われている人が話をした。

 
「オープンソースならびに、コミュニティが元気に交流できる場を、関西でも作ろう」という目的のもとに集った有志により、2002 年からはじまった、ということです(オープンソースカンファレンスなどよりも先に始まっています)。

 
https://k-of.jp/2014/content/159

 

同じオープンソースのイベントであるオープンソースカンファレンス(OSC)と比べると、常連の方の比率が高いように思われます。

 

Joe'sのブース、なぜかいつもNetCommonsの隣になっている。

 

Joe’sでは、「レンタルサーバー業界の裏側を知る」と題して、レンタルサーバー業界の側面を伝えるセミナーを行いました。先月のOSCで発表したものに近い話題でしたが、タイトルを変えて、内容を業界全体のことを伝えるようなものに変えました。OSCのときは、参加された方から「非常に面白かったが、参加者が少なくて残念でした」という類のお言葉をいただきました。今回は40名以上の方にご出席いただくことができました。やはり、セミナーでも著述でもタイトルが重要であるように思われました。

KOFで名物のステージ企画。事前の打ち合わせとかなく、発表者がボケ、司会者がツッコミになる。今年は、Joe'sで初めてステージ企画に参加した

 

ところで、KOFで緑のTシャツを着て毎年お手伝いいただいている方々(10年以上連続というスタッフも多い)もお年をめされてきているので、若い方も加わって、さらに新しいアイデアや活力を取り入れられるようなイベントになっていけば、永続的な発展につながるように思われました。

 

KOFの会場である大阪南港は、九州に行く船(サンフラワー号)が出入りしている。

 
 
 
 
 

Joe’sで協賛しているいってもわずかの金額ですので、2日間動いていただいているスタッフの方々には頭が下がります。ただ、こういうイベントは、同じメンバーでずっとやっていくということには、限界があります。4年連続して参加させていただき、僭越ながら、そのような印象を受けました。

 

Joe’sでは、来年も企画を出して、自分たちのイベントであるという意識を持ってのぞんでいきたいと考えています。

[3]SSL証明書のハッシュのSHA-2移行、セコム証明書がルートを一本化

今回のSHA-2移行は、2014年9月に発表されたGoogleのアナウンスが引き金となった

本ニュースレターの2014年9月号でもお伝えしましたが、脆弱性の問題から、SSL(サーバー)証明書を発行する際に必要なハッシュ関数(以下、ハッシュ)とよばれる仕組みが、SHA-1からSHA-2に移行されています。

 

https://joes.co.jp/2014/09/19/ssl-2/

 

SSL証明書は、そのサーバーが意図している送信先であることを訪問者(ブラウザ)に示すためのテキストで、インターネット上のオレオレ詐欺を防ぐ役割をもっています。
SSL証明書は、サーバーの所有者が認証局に自社の情報を提出し、認証局がその情報を認証することによって発行されます。ただ、実際には、ハッシュという多対1の関数によってオリジナルの情報を要約した上で、その認証の処理を行っています。

 

証明の印をもらっても、その印が誰のものかわからないと意味がない(偽造の印かもしれない)

 

SSL(サーバー)証明書は個々のサーバーに対して発行されますが、SSL証明書を発行する認証局もSSL証明書(ルート証明書)をもっています。そして、訪問者のブラウザは、メジャーな認証局のルート証明書をもっていて、各認証局が本物であるか否かを識別できます。認証局は、自ら発行する証明書を認識できるようにするため、PC、スマホ、ガラケーのブラウザ提供業者にはたらきかけ、ルート証明書をブラウザの中に入れてもらいます(そうしないと、悪意のある人が自分で認証局をでっちあげて、サーバーのSSL証明書を発行できてしまいます)。

 

今回のSHA-2移行は、ガラケー利用者に影響が出そうだ

 

原理的に、このハッシュをSHA-1からSHA-2に移行しても、それはハッシュの出力(=認証の入力)が異なるだけで、ルート証明書を変更しなくてもよい、ということがいえます。つまり、オリジナルの情報をSHA-1ではなくSHA-2で要約し、再度同じルート証明書でSSL証明書を発行すればよいことになります。実際、ベリサインやComodoでは、以前からSHA-1とSHA-2のいずれかを選択できるようになっていました。

 

もし、ルート証明書が変わる場合、ガラケーを利用している人が影響を受けます。古いガラケーだと、新しい証明書のルート証明書が入っていないため、ブラウザがそれを認識できません。PCやスマホであれば、ブラウザが適宜更新されるので、そのような不具合は生じません。1024ビットのSSL証明書をやめて、2048ビットに移行した2010年問題が勃発したころは、そのような問題が生じました。

 

セコムが、5年契約のSR2.0を廃止して、新ルートSR3.0に一本化する

 
しかし、このハッシュという仕組みはブラウザにも入っていて、認証された情報が正しいか否かを認識するためにも使われます。そして最大の難点は、従来のガラケーのブラウザの多くが、SHA-2に対応しておらず、ガラケーからSSL通信ができなくなることが想定できます。つまり、ガラケーからだと、カード決済や個人情報を入力できなくなります。

 

さすがに、携帯を次に買い替えるときはスマホの方が多いと思われますが、それでも生涯ガラケー一筋という方のために、ガラケーを提供する業者でも、今後SHA-2に対応したガラケーを提供するものと思われます。

 

Joe's SSL市場では、皆様のお越しをお待ちしています

 

他方、セコムでは、今回のSHA-2への移行にともなって、従来のSR2.0(5年契約)とSR3.0の2種類の証明書のラインナップをやめて、SR3.0に一本化するという発表をしています。ルート証明書が変わればガラケーでSSLに対応できなくなる場合も出てきますが、もともとSHA-2に対応しているガラケーが少ないので、影響は無視できると判断したものと思われます。お伝えしていますように、SHA-2への移行は、本質的にルート証明書の変更を必要としません。ルートの一本化によるビジネス上のメリットを優先したものと思われます。

 

今回のお話は、SSLや公開鍵に接したことがなかった方には、多少難しかったかもしれません。Joe’sのスタッフも、いつもこのような理屈っぽい話をしているわけではありません。ご質問がございましたら、遠慮なくJoe’s SSL市場までご相談ください。皆様のご利用をお待ちしています。

[2]NetCommonsの女子会がパワー全開

世間では女性の活躍を支援する気運が高まっています。国立情報学研究所(NII)を中心に開発がすすめられているCMS、NetCommonsでも、開発責任者であるNIIの新井紀子先生をはじめ、コミュニティの開発者やビジネス系でも女性が活躍しています。

ハンズオンで用いた素材(インドの旅)

 

しかし、関西のNetCommonsのイベントでは、女性の参加者がまだまだ少ないようです。

 
 

このたび、NetCommons関西(https://www.facebook.com/groups/netcommons.kansai/)では、

KOFの女子会のセミナーの様子(1)

11月7日(金)の関西オープンフォーラムで、セミナーを企画し、それにむけて、特にJoe’sの女性スタッフを中心に関西女子会を結成し、コミュニティのすそ野を広げていくことになりました。

 

https://k-of.jp/2014/session/611

 

セミナーは、初心者を対象にしたハンズオン(参加者がその場でサイト作成を行う)に関するもので、サイトを作成した経験がない人でも、一定レベル以上のレベルにまで到達できることをねらいとしたものです。

 

3年ほど前にオールクリエイター株式会社代表の橋本秀俊氏に、銀座でセミナーを開いていただいたときの資料を若干修正したものを配布して行いました。

KOFの女子会のセミナーの様子(2)

 

ただ、画像などの素材は、Joe’sのスタッフがインドに出張したときの写真を用いています。

 
 

その日の内容を、動画でとりなおし、今後NetCommonsを新たに始める方のために、Joe’sのNetCommons標準サーバーのサイトで公開しました。

 

http://netcommons.ac

 

NetCommons関西の様子

 

Part 1はサイトの作成方法、Part 2はルームの概念についてです。NetCommonsのルーツはXoops(ズープスと読みます)です。サイトを作成するだけではなく、あるグループに属する人しかアクセスできないような権限の管理を行います(グループウェア機能)。

 

12月6日(土)に開催される、NetCommons関西の年内最後の勉強会の中で、女子会でその1時間程度のハンズオンを行います。

http://kokucheese.com/event/index/236984/

 

標準サーバーのサイトにおかれたNetCommonsの動画

 

Joe’sの大阪の女性スタッフは、NetCommonsだけではなく、concrete5MoodleEC-CUBEなどについても、○○関西女子会を結成していきたいと意気込んでいます。銀座のJoe’sでも、年明けに同様のイベントを計画しています。

 

是非一度、東京、大阪のJoe’sで開催されるイベントに足を運んでみてください。参加は無料です。

[1]Joe’sのサーバーでWAFが標準に

最近、サイトの脆弱性をついた、不正侵入やページの改ざんなどの事件が増えています。これまで、インターネットのセキュリティといえば、ファイヤーウォール(使用していないポートを塞ぐ)や不正検知といったネットワークレベルの防御が中心でした。

 

Webサーバーの直前で、不正データをはねのけるのがWAFだ

しかし、今年になって、WordPressDrupalなどのプログラムの脆弱性をついた攻撃が報道されています。たとえば、アクセス権限がなくても、サーバー内のデータベースの問合わせコマンドが実行できてしまったり(SQLインジェクション)、入力した内容を表示するWebサーバの処理を悪用して、HTMLのタグやPHPのスクリプトを入力に含めて、ブラウザに実行させる(クロスサイトスクリプティング)といった手口です。現在では、クライアント(ブラウザ)とWebサーバーとのやりとりを監視する、Webアプリケーションレベルのファイアーウォール(WAF:Web Application Firewall)が不可欠とまで言われるようになりました。

 

ModSecurity

WAFは、海外では通常のファイヤーウォールと同様、ハードウェアアプライアンスで提供される製品が多いのですが、国内ではサーバーにインストールするソフトウェアの形で提供されるもの(和風?)が主流です。ただ、Webサーバーあたり数十万円するなど高価で、なかなか導入に踏み切れていない企業が多いようです。

Comodoといえば、SSL証明書を連想するが

 

最近では、ModSecurityというオープンソースのWAFが、よく利用されています。TrustwaveというSSL証明書を提供している会社が中心となって開発しています。

 

http://www.modsecurity.org/

 

ComodoのWAF

 
 

しかし、ModSecurityに限らず、WAFではどのようなWebサーバーへの入力を不正とみなすかのルール(の集合)を設定しなければならず、運用をしていくための専門的なスキルが必要になります。したがって、セキュリティの専門の部署を持つとか、サービスプロバイダであるとかでないと、おすすめできません。ただ、このルールは、どのようなWebアプリケーションを運用するかとは無関係に設定することが多く、また、入力データからの学習によってルールを最適なものに更新している機能もあります。

 

cPanelからのModSecurityの設定

 

SSL証明書を提供しているComodo社(Joe’s SSL市場でも取り扱っています)では、ModSecurityを運用でき、デフォルトのルールを最新のバージョンのものに置き換えるソフトウェアを提供しています(現時点では無償)。

 

https://waf.comodo.com

 

世界で最も美しいレンタルサーバーのコンパネ「cPanel」

 
 

ModSecurityは、Joe’sの共用サーバー専用サーバーJoe’sの素でご利用いただいているコンパネcPanelでもご利用になれます。現在、新規にご利用の方と、既存のお客様でcPanelのバージョン 11.46以降(共用サーバー server44以降)でご提供させていただいています。また、cPanelは、年内にすべてのサーバーで最新版になるように準備を進めています。

 

cPanelにログインしてModSecurityの設定画面を開くと、enable/disableの設定のみできるようになっています。つまり、デフォルトの最新のルールセットが格納されていて、これを使うか使わないかの設定をするだけになりますので、ご自身で何かを管理をする必要はありません。

 
 

ところで、コンパネが、レンタルサーバーのサービスを決めるといっても過言ではありません。国内のレンタルサーバー事業者は、独自にコンパネを開発して提供していますが、Joe’sでは創業時(2002年)から、世界で最も利用されているcPanelを利用しています。cPanel Inc.の100人以上が開発に従事し、セキュリティの不安がないばかりか、今回のModSecuriyのWAFなど、最新のトレンドがいち早く取り入れられています。

 

この美しいcPanelが好きで、Joe’sのサービスを長年利用されている方も数多くいらっしゃいます。Joe’sのサーバーを、是非一度ご利用ください。

[4]秋の文化祭、オープンソースカンファレンス東京

Joe'sのブース。どうしていつもNetCommonsと隣なのですか、と聞かれる。

10月18日(土)19日(日)の両日、東京都日野市の明星大学でオープンソースカンファレンス(OSC)が開催されました。Joe’sは、協賛として19回目の参加になりました(東京のOSCは7回目)。今回は、初日だけで950名の参加者を数え、かつてないほどの盛況ぶりでした。

 

初日の朝、ブースを設置した後、ブースの様子をFacebookページにアップしました。今回も、ブースはNetCommonsのユーザ会(コモンズネット)と隣接していました(205という前回と同じ教室)。

 

Joe'sのセミナーのスライド

 
 
 

今回はセミナーで、マンガ「ごきげんにゃん」の舞台裏について、鈴木禎子代表の親族の方(Joe’sのJoe?)が話をしました。

 

Joe'sのセミナー風景。観客がすくなく、若干残念な面もあったが。

 
 
 
 
 

当日は、あまり多くの観衆を集めることはできませんでしたが、Joe’sの起業当時の語られていないエピソードがわかる内容で、興味深い話でした。下記でスライドを見ることができます(若干修正しています)。

 

http://www.slideshare.net/joeswebhosting/osc-koffinal

 

ブース会場をみても、今回のOSCの盛況ぶりがわかる

 
 

初日の夕方に、食堂で懇親会が行われました。会費が1000円で参加しやすいのですが、内容的に満足していない人もいるので、宮原氏(OSCの運営責任者)が、毎回少しめずらしいお酒や贅沢なワインなどを、後部のテーブルに用意されています。よく参加している人は、乾杯後30分くらいしてから、そのテーブルに集まってきます。

 

懇親会の風景

 

Joe’sは、ビジネスライトニングトークも登壇しない、新サービスの発表もできていないなど、今回は消極的であったと反省しています。

 

来年春のOSC東京では、新サービスを前面に出して積極的に取り組んでいく所存です。今回も、びぎねっとをはじめ、明星大学の会場で2日間動かれていた皆様、お疲れ様でした。

 前へ 1 2 3 4 5 6 7 8 9 10 ... 23 24 25 次へ