細々とITﾄﾞｶﾀ的なことをやらせて頂いてます

　遅い、遅い夏休みの一日を割いて、掲題のセミナーを受講してきました。
　UMTP L2試験対策セミナー 〜ＵＭＬモデリング技能認定試験　Ｌ2認定技術者を目指す方へ〜(2008/09/30）　開催のお知らせ

　というわけで、レポートします。

開始までのできごと、とか

• 今日は、上にも書いたように雨模様。会場最寄り駅のJR田町周辺もぱらぱらと降る雨にしっとりと(?)濡れていました。
• 開場は14時ちょうど、入場開始時刻は13時半ということで、早めに現地入り。それというのも、入場時に名刺と受講証代わりのメールのプリントアウトを持参しなければならなかったわけですが、そのプリントアウトを持っていなかったから。
• 駅の西口から出たのは12時過ぎ。ここは慶応大学やらNECやらのお膝元ということもあり、雨だというのに人だかり。ランチタイムみたい。っつーか、ほとんどサラリーマンなおじさま方で時々若いおねいさんがちらほらといったところ。
• JR田町周辺に、プリントアウトできそうな場所はというと、ありました、Fedex Kinko's田町店。しかも、会場であるベルサール三田までの丁度通り道にあるというご都合展開。さっそく、フラッシュメモリに書き込み済みのメールデータをプリントアウトし、会場へ。
• と、言いたいところですが、なにしろKinko'sと会場のベルサール三田は同一方向。どうしても1時間近く余ってしまう。
• 仕方がないので、駅付近のヴェローチェで一服して待つことにしました。しかしそれにしても混んでいるな。

入場から開会まで

• さて、会場時刻の13時半になったので、ヴェローチェを出て会場のベルサール三田に向かいます。
• ホントに参加したんだよ、という証拠のために、写真も撮ってきました。
• [写真1] / [写真2] / [写真3]
  ※微妙にタイムリーっぽいところはご愛敬。
• 何というか、つわものどものゆめのあと。
• 会場は、ビル1階のRoom1というところ。入り口で封筒を一つ、本を一冊、おーいお茶の350mlPETを受け取る。
• どうもありがとう、デネブです。
• 中にはいると、今月16日に発売したばかりにL2対策本が定価の10%引きで販売中。今回参加した目的の大半は、じつはこれだったりする。
• 封筒の中身は、
  1. 式次第
  2. アンケート用紙
  3. セミナー資料2部
  4. UMTP試験のチラシ
  チラシに関してだけ一言言わせてもらうと、こんなセミナーに参加している時点で、ほぼ9割受験予定だと思います。
  従って、ここにいる人たちに向かって宣伝してもあまり効果はないのでは?

セミナー(1)『試験問題解説/テクニック』

• 最初に開会の辞があって、その後、UMTP試験の受験者数とかの状況について報告あり。
  実はPrometricでUMTPが受けられるとは知らなかったのですが、試験センターの親切さではPearsonVUEの方がいいと思っていますので、どっちでも受験できるなら私は迷わずPearsonVUEに行くのであまり関係ありませんでした。
• セミナーの前半戦を担当するのは、オージス総研の名前を冠したUML本では軒並み名前を揃えている竹政氏。本を沢山書いている人がしゃべくりをするわけです。(申し訳ないですが、私はこの方の関わっている本を読んだことはありませんが。)
• 何でも、明日からL2試験の出題形式が変わるとか。ドラッグアンドドロップ方式に対応したそうです。でも、問題そのものは大して変わっていないようですが。
• 以下、竹政氏による試験の傾向を抜粋します。
  1. コンポジット構造図、タイミング図、相互作用概要図、コンポーネント図、配置図あたりは出題されないと考えておk
  2. ビジネスモデリングも出題されるが、今のところ正答率が低め。
  3. L1-T2と比較して、出題方法が変わるのが最大の変更点(L1-T2では択一式問題のみだが、L2では複数選択になる)
     ※問われる図そのものの複雑性は大差なし
  4. <<include>>,<<extend>>の違いについて理解しておくこと
  5. デザインパターンについて最低限の知識が必要
  6. 開発プロセス(特にUP)について最低限の知識が必要

セミナー(2)『試験対策セミナー』

• 講師は、オージス総研でコンサルとかセミナー講師を担当しているという林田氏。
• セミナー後半戦は、分単位でタイムボックスを区切って問題演習&解答解説をするスタイル。本番より若干ボリュームがあるとのことですが、会場の各設問の正解率はざっくりと半分を切っている感じです。
• 出題傾向や比率についても説明があり、基本的な用語問題、要求定義(ユースケース)、複合問題あたりを確実に得点し、ステートマシン図やアクティビティ図の問題で合格点に満たない分を補ってはどうか、とのことでした。
• ビジネスモデリングの問題は、回答に時間がかかるので、後回しにしたほうがいいかも知れない、とのこと。読めばなんとか理解できる難易度ではあるものの、試験の前半に出題されること、それとなにより回答するのに時間がかかることが重なって、後半テンパってしまうかもしれない、ということです。

　というわけで、UMTP事務局の皆さん、そして講師のお二方、どうもありがとうございました。

　過去に書いたメモ書きをage。オリジナルは2007/05/10作成。

　DoxyFiles(Doxygen設定ファイル)のMAX_INITIALIZER_LINESに0を指定すると、defineの実体がドキュメント化されなくなる。
　マクロで別名定義した関数を見せたくないときに使える。

(以上,2007/05/10)

　たとえば、doxygenドキュメントにデバッグ用APIを反映させたくないとか。ヘッダファイル内でデバッグ用の関数をマクロ定義して、当のデバッグ関数の実体は別ファイルに定義。そっちをドキュメンテーション対象から除外する、なんてやりかた。(以上、C言語での開発を想定)

　過去記事ageです。more...の部分に記述を追加しています。(2008/09/12)

(2008/095/22,22:00,start)

　ブログパーツに、okyuu.comを追加した。
　たまたまニュースで見かけたので見に行ったら、OpenIDに対応しているという。

　というわけで、Yahoo!JapanのOpenIDを試しに取得してみるか、と考えてみたところ、

http://openid.yahoo.co.jp/

既存のYahoo!Japan IDにOpenIDの設定を追加できると言う。

　さて、ここで気づいたのは、OpenIDでログインするということは、同時に二つのドメインにログオンしているということである。
　私の例で言えば、Yahoo!Japanとokyuu.comの両方にログインしていることになる。

　こういう状態で想定される代表的なセキュリティインシデントといえば、CSRF(クロスサイトリクエストフォージェリ)ではないだろうか。
　つまり、okyuu.comにアクセスしている間、yahoo!Japanにも知らず知らずの間にログインしているわけであるから、たとえばokyuu.comに脆弱性があった場合、

(1)okyuu.comのドメインからクライアントPCに対して不正なスクリプトが送信される
(2)クライアントにダウンロードされた不正なスクリプトがYahoo!Japanのサーバに攻撃を仕掛ける
(3)このとき、攻撃リクエストは、ログインしたユーザーの権限で実行される

　すると、スパムメールの送信、スパムコメントの投稿、改ざんといった被害が発生する、というのが、基本的な流れ。

　ところで、国内の大手独立系ポータルがOpenIDベンダー(Yahoo!JapannとかLivedoor、将来的にはmixiも)へと進化するとはいえ、完全にOpenIDの恩恵を受けられるわけではない。
　これら国内大手独立系ポータルは、それぞれ、OpenIDの発行は行うが、外部OpenIDでのログインは認めない方針らしい。
　mixiについては、SNSというサービスの性質上、「複数アカウントの取得」という、規約に明記された不正を防止することが困難であることが想像に容易い。

　しかし、Yahoo!JapanやLivedoorについては、個人で複数のアカウントを取得することを認めているため、そうしたmixi特有の事情は当たらないはずだ。
　まあ、Yahoo!JapanとLivedoorでは、サービス内容がかなり重複しているので、顧客の取り合いという問題があるからかもしれない。
　国内では、サービス内容をとくにシェーピングしていないgooなども、今後OpenIDについては同じような方針をとることも想像される。

　一方、Niftyなどの通信系ポータルはOpenIDについてはどう考えているのか?
　対応するとしても、回線契約とは別のコンテンツ契約（有料情報サイトの提供、通販など）の部分に限定せざるを得ないのではないか。回線契約はコンテンツ以上にセンシティブな内容であるからだ。

　しかし、もし回線契約とコンテンツ契約を分離するとしたら、有料コンテンツ販売のメリットが消えてしまう。一括請求ができなくなってしまうからである。
　そうすると、回線契約をせず、コンテンツ契約のみのユーザーだけがOpenIDに対応するのか。それはそれで、ユーザーの利便性に格差が生じて問題となるだろう。

　そういうわけで、日本国内ではOpenIDの普及は、ニッチなポータル（上のokyuu.com）の経営努力次第となるだろう。
　大手独立系ポータルはOpenIDの発行はするが、自社IDと外部OpenIDの紐付けに慎重な姿勢を崩すことは当面考えにくい。とすると、黙っていてもOpenIDのユーザーが大きく伸びるということは考えられないということになるだろう。

(2008/05/22,22:00,end)

　従来の加入者回線交換網におけるシグナリング(呼制御)プロトコル。
　VoIP関連の呼制御プロトコル(SIPとかH.323とか)とは互換性がないため、それらを仲介するのがVoIP-GWの役割となる。

• ＩＴ忘却録♪ 用語解説『ＳＳ７』
• もはや電話を超えた！IP-PBX-キーマンズネット
• IP電話の基礎（16）：ITpro
• SS7 - 通信サービス - IT用語 - ビジネスEX

　CompTIA Convergence+は早く受けたいなぁ。10月からまた受験料が値上がりするらしい。

フィッシング対策協議会、国内初の「対策ガイドライン」を公開：ITpro ニュース [okyuu.com]

はてなブックマーク - フィッシング対策協議会、国内初の「対策ガイドライン」を公開：ITpro

　対策ガイドラインを読んでいて気づいたことをメモ。

p.7,『図6 フィッシング詐欺被害の抑止ポイント』

図では、フィッシング詐欺の防止策を講じるポイントとして、

1. フィッシングメール送信
2. フィッシングサイト閲覧
3. データ入力
という、三つのポイントを挙げている。

フィッシングサイトを作成する際、フィッシャー(=悪意あるサイトの運営者)はサイト運営者のWebページをコピーし、よく似たサイトを作るという。

ということは、Webページをコピーして、よく似たサイトを作成する段階にも脆弱性はあると言えないだろうか。

技術的に、既存の方法では(Webページをコピーし、よく似たサイトを作成することを防止するような)対策は困難だと思う(何らかのソリューションが必要となる)。ガイドラインの作成には、当然エンジニアもかかわっているはずだから、対策の講じやすい場所と、講じにくい場所(コストがかかる場所)はどこか、というところも踏み込んで欲しい。

p.14,l.27,『【要件】　△認証画面には顧客個別のマーク等を表示できるようにする』

たぶんCAPTCHAのことを言っているのだろう。

• CAPTCHA - Wikipedia
• はてなのCAPTCHAは簡単に破れる
• らばQ「これはひどい」と言いたくなるCAPTCHAトップ10

p.15,l.31,『【要件】　○重要情報の表示については制限を行う』

ネット通販などで、特定商取引法に基づく確認画面にクレジット番号を表示する際は、番号の一部を隠しなさいよ、という話。

しかし、サイト運営者によって隠している場所と表示する場所がバラバラの上、クレジットカードの番号って、じつはカード会社がわかれば何桁かは推測可能だったりする。その意味では保護される桁数は実際のクレジットカード番号の桁数のうち何割かにすぎない。

p.18,l.31〜32,『例えば、フィッシング対策協議会のドメイン名は"antiphishing.jp"であるが"antiphising.jp"、"antifishing.jp"等は、顧客にとっては区別がつきにくいものと考えられる。』

これはひどい。

「クラウドコンピューティング」がくだらない理由 - japan.internet.com Webビジネス - [okyuu.com]

　今日のInformation technology社会において最も重要な一つの事実がある。それは、Crowdが完全なthe Internet的権力の座に登ったという事実である。Crowdというものは、その本質上、自分自身の存在を指導することもできなければ、また指導すべきでもなく、ましてやthe Internetを支配統治するなど及びもつかないことである

　ハードウェアRAIDは、一般にソフトウェアRAIDより高速とされているが、それ以外にも下記のような機能に対応している製品が多い。

ホットプラグ/ホットスワップ

...

ホットスペア

RAIDのクラスタに未使用のHDDドライブがあれば、クラスタ内のHDDに障害が発生した場合に未使用のHDDを含めてRAID構成を再ビルドできるようにする仕組み。

キャッシュ

数MB、あるいは128MB以上備えている製品も。ディスクキャッシュの他に、パリティ生成用のワークエリアとしても使用されていることがある。

OCE(Online Capacity Expansion

RAIDを停止させることなくHDDドライブを追加し、ストレージを拡張できるようにする機能。

ORLM(Online RAID Level Migration)

RAIDを停止することなく、RAIDレベルを変更する機能。

　Windows系OSでは、標準でハードウェアRAID用のデバイスドライバを備えていないため、システム/ブートパーティションにするにはベンダーのデバイスドライバを別途FDなどで用意し、セットアップ時にF6キーを押下してデバイスドライバをロードさせなければならない。

　また、W2K以降のソフトウェアRAIDはダイナミックディスクのみの対応なので、USBやFireWireのHDDをホットスワップ/ホットプラグしてRAIDストレージを拡張するような使い方はできない。

　サーバ用途向けなどでNICが二枚差してあるとき、通常はそれぞれを別のネットワークに接続し、機器はそのネットワーク間を接続するルータやファイヤーウォール、RAS/VPNの受け口やゲートウェイなどに使用する。

　Windowsのサーバの場合、[ネットワーク接続]を開き、たとえば既定では[ローカルエリア接続]という名前になっているNICのプロパティを右クリック、[ブリッジ接続]を選択してもう一枚のNICのプロパティと連携させることで、二つのネットワーク間を相互接続させることができる。

　しかしアダプタロードバランスにおいては、二枚のNICに同じIPアドレスを設定した上、チーミングといって二枚のNICを同一のグループ内に収容することで、トラフィックのロードバランスを実現したり、一方が故障した場合にフェールオーバーさせるようにする技術である。

　トラフィックの改善という意味では、MIMO(Multi Input Multi Output)や、リンクアグリゲーションといった概念と通底している。

　ところで、このアダプタロードバランスにも、一つの制約がある。

　それは、チーミングされたNICの中から一枚のNICをプライマリという指定にして、データの受信にかんしてはそのNICに集中させなければならない点である。