紛らわしいNISA制度

マネックス証券からロールオーバーの手続き書類が来た。

ということは、NISA利用から5年が経つのか。

何とも月日は早いものです。

ところで、「NISA」と「つみたてNISA」って2つのモノが併存していることを最近初めて知りました。

たしか当初あったのは「NISA」で、その後「つみたてNISA」の登場により、従来の「NISA」は終了したものと思っていた。

ところが、これらは並列で存在しているらしい。

ざっとした違いは下記の通り

【NISA】
運用期間：5年
年間上限：120万円
投資商品の幅：広い（投資信託のほか、国内ETF、米国ETFも可能）
その他：ロールオーバーと呼ばれる繰越が可能で、期間延長が可能

【つみたてNISA】
運用期間：20年
年間上限：40万円
投資商品の幅：狭い（特定の投資信託のみ）

【NISA・つみたてNISA共通のざっくりメリット】
・運用益や配当金に税金がかからない（利益が出たら超ハッピー）

【NISA・つみたてNISAのざっくりデメリット】
・損失が出ても確定申告で繰り越しできない（損失が出たらイタさ倍増）
・(ETF投資の場合)信用取引の証拠金に組み入れられない

個人的には上記のメリットとデメリットを踏まえると、そんなにお得な制度とは思っていない。

その上で強いておススメするなら「NISA」です。

個人的に国内の投資信託は信用していないことと、資産の半分を外貨(=USD)にすべきという、内藤忍先生の教えを踏まえると、長期保有戦略で米国ETFという結論になったからだ。

パスワード管理ツール「LastPass」に最後に使ったパスワードが漏れるバグ

複数のIDやパスワードの管理を手助けしてくれるパスワード管理ツール「LastPass」のブラウザ拡張機能に、最後に利用したサイトの認証情報が漏れてしまうバグがあることが報告されました。

攻撃者がバグを悪用したクリックジャッキングを行うと、LastPassを用いて最後に入力したサイト認証情報が抜き取られる恐れがあるとのこと。

認証情報の管理って、ザルな人は同じパスワードを使いまわす一方、
真剣に考える人は恐らくパスワード管理ツールの利用にたどり着くのではなかろうか？

パスワード管理ツールを使うメリットは幾つかある。

まず、サイトごとにパスワードを変えられる点。

頭でパスワードを記憶するのは数パターンが限界。

そこで、パスワード管理ツールに記憶させる。

そうすると、自分で記憶する必要がなくなるので、各サイトごとにパスワード生成が可能となる。

そうすると、どこか1か所でパスワードがハッキングされると、他のサイトでも芋づる式に不正アクセス(パスワードリスト攻撃)を許してしまう事態を回避できる。

各サイトごとにパスワードを設定すると、意外なメリットが出てくる。

それは、万一パスワードが漏洩した際、どのサイトから漏れたのかが分かるようになる点。

以前パスワードが本文に記載された脅迫メールが送られてきたのだが、逆のその記載パスワードからどのサイトから漏れたのかを知ることができた。
（ただ、当然のごとく、漏洩元は漏洩を否定するのだが・・・・）

パスワード管理ツールのバグで情報が漏洩すると洒落にならないので、自分はセキュリティ企業であるトレンドマイクロ社の「パスワードマネージャー」を使用している。

※月額154円なので、何気に「LastPass」より安かったりする。。。

結構便利だが、若干クセのあるツールで、保存できない形態のパスワード(銀行系にある取引パスワードとか)もあるため、フリーソフトの「ID Manager」をサブで併用している。

アナログは最大の防御！？

第4次安倍再改造内閣が発足した。

小泉進次郎氏が入閣したり、韓国に対して毅然とした対応を取った河野太郎氏が防衛大臣になったり、ポスト阿部やら対韓(断韓)やらで、マスコミは賑わっているようだ。

そういえば、ふと思ったのだが、新内閣のITやサイバーセキュリティ周りは一体どうなっているのだろうか？

日本は来年オリンピックを控えているにもかかわらず、IT関連大臣は失態続きなのである。

自分の知る限りでは、まずは丸川珠代氏。

当時政府のサイバーセキュリティ戦略本部で副本部長を務め、2020年東京五輪・パラリンピックのサイバーセキュリティー対策を担っていたが、2017年2月上旬に公式サイトがハッキングされ、サイト改竄されるという失態を犯した。

当時の記事はコチラ

次が、桜田義孝氏。

国会の答弁で信じられない位のIT無知っぷりを披露し、最後は失言で失脚。

国会でサイバーセキュリティを担当する大臣が「自分でパソコンを打つということはありません」という発言には結構度肝を抜かれた。世界中からもかなり馬鹿にされたと記憶している。

当時の国会答弁(抜粋)のメモはコチラ

んで、満を持して今回の内閣改造でIT担当大臣に就任したのが、竹本直一氏(78)。

どんな人かというと、「日本の印章制度・文化を守る議員連盟（通称：はんこ議連）」の会長さん。

ちなみに、台湾では38歳の天才プログラマーがIT担当大臣を務めているらしい。

CIOやCISO経験者ではなく、はんこ議連の会長さんに日本のITを担わせるのは、安倍首相の戦略なのだろうか？

国内線搭乗後にやらなければいけない事（スカイペソ ニッポン500マイルキャンペーン）

大阪から東京に帰ってきました。

国内線の飛行機に乗ったら必ずやらないといけないことがあります。

それが、デルタ航空のニッポン500マイルキャンペーン。

デルタ航空はスカイチームというアライアンスに属しています。

ところが、日本にはこのアライアンスに属する航空会社が無く（JALはワンワールド、ANAはスターアライアンスに加盟）、日本国内では孤立無援のデルタ航空が独自で日本向けキャンペーンを展開しています。

ちなみに上限があり、一般会員は最大10フライト分（合計5,000マイル）まで、メダリオン会員は、最大40フライト分（合計20,000マイル）まで獲得可能。

ちなみに、デルタスカイマイルは、通称「スカイペソ」と揶揄されており、1マイル当たりの価値が非常に低いマイレージサービスとして知られています。

特典航空券の必要マイル数も残席に応じた変動制でレートが存在しないのですが、東南アジア圏のビジネスクラス航空券で片道約50,000マイルくらいな感じです。

※Aviosと比較すると10,000マイル以上高いです。
※A3のMiles+Bonusと比較すると20,000マイル以上高いです。
※アラスカ航空の裏ワザと比較すると30,000マイル以上高いです。

つまり、スカイペソの1マイルはそれだけ価値が低いのです。

しかし、タダでもらえるものはもらっておきましょう。

デルタ航空はマイルの有効期限が無いため、のんびり気長に貯められます。

10年続ければ、東南アジア圏のビジネスクラス片道航空券に化けます。

制度改悪が無ければの話ですが・・・・

ちなみに今年の正月に、GAのCGK-KIX間のビジネスクラス特典航空券の交換に成功しました。

スカイペソはマイルの価値は非常に低いのですが、スカイチームは日本に加盟航空会社が無いことから、比較的マイナーな位置づけとなり、特典航空券の獲得はJALやANAに比べて容易と思われます。

「大阪国際空港」改め、「関西国内空港」に！！

ポイ活が完了し、大阪から東京への帰路。

伊丹空港のJALサクララウンジでのんびりしています。

サクララウンジは今年改装が終わり、ラウンジから飛行機が眺められるようになりました。

B737単体でいるとそうでもないんだけど、B777と並ぶとB777の大きさと、B737の小ささがすごく良く分かる。

ところで、国内線の大阪の空の玄関口である伊丹空港だが、個人的に気に入らないことがある。

伊丹空港の正式名称は大阪国際空港(Osaka International Airport)である。

この名前を聞けば、当然国際線が就航していることをイメージするのだが、ご存知の通り、国際線は就航していない(大阪のG20でエアフォースワンが来たのは例外として)

国際線が就航していないのに国際空港を名乗るのは詐欺なのではなかろうか？

気に入らないついでにもう一言いうと、大阪国際空港と言いつつも、実際は大阪府豊中市、同池田市、兵庫県伊丹市にまたがる空港である。

略称の伊丹空港の「伊丹」は大阪ではなく、兵庫県なのである。

うーん。

昔の常磐線位ややこしいぞ。

※昔の常磐線は、各駅停車は千代田線との直通電車を指す全く別の線路を走る電車と、普通列車という茨城の奥地や福島まで行く長距離電車と、快速列車という普通列車と同じ駅に止まるくせに取手止まりの短距離電車があった。

話がそれてしまったが、大阪国際空港は名称が詐欺なので改めるべきである。

勝手ながら、新名称を考えてみた。

・伊丹空港（Itami Airport）
　
　まんまだけど、略称をそのまま正式名称にしてしまうのはありかと。嘘もないし。
　あと、空港コード(ITM)的にも違和感無い

・兵阪空港（Hyosaka Airport）

　立地上は兵庫と大阪にあるので、ちょっと洒落て「ひょーさかくうこう」ってどうだろう。音的にも悪くないし。

・関西国内空港（Kansai Domestic Airport）

　日本語的にはダサイけど、外国人的には分かりやすい。あと、関西国際空港が国際線メインに対して、国内線メインというのが分かりやすく、シンプルではあると思う。

関空も伊丹も運営会社が同じなので「関西国内空港」でいいんじゃね。

コストダウンのつなぎ売り

「つなぎ売り」と聞いて最初に思い浮かぶのは株主優待だ。

株主優待獲得のため現物株を調達するが、価格下落で株主優待以上に損失を出してしまっては意味がない。

そこで、株主優待用に現物株をロングで持つが、価格下落に備えて信用取引でショート（空売り）でも持つ。

そうすると、価格の上下に左右されず、諸々の手数料だけで株主優待の獲得が可能となる。

今日、保有銘柄のコストダウンの観点で行う「つなぎ売り」があることを知った。

これ、まず、株式の長期保有戦略であることが前提。

自分は長期保有戦略はかなり縁のある銘柄に対してしかせず、保有は1銘柄のみ。

理屈は至ってシンプルで、保有している現物株はそのままホールドしつつ、株価下落の局面で空売りを仕掛け、底値になったら手仕舞をする。

空売りの利益と現物株の調達価格を相殺することで、現物株の購入価格を下げるということである。

この先は心理的な話になる気がするが、もし、現物株の購入価格を0円とすることができれば（=購入した現物株が調達時よりかなり値を下げているということになるが・・・）、その先はいくら値が下がろうが、安心して保有できるのではないだろうか？

右肩上がりのアメリカ株ではできない、日本株ならではの手法だな。うん。

2019年9月ポイ活の旅

今週末は3連休。

だからというわけではないのですが、ちょっと大阪に行ってきます。

目的は2つ。

小次郎講師の定例セミナーがあるのと、マイル活動。

今回のマイル活動はロケットマイルを使った、間接的なマイル購入です。

ロケットマイルはホテル予約サイトなのですが、上手く使うと1マイル単価2円程度で間接的にバイマイルできます。

ロケットマイルを使った活動は、Heathrow Rewards⇒A3マイル⇒TGビジネスクラス航空券とすることを目論んでいます。

※ロケットマイルから直接A3マイルも可能ですが、ちょっと狙いがあってHearthrow Rewardsを経由しています。

シンプルにバイマイルできれば話は早いのですが、ホテル予約サイトなので、ホテルに宿泊しなければなりません。

そこで、小次郎講師の定例セミナーと合わせて大阪旅行と相成りました。

それでは皆様、よい3連休を！

頑張れ！楽天モバイル

YouTubeのテレ東NEWSで楽天モバイルの記者会見やってた。

テレ東NEWSは記者会見とか全編残してくれるので、大変助かる。

10月1日からパイロットサービスっぽいことを始めるらしい。

しかも2020年3月末まで無料らしい。

端末ラインナップを見ると、僕が大好きなXPERIAもある。

しかも、楽天モバイルの端末は「落書き」が無い。

上の写真を拡大してみてほしいのだが、例えば、左側の端末には、

「docomo」という落書きが本体に刻み込まれている。

僕は現在MVNOを使っており、XPERIAを使っているのだが、

端末本体に

docomo

という落書きが刻み込まれており、非常に嫌なのだ。

一時期海外モデルに切り替えることも考えたのだが、自身の生活がおサイフケータイ機能に大きく依存してしまっているため、Felica搭載は必須なのだ。

しかし、おサイフケータイは日本独自のガラパゴス機能のため、海外モデルにFelicaは搭載されていないのである。

そんなわけで仕方なく落書きが刻み込まれたXPERIAを利用していたのだが、落書きのない「キレイ」なXPERIAが使えるだけでも楽天モバイルを使う価値があるような気がしてきた。

10月からのパイロットサービスに応募してみようかな。

頑張れ！楽天モバイル

Aviosを使ったJAL国内線の予約が330日前から可能になった件

本日2019年9月10日より、JAL国内線が330日前から予約可能になりました。

この影響(!?)を受け、Aviosを使ったJAL国内線の予約も330日前から可能になっているようです。

その前まではと言うと、60日前からの予約が可能となっていました。

実際に試してみると、約70日後である2019年12月21日の羽田～伊丹間が予約可能になっていました。

残念ながら自分が乗りたい時間の便が無いため、この日は有償航空券になりそう(´；ω；`)ｳｩｩ

自分は結構前もって計画立てる派なので、330日前から予約が可能になっている点は助かる。

とはいえ、Aviosを使ったJAL国内線の予約は高頻度でルールが変わるので、柔軟さが必要です。

脱社畜に向けた発想転換

台風15号が通過した翌日、交通機関は大混乱となった。

特に千葉県は影響が大きかったらしい。

JRの駅では入場規制がかかり、東京ディズニーランド顔負けの大行列になっていたようである。

2kmの行列はディズニーランドでも見れないのではなかろうか。

JRも航空会社の上級会員みたいなの作って、上級会員は優先的に駅と列車に乗れるとかしたら面白いのに。

ちょっと脱線したが、この光景を見て、依然として会社に出社するワークスタイルが圧倒的多数なんだと感じた。

IT技術が進化して、技術的には在宅ワークは可能なのだが、人事制度が追い付いていないのだろうか。

昨日参加したマネフェスで、藤巻健史さんが、日本はGDPが長年横ばいになっていると話していたが、こういうのがその典型なのだろうか。

こういう自分も今日は無難に出社してしまったが、駅で2キロの行列を見かけたら「今日は出社せず、在宅ワーク」とか、「今日は休み」とかいう決断を下せる男になりたい！

マネフェス2019（第10回 世界の資産運用フェア）

勝手に自分が師匠としている内藤忍さん主催(!?)のセミナーである、マネフェス2019（第10回 世界の資産運用フェア）に参加してきた。

全てのセッションに内藤忍さんがモデレーターとして登壇し、いろいろな投資商品のメリットデメリットをオープンにしてくれるので、投資フェアの中ではかなり好きな部類に入っています。

写真は藤巻健史さんとの対談（それにしても、藤巻さん活舌悪かった・・・・）

不動産投資が多く、仕掛ける金額がそれなりにでかいので、このセミナーを通じてさっそく投資というのはなかなかできないのだが（注：ビビっているわけではなく、既に与信枠をフルに使いきって投資活動しているので、投資余力がないのです・・・）、リスク資産に対する考え方を復習するには非常に良い機会なので、ほぼ毎回参加している。

内藤忍さんは10年前に知り、当時からアセットアロケーションを意識した投資を推奨していた。

今回、参加者特典として「お金の増やし方ロードマップ」なる冊子を頂いた。

不動産投資が中心となる本セミナーにおいても、アセットアロケーションを意識した分散投資がベースになっていることを確認でき、何となく安心した。

投資の初心者はまず投資信託の積み立てから始まり、次のステップとして不動産投資にチャレンジ（「お金を借りる力」を活用するのがポイント）とのこと。

ちなみに、「お金を借りる力」は主に会社員が使うことができ、サラリーマンの数少ないメリットの一つです（ただし年収500万円以上無いと「お金を借りる力」は発揮できません・・・・）

圧倒的大多数の人はこの借りる力を、住宅ローンという債務の取得に充てているのですが・・・・。

ちなみに、投資信託～不動産投資のステップアップの流れ、あまり意識していなかったのですが、自分も同じ道を歩んでいました。

2007年頃から投資信託の積み立て開始。

2013年から不動産投資にチャレンジ。（最初の購入物件が新築だったのが汚点ですが・・・）

内藤忍さん、ワイン投資とか現代アート投資とか、たまにぶっ飛んだ方向に行ってしまいますが、個人的には師事するに資する方と思っています。

次回は2020年2月開催。

とりあえず次回も参加する予定。

クラウドサービスのリスク

2019年8月23日にAmazon Web Services（AWS）で大規模障害が発生しました。

個人的には「ついにやっちまったか」という感じ。

クラウドサービスのメリットは、ITシステムを自社で運用する必要がなくなるのがメリット。

一方でリスクとしては下記がある。

1.預けたデータが第三者に漏洩しないか

2.障害発生時は、自力での障害復旧ができない（神に祈るしかない）

1.はスノーデン氏の功績により、少なくとも当局には漏洩することが判明している。

よって、当局に漏れるだけであれば構わないと腹をくくれるのであれば、問題ない。

逆にそれを受け入れられないのであれば、ITシステムはオンプレミスにして自社運用をしていく必要がある。

2.は正直クラウドサービスが今後普及していけるかのカギになると思っていた。

今回のAWSの障害で見事に実証されたが、クラウドサービスで障害が発生してしまうと、管理者は何もできず、ただ指をくわえて復旧を待つだけとなる。

上司から状況報告や復旧目途を求められても「わかりません」という、マヌケな回答しかできなくなってしまうのである。

個人的には、クラウドサービスが高い可用性を維持し続ける限り、クラウド移行は進むと考えていた。

しかし、今回の様に、クラウドサービス側で派手に障害を起こされてしまうと、利用者側はその前提でITシステムの運用を考え直さなければならない。

クラウドサービスもたまに派手な障害が起きることを踏まえた、選択肢は下記と考える。

選択1.クラウドサービスでもたまに障害が起きるものとして受け入れる。

選択2.障害発生時に状況把握ができない点や、自力による復旧活動ができない点をリスクとしてとらえ、オンプレミスの運用に戻す

選択3.障害発生時のデメリットはあるものの、クラウドサービスならではのメリットもある。デメリットを削減しつつメリットを享受するため、ハイブリッドクラウド（半分クラウド、半分オンプレミス）構成にする。

どれを選択するかは、業種業態やシステムに求める可用性によって異なると思う。

重要インフラ事業領域（「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野）については、選択肢2か、選択肢3を選ぶべきだと思う。

ちなみに、選択肢4として、別々のクラウドサービスを併用するハイブリッドクラウド（例えば、AWSとAzureにそれぞれ構築して冗長化する）も考えてみたが、IaaSってそれなりに管理が複雑であり、IaaSそのものは利用を1つに絞って使うべきというのが僕の意見。

ちなみにクラウド活用が進んでいる米国では、IaaSの管理設定の不備による情報漏洩が相次いでいる。

事件1.Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存

事件2.ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

事件3.WWE、300万件の個人情報がアクセス可能な状態で公開

事件4.米陸軍の極秘情報がAWSで公開状態だったことが発覚

WAFがあればパッチ適用はいらない！？

WAF(Web Application Firewall)の導入を検討する際、WAFの必要性を説いていく過程で、いくつかの壁に当たる。

その前にWAFとはという話から。

WAFとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。

WAFを使用することで、以下の効果が期待できる。

1.脆弱性を悪用した攻撃からウェブアプリケーションを防御する。

2.脆弱性を悪用した攻撃を検出する。

3.複数のウェブアプリケーションへの攻撃をまとめて防御する。

　※出典：ウィキペディア

んで、WAFの必要性を説いていく中で、特に経営層レベルから疑問を投げかけられるのが下記のようなケース

■ケース1.「F/Wを入れているのになぜWAFが必要なのだ？」

FireWallに加えて、Web Application Firewallを入れる場合、（というかほとんどがそのケースだと思う）この説明を(お母さんでも理解できるように)分かりやすく説明しなければならない。

これは、車の検問で例えるのであれば、下記のような違いになると思うのだが、いかがだろう？

F/W：車のナンバープレートや運転手の顔、車の形状、行き先で良し悪しを判断

WAF：外見だけではなく、中身（乗員/乗客、荷物とか）も見て判断

■ケース2.「WAFを入れればパッチ適用は不要になるのではないのか？」

これ、自分の中で最近まで困っていたケース。

当然べき論としてはWAFは暫定対応であり、システムの脆弱性なのだから、恒久対策としてはシステム側で対応(=パッチ適用)をするのが基本である。

しかし、「WAFで止まっているんだからいーじゃん」と言われると、正直反論が難しい。実際に実務的にはWAFでの対策が事実上の恒久対応になっているところもあるようだ。

そんな中で反論できるネタを用意してみた。

[反論]WAFの設定ミスで攻撃を許容してしまうリスク

脆弱性が出た当初は意識してWAFで止められていたとしても、何かのタイミングでWAFの防御設定が外れ、攻撃を受けて、情報漏洩してしまったケースが存在する

詳細はこちら

WAFも所詮は人が運用するものなので、当然オペミスのリスクが出てくる。

なので、脆弱性が出た当初はWAFで暫定的にしのぐものの、恒久的にはシステムにパッチ適用を行い、根本解決を行わなければならないのだ。

WAFそのものが設定ミスや、何かの拍子で防御設定が外れ、結果的にWAFをスルーする（攻撃を受けてしまう）ケースは、想像できなかった。

発想力が豊かな人間になりたい今日この頃。

スマート家電は買わない

今日はINTERNET Watchの記事から。

ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要。

例えば、スマートスピーカーの場合、攻撃を受けた結果、再生履歴、利用しているストリーミングサービス、そのサービスに登録しているメールアドレスなどを、インターネットを通して盗み取られてしまう可能性があります。

デバイスがネットワークに繋がることにより、リモートで操作が出来たり、インターネットのサービスを使えるようになるので、とても便利です。

一方で、デバイスがネットワークに繋がるということは、悪意の第三者とも繋がることになるというデメリットも認識しなければならない。

この認識を持つと、

「家電をスマホで遠隔操作できます」

とかのうたい文句を聞いても、

な～んにも響かない。嬉しくない。むしろイラつく。

だって、

「家電を(自分の)スマホで遠隔操作できる」

ってことは、

「家電を(悪い人から)インターネット(経由)で遠隔操作される」

というのと同義ですからね。

ちなみに、コーヒーメーカーが不正アクセスを受ける事例が既にあったりします。

自分はスマート家電は買わないです。

シンプル イズ ベスト

ということで。

情報セキュリティ白書2019

IPAから情報セキュリティ白書がリリースされていたので、読んでみた。

ボリュームが多いので、とりあえず今回はDDoS周りを・・・。

来年は2020年東京オリンピック/パラリンピックの年だ。

オリンピック開催国には漏れなくDDoS攻撃がセットでついてくるので、ちょっと情報のキャッチアップを・・・・。

■2018年度のDDoS事例

DDoS攻撃ってオリンピックが特に多くなるイメージだけど、実際には毎年どこかの企業が攻撃に晒されている。

2016年には日産自動車がかなり大きい規模のDDoS攻撃を受けていた。

2018年度の被害事例は大きく2つ

・株式会社スクウェア・エニックスが運営するオンラインゲーム「FINAL FANTASY XIV」

・合同会社 DMM.com が運営するゲーム「艦隊これくしょん」

■攻撃手口

DDoS攻撃は、主にボットネット、IoT ボットを用いる手口や、リフレクター攻撃と呼ばれるサーバの設定不備を悪用して、攻撃通信を増幅させる手口等が挙げられる。

また、上記の攻撃手法を併用されることも多い。

更に、攻撃効果や状況に応じて、有効な手口に絞った攻撃に切り替える手法もあり、これはマルチベクトル型攻撃と言われ、現在の主流となっている。

マルチベクトル型攻撃のイメージ(白書より拝借)

■対策

白書に記載の対策は下記の通りだが、正直決定打になるようなものは見当たらない感じ。

・アクセスログや通信ログ等を確認し、攻撃が特定のIPアドレスから行われていると判断できる場合は、当該 IPアドレスからのアクセスを遮断する。
　⇒DDoS攻撃なので、特定のIPアドレスから行われているケースは少ない(DDoSだけに、200IP位から分散攻撃されます)

・国内からのアクセスを主に想定しているサイトでは、海外の IPアドレスからのアクセスを一時的に遮断することも検討する。
　⇒国内のIPアドレス(乗っ取りとか偽装とか)からDDoS攻撃されるとあまり意味がない。

・攻撃者が攻撃元の IP アドレスや攻撃方法を定期的に変更してくる場合があるため、継続して監視を行い、攻撃方法に合わせた対策を実施する。
　⇒ただの精神論だよ。。。

・組織内で対処できない程大規模な攻撃や執拗な攻撃を受けている場合は、ISPとの連携や警察等への通報を実施する。
　⇒ISPとの連携はアリ。
　　警察への連携は正直不要。いろいろ聞かれるけど、助けてくれない。

・攻撃の頻度や、攻撃対象サイトの重要性によっては、DDoS 対策製品や ISP 事業者が提供するDDoS対策サービスの利用を検討する。
　⇒結局この辺の検討が一番妥当な気がする。
　　金がかかるけど、モノを購入するのではなく、サービスを利用する形態であれば、導入や廃止は比較的簡単なので、オリンピック期間中だけ利用とか、来年度だけ利用とかの検討ができると思う。

【管理人参照用】
情報セキュリティ白書2019

IPO抽選で本当に公平な証券会社は？

数年前からIPO投資にチャレンジしています。

IPOとは、「Initial（最初の）Public（公開の）Offering（売り物）」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。

これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

つまり、値上がりを期待できる株式を証券会社から配分されれば、利益を得られるチャンスということに。

IPOは各ネット証券で取り扱っていますが、制度は各社異なっています。

私が主に使っているのは下記2社。

■マネックス証券：完全抽選方式

■SBI証券：資金比例抽選&チャレンジポイント制度

私はもともとマネックス証券のユーザーだったので、IPOも最初はマネックス証券をメインにしていました。

しかし、やれどもやれども当選しない・・・・・。

一方のSBI証券はポイント制度が存在しており、抽選して外れても1ポイントがもらえ、次回抽選時にそのポイントを使うと当選確率が上がるという仕組みになっていました。

（ちなみに、当選するには300ポイント位必要らしい）

ここでふとした疑問が。

一体どっちの制度のほうが公平なんだろう？

IPOの経験がない人が聞くとマネックス証券のほうが公平の様に聞こえますが、IPO応募を経験すると、SBI証券のほうが平等な感じがしてきます。

理由は、マネックスの完全抽選方式は毎回ゼロリセットなので、外れ続けると心が折れます。

SBI証券は外れても、もらえるポイントが「いつかは当選する」というモチベーションに繋がります。

そんなわけで、IPOはSBI証券がおススメです。

不正プログラム（不審ファイル）の調査で使えるツール(Autoruns)

昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

まず最初はAutoruns

■特徴

・Windowsの起動時に自動的に実行するプログラムの一覧を表示可能

・Sysinternal Toolsに同梱

・autoruns.exe と autorunsc.exeの2つのファイルが存在し、

　autoruns.exeはGUIのツール、

　autorunsc.exeはコマンドラインツール

■主な利用方法

「マルウェアは自動起動設定をどこかに設定しているはず」という仮説をもとに、マルウェアファイルを探索する場合に活用

■画面レイアウト

■簡単なポイント

・ピンク色に色付けられたところをまずはチェックしていく感じ

・Publisherが空欄のファイルは怪しい率アップ

・フィルタ設定（Optionsメニューから設定）が可能

　⇒Hide Microsoft Entries のチェックを外すことで、発行者が「Microsoft Corporation」になっているエントリも表示可能

・気になるレコードで右クリックし、[Jump to Image]をクリックすると、該当ファイルのパスに移動できます。

・tempフォルダ等一時保管用のフォルダにある実行ファイルは怪しい率アップ

■注意点

・Publisherの情報は編集可能であるため、偽造されている可能性も考慮に入れて使う必要がある

■入手

本記事投稿時点での最新版はここからも入手できます。

バックアップはこちら

セキュリティをしっかりやっている企業の見分け方

以前の記事で、売上高に占めるIT投資の比率が1%を切っている企業は、IT投資を怠っており、IT的にはヤバイ旨の記事を書いた。

売上高に占めるIT投資の比率については、IR情報等からある程度調べることができる。

では、セキュリティをしっかりやっている企業はどうやって見分ければよいか。

今日ふと思った方法の一つがNCA（日本シーサート協議会）加盟有無。

名ばかり会員の可能性も無いことは無いが、加盟しているということは、企業内にインシデントレスポンスを対応する人がいるということになるはずで、一つの判断基準になるのではなかろうか。

試しに仮想通貨交換業者の加盟状況をチェックしてみた。

・DMMビットコイン：たぶん加盟(DMM.CSIRT)

・GMOコイン：たぶん加盟(GMO 3S)

・ビットフライヤー：未加盟

・コインチェック：加盟(CC-CSIRT)

・ビットバンク：加盟(bitbank-sirt)

・フォビ仮想通貨取引所：未加盟

・Zaif：未加盟

・Liquid：未加盟

・フィスコ仮想通貨取引所：未加盟

・VCTRADE：未加盟

・BITPoint：未加盟

こういう視点で取引先を選ぶのも良いかもって思った。

新生銀行撤退を考える

10年くらい前から、メインバンクとして新生銀行を使っています。

当時は下記のようなメリットがあって、なかなか使い勝手の良い銀行でした。

メリット1：コンビニATMや都市銀行での出金手数料無料

メリット2：振込手数料優遇（新生ゴールドの場合、5回まで無料）

メリット3：キャッシュカードで海外ATMでも引き出し可能

メリット4：コールセンターが24時間営業

メリット5：インターネットバンキングの同一画面でキャッシング可能

新生ゴールドになると、振込手数料の優遇や定期預金の金利優遇などが受けられるので、新生ゴールドになって長いこと使っていました。

しかし、改悪の波が押し寄せます。

まず、

[改悪1.インターネットバンキングの同一画面でキャッシング不可]

システム改修に伴い、インターフェースが分かれて（別システムになって）しまいました。

別のシステムになってしまったら、別のほかのキャッシングサービスでもよいわけで、新生銀行でキャッシングする必要は無くなり、めでたく解約となりました。

次が、

[改悪2.コールセンター24時間営業終了]

新生銀行は、定期預金の途中解約等は電話で行う必要があります。

しかし、当時の新生銀行コールセンターは24時間営業だったので、この不便さはほぼ感じることはありませんでした。しかし、いつの間にか営業時間が短縮され、電話連絡が超絶な苦痛行為に変わりました。

その次が、

[改悪3.海外ATM出金サービス終了]

新生銀行のキャッシュカードで海外ATMで現地通貨が出金できるというのは非常に魅力的でした。

（その後、クレジットカードの海外キャッシングのほうがレートが良いことが分かり、使わなくなったのですが・・・）

改悪続きで申し訳なく思ったのか、サービス強化として打ち出したものの個人的にはガッカリ度の向上に繋がったものが次、

[改悪4.Tポイントとの連携]

自分、マイレージはJAL派のため、JALに移行可能なポイントしか貯めていないのです。

で、TポイントはJALマイレージに移行することができないため、個人的には全く価値がありません。

ポイントサービスって顧客の囲い込みに利用するものですが、私に関しては全くの逆効果で、むしろ新生銀行を使うモチベーションが下がりました。

それでも新生ゴールド会員なので、振込手数料優遇と、ATM出金手数料無料は残っており、今日まで頑張って使い続けてまいりました。

しかーし。

先日ふとしたことで、ふつーに日々使うだけでポイントがたまり、そのポイントがJALのマイレージに移行できるスバラシイ銀行が見つかりました。

給与振込先の変更とか、申請ゴールド維持のために預けている外貨定期預金の解約とか（円高なので多分損失発生ですわ(TωT)）、メインバンクの移行は結構面倒くさいのだけれども、これ以上無駄なポイントをプレゼントする銀行を使っていても仕方ないかと。

ありがとう新生銀行。
さようなら新生銀行。

Cyber Posture（サイバー・ポスチュア）って・・・

Cyber Posture（サイバー・ポスチュア）って言葉を今日初めて聞きました。

海外では数年前からある考え方で、NISTのドキュメントにも登場してくる言葉らしい。

最近日本では、セキュリティ業界のトップガンである名和先生がよく使っているようで、自分の耳にも入ってきた。

Postureって「姿勢」の意で、Cyber Postureを日本語で表現すると、

サイバーセキュリティ態勢

みたいな感じだろうか。

ヨガでは姿勢が重要とされており、サッカー選手は体幹が重要とされており、同じような考えで、セキュリティも態勢が必要と。

ま、要は部分的にバラバラに対応していてもだめで、それらがしっかり組み合わさっていないといけないという感じだと思う。

セキュリティの観点で言い換えると、従来のセキュリティ対策は、物理的セキュリティ、情報セキュリティ、ビジネス継続性管理、データ保護、社内セキュリティ、社外セキュリティ等、それぞれ分けて考えていたが、今後、これら分割した考え方は時代遅れであり、分割により組織全体を危険にさらす可能性さえあるとのこと。

名和先生が某講演でお話しされていたポイントは5つ

1.サイバーリスクをITの問題ではなく、全社に関わるリスク管理の問題として扱う

2.企業はビジネスの文脈でサイバーリスクに対処する

3.企業はサイバーリスクを様々なレベルで探し出して軽減する必要がある

4.脅威は常に変化しており、その動きに適応することが不可欠

5.サイバーリスクは包括的で協調的なガバナンスを求めている

一部良く分からない部分があるので、勉強せねば。。。

EV SSL証明書の価値って・・・

SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。

つまり、目的は2つあります。

本日は「運営者の実在性を確認」する目的で使う件の話です。

SSLサーバ証明書には下記3種類が存在します。

・DV(Domain Validation)：ドメイン名が存在することの証明書

・OV(Organization Validation)：組織が存在することの証明書 

・EV(Extended Validation)：OVよりも厳密な実在性証明を課す証明書

DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。

OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。

EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。

が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。

（結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・）

【EV SSL証明書は効果ない検証の結果】

EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認（具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます）

【EV SSL証明書搭載の偽サイトができる！？】

米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。（つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る）

結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。

もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。

【参考リンク】

・URLバーの組織名表示を信用できる？ 変化するEV SSLサーバ証明書の取り扱い方

・Google Chrome EV表示の終焉 - ぼちぼち日記

東京2020のなりすましメール対策

東京オリンピックのチケット申し込み(追加抽選)、やろうやろうと思って後回しにしていたら、締め切りが過ぎてしまった。。。

東京オリンピックがどんどん遠のいていく・・・・。

案内のメールを改めて見ていて、気が付いたことがあった。

それは、メール本文に申し込みサイトへのリンクが「無い」点である。

これ、ふつーの人から見ればただの不親切にしか見えないかもしれないが、標的型攻撃メール対策の観点ではかなりしっかりしていると考えられる。

万一、東京2020組織委員会を騙るなりすましメールが出回ったとしても、偽物と本物の区別が非常に容易になる。

「オフィシャルのメールにはリンクはありません。リンクのあるメールは偽物です」と言えるので、アナウンスもシンプルでわかりやすいし、一般の人でも偽物と本物の区別がつきやすいと思う。

こういう対応はそれなりに練らないと出来ないだけに、立派だと思った。

顧客の目先の利便性を追ってセキュリティ対策を犠牲にし、結果顧客の信頼を失った7pay(7&i)の関係者に爪の垢を煎じて飲ませてあげたいと感じました。

参考までに下記が届いたメールのサンプル。

特別機内食はオトクか

夏休みのバンコク滞在も終わり、日本に帰ります。

今回は直行便だったので、無事旅程を終えることができましたが、万一香港経由の便を取っていたら、逃亡犯条例反対デモの影響で旅行取りやめになっていたところでした。

今回はJALの便を利用したこともあり、特別機内食にチャレンジしてみました。

特別機内食のメニューはこちらを参照。

結構種類があります。

ベジタリアンミール、低塩分ミール、糖尿病ミール、低カロリーミール、低グルテンミール、低脂肪ミール、シーフードミール、フルーツミール、etc

他のブログを見てみると、これらの特別食のメリットとして、下記があるようです。

・品切れが無い（ま、事前予約制ですしね。）
・出てくるのが早い（一般の機内食よりも先に配られる模様）

「出てくるのが早い」というのは妙に惹かれます。

最近は搭乗前にラウンジで結構お腹いっぱい食べてきてしまうので、機内食にこだわる必要は無く、むしろ少し軽めで良いくらいな感じ。

低カロリーミール、低脂肪ミール、フルーツミール辺りで悩んだ結果、今回は低脂肪ミールを選択。（健康診断で悪玉コレステロールが・・・・というのもあり。。。）

んで、結果はどうだったか。

【良かった点】
・本当に早くミールが提供された

【残念だった点】
・食後のデザート（ハーゲンダッツ）がスキップされた

ハーゲンダッツ食べたかったのになー。

そんなわけで夏休み終わりです。

2019年後半戦頑張りましょう！

日本企業のセキュリティ予算比は？

NRIセキュアテクノロジーズ社が毎年行っているセキュリティ実態調査の2019年度版がリリースされたので読んでみた。

日本企業の情報セキュリティ対策は一般的に欧米企業と比べると遅れていることは認識していた。

それでもアジア圏の中で見ればそれなりに進んでいるのだろうと思っていたのだが、シンガポールと比較してもだいぶ後れを取っていることが分かり、残念な感じになった。

企業におけるIT予算やセキュリティ予算の考え方は、絶対的な解は無い。

そのため、IT予算の場合はその企業の売上高の何割をIT予算に充てているかで考えることが多い。

んで、セキュリティはそのIT予算の何割をセキュリティ予算に充てているかで考えることが多い。

ちなみにIT予算については、売上高の2%～3%が標準的な水準であると考えている。

一番比率が高いのは金融業界で5%～7%

ちなみ0.5%程度とかいう業界も存在していたと思う。

ちなみに売上高に占めるIT予算化比率が0.5%程度だとどういうことになるかというと・・

・保守/運用体制が確立できない（企画やプロジェクト推進の担当と保守運用担当のメンバーが同じ）
　⇒リソース不足とメンバーへの高負荷により離職率増加

・ドキュメントが存在しない（上述の影響でそもそもドキュメント作成のリソースが無い）

・PDCAサイクルが存在しない（PDサイクルのみが存在、またはPすら無く、Do,Do,Doだけとか・・・）

・新規のIT投資がほとんどできていない（既存システムの保守もままならない状態）

ということで、IT予算化比率が0.5%程度の会社はIT投資を怠っている会社となり、更にはセキュリティ対策も怠っている会社と言うこともできる。

前置きが長くなったが、今回はそのIT予算に占めるセキュリティ予算の話。

レポートを見た感じ、IT予算の10%をセキュリティ予算に充てるというのが一つのポイントなのだろうか。

レポートはこんな感じだった。

【IT関連の予算に占めるセキュリティ予算の割合が10%以上の比率の企業割合】

・日本：37.6%

・アメリカ：84.5%

・シンガポール：71.6%

ちなみに日本企業の最多ボリュームゾーンは1%～5%、5%～10%未満でそれぞれ30%ずつだった。

CISOの設置率も日本は50%程度なので、そもそも予算が取れないという問題はあるかも。

来年オリンピックがあるのにセキュリティ後進国化している感が気になる今日この頃。

飛行機の搭乗履歴を管理するツール（my.flightradar24.com）

夏休みでタイのバンコクに来ています。

元気なうちに海外旅行をいっぱいしようのコンセプトのもと、1週間以上休みがあれば海外に行くことを心がけています。

そんな訳で、年数回飛行機に乗っているのですが、そんな生活を何年も続けていると、過去にどんなフライトをしたのか整理したくなってきます。

それで現在使っているのが、my flightrader24（旧FlightDiary）です。

個人的に気に入っているのは、搭乗日と便名入力すると自動的に機体番号も表示してくれるところ。

あとは統計情報を出してくれるところ。
JAL便の利用が多いとか、B767の搭乗が多いとか、羽田⇒伊丹間の利用が多いとか、土曜日のフライトが多いとかが自分の傾向みたいです。

あと、統計を年毎にも表示することが可能なので、年末に今年のフライトを振り返るときなども使えます。

Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行期間

マイル活動で現在研究中のルートの一つがヒースローリワードにポイントをためてエーゲ航空のMiles+Bonusに移行するルート。

ヒースローリワードのポイントがある程度貯まったので、一度ポイントの移行検証をしてみることに。

ヒースローリワードのサイトにはポイント移行のスケジュール的な目安は無く、ネットで検索してみる感じだと2～3日で反映されるとの事。

とりあえず1,000マイル分を移行してみたのですが、数日どころか1週間たってもMiles+Bonusの口座に反映されない。。。

意を決してヒースローリワードにメールで問い合わせてみる。

その結果が↓

ーー
Dear Mr ****,

Thank you for contacting Heathrow Rewards.

I would like to confirm that it can take up to 30 days for points to appear in your account after you have requested the transfer.

I hope that this information helps.

Yours sincerely
ーー

ということで、Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行は30日ほど要しますので、計画的な移行を進めましょう。

ご利用は計画的に（サラ金じゃないけど・・・・）

7pay残念無念

2019年7月1日にリリースし、同年7月2日に不正利用が発覚した7payは2019年9月末をもってサービス終了となりました。

サービス開始して実質2日でサービス終了する決済サービスは史上最速ではなかろうか。

この7pay問題(通称7payガバガバ問題)、結局何が問題だったのだろう？

個人的には諸悪の根源はザルな認証基盤である7idにあると勝手に想像している。

しかし、それは結果論であって、個人的には7payと(ザル認証基盤の)7idを連携させることに誰も異議を唱えなかったのだろうか？ということ。

想像するに7pay側は「2段階認証おじさん」の異名をとった社長始め、ITスキル無しorベンダー丸投げ体質であったことは何となく想像がつく

緊急記者会見で「セキュリティ診断はしっかりやったが指摘は無かった」のにこのような事態が発生したのは、下記の事象によるものと想像する。

・7payそのもののセキュリティ対策はしっかりしており、診断の結果問題なかった

・7idは既に動いているシステムのため、診断しなかった

更に更に想像するに、7idの構築運用ベンダーと、7payの構築運用ベンダーは別で、ITスキルの無い7&i側の思い付きで7idと7payの連携が決まり、リスクを発見or発言できる人がいなかったのではないかという気がしてきている

とっても残念だなと思うのは7&iにはグループ内にネット銀行(セブン銀行)も電子マネー(nanaco)も扱う会社を抱えており、それらの会社は7payに出資もしているのだから、もうちょっと何とかならなかったのかなーというところ。

落ち着いたら「動かないコンピュータ」や「敗軍の将、兵を語る」とかでぜひ取り上げてほしい。また、どこかの講演でだれかネタにしてほしい。

個人的には真の教訓が何なのかを知りたい（ITを知らない経営がITに手を出すとこうなる。とか、セキュリティ対策をザルにするとこうなる。とか。。。）

歯医者もキャッシュレス

数日前から奥歯に違和感を感じ、鏡で見てみたところ、5年前くらいに詰めた自慢のハイブリッドセラミックインレーに亀裂が入っている模様。

早速歯医者に行って診てもらったところ、やはり亀裂が入っていて、インレーを付けなおしたほうが良いということになった。

もともと保険適用で可能な銀歯は歯肉が黒ずんだり、5年くらい経つと歯と詰め物の間に虫歯ができてまた削るとかの悪循環に陥るため、インレーを入れるときは金がかかってもよいものを入れると心に決めていた。

当時はゴールドかハイブリッドセラミックかで悩んだ結果、審美性の高いハイブリッドセラミックにした。

しかし、自分とハイブリッドセラミックは相性が悪かったらしく、2本の歯に装着したハイブリッドインレーは、1本目が装着後1ヶ月にして欠けるという惨事に見舞われ、結局ゴールドにした。

で、5年が経過し、こんどは2本目に亀裂が入るという事態に。。。

代替はゴールドかなと思っていたのだが、今行っている歯医者はメタルフリーを掲げており、ジルコニアインレーを勧められた。

ジルコニアインレーはキュービックジルコニアで知られている人工ダイヤモンドに使用される二酸化ジルコニウムのインレーとなり、多分インレーに亀裂が入ることは今後ないと思われる。

ネットで情報収集する限り、硬すぎて別の歯を傷つけるとか怖いこと書いてあったけど・・・。

5年前はジルコニアインレーは結構な金額がした気がしており、候補には入らなかった。今は1本4万円程度で入れることができるらしく、流れでそのままジルコニアインレーを入れることになった。

次回型取りし、その後1週間～2週間で装着可能とのこと。

当然保険適用外なので、クレカ決済が可能か確認したところ、可能との事。
そこまでは想定内だったのが、その後衝撃の一言が！

「保険治療の支払いも(クレジットカードで)大丈夫ですよ」

キャッシュレスに対応した歯科医はまだ少数派だと思うが、さすが都心の歯医者さんだ。

本日の治療費(保険適用分)をクレカ払いにしたのは言うまでもない。

『sv2112サーバー』本日PM6:03頃～PM6:22頃までのDDoS攻撃によるアクセス障害について

(2019年03月02日　掲載)

『sv2112.xserver.jpサーバー』において
PM6:03頃～PM6:22頃まで
DDoS攻撃によるアクセス障害が発生しておりました。

現在は復旧しておりますが
大変ご迷惑をおかけして申し訳ございませんでした。


　※DDoS攻撃 … 複数のネットワークから特定のサーバーに対して大量のデータを送りつけ、
　　　　　　　　ネットワークやサーバーの停止を狙う攻撃手法。

入塾

 

マネックス証券で移動平均線大循環分析のセミナーを受け、さっそく挑戦してみたものの、あっという間に損失が10万を超え、焦っていたところに、スクール募集の案内が・・・（現在は締め切っています。）

5日間限定で募集とのことで、5日間悩むことができたのだが、初日に早速応募して、塾生になりました。

ま、2時間程度のセミナーで株式投資ができるようになるという考えは甘いわな。

マネックス証券のセミナーに参加して、小次郎講師が信用できる
（=投資教育に力を入れているマネックス証券が選んでくる講師なので当然まともだろうという意味）ことが分かったので、こんどはその信頼できる小次郎講師に弟子入りしたわけで、ステップとしては正しいだろうと勝手に納得している。

株式投資は「安く売って高く売る」という根本的に間違った発想で(日本人に多いらしいが)、安いタイミングが分からず、これまで手が出せなかった。

2012年くらいだろうか。ロボットが株式売買タイミングのアドバイスをしてくれるサービスがあり、「これだ」と思って乗っかったところ、派手な損失を出し、撤退。
（その後、ロボット投資助言サービス自体が、利用者減少につきサービス廃止）

まーある意味三度目の正直だわな。

魚の釣り方をしっかりマスターしてきます！