男性ビジネスマンでも持てるエコバッグが欲しい！ その３

男性ビジネスマンでも持てるエコバッグが欲しい！　その１

男性ビジネスマンでも持てるエコバッグが欲しい！　その２

とある店で見かけたのですが、UNITED BEES の はんぷトートバッグとか、なかなか良いかも。

男性ビジネスマンでも持てるエコバッグが欲しい！ その２

男性ビジネスマンでも持てるエコバッグが欲しい！　その１

男性ビジネスマンでも持てるエコバッグが欲しい！　その３

当ブログも地味ながら5000アクセスを超えまして感謝しております。
数あるITネタよりもアクセスを稼がせてもらってます、男性向けエコバッグは若干の需要があるってことですかね。

Marc Jacobs のキャンバストートバッグとかかっこいいですね！かっこよすぎ？既に売り切れたようですが。

無地とか簡素なものでいいから、と探してみて、これはっ、と思ったら、業者さんなので注文が100枚単位だったり。

無印良品のサイトを見てみると・・・「布製マイバッグ」「ナイロン買物ポケッタブル」「ナイロンアウトポケット買物トート」あたりが無難かも。

しかし、使うたびに洗うとしたら、本当にエコかどうか微妙な気がしないでもない・・・

もし、海外のSaaSやクラウドから個人情報が漏洩したら？（愚問）

2002年発行の「IT法大全」という本の中に、米国企業であるYahooがフランスで訴訟を起こされたことが詳述されています。

フランス国内の法律ではナチスドイツ関連の物品を販売することなどが禁じられていますが、2001年当時Yahooからは購入可能となっていたため、法律に違反するとしてフランスから閲覧・販売をできなくすることを求めて、フランスの裁判所はそれを認めました。
困り果てた（※IT法大全の本の記述による）Yahooは、最終的にはナチスドイツ関連の物品をサイトから削除しましたが、それと並行してアメリカの裁判所に提訴。その結果、アメリカの裁判所は、フランス裁判所の判決内容がアメリカ国内においては効力が無いとの判決を言い渡しました。

このように国境を越える問題は非常に難しい側面がいくつか有るわけですが、そこで以下の疑問を考えてみましょう：

もし、海外にサーバがあるSaaS・クラウド、SalesforceしかりMicrosoftしかり、から個人情報の漏洩事件が発生した場合、刑事責任や賠償を問えるか？

ニュース番組にイライラ

じつは１年くらい前から感じていたのですが、TVのニュース番組を見てるとイライラしてくることが多いんですよね。

それとこれとは関係無いだろう、とか。一時期はなんでもかんでもヘッジファンドと温暖化と霞ヶ関に結び付けていたし。
批判することが半分仕事とはいえ、なんでもかんでも批判して、その結果話が矛盾してたりするだろう。とか。
なんでもかんでも政治（家）に解決策を求めるというのもどうなのか、万能スーパーマンではないだろう（年金や介護保険の問題は政治自身で作った制度なので除く）。とか。
もっとも、実際は完全にずれているのに自分の方策が正しいと思い込んでる人もいるようなのでそれはそれで困った話なのだが。

・・・などともやもやしていたが、自分自身も解決策がぱっと思いつくわけでもなく。それで更にイライラしてたりする。

以上、供託金も出せない貧乏人の遠吠えでした。orz

「マネー資本主義」：懲りない人間

昨日を含めて何回かNHKで特集した番組について。名付け親はNHKなのかどうか知らないが、「マネー」と「資本」の言葉の意味がかぶるので何となく違和感を感じるが、それは措いておくとして・・・

金融工学、そもそもの前提に問題があるのではないか？

一企業や個人がローンを返せない確率を一律にたとえば５％と考えているが、実際には揺れがある。サイコロの目が同じものがたくさん出る確率は、母数が増えるとゼロに近づくが、揺れがある場合はそんなに一気にゼロに近づかないのではないか？

「すべての企業が破綻する可能性」はゼロだといっていたが、本当にそうか？　今の経済状況から考えれば、そうとは言い切れないのではないか？

これらの前提からリスクの確率を計算したときに、ある程度以上は限りなくゼロに近づくという図になるとのことであるが、これらの前提が違えば、そこまでクリアに、ゼロに近づく点が有ると言えない可能性がないか？

また、サイコロに例えるのは、それぞれの事象の間に関連性が無いことが前提であるが、現実には複雑にからみあっている。それがあまりに複雑すぎるからこそ、逆に関連性が無いと仮定しても計算上は近い結果になるのだが、事象の発生確率（ローンを返せない確率）が大きくなってくると、関連性を無視できなくなる。（たとえば、連鎖倒産など）

そんなことを言っていたら確率を計算できない、のかもしれないが、そもそもその数学モデルが現実に合わないのであれば意味が無い。

CDSなどの金融商品が利益を生む源泉は、所詮は他人の借金返済時の利息である。
そもそも、ひとが借金を問題なく返済できる額は有限であるから、際限なく利息が支払われる＝利益を生むということは有り得ない。すべての企業が破綻する以上に有り得ない！
過去の金融工学の計算には、その限界についての考慮が無いように思えるがどうだろう？。

サブプライムローンに関しては住宅価格が過去３０年くらい上がり続けていたから、それが見えにくくなっていたということもあるかもしれない。しかし、寿命・買い替えサイクルが長い住宅という商品特性から考えると、３０年というのはさほど長い期間ではなかったと言えるかもしれない。

唐突に、資本主義か社会主義か？なんていう二者択一論が出たりするが、今回の金融工学の失敗がそこまでイデオロギー的に白黒を付けるほど大きかったとも思わない。
社会主義では人間の欲望の存在自体を無視したがために、人々の生活が困窮するくらいまで経済が落ち込んでしまうことは歴史が証明している。
サブプライムショックは、人間の欲望に対して制限をかけなかったらコケたというだけの話である。

また、リスク分散することによって、その発生確率は低くなるのかもしれないが、リスク＝自分が損をすることがある、元本がすべて無くなることもある、ということを真に理解していなかったのではないか。その点においては文句の言える筋合いではない。

ちなみにFXでちょっと利益が出たと思っていたら、すぐに保証金がなくなるくらい損をしたという話もあるが、それこそ自己責任の話である。FX自体は、他人の金を借りて為替取引しているようなもの。
会社自身がFX取引に手を出して潰れて被害が及んだとかいうのは更に別次元の話である。
一方、格付け会社の人間が、格付けはあくまで過去の実績に基づくものであり未来を予測するものではないと言う。
事実として間違いではない。が、同時に強弁でもある。
格付けはこれから買う商品に対して参考にされるからである。
格付け会社や金融工学を開発した人たちは、果たして本当にリスクに気づかなかったのだろうか。あるいは意図的に分散隠蔽したのか。実際どうか分からないし、個々の企業や個人がどうだったかいちいち問い詰めたいとも思わないが、どちらにしろ、あなた方、自分たちは真のプロと言えるのか？とだけは問うておきたい。

サブプライムショックは実物経済にも影響を与えてしまったわけだが、裏を返せば、それまでのアメリカの好調な消費は、住宅ローンや住宅担保などの借金に依存していた。要するに消費バブルだった。

だからアメリカの消費水準が、１年とか数年とかでサブプライムショック前の水準にまで戻るといったことは期待しないほうがよい。現状ベースで立ち直ることを考えなければならない。景気回復を政治に求める声もあるが、少なくとも、無い需要を無理やり喚起するようなことは期待すべきでないと思う。

公共への貢献と称して、大地震など自然災害に対するファンドに注力しようとしている人もいるようだが、結局は同じ穴のムジナのような気がする。利益の源泉は、誰か他人が払うお金（保険など）である。災害をヘッジしたいと思う企業やら裕福？な人がいたとしても、その資産の何％もかけて保険金を払い続けるか？おのずと限界があると思う。また、災害の発生確率の特性も、経済活動のそれとはまた違うものがあるかもしれない。

「健康食品」と薬との飲み合わせ - セルフメディケーションは難しい

6月9日朝のNHKニュースでやっていた、「健康食品」と薬との飲み合わせに関する情報のURL。

独立行政法人　国立健康・栄養研究所
http://www.nih.go.jp/eiken/

ここから、『「健康食品」の安全性・有効性情報』をクリック。
※「***　薬と「健康食品」の飲み合わせのページはこちらをクリック　***」というリンクも追加されてます。

薬との飲み合わせの情報にたどり着く手順を補足しておくと、
（１）このサイト右上で検索をかける
（２）ヒットした情報の中から見たいものを選択する
（３）正しく理解して頂くためにの画面をよ～く読んで、「同意する」をクリック
（４）概要の中にも記載があるが、より詳しくは、「すべての情報を表示」をクリックして、「安全性」の項を読む。（とくに、危険情報・禁忌対象者・医薬品等との相互作用の辺り）

そもそも「健康食品」とわざわざ括弧をつけて書いているのは理由があって、このサイトの『基礎知識』の『このデータベースで意味する「健康食品」について』を参照してください。

・・・簡単にいうと、効果が確認されていないものもある、ということです。

例えば、ヒアルロン酸とかコラーゲンとかローヤルゼリーとか検索してみると、思っていたような効果が確認されていなかったり、禁忌があったりします。

うろ覚えですが、テレビの中で飲み合わせについて分からなかったら薬剤師に相談した方がよい、と言っていたように思いますが、本当に自信が持てないならちゃんとお医者さんに薬を処方してもらったほうが良いと思う。

つまりセルフメディケーションなんていうのは、そこそこ知識を持たないとうまくできないということだ。

HibernateはSQLインジェクション攻撃に対応していますか？（愚問）

「Hibernate（などのO/Rマッピングツール）はSQLインジェクション攻撃に対応していますか？」

これ自体かなり愚問ではあるのだが・・・

一般にJDBCからアクセスする場合、SQL文の文字列を自前で組み立てるよりも、RDBMSのバインド変数等（RDBMSの種類によって異なる）の機能を使用するようにコーディングすることによって、かなりのSQLインジェクション対策になる（但し１００％ではなかったような・・・）。

Hibernateについては、Hibernateクエリ言語(HQL)の文字列中に、パラメータのバインドを記述することができる。
http://www.redhat.com/docs/manuals/jboss/jboss-eap-4.2/ja_JP/html/Hibernate_Reference_Guide/Executing_queries-Bind_parameters.html

（※この記述を行えば必ずRDBMSのバインドが使われるか実際に自分は確認してませんが、一応信用するとして）

逆にいえば、Hibernateにおいては明示的にパラメータのバインドをコードに記述する必要がある、ということだ。この点ではJDBC経由で直接使う場合と手間は変わらないことになる。

Hibernateを直接使う場合はまだいいが、「Hibernateを使う」アプリケーションやライブラリ等がある。
これらがSQLインジェクションにどれくらいの耐性があるかは、「Hibernateのバインド機能」をそのアプリケーションの中で使用しているか、または使用可能かを個々のアプリケーション毎に調査しなければ分からない。

「めんどくせ～」という声が聞こえてきそうだが、めんどくさいこと自体は問題ではない。そのアプリケーションにSQLインジェクション対策を組み込むのにかかる手間がどれだけの量なのか見積もれなかったり、あるいは対策を組み込むことそれ自体が可能かどうか分からないとか、対策できているかどうかチェックする方法が分からないのだとすればそれがリスクなのだ。

同窓会支援サイト「ゆびとま」がサービス停止 - 情報をクラウドやSaaSに持つリスク

同窓会支援サイト「ゆびとま」が５月２日に突然サービスを停止して、個人情報流出の懸念が出ているというニュースが、今日新聞各紙から配信された。現時点では、あくまで懸念の段階ではあるが、毎日新聞社側の問い合わせには返答が無いという。

基本サービスが無料であるという呼び水はあったものの、サービスの価格が無料か有料かは本質的には関係ない。あるいは、WebサイトをASPとかクラウドやSaaSとか言い換えても同じである。要するに外部の組織に情報を渡すということは、情報流出のリスクが有るということだ。

仮に現時点で安全にサービスを提供しているとしても、未知の方法で攻撃を受けるとか、あるいは会社が潰れるとか、敵対的買収されるとか、サービスが停止したり情報流出したりするリスクはゼロではない。

その発生する確率は低いかもしれないが、発生したときのダメージが大きいわけだ。例えていえば、不謹慎な例だが車と飛行機での事故のリスクの比較と似ている。

クラウドやSaaSとか利用を考えているなら、もう一度リスクについて考えてみてもよいのではないだろうか。

儲かるIT、儲からないIT

とある飲み会（合コンともいう？）での迷言。

「IT業界には、儲かるITと儲からないITの２種類があるんだよ。例えば楽天とかiPodとかっていうのが儲かるIT。じゃあ、おれ（たち）は？。・・・儲からない方。システムを作る仕事は儲からないんだよ」

個人情報流出対策 ピンからキリまで

もう１ヶ月も前の話になってしまったが、三菱UFJ証券の顧客情報流出事件で、顧客に各種勧誘の電話がかかるなどかなりの被害が出たとのことであるが、成立前後では本屋の店頭でよく見かけた個人情報保護法対応に関する書籍が最近はあまり見かけない。こういうノウハウは一過性のものではないはずなのだか。

さて実際に流出を防止するためには、情報の流出ルートを最小化するとともに、流出抑止と流出時の早期発見・対処のためにアクセス履歴を収集する必要がある。と簡単に書いたが、どこまでやるか？　収集するレベル、RDBMSやアプリケーションの種類やバージョンによって実現可否・コストが大きく変わってくる。

アクセス履歴の収集において、いつ、どこで、誰が、何を（どれだけの数、どんな項目・・・）どのようにして（アクセス方法）アクセスしたか記録することになるが・・・

●当該のRDBMSやアプリケーションなどが記録する機能を持ち合わせているか？
一般的なWebシステムでは、データベースへのアクセスには高速化のためにコネクションプールを使用することが一般的である。したがって、そのままでは「誰がアクセスしたか」が記録できない。つまりアプリケーション側で実装する必要がある場合がある。
また、RDBMSやアプリケーションのバージョンによって、取得可能な情報が異なるので、ある製品のあるバージョンでは簡単に実装できるが、異なる製品では思わぬ苦労を強いられるといった可能性がある。

●システム管理者権限を持っている人に対する対処をどうするか？
種々のアクセス記録機能を実装したとしても、システム管理者権限を持っている人のアクセスは対象外になっていたり、あるいはアクセス記録の改ざんが可能であることはままある。RDBMSやOSのレベルでアクセス記録の改ざんまで踏まえた対策をとろうとすれば、当該システムとは別に、監査システムを導入する必要がある。そのシステムの製品だけで安くても数百万円かかるし、おそらくは対応できるRDBMSやアプリケーションの種類やバージョンには一定の制限があるはずだ。

日本製品でも同じだが、外国製品とかSaasとかクラウドといったものでは特に、必要なレベルの対処を組み込むのが技術的に可能なのかどうかは慎重に調査する必要がある。たとえば日本郵政がsalesforceを採用したときにどこまで調査したのか、個人的には興味のあるところだ。

ただしベンダーに聞くとき「この製品は個人情報保護法に対応していますか？」という聞き方では愚問で堂々巡りになりやすい。せめて「個人情報保護法に対応するために、・・・のアクセス履歴を取りたいが実装する方法が有るか？」など具体的な質問にしたい。購入前に満足いく答えが得られるかどうかは別だが。