SignalTrader契約

 



移動平均線大循環分析にトライして1週間

いきなり3連敗を喫し、移動平均線三本を使ってもダマシが多いことを認識たが、
一方で、投資対象の銘柄を探すことが意外に困難であることが判明。

これまではマネックストレーダーにある出来高ランキングを使っていたが、移動平均線大循環分析が威力を発揮するのはトレンドが出やすい新興株なので、ちょっとマッチしていない。

んで、マネックスメールにある銘柄を参考にしてみようとしたが、こちらは材料が出た銘柄であるため、正直手を出しにくい。

そんなわけでどうしようか悩んでいたが、過去にマネックスシグナルという、ロボアド助言サービスがあったのを思い出した。

数年前に一時期使っていたのだが、勝率が5割~6割で、個人的には結構な損害を出したため、手を引いていたのだが、勝率5割~6割の助言サービスに移動平均線大循環分析を加えれば、さらに勝率が上がるのではないかと考えたのだー。

んで、早速調べてみたのだが、利用者減少により2017年にサービス終了していた。

んで、その後継としてSignalTraderという外部のサービスが紹介されていたので、さっそく契約してみることに。

契約プランは3つあり、とりあえず一番安いコースにした。


利用のプロセスは非常に簡単で、いくつかあるシグナルから好みのものを選んで、シグナルを受信。


自分のコースはシグナル3つまで選べるので、最大投資額が100万以下のもの、最大保有期間が比較的長めなもの、勝率が極力高いもの、月間の配信銘柄数がそんなに多くないもの(20銘柄未満)を選択した。




移動平均線大循環分析は短期トレードじゃなくて上昇/下降のトレンドをがっちりつかんで利益を出す手法ですからね。

デイトレをする気はないのであります。ハイ。

【マイルネタ】9,000Avios購入

 


今年の中盤になってから海外航空会社のマイルを活用することに目覚めた。

現在JALのJGC(JAL Global Club)のメンバーなので、基本はJALかOneWorldメンバーの航空会社にしか乗らない。

んで目を付けたのがAvios。

JAL国内線が基本片道4500マイルで乗れるのは衝撃的だった。

今更かよって言われても、気づくのが遅かったのだから仕方ない。

基本的には通年でスペインのグルーポンから購入できるため、積み立てじゃないけど、毎月少しずつ購入してJALの国内線や東南アジアの旅行に活用しようって作戦。

スペインのグルーポンにて通年で購入できるのだが、トラブルネタが絶えないため、その他で購入できるのであればその他で購入し、スペインのグルーポンしかなければそこで買う。

んで今月はというと、フランスのECサイト「vente-prevee」でセールが行われているという情報を聞きつけ、そこで購入。

単価的には2000Aviosが一番良いとの事なのだが、残念ながらアクセスしたときにはすでに売り切れ。

仕方ないので9000Aviosを購入


本日のレートで109ユーロ=14,106円なので、1Avios=1.567円

・・・・ま、いっか。

自分のメアドがネット上に流出していないか調べる方法


たまーに自分のメールアドレスが流出しているのではないかと心配になることがある。

そんな時、自分のアドレスがネット上にさらされているかを調べることができるサイトがある。

その名も、

have i been pwned?

細かいところは、すでに他のブログにて記載されているので、そちらにお任せすることとする。

【参考URL】
自分のメールアドレスやパスワードの流出を確認できる「have i been pwned?」。確認したら、流出しててガックシ。
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」
あなたのアカウントは大丈夫?「Have I been pwned?」でアカウントの流出状況を今すぐ確認!

サーバーでのウイルス対策


先日、DCインフラ向けのセキュリティアーキテクチャに関する講演を聞いてきた。

自分も以前システムインフラの運用に携わってきたが、サーバのウイルス対策は負荷の観点から結構及び腰になってしまうので、F/W側でのポート制御や、サーバ側から不要なアプリを削除したり、特権管理、ハードニングなどを通じて対応を行ってきた。

ウイルス対策以外は今も有効な手段であると考えられる。

セミナーでは、ウイルス対策について、従来のアンチウイルスソフトを使うのをやめ、ホワイトリスト中心のアプローチ(=ホスト型IDSの利用)を推奨していたのが、少し斬新だった。


ポイントは、クライアントPCと異なり、サーバは一度運用が始まると、基本的にワークロードは変わらないという点。

なので、メモリ保護と組み合わせて、妙な動きをするプロセスを監視できれば、ウイルス対策は不要ということなのだろう。


ウイルス対策(=アンチウイルスソフト)が不要になる一方で、ホスト型IDSが必要になるので、費用対効果の観点で安くなるのか高くなるのかは見極めが必要。

ま、高くなったら、提言の内容がどんなにイけていても、絵に描いた餅になる可能性は高い。

【参考資料】※非公開
DCインフラ向けセキュリティ戦略



セキュリティ診断はどこの会社に依頼するのが良い?


自分の会社でもセキュリティ診断を実施している。

(社内リソースでやるのはスキル的に無理があるので、ベンダー選定をして、選定した某ベンダーにいつもお願いしている)

んでせっかく標準化したので、おとなしくそこを使ってくれればいいのに、

「開発ベンダーさんでやってくれると言っているので・・・」

とか

「選定ベンダーじゃない別の会社のほうが安いので・・・」

とか、いろいろ意見してくれる人が出てくる。

基本的にセキュリティ診断は、ツールを使って実施するが、これもオープンソースから有償ツールまでピンキリである。

かけるコストが異なれば、当然価格にもピンキリの差が出てくるので、雑な診断結果だけど安いという、安かろう悪かろうのベンダーが存在する。

んで、個人的にはこういう安かろう悪かろうのベンダーは排除したいのだが、排除すべきか否かの判断基準が結構難しく、これまでは「しっかりとレポート出してくれる(具体的にどこに脆弱性があり、どう改善すれば治るのかまで説明してくれる)会社」とか言いつつ、それなりに規模が大きかったり、業界的に有名な企業であれば黙認してきた。

んで、これらの一助になろうであろうドキュメントがIPAからリリースされた。

それが、情報セキュリティサービス基準適合サービスリスト

以前、経済産業省が、情報セキュリティサービス基準というドキュメントをリリースしたのですが、この基準を満たした企業をIPAが認定して公表しましょうというのが、サービスリスト。

分野は下記の4つ

・情報セキュリティ監査サービス
・脆弱性診断サービス (※セキュリティ診断サービスにしてほしかったな・・・)
・デジタルフォレンジックサービス
・セキュリティ監視・運用サービス

んで、2018年7月時点で、脆弱性診断サービスの領域で掲載されているのは以下の会社。

・エヌ・ティ・ティ・データ先端技術株式会社
・株式会社ラック
・株式会社ユービーセキュア
・株式会社サイバーディフェンス研究所
・株式会社ディアイティ
・NECソリューションイノベータ株式会社
・NRIセキュアテクノロジーズ株式会社
・アビームコンサルティング株式会社
・株式会社インフォセック
・株式会社シーイーシー
・デロイト トーマツ リスクサービス株式会社
・三菱電機インフォメーションネットワーク株式会社
・株式会社日立システムズ
・富士通株式会社

現在採用中の会社が含まれていたのが不幸中の幸い、いや、渡りに船。

今後はこのリストにある会社の脆弱性診断であれば許可する方針。

ではでは。

【参考】
情報セキュリティサービス基準及び情報セキュリティサービスに関する審査登録機関基準を策定しました(経済産業省)
情報セキュリティサービス基準適合サービスリストの公開及び情報セキュリティサービスの提供状況の調査における審査登録機関の募集について(IPA)

ショーダンって何?


Shodan(shodan.io)というのは、ネットワーク接続機器の検知・検索のための、いわゆるIoT検索エンジン。

インターネットで検索するときによく使う有名な検索エンジンはGoogleだったりしますが、それのIoT版のような感じ。

うっかりインターネットに公開しちゃっているようなやばい設定のオフィス機器や家電の把握や発見に活用することができます。

ちなみに、Shodanのエンジンを活用して、JPCERT/CCがMejiroっていう実証実験サービスやっています。

【参考資料】
IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」
Shodanでアカウント登録する方法を画像つきで解説してみた。
実証実験:インターネットリスク可視化サービス―Mejiro―



ITシステムのセキュリティ診断におけるベストな頻度


売上高に占めるIT予算比率が2%以上の企業であれば、部分的ではあるにせよ、システムリリース前にセキュリティ診断を実施していることと思う。

※経験上、売上高に占めるIT予算比率が0.5%程度の企業はIT部門が半分崩壊しているか、そもそもIT統括組織が存在せず、セキュリティ診断はやっていないと思われる。

セキュリティ診断って人の健康診断に例えると分かりやすい。
定期的に問題がないかチェックするという点も似ているし、
健康診断実施したからと言って、健康が必ず保証されるわけでもない点・・・。

ま、後者は置いておいて、前者の「どれぐらいの周期で実施すればいいのかしら」というのが今回のテーマ。

そして、下記がJPCERT/CCの見解

====
■Web アプリケーションのセキュリティ診断
 目的:自社の Web アプリケーションに脆弱性や設定の不備が存在しないか確認するため
 対象:Web アプリケーション
 頻度:1年に1回程度、および機能追加などの変更が行われた時
====

Webアプリケーションの例ですが、プラットフォーム診断も同様とみなしてよいと思います。

プラットフォーム診断の場合、目的は「自社の プラットフォーム(OS等)に脆弱性(パッチ適用漏れ)や設定の不備が存在しないか確認するため」といったところでしょうか。

というわけで、セキュリティ診断は1年に1回を目標に頑張りましょう!!
(これ、結構ハードル高いんですけどね・・・)

【参考リンク】
委託先と自社で脆弱性関連の運用管理の誤認も、自社活用CMS周りを改めてチェック
JPCERT/CC:Webサイトへのサイバー攻撃に備えて 2018年7月

WebAuthnって何?パスワードを覚えなくてよい時代がやってくる?


認証にパスワードを用いる手法は10年以上前から続いている(厳密にはIDとパスワードの二要素認証だが)

これまでに代替となるような様々な認証方法も考案されているが、当然デメリットもある。

・生体認証:一見よさげに見えるが、万一認証情報が漏洩すると替えが利かない
      (パスワードの場合漏洩したら変更すればよいが、そういったことができない)
・デバイス認証:紛失すると結構悲惨

んで世代交代の決定打がないまま二要素認証が引き続きメインで使われ続けているわけだが、世の中の99.9999%の人はサイトごとにパスワードを使い分けるようなことはしていない。

(パスワードを使い分けている人はこれまでの人生で自分含めて3人しか知らない)

パスワードを使いまわした場合、どこかのサイトでパスワードが漏洩し、漏洩したパスワードを用いて他のサイトでパスワードリスト攻撃が行われると、非常に残念な事態が起きる。

パスワードの使いまわしをユーザーリテラシーの低さというには大分無理があり、パスワードの不便さを解消するために検討が進められているのがWeb Authentication(WebAuthn)です。

ポイントはパスワードの代わりに生体情報やデバイスを利用しますが、それそのものではなく、生体情報やデバイスを使ってそれに対応した秘密鍵と公開鍵を作成し、認証は作成した秘密鍵と公開鍵を使うとのこと。



生体情報をそのまま認証に使うわけではないので、秘密鍵が漏洩したら作り直すってことができるのかな?

【参考URL】
「パスワード不要」な未来が、もうすぐやってくる
パスワードに依存しない認証「WebAuthn」をChrome、Firefox、Edgeが実装開始 W3Cが標準化