ちはやふる下の句を見てきた(ネタバレあり)
ちはやふる下の句を見てきました。
上の句がかなり面白かったので、結構期待して下の句も鑑賞してきました。 ネタバレあります。
結構楽しかったです。
上の句でもそうでしたが、映画が始まって最初の方はなんとなくあまり乗れず、楽しめないかなーと思っていたのですが、物語が進むにつれて引き込まれていきました。松岡茉優さんと上白石萌歌さんが良かったです。
下の句では特に、吹奏楽の演奏のくだりから先が良かったと思います。 お礼に応援しよう!と、きっと吹奏楽部の人たちは思ったんだろうなーと。 吹奏楽部の人たちにもきっとそんな感じの物語があるんだろうなと想像ができて良かったです。 また、威風堂々の使い方が感動させつつ笑わせつつで、とてもスマートだったと思います。
その直後の「階段の中央は神の通る道だから通っちゃダメだよ」の後に、そこを通ってしのぶが堂々と上がってくるところ、それを受けてのちはやのリアクションから、クイーンやべえ只者じゃない感が伝わってとても良かったです。
あとはやっぱり最後の「ちはやふる」のシーンも良かった。上の句でも歌とストーリーの絡め方が面白かったですが、下の句でも健在でした。 ちはやの背中のシーンからも、ちはやも同様に只者ではなくなったんだ感が出ていてとても良かったです。
ただ、わざわざ声に出して言わなくていいよなーとか、一番楽しかったのそこ?他のメンバー入ってないやん!とか若干きになるところはありました。 あと、最後の最後のシーンで札を読むのはかなちゃんにして欲しかったなーとか。
まあなんにせよかなり楽しめましたお気に入りです。 続編もあるみたいなんで楽しみにしてます!
あれ?もしかして下の句でちはやって一度も勝ってないんじゃね?
CloudWatchにおけるEC2のStatusCheckについて
EC2の一覧画面に行くと、StatusCheck 2/2 checks passedとか書かれているのですが、それってなんなの?ということで調べてみた。
クリックするとSystem Status ChecksとInstance Status Checksの二つがそれぞれ成功したというふうに書かれている。
ではそれらは何なのか?そしてそれらが失敗していたらどうしたらいいのか?をいかにまとめてみた。
System Status Checks
物理的なホストで問題が生じた場合、System Status Checkに失敗する。 EC2を提供する端末のハードウェアの問題とかソフトウェアの問題。 このエラーが出た場合は、EC2インスタンスを一度停止して起動し直すことで解決出来る。 インスタンスは停止して起動すると別の物理端末上でホストされることになるので、 問題が生じたホスト以外のホストで起動し直すことができるからだ。
Instance Status Checks
VM自体の問題が生じた場合、Instance Status Checksに失敗する。 要するにEC2インスタンス自体のこと。 インスタンス自体で問題が起きているので、この問題が起きた場合はアプリケーションの設定を見直したり、 インスタンスを再起動することで解決出来る。
なのでもしもこれらのStatusCheckに失敗していたら、まず落ち着いてどちらの原因で失敗しているかを確認し、 Systemの方なら停止=>起動で、Instanceの方なら再起動をするということをまずは試してみましょう。
情報セキュリティマネジメント試験を受けてきた(本番編〜その5)
RTO
RTOとは、Recovery Time Objectiveの略であり、復旧目標時間を指します。 インシデント発生後に復旧されるまでの時間のことです。
RPOはRecovery Point Objectiveの略であり、復旧目標地点です。 インシデント発生後に復旧する際に、復旧できる点を示します。 例えば毎日0時にバックアップを取得しているシステムの復旧可能な点はその日の0時時点になります。
見える化
種類別件数と総件数の推移を1つの図で表す際に最も適した図を選択する問題。 総数の推移を見える化するのには棒グラフが妥当だと思います。
レスポンスタイムとターンアラウンドタイム
例えばECサイトの注文システムにおいて、入力フォームに入力させ購入が完了しました画面が表示されるまでの時間、つまり画面を操作し、目的を達成するまでのトータルの時間をターンアラウンドタイムと言います。 一方で、購入ボタンを押してから次の画面が開くまでのシステムの動作を待っている時間のことをレスポンスタイムと言います。
データウェアハウスについて
大量のデータを整理して何かの判断に役立てたりする際に利用するものをデータウェアハウスと呼びます。
ルータについて
ルーターはネットワーク層でLAN同士やLANとWANを繋ぐ機器。 物理層で増幅するのはリピーターで、データリンク層を繋ぐものはブリッジです。
プロキシサーバー
ローカルネットワークからインターネットへのアクセスを中継し、コンテンツをキャッシュすることもできる仕組みは、プロキシサーバーと言います。 ファイアウォールはネットワークの前に設置された門みたいなもので、通信の取捨選択をします。DMZとは非武装地帯を示し、外部に公開するWebサーバーなどを置く場所です。
SaaSの説明
アプリケーションの機能をインターネット越しに必要な時に必要なだけ使用することができるサービス形態のことを指します。
情報システムの調達手順について
まず、ベンダーに情報システム化の目的などを説明し、ベンダーから情報をもらいます。これをRFI(Request for Information)と言います。 次に、調達したい情報システムの条件などを示し、ベンダーから提案をもらいます。これをRFP(Request for Proposal)と言います。 さらに、ベンダーからの提案を比較し、供給者の選定を行い、情報システムを調達するためのベンダーを決定します。 最後に、そのベンダーと契約を締結します。
リスクへの対応方針について
リスクへ対応する上では全てのリスクをゼロにすることは難しいので、優先順位をつけて対応をしていくことが大切です。 細かな内容やリスクを回避するために莫大なコストがかかる場合など様々な状況がある中で必要なものは対応してリスクを回避しますし、 ものによってはリスクを受容することも大切です。 リスクを受容する際にはリスク保有者の承認を得て、その後はリスクを監視し、レビューしていくことが必要です。
コーポレートガバナンスについて
企業経営の透明性を確保するために、企業の経営方針や経営の実態などを監視・監督する必要があります。
情報セキュリティマネジメント試験を受けてきた(本番編〜その4)
OECDプライバシーガイドラインについて
下記のガイドラインについての内容。 課外授業 プライバシー保護のあれこれ|プライバシーマーク制度 講座|よくわかる プライバシーマーク制度
原則名と説明が正しく対応しているものを選ぶ問題。
個人情報の定義について
個人を特定できる情報が個人情報であるという大原則を覚えておけばとける。 公表されていようがいまいが、個人情報になるので注意が必要。 営業機密とかあそこらへんと混同して覚えているとひっかかるかも。
電子計算機破壊等業務妨害について
「破壊等」なのでそれに合致しそうな内容が正解。 商標保護に違反したら商標違反で、不正な利益を得たら詐欺になると思われます。 Webサイトの複製は著作権法侵害になるんですかね??
スパムメールの定義について
送信することに承諾を得られていない状態で不特定多数の人にメールを送ったらそれはスパムメールになります。 あらかじめ承諾を取っていれば製品の広告メールだろうがなんだろうが送ることは可能です。 もちろん、承諾時に提示した目的に合致していることが必要。
不正競争防止法によって保護されるもの
営業秘密が保護されるので、営業秘密に当たるものを選ぶ。 自然法則を利用した云々は特許にあたる。 プログラム著作物は著作権で保護されます。
請負契約について
請負契約では契約先に指揮命令権などはありません。 雇用者が従業員を指揮命令して仕事をさせます。 雇用者は成果を契約先企業にコミットします。
監査について
コントロールの監査という点がポイントになると思われる。 というかそもそもこの中で指摘になりそうなものは1つしかないので、それが正解ですね。
守秘義務についての監査
雇用終了に伴って守秘義務が解消されるとした場合、雇用終了したとたんに秘密が漏れることになるのでこれは監査での指摘事項になるでしょう。
情報セキュリティ監査基準に基づく監査対象について
監査対象は情報システムではなく、情報資産そのものであり、情報資産とは単にコンピューター上のデータのみを示すわけではありません。 紙に書かれた情報も情報資産たりえるので、そちらも監査の対象に入ることから、コンピューターが無い部署であっても監査対象になります。
SLAについて
サービスレベルアグリーメントというもので、サービスやサービス目標を定義し、顧客と提供者側で合意がとれたもののことをSLAといいます。
情報セキュリティマネジメント試験を受けてきた(本番編〜その3)
クロスサイトスクリプティングについて
不正なスクリプトを実行させる攻撃のことを指す。
入力項目に入れる値を工夫して、DBに命令をうまいこと送る攻撃はSQLインジェクションだし、 大量のパケットを送り付けてネットワークトラフィックを高める攻撃はDos攻撃のコネクションフロッド攻撃。 メモリの上限を超えさせて不正なコードを実行させる攻撃はバッファオーバーフロー攻撃です。
クリックジャッキング攻撃について
とあるWebサイトAに薄皮Bを被せて、あたかもAを操作しているように思わせながらも実はBを走査させているという攻撃をクリックジャッキングという。
ディジタル署名で実現可能なことについて
文章ファイルとそのファイルのディジタル署名を同時におくることで、受け取った側は改ざんされていないことと、送信者が正しいことを確認できる。
受信者はディジタル署名を送信者の公開鍵で開けることで、元の文章ファイルのハッシュ値を手に入れることが出来ます。 それを、受信した文章ファイルをハッシュ化したものと比べます。
等しければ、送信者の公開鍵で正しくディジタル署名が開けたことになるので、このディジタル署名は送信者の秘密鍵で署名されたことが証明でき、 送信者が正しいことが確認できます。 また、ハッシュ値が正しいので途中でファイルが改ざんされていないことも確認できます。
CAの役割について
CAは認証局であり、ディジタル署名を発行する役割を持ちます。 署名の管理やパスワード管理を行う機関はありませんし、CAが秘密鍵を受け取ることもありません。
ドライブバイダウンロードについて
感染者の端末上で、勝手に変なファイルをダウンロードしてくるウイルスをドライブバイダウンロード型といいます。 勝手にPCを暗号化して、解凍のためにパスワードの購入を促してくるウイルスはランサムウェアと呼ばれ、最近流行っています。
パスワードリスト攻撃について
どっかのサイトで得られたパスワードとIDのリストをもとに、別のサイトでのログインを試みる攻撃のこと。 AサービスとBサービスでパスワードを使いまわしている際に、AサービスでIDパスワードが漏れ、それを使ってBサービスに侵入されてしまう攻撃です。 だから、パスワードは使いまわしてはいけないわけですね。
ちなみに、辞書に基づいた攻撃を辞書攻撃、総当たりをブルートフォース攻撃といいます。 パスワード側の総当たりをパスワードブルートフォースとも言ったりします。
バックドアについて
バックドアとは、一度侵入に成功した攻撃者が、再度侵入するために経路を確保しておくことです。
IPSecのアルゴリズム
IPSecは共通鍵を用いてIPパケット単位で秘匿したり改ざん防止したりする。
ポートスキャンの目的
攻撃できる脆弱性がないかを攻撃者が探す行為がポートスキャン。 攻撃のための下ごしらえみたいなこと。
公開鍵暗号化
公開鍵暗号化のアルゴリズムの理解は試験に合格するために必須だと思います。 簡単に言うと、公開鍵と秘密鍵という2つセットになった鍵を使い分けて暗号化する方式です。
公開鍵はその名の公開される鍵で全ての人が全ての人の公開鍵を見ることが出来ます。 対して秘密鍵は絶対に他人には見せない鍵で、自分しか知らない鍵です。
内緒にしたい事柄を、受信者が公開している公開鍵で暗号化して、暗号化した内容を誰でも見ることができる場所に置いておきます。 だれでも暗号化された内容を見ることはできますが、そこから暗号を解除するためには、暗号化する公開鍵と対になる秘密鍵を使って解除する必要があります。 受信者の公開鍵で暗号化したので、受信者の秘密鍵でのみ解除することが出来るわけです。
そのため、暗号化したデータをみんなが見れる場所に置いてあっても、解除できる人は受信者のみなので、セキュアな通信が出来るわけです。
情報セキュリティマネジメント試験を受けてきた(本番編〜その2)
BYODセキュリティリスクについて
BYODは従業員が私的に保有する端末を持ち込んで業務に利用することを指す。 これはセキュリティ設定などが所有者個人に任された場合にセキュリティリスクになる
IDSの説明
IDSとはサーバやネットワークへの侵入を検知するシステムのこと。
WAFの説明
SQLインジェクションなどの悪意のある通信を遮断するためのアプリケーションに設定できるファイアウォールをWAFという
マルウェア対策
PCの修正パッチは常に最新にしておく必要がある。 ウイルス手動検索では、前回実行より後に出来たファイルだけではなく、常に全てのファイルを検索する必要がある。 ウイルス定義ファイルが更新されたことにより、前回実行時には検知できなかったウイルスを新たに検出できるようになっている可能性があるから。 また、TCPポートはメールの添付ファイルのダウンロードには使用されないので、これを塞いでもメールに添付されるマルウェアを防ぐことはできない。
システム管理者の不正を防ぐための施策
システム管理者はその職務から一般的な利用者に比べてシステムへの権限が広いため不正を行うことが容易になるし、管理者の不正は気が付かれにくい。 この管理者の不正を防ぐためには本人以外の監視者を設ける必要がある。
デジタルフォレンジックにおけるハッシュ値の目的
ハッシュ値は文字列から導出される値であり、文字列が異なればハッシュ値も全く別の値になる。 逆に言えば、ある2つの文字列から導出されるハッシュ値が等しければ、その文字列は等しいと言える。
証拠となりうる原本のハッシュ値をあらかじめ取得しておき、複製のハッシュ値を計算して比較するとその同一性が検証できる。 もしもハッシュ値が異なっている場合は原本からのコピー後に複製が改ざんされていることを示唆する。
PCの磁気ディスク廃棄方法について
PC上でデータを削除しても復旧することが可能である。 廃棄する際には第三者に拾われて復旧されることを防ぐためにランダムなビット列でディスク上のデータをすべて上書きする必要がある。
2要素認証について
全くべつのもので認証を行う必要がある。 虹彩と指紋は一人の人間が同一に持っているものなので2つの要素にはならない。
APTの説明
APTは高度で執拗な攻撃のことを指す。 プロ仕様な感じ。
HDDのセキュリティ
HDDの起動自体にパスワードを設定することができる。 これを行っておけば第三者がHDDを取得できたところで、パスワードの認証が通らずにアクセスできない。
全部解説しようとすると長いなこれ。。。
情報セキュリティマネジメント試験を受けてきた(本番編〜その1)
情報セキュリティマネジメント試験を受けてきました。 手元に実際の問題もあることですし、復習も兼ねて解説でも地味にしていこうかと思います。
午前問題は全部で50問で、すべて4択です。 午後問題は大問が3問で、選択式です。
午後問題は長いので思い出したくないので、スルーしようと思う。 あっている保証はないです。
CSIRTとは何か?
事前準備で見たことのある問題でした。 4つの説明の中からCSIRTを示しているものを選択する問題。
情報セキュリティインシデントへの調査対応を行う、組織内に設置された機関で、他組織のCSIRTと連携する。 的なのが答え。
情報セキュリティ対策のクリアデスクとは何か?
席を離れる際には情報を机の上や周りから片付けて他の人に見られないようにしましょうねって内容。 ロックスクリーンとはまた別の対策。
情報セキュリティ監査についての問題
問題文に説明が書かれており、その説明が何を示すかを選択する問題。 選択肢は他には
がある。 それぞれを理解しておけば消去法で導くこともできる。
モバイル機器の紛失を想定した情報漏洩対策について
モバイル機器を「紛失」した際に有効なセキュリティ対策を回答する問題。 紛失した機器が他人の手に渡った場合にどんな対策をすればいいかを考えれば良い。 選択肢1つ1つはセキュリティ的に妥当性のある内容であるが、紛失時に有効なものは?を問う問題。 リモートワイプが正解であろう。
リスク受容プロセスにおいて求められること
リスク受容については、リスク所有者が承認することが必要になる。 他の選択肢は誤り。 受容したリスクもモニタリングやレビューの対象に、もちろんなる。リスクの大きさや状況が変わる可能性があるので。 また、リスク分析の前にリスク対応の一種であるリスク受容は行えない。
情報セキュリティ方針の取り扱いについて
情報セキュリティ方針は社内の関係者並びに外部関係者にも通知する必要がある。 機密情報として管理しないといけないようなものではなく広く知ってもらうべきものである。
組織における内部不正防止ガイドラインに記載されたセキュリティ対策について
コンテンツフィルタはセキュリティを向上させるために有効である。 メールの私用アドレスの転送やウイルス対策ソフトの無効化、従業員判断のソフトウェアインストールは行うべきではない。
特権的アクセス権とは?
通常与えられる権限ではなく、管理者に与えられる権限のこと。
不正のトライアングル理論について
不正のトライアングル理論における3要素とは何かを問う問題。 機会・動機・正当化
組織における内部不正防止ガイドラインに記載された内部不正早期発見のための適切な行動について
内部不正発生を知るためにはアクセスログを単に取得するだけではなく、不正なアクセスがないかを定期的に確認する必要がある。
