IPO抽選で本当に公平な証券会社は？

数年前からIPO投資にチャレンジしています。

IPOとは、「Initial（最初の）Public（公開の）Offering（売り物）」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。

これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

つまり、値上がりを期待できる株式を証券会社から配分されれば、利益を得られるチャンスということに。

IPOは各ネット証券で取り扱っていますが、制度は各社異なっています。

私が主に使っているのは下記2社。

■マネックス証券：完全抽選方式

■SBI証券：資金比例抽選&チャレンジポイント制度

私はもともとマネックス証券のユーザーだったので、IPOも最初はマネックス証券をメインにしていました。

しかし、やれどもやれども当選しない・・・・・。

一方のSBI証券はポイント制度が存在しており、抽選して外れても1ポイントがもらえ、次回抽選時にそのポイントを使うと当選確率が上がるという仕組みになっていました。

（ちなみに、当選するには300ポイント位必要らしい）

ここでふとした疑問が。

一体どっちの制度のほうが公平なんだろう？

IPOの経験がない人が聞くとマネックス証券のほうが公平の様に聞こえますが、IPO応募を経験すると、SBI証券のほうが平等な感じがしてきます。

理由は、マネックスの完全抽選方式は毎回ゼロリセットなので、外れ続けると心が折れます。

SBI証券は外れても、もらえるポイントが「いつかは当選する」というモチベーションに繋がります。

そんなわけで、IPOはSBI証券がおススメです。

不正プログラム（不審ファイル）の調査で使えるツール(Autoruns)

昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

まず最初はAutoruns

■特徴

・Windowsの起動時に自動的に実行するプログラムの一覧を表示可能

・Sysinternal Toolsに同梱

・autoruns.exe と autorunsc.exeの2つのファイルが存在し、

　autoruns.exeはGUIのツール、

　autorunsc.exeはコマンドラインツール

■主な利用方法

「マルウェアは自動起動設定をどこかに設定しているはず」という仮説をもとに、マルウェアファイルを探索する場合に活用

■画面レイアウト

■簡単なポイント

・ピンク色に色付けられたところをまずはチェックしていく感じ

・Publisherが空欄のファイルは怪しい率アップ

・フィルタ設定（Optionsメニューから設定）が可能

　⇒Hide Microsoft Entries のチェックを外すことで、発行者が「Microsoft Corporation」になっているエントリも表示可能

・気になるレコードで右クリックし、[Jump to Image]をクリックすると、該当ファイルのパスに移動できます。

・tempフォルダ等一時保管用のフォルダにある実行ファイルは怪しい率アップ

■注意点

・Publisherの情報は編集可能であるため、偽造されている可能性も考慮に入れて使う必要がある

■入手

本記事投稿時点での最新版はここからも入手できます。

バックアップはこちら

セキュリティをしっかりやっている企業の見分け方

以前の記事で、売上高に占めるIT投資の比率が1%を切っている企業は、IT投資を怠っており、IT的にはヤバイ旨の記事を書いた。

売上高に占めるIT投資の比率については、IR情報等からある程度調べることができる。

では、セキュリティをしっかりやっている企業はどうやって見分ければよいか。

今日ふと思った方法の一つがNCA（日本シーサート協議会）加盟有無。

名ばかり会員の可能性も無いことは無いが、加盟しているということは、企業内にインシデントレスポンスを対応する人がいるということになるはずで、一つの判断基準になるのではなかろうか。

試しに仮想通貨交換業者の加盟状況をチェックしてみた。

・DMMビットコイン：たぶん加盟(DMM.CSIRT)

・GMOコイン：たぶん加盟(GMO 3S)

・ビットフライヤー：未加盟

・コインチェック：加盟(CC-CSIRT)

・ビットバンク：加盟(bitbank-sirt)

・フォビ仮想通貨取引所：未加盟

・Zaif：未加盟

・Liquid：未加盟

・フィスコ仮想通貨取引所：未加盟

・VCTRADE：未加盟

・BITPoint：未加盟

こういう視点で取引先を選ぶのも良いかもって思った。

新生銀行撤退を考える

10年くらい前から、メインバンクとして新生銀行を使っています。

当時は下記のようなメリットがあって、なかなか使い勝手の良い銀行でした。

メリット1：コンビニATMや都市銀行での出金手数料無料

メリット2：振込手数料優遇（新生ゴールドの場合、5回まで無料）

メリット3：キャッシュカードで海外ATMでも引き出し可能

メリット4：コールセンターが24時間営業

メリット5：インターネットバンキングの同一画面でキャッシング可能

新生ゴールドになると、振込手数料の優遇や定期預金の金利優遇などが受けられるので、新生ゴールドになって長いこと使っていました。

しかし、改悪の波が押し寄せます。

まず、

[改悪1.インターネットバンキングの同一画面でキャッシング不可]

システム改修に伴い、インターフェースが分かれて（別システムになって）しまいました。

別のシステムになってしまったら、別のほかのキャッシングサービスでもよいわけで、新生銀行でキャッシングする必要は無くなり、めでたく解約となりました。

次が、

[改悪2.コールセンター24時間営業終了]

新生銀行は、定期預金の途中解約等は電話で行う必要があります。

しかし、当時の新生銀行コールセンターは24時間営業だったので、この不便さはほぼ感じることはありませんでした。しかし、いつの間にか営業時間が短縮され、電話連絡が超絶な苦痛行為に変わりました。

その次が、

[改悪3.海外ATM出金サービス終了]

新生銀行のキャッシュカードで海外ATMで現地通貨が出金できるというのは非常に魅力的でした。

（その後、クレジットカードの海外キャッシングのほうがレートが良いことが分かり、使わなくなったのですが・・・）

改悪続きで申し訳なく思ったのか、サービス強化として打ち出したものの個人的にはガッカリ度の向上に繋がったものが次、

[改悪4.Tポイントとの連携]

自分、マイレージはJAL派のため、JALに移行可能なポイントしか貯めていないのです。

で、TポイントはJALマイレージに移行することができないため、個人的には全く価値がありません。

ポイントサービスって顧客の囲い込みに利用するものですが、私に関しては全くの逆効果で、むしろ新生銀行を使うモチベーションが下がりました。

それでも新生ゴールド会員なので、振込手数料優遇と、ATM出金手数料無料は残っており、今日まで頑張って使い続けてまいりました。

しかーし。

先日ふとしたことで、ふつーに日々使うだけでポイントがたまり、そのポイントがJALのマイレージに移行できるスバラシイ銀行が見つかりました。

給与振込先の変更とか、申請ゴールド維持のために預けている外貨定期預金の解約とか（円高なので多分損失発生ですわ(TωT)）、メインバンクの移行は結構面倒くさいのだけれども、これ以上無駄なポイントをプレゼントする銀行を使っていても仕方ないかと。

ありがとう新生銀行。
さようなら新生銀行。

Cyber Posture（サイバー・ポスチュア）って・・・

Cyber Posture（サイバー・ポスチュア）って言葉を今日初めて聞きました。

海外では数年前からある考え方で、NISTのドキュメントにも登場してくる言葉らしい。

最近日本では、セキュリティ業界のトップガンである名和先生がよく使っているようで、自分の耳にも入ってきた。

Postureって「姿勢」の意で、Cyber Postureを日本語で表現すると、

サイバーセキュリティ態勢

みたいな感じだろうか。

ヨガでは姿勢が重要とされており、サッカー選手は体幹が重要とされており、同じような考えで、セキュリティも態勢が必要と。

ま、要は部分的にバラバラに対応していてもだめで、それらがしっかり組み合わさっていないといけないという感じだと思う。

セキュリティの観点で言い換えると、従来のセキュリティ対策は、物理的セキュリティ、情報セキュリティ、ビジネス継続性管理、データ保護、社内セキュリティ、社外セキュリティ等、それぞれ分けて考えていたが、今後、これら分割した考え方は時代遅れであり、分割により組織全体を危険にさらす可能性さえあるとのこと。

名和先生が某講演でお話しされていたポイントは5つ

1.サイバーリスクをITの問題ではなく、全社に関わるリスク管理の問題として扱う

2.企業はビジネスの文脈でサイバーリスクに対処する

3.企業はサイバーリスクを様々なレベルで探し出して軽減する必要がある

4.脅威は常に変化しており、その動きに適応することが不可欠

5.サイバーリスクは包括的で協調的なガバナンスを求めている

一部良く分からない部分があるので、勉強せねば。。。

EV SSL証明書の価値って・・・

SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。

つまり、目的は2つあります。

本日は「運営者の実在性を確認」する目的で使う件の話です。

SSLサーバ証明書には下記3種類が存在します。

・DV(Domain Validation)：ドメイン名が存在することの証明書

・OV(Organization Validation)：組織が存在することの証明書 

・EV(Extended Validation)：OVよりも厳密な実在性証明を課す証明書

DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。

OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。

EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。

が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。

（結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・）

【EV SSL証明書は効果ない検証の結果】

EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認（具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます）

【EV SSL証明書搭載の偽サイトができる！？】

米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。（つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る）

結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。

もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。

【参考リンク】

・URLバーの組織名表示を信用できる？ 変化するEV SSLサーバ証明書の取り扱い方

・Google Chrome EV表示の終焉 - ぼちぼち日記

東京2020のなりすましメール対策

東京オリンピックのチケット申し込み(追加抽選)、やろうやろうと思って後回しにしていたら、締め切りが過ぎてしまった。。。

東京オリンピックがどんどん遠のいていく・・・・。

案内のメールを改めて見ていて、気が付いたことがあった。

それは、メール本文に申し込みサイトへのリンクが「無い」点である。

これ、ふつーの人から見ればただの不親切にしか見えないかもしれないが、標的型攻撃メール対策の観点ではかなりしっかりしていると考えられる。

万一、東京2020組織委員会を騙るなりすましメールが出回ったとしても、偽物と本物の区別が非常に容易になる。

「オフィシャルのメールにはリンクはありません。リンクのあるメールは偽物です」と言えるので、アナウンスもシンプルでわかりやすいし、一般の人でも偽物と本物の区別がつきやすいと思う。

こういう対応はそれなりに練らないと出来ないだけに、立派だと思った。

顧客の目先の利便性を追ってセキュリティ対策を犠牲にし、結果顧客の信頼を失った7pay(7&i)の関係者に爪の垢を煎じて飲ませてあげたいと感じました。

参考までに下記が届いたメールのサンプル。

特別機内食はオトクか

夏休みのバンコク滞在も終わり、日本に帰ります。

今回は直行便だったので、無事旅程を終えることができましたが、万一香港経由の便を取っていたら、逃亡犯条例反対デモの影響で旅行取りやめになっていたところでした。

今回はJALの便を利用したこともあり、特別機内食にチャレンジしてみました。

特別機内食のメニューはこちらを参照。

結構種類があります。

ベジタリアンミール、低塩分ミール、糖尿病ミール、低カロリーミール、低グルテンミール、低脂肪ミール、シーフードミール、フルーツミール、etc

他のブログを見てみると、これらの特別食のメリットとして、下記があるようです。

・品切れが無い（ま、事前予約制ですしね。）
・出てくるのが早い（一般の機内食よりも先に配られる模様）

「出てくるのが早い」というのは妙に惹かれます。

最近は搭乗前にラウンジで結構お腹いっぱい食べてきてしまうので、機内食にこだわる必要は無く、むしろ少し軽めで良いくらいな感じ。

低カロリーミール、低脂肪ミール、フルーツミール辺りで悩んだ結果、今回は低脂肪ミールを選択。（健康診断で悪玉コレステロールが・・・・というのもあり。。。）

んで、結果はどうだったか。

【良かった点】
・本当に早くミールが提供された

【残念だった点】
・食後のデザート（ハーゲンダッツ）がスキップされた

ハーゲンダッツ食べたかったのになー。

そんなわけで夏休み終わりです。

2019年後半戦頑張りましょう！