雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
2019年9月ポイ活の旅
今週末は3連休。
だからというわけではないのですが、ちょっと大阪に行ってきます。
目的は2つ。
小次郎講師の定例セミナーがあるのと、マイル活動。
今回のマイル活動はロケットマイルを使った、間接的なマイル購入です。
ロケットマイルはホテル予約サイトなのですが、上手く使うと1マイル単価2円程度で間接的にバイマイルできます。
ロケットマイルを使った活動は、Heathrow Rewards⇒A3マイル⇒TGビジネスクラス航空券とすることを目論んでいます。
※ロケットマイルから直接A3マイルも可能ですが、ちょっと狙いがあってHearthrow Rewardsを経由しています。
シンプルにバイマイルできれば話は早いのですが、ホテル予約サイトなので、ホテルに宿泊しなければなりません。
そこで、小次郎講師の定例セミナーと合わせて大阪旅行と相成りました。
それでは皆様、よい3連休を!
頑張れ!楽天モバイル
YouTubeのテレ東NEWSで楽天モバイルの記者会見やってた。
テレ東NEWSは記者会見とか全編残してくれるので、大変助かる。
10月1日からパイロットサービスっぽいことを始めるらしい。
しかも2020年3月末まで無料らしい。
端末ラインナップを見ると、僕が大好きなXPERIAもある。
しかも、楽天モバイルの端末は「落書き」が無い。
上の写真を拡大してみてほしいのだが、例えば、左側の端末には、
「docomo」という落書きが本体に刻み込まれている。
僕は現在MVNOを使っており、XPERIAを使っているのだが、
端末本体に
docomo
という落書きが刻み込まれており、非常に嫌なのだ。
一時期海外モデルに切り替えることも考えたのだが、自身の生活がおサイフケータイ機能に大きく依存してしまっているため、Felica搭載は必須なのだ。
しかし、おサイフケータイは日本独自のガラパゴス機能のため、海外モデルにFelicaは搭載されていないのである。
そんなわけで仕方なく落書きが刻み込まれたXPERIAを利用していたのだが、落書きのない「キレイ」なXPERIAが使えるだけでも楽天モバイルを使う価値があるような気がしてきた。
10月からのパイロットサービスに応募してみようかな。
頑張れ!楽天モバイル
Aviosを使ったJAL国内線の予約が330日前から可能になった件
本日2019年9月10日より、JAL国内線が330日前から予約可能になりました。
この影響(!?)を受け、Aviosを使ったJAL国内線の予約も330日前から可能になっているようです。
その前まではと言うと、60日前からの予約が可能となっていました。
実際に試してみると、約70日後である2019年12月21日の羽田~伊丹間が予約可能になっていました。
残念ながら自分が乗りたい時間の便が無いため、この日は有償航空券になりそう(´;ω;`)ウゥゥ
自分は結構前もって計画立てる派なので、330日前から予約が可能になっている点は助かる。
とはいえ、Aviosを使ったJAL国内線の予約は高頻度でルールが変わるので、柔軟さが必要です。
脱社畜に向けた発想転換
台風15号が通過した翌日、交通機関は大混乱となった。
特に千葉県は影響が大きかったらしい。
JRの駅では入場規制がかかり、東京ディズニーランド顔負けの大行列になっていたようである。
2kmの行列はディズニーランドでも見れないのではなかろうか。
JRも航空会社の上級会員みたいなの作って、上級会員は優先的に駅と列車に乗れるとかしたら面白いのに。
ちょっと脱線したが、この光景を見て、依然として会社に出社するワークスタイルが圧倒的多数なんだと感じた。
IT技術が進化して、技術的には在宅ワークは可能なのだが、人事制度が追い付いていないのだろうか。
昨日参加したマネフェスで、藤巻健史さんが、日本はGDPが長年横ばいになっていると話していたが、こういうのがその典型なのだろうか。
こういう自分も今日は無難に出社してしまったが、駅で2キロの行列を見かけたら「今日は出社せず、在宅ワーク」とか、「今日は休み」とかいう決断を下せる男になりたい!
マネフェス2019(第10回 世界の資産運用フェア)
勝手に自分が師匠としている内藤忍さん主催(!?)のセミナーである、マネフェス2019(第10回 世界の資産運用フェア)に参加してきた。
全てのセッションに内藤忍さんがモデレーターとして登壇し、いろいろな投資商品のメリットデメリットをオープンにしてくれるので、投資フェアの中ではかなり好きな部類に入っています。
写真は藤巻健史さんとの対談(それにしても、藤巻さん活舌悪かった・・・・)
不動産投資が多く、仕掛ける金額がそれなりにでかいので、このセミナーを通じてさっそく投資というのはなかなかできないのだが(注:ビビっているわけではなく、既に与信枠をフルに使いきって投資活動しているので、投資余力がないのです・・・)、リスク資産に対する考え方を復習するには非常に良い機会なので、ほぼ毎回参加している。
内藤忍さんは10年前に知り、当時からアセットアロケーションを意識した投資を推奨していた。
今回、参加者特典として「お金の増やし方ロードマップ」なる冊子を頂いた。
不動産投資が中心となる本セミナーにおいても、アセットアロケーションを意識した分散投資がベースになっていることを確認でき、何となく安心した。
投資の初心者はまず投資信託の積み立てから始まり、次のステップとして不動産投資にチャレンジ(「お金を借りる力」を活用するのがポイント)とのこと。
ちなみに、「お金を借りる力」は主に会社員が使うことができ、サラリーマンの数少ないメリットの一つです(ただし年収500万円以上無いと「お金を借りる力」は発揮できません・・・・)
圧倒的大多数の人はこの借りる力を、住宅ローンという債務の取得に充てているのですが・・・・。
ちなみに、投資信託~不動産投資のステップアップの流れ、あまり意識していなかったのですが、自分も同じ道を歩んでいました。
2007年頃から投資信託の積み立て開始。
2013年から不動産投資にチャレンジ。(最初の購入物件が新築だったのが汚点ですが・・・)
内藤忍さん、ワイン投資とか現代アート投資とか、たまにぶっ飛んだ方向に行ってしまいますが、個人的には師事するに資する方と思っています。
次回は2020年2月開催。
とりあえず次回も参加する予定。
クラウドサービスのリスク
2019年8月23日にAmazon Web Services(AWS)で大規模障害が発生しました。
個人的には「ついにやっちまったか」という感じ。
クラウドサービスのメリットは、ITシステムを自社で運用する必要がなくなるのがメリット。
一方でリスクとしては下記がある。
1.預けたデータが第三者に漏洩しないか
2.障害発生時は、自力での障害復旧ができない(神に祈るしかない)
1.はスノーデン氏の功績により、少なくとも当局には漏洩することが判明している。
よって、当局に漏れるだけであれば構わないと腹をくくれるのであれば、問題ない。
逆にそれを受け入れられないのであれば、ITシステムはオンプレミスにして自社運用をしていく必要がある。
2.は正直クラウドサービスが今後普及していけるかのカギになると思っていた。
今回のAWSの障害で見事に実証されたが、クラウドサービスで障害が発生してしまうと、管理者は何もできず、ただ指をくわえて復旧を待つだけとなる。
上司から状況報告や復旧目途を求められても「わかりません」という、マヌケな回答しかできなくなってしまうのである。
個人的には、クラウドサービスが高い可用性を維持し続ける限り、クラウド移行は進むと考えていた。
しかし、今回の様に、クラウドサービス側で派手に障害を起こされてしまうと、利用者側はその前提でITシステムの運用を考え直さなければならない。
クラウドサービスもたまに派手な障害が起きることを踏まえた、選択肢は下記と考える。
選択1.クラウドサービスでもたまに障害が起きるものとして受け入れる。
選択2.障害発生時に状況把握ができない点や、自力による復旧活動ができない点をリスクとしてとらえ、オンプレミスの運用に戻す
選択3.障害発生時のデメリットはあるものの、クラウドサービスならではのメリットもある。デメリットを削減しつつメリットを享受するため、ハイブリッドクラウド(半分クラウド、半分オンプレミス)構成にする。
どれを選択するかは、業種業態やシステムに求める可用性によって異なると思う。
重要インフラ事業領域(「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野)については、選択肢2か、選択肢3を選ぶべきだと思う。
ちなみに、選択肢4として、別々のクラウドサービスを併用するハイブリッドクラウド(例えば、AWSとAzureにそれぞれ構築して冗長化する)も考えてみたが、IaaSってそれなりに管理が複雑であり、IaaSそのものは利用を1つに絞って使うべきというのが僕の意見。
ちなみにクラウド活用が進んでいる米国では、IaaSの管理設定の不備による情報漏洩が相次いでいる。
事件1.Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存
事件2.ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開
事件3.WWE、300万件の個人情報がアクセス可能な状態で公開
事件4.米陸軍の極秘情報がAWSで公開状態だったことが発覚
WAFがあればパッチ適用はいらない!?
WAF(Web Application Firewall)の導入を検討する際、WAFの必要性を説いていく過程で、いくつかの壁に当たる。
その前にWAFとはという話から。
WAFとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。
WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。
WAFを使用することで、以下の効果が期待できる。
1.脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
2.脆弱性を悪用した攻撃を検出する。
3.複数のウェブアプリケーションへの攻撃をまとめて防御する。
※出典:ウィキペディア
んで、WAFの必要性を説いていく中で、特に経営層レベルから疑問を投げかけられるのが下記のようなケース
■ケース1.「F/Wを入れているのになぜWAFが必要なのだ?」
FireWallに加えて、Web Application Firewallを入れる場合、(というかほとんどがそのケースだと思う)この説明を(お母さんでも理解できるように)分かりやすく説明しなければならない。
これは、車の検問で例えるのであれば、下記のような違いになると思うのだが、いかがだろう?
F/W:車のナンバープレートや運転手の顔、車の形状、行き先で良し悪しを判断
WAF:外見だけではなく、中身(乗員/乗客、荷物とか)も見て判断
■ケース2.「WAFを入れればパッチ適用は不要になるのではないのか?」
これ、自分の中で最近まで困っていたケース。
当然べき論としてはWAFは暫定対応であり、システムの脆弱性なのだから、恒久対策としてはシステム側で対応(=パッチ適用)をするのが基本である。
しかし、「WAFで止まっているんだからいーじゃん」と言われると、正直反論が難しい。実際に実務的にはWAFでの対策が事実上の恒久対応になっているところもあるようだ。
そんな中で反論できるネタを用意してみた。
[反論]WAFの設定ミスで攻撃を許容してしまうリスク
脆弱性が出た当初は意識してWAFで止められていたとしても、何かのタイミングでWAFの防御設定が外れ、攻撃を受けて、情報漏洩してしまったケースが存在する
詳細はこちら
WAFも所詮は人が運用するものなので、当然オペミスのリスクが出てくる。
なので、脆弱性が出た当初はWAFで暫定的にしのぐものの、恒久的にはシステムにパッチ適用を行い、根本解決を行わなければならないのだ。
WAFそのものが設定ミスや、何かの拍子で防御設定が外れ、結果的にWAFをスルーする(攻撃を受けてしまう)ケースは、想像できなかった。
発想力が豊かな人間になりたい今日この頃。
スマート家電は買わない
今日はINTERNET Watchの記事から。
ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要。
例えば、スマートスピーカーの場合、攻撃を受けた結果、再生履歴、利用しているストリーミングサービス、そのサービスに登録しているメールアドレスなどを、インターネットを通して盗み取られてしまう可能性があります。
デバイスがネットワークに繋がることにより、リモートで操作が出来たり、インターネットのサービスを使えるようになるので、とても便利です。
一方で、デバイスがネットワークに繋がるということは、悪意の第三者とも繋がることになるというデメリットも認識しなければならない。
この認識を持つと、
「家電をスマホで遠隔操作できます」
とかのうたい文句を聞いても、
な~んにも響かない。嬉しくない。むしろイラつく。
だって、
「家電を(自分の)スマホで遠隔操作できる」
ってことは、
「家電を(悪い人から)インターネット(経由)で遠隔操作される」
というのと同義ですからね。
ちなみに、コーヒーメーカーが不正アクセスを受ける事例が既にあったりします。
自分はスマート家電は買わないです。
シンプル イズ ベスト
ということで。
登録:
投稿 (Atom)