はてなキーワード: IPAとは
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
それらと違って門戸広いわりに本当に文字通り教科書読めば、究極的には1年くらいで誰でもできるような仕事がホワイトなわけないでしょ、適正な市場原理
はてなやSNSで意識高いこと言ってる胡散臭いエンジニアが十何年も喚き散らしてる「IPAの国家資格なんて役に立たない」っていうののあれ
コンピュータ科学は難しいとか高度っていったって、IPAスキル4まで計画的な勉強時間取れば、はてなの意識高い系の主要層っぽい高卒や専門のバカだって運の要素を抜きにしたとしても、最短1年でとれるからな(前期APで午前免除でPMとか)
FEとかやたらバカにされてるけど、じゃあアンタFE持ってんの?ないなら今年取れるよね?簡単ならっていうと発狂して取り巻きファンネルでセコい叩き始めるでしょ、業界通のブロガーエンジニアとかw
ぶっちゃけて言えば、金にならないクソみたいな学問分野でも教養2年、専攻2年で4年学んで、研究して卒論だして、ようやく入り口に立てるくらいというのに、CSとか全然そんなことないっしょ?象牙の塔でやってるCSに関しては、そりゃ凄いと思うけど、在野のカスがいくら喚いたって、IT後進国なんだから、OSSなんて誰でも見れるようなコアコンピタンスでさえない技術を極めて、金になると思ってんの?
こういう構造に気が付かないと本質が見えてこないし、聞こえない見えない主語がでかいって不安感抱えて喚き続けた結果が、今のIT業界なの、おわかり?
https://anond.hatelabo.jp/20181129233609
同じくSF在住。いいまとめサンキュ。他に俺が個人的によく使うのは:
ここ1〜2年で急激に伸びてきた電動自転車や電動スクーター(電動のスケボーにハンドルが付いたようなもの)のシェアリングサービス。Birdなど競合も。各スクーターはGPSでトラッキングされていてスマホアプリで近くにあるスクーターを検索できる。使い終わったら乗り捨て。割とそこらじゅうに乗り捨ててあったりする時もあるので街の景観がちょっと変わった感があるが、それを超えて便利。でも乗る場所によっては割と危ない。大きな事故が出てくると規制もありうるかも。(追記:chanmiaさんのブコメによるとすでに規制されて台数が減ってるそうです。指摘感謝です)
日本でも浸透してきてると聞くが、アメリカでも俺の周りだとみんな普通に加入してる感じ。昔のテレビのよう。最近Netflixで何を観た、あれ面白いよね、という会話がもはや日常。逆にAmazon PrimeとかHuluについて同じような会話は俺の周りでは聞かない。テラスハウスとかコンマリとかも周りの人は見てて、日本では本当に男女の恋愛はあんな感じなのかとかの質問を良くされる。俺はドキュメンタリーをよく見る。最近では「Abstract」「Rotten」「Salt Fat Acid Heat」とかが面白かった。「Roma」が良かったと複数の友人から勧められたので今度見る。
代行でレストランの食べ物を取りに行ってデリバリーしてくれるサービス。Seamlessなどの競合も多いしアメリカ国内でも場所によって人気度が違うみたい。東海岸に旅行した時に現地の友達とAirbnbの部屋で宅飲みしようとしてDoorDashで注文しようと言ったら何それ普通Seamlessだべと言われた。結構割高だし、飲み物やサイドオーダーを取ってくるのを忘れるといったちょっとしたミスは割と多いが、払い戻しなどは可。選べるレストランは多い。代行dasherが今どこにいるかの地図表示、予想到着時間、「もうすぐ着きます」メッセージアラートなどがあり、精度はやや甘いが便利。
レストランのリアルタイムオンライン予約サービス。アメリカではこの分野を開拓した存在で、店内の注文管理機能と一体になってるシステムをゴリゴリ営業で納入して加盟店を増やしたという話を昔聞いた。人気口コミサイトのYelpもオンライン予約をサポートするようになったので俺もOpenTableを使う機会はやや減ってきたが、ちょっといい感じのレストランとかの予約にはまだ使うかな。
食料品を代行でショッピングして即日配達してくれるサービス。俺は使ったことないがスーパーの店内ではInstacartのTシャツを着た代行ショッパーを良く見かける。
不動産検索サイト。グーグルマップ感覚で視覚的に使いやすい。住宅の販売物件、賃貸物件の情報が豊富で、間取りや金額そして学区のランクなどいろんな条件で検索できる。Redfinなど競合も多い。売りや貸しに出てない物件でも推定金額が表示される。ズームインしていくと表示中の全ての家という家に金額がマッピング表示されるのはなかなか圧巻。友達のあの人の家の資産価値も分かってしまう!物件の部屋の中などの写真が豊富で、しかも多くはいい感じの家具や内装でいい感じに盛られてる(ステージングといって、これをやる専門業者がいる)ので、見てるだけでも楽しい。ちょっとした脳内バケーションになる。
家具やインテリアのコーディネートのヒントになるプロ撮影写真がカテゴリ別に大量に見れる。ちょっと庶民には無理という写真も多いが、これも脳内バケーションで妄想が膨らんで楽しい。プライスタグのアイコンが付いてる家具は実際に買える。担当したインテリアコーディネーターに連絡することもできる。これでヒントだけ得てPinterestで似たようなIKEAハックを探すのが俺のパターン。
個人間の送金は少なくとも俺の周りだとまだPayPalが強い。数年前にCashとかの他のサービスが出てきて使う人もいたけど俺の周りはPayPalに戻ってる。何が特別便利ということもないが、通常の銀行口座だと個人間の支払は小切手なので(振込はお互いが同じ銀行でないと手数料が高い)、いくら小切手のスキャンと換金が今ではスマホカメラでできるようになったとはいえ、面倒なのはアメリカ人にとっても事実。オンラインショッピングでも支払はクレジットカードかPayPalというところが多い。送金手数料無料のPayPalはもはや第二の銀行口座として定着してる。(追記:vanillayetiさんとchanmiaさんのブコメによるとVenmoの方がイケてるとのこと。指摘感謝です)
手数料無料で株の売買が超簡単にできる。俺は株やったことなかったがちょうどいい入門になってる。Bitcoinに散々振り回されてからRobinhoodに出会い、これでいいじゃんという人が俺を含めて周囲にもチラホラ。
ビジネス向けSNSと良く紹介されるが、転職活動時の職務経歴書としての機能が強い。ハイテク系の会社ではLinkedInページへのリンクを送ればレジュメやCVを提出しなくてもいいというところもある。リクルーターからの連絡や昔の同僚からの誘いなども良く来るが、本気で転職先を探す時はHired.comなど他のサイトも同時に使う。
会社で自分が給料をいくらもらってるか、会社の雰囲気はどうかといった情報を匿名で共有するサービス。職種や役職によって横断的にも検索できる。面接でどんな質問をされたとかの情報も。求人情報も多く、職の大体の給与幅を予想してくれたりする。
ビデオ会議システム。個人ユーザ間だとまだSkypeだったりメッセンジャーの音声通話機能やFaceTimeを使ったりも多いが、会社や仕事だと今はZoomが強い印象。会議室の大型ディスプレイなどとも統合しやすく、支社間や取引先とのZoomビデオ会議に出張先や在宅で仕事してるメンバーも加わってパソコンの画面を共有しながら会議する、みたいな場面は日常的。
カスタマーサービスを問い合わせチケット管理プロセスやFAQ管理システムの統合により効率化した感じのサービスで、自社製品のカスタマーサポートページだけZendeskに飛ばすようにしてる会社も多い。
俺が使ってるというだけで、流行ってるかは全く知らない。ビールサーバを購入して(ただし紹介で加入すると無料)、月額料金を払うと生ビールの小型ケグ(約2リットル)を毎月4つ配達してくれる。地ビールが多く、バリエーションは豊富。軽め、苦め、重めの3つの風味から選ぶ(組み合わせも可)。月額会費分については特定の銘柄のビールを選ぶことはできず選んだ風味でランダムなのが送られてくるが、個別に追加購入する時は指定OK。アメリカは今インディアン・ペールエール(IPA)が大人気で、苦め風味を選ぶとほとんど重複なく次々と初めて見るIPAが送られてくる。どれも美味しい。ビールサーバから注いで飲む冷え冷えのIPA最高です。(追記:会費は毎月約$60です。俺は紹介で加入したのでビールサーバは無料だった)
追記1:
aoiro-cakeさんのブコメで指摘がありましたが確かにこれは外せません。毎年4月15日の夜に駆け込みでTurboTaxのサイトで確定申告する俺。毎回来年こそはもう少し早くやろうって思うんだけどね。
vanillayetiさんのブコメで指摘がありましたが確かに使ってます。支払も画面上のバーコードを会計でスキャンするだけ。ポイントを貯めて無料で飲むラテの美味いこと。アプリであらかじめ注文して並ばずにピックアップできるのも便利。長距離ドライブの休憩ポイントを決めるのにもアプリの店舗検索を良く使います。
追記2:
元増田にJIRAとかがあったのでZendeskとかZoomを入れてみたのだけど、他にもビジネスで使われるサービスは多数でこれが定番とか流行とかは良く知らない。俺の周りだと、会社で使う各種オンラインツールのシングルサインオンはOkta、経費精算はConcur、人事評価プロセスはWorkdayみたいな感じだが、会社によってこのへんは色々な気がするし、今挙げたツールもUIが微妙だったりしてまだ開拓の余地がある感じ。これらの多くのサービスの会社はIPOしていてRobinhoodで買えるので、自分が実際に日常的に使っているツールの使用感とか、今使ってる企業が他のサービスに乗り換えるコストはどうか、将来どう進化しそうかとかを考えて株を買うか決めたりしてる。
ビール自作を5年ぐらい行っている。その結果俺は最強にうまいビールを自宅で錬成し、かつそれをシステムとして円滑に回すことができるようになった。
ここでのシステムとしての錬成というのは、以下のことを指す。すなわち①あまり労力をかけずに②大した製造設備を持たず③狭い部屋でもスペースを犠牲にせずに作れるようになった、ということだ。
そのため結構なノウハウが溜まったのだが、これはあまりおおっぴらに公表するものでもない。ただ、類似の問題を抱えている人もいるかと思うので、ここで公表する。
なお、統合的なビールの造りかたについては、良いサイトがいっぱいあるのでそっちを見てください。ここで留意してるのは、それを踏まえた上での作り方のコツや、書いてないことを網羅することです。
また、コスパ(ピルスナー飲みたいなら市販でいいと思う)の観点から、以下のノウハウはアメリカ系IPA・IPLのそれに絞ったものです。みんなも中瓶100円のコストでホップの効いたビールを錬成しよう。
(なお、筆者は製造にあたってはアルコール度数が1%以下になるように調整しています。みなさんも製造の際は酒造法を遵守してください。)
世の中のビールの作り方を見ていると、雑菌をやけに気にする記述が多い。だが、ビールはそもそもめっちゃ腐りにくい飲料である。1年以上の長期保存はともかく、雑に作ってもそうそう味は変にならないので、神経質になるくらいなら雑に作ってよい。
多少気を使うのは、ウォート冷却→発酵容器移行へのプロセスだけである。あとは熱消毒か、アルコール消毒を経るのだから、早々腐らないのである。
アメリカ人の挙げているビールづくり動画を見よ。大体禿げたWASPのオッサンがガレージでビール飲みながら作っているのである。それに比べればまだアパートで作るほうが清潔である。
名水が云々とかはよっぽどライトなビール以外はきにしなくていいです。カルキ?なんのためにウォートを熱するんだという話。
65度―70度の範疇であれば問題ない。どうせ市販の温度計では正確に鍋全体の温度を測ることは困難である。
IPA recipeでググればいくらでも出てくる。このホップは持っていない?別のホップを同数足せばよい。
麦芽もいろいろあるが、結局ベースとなる麦芽一種と、上記に上げたモルティさを出す麦芽数種で基本は問題ないと思う。
いや、凝りだすとカラレッドとかクリスタル麦芽を4種使い分けるとかやるけど、味にあんま関係ないんだよな。
ライ麦芽で香りを出す?フレークドオーツでギネス再現?それは上級者向けということで…たしかに美味しいのできるけどね。
ホップもいろいろ買った(それこそアメリカの実験種も含め)が、結局はこの4つで世の中のアメリカ系ビールのIPAやPAに関する香りはほぼ網羅できる。こいつらのうちCitraとSimcoeはビタリングホップにもいいので、最悪この4種でもいい。
(俺はドイツやイギリスのビールは価格が安いので買ったほうがコスパが良いと感じる。アメリカのクラフトビールはどうも品質管理が悪く、小ロットなので自分で作ったほうがいいと思う。)
なお、香りの感じは以下の感じ
Citra→レモン、オレンジにトロピカル。バランスが良い。どこでも使える神が生み出したホップ
Mosaic→Glassyなレイヤーの裏に熟したフルーツの香り。ドライホップ最強。
Galaxy→マンゴー、パッションフルーツ、桃、パイナップル。ドライホップ最強その2.
Simcoe→Piny,Classyな香りの上にオレンジ。西海岸スタイルのIPAが飲みたいときに使う。ビタリングにも良い。
なおホップを使うコツですが、少なくともドライホップなどの香り付けの場合はアホほど(3g/1L)入れたほうがいい。ホップの量は7難隠す。
ここに足すならAmarilloとColumbusとSaaz、あとGoldingsかなあ。最近の新種ホップはスペックシート至上主義過ぎて、どうもいいのが出てない印象。
イーストも凝りだすとキリがないのですが、リキッドイースト使い出すと管理がほんまだるいので、最近はドライのラガーかエール酵母を使いまわして行くほうが楽なのではないかと思う。
使いまわし法は、発酵容器1に残った澱に水道水を4リットルほど打ち込んでシェイク、上澄みを1.5リットルペットボトル2つに入れ、放置、そののちまた上澄みを500ミリペットボトル4~5本に入れ、放置。これでイーストが分離できる。
だいたい2~3回の使い回しが可能。
コスパの観点。麦芽は重くて安い。それ以外は軽くて高い。そして鮮度・種類とも海外の方が圧倒的に優れている。
特にホップは農場直送系が日本の市価の半値以下でいいのを送ってもらえる。
ゼラチンでは無理でしたが粉状寒天でなんの問題もありませんでした。逆に寒天入れないと透明度がバイヤーになるし、発酵管理もめんどいので入れるの推奨。ひとつまみでいいです。
最初はフードプロセッサーで粉砕してたのですが、BIABでも収率が上がりにくい傾向にある。1万円で買えるようになったのでおとなしく買おう。
BIABはストレーナーなどを使わずに簡単にビールが作れる革新的製造法なのですが、鍋に入れる網(ウォートとモルトを分離する網)が日本で売っていないという問題がある。
いろいろ試したが、靴を収納する不織布を網目が細かい網として用い、その中でおおまかにモルトを分離する網として、洗濯ネットを用いるのが一番入手性も良く安くて良い。
使い方はマッシング後、洗濯網を引き出しウォートを絞って分離→不織布を絞って分離。その後モルトに70度程度のお湯をかけて洗濯網で絞った二番ウォートを混ぜてもよい。
だいたいBIABかつ10リットルベースで作ることを考えると、倍量の鍋がほしい。逆にこれ以上大きいと一般的コンロに収まらないので、ここあたりがリミット。
鍋は相当酷使し、こびりつきもひどいことを考えると、ステンレス推奨。
1万円で買えるので買ったほうが良い。これがないとビールの味が毎回変わる。
無いとクリアなビールにもならないし、味も癖が強くなる。発酵容器1で発酵(ラガーなら12度、エールなら15-18度)→発酵容器2で一週間ドライホップと澱引き(5度-。冷蔵庫で良い)→瓶詰めが最もルーチンとして適している。
ウォート冷却でチラーを使う必要は、10リットルクラスだとあまり感じない。鍋ごと冷水で満たした風呂の中に沈めるのが一番楽。
また瓶の殺菌も風呂場でやるのが一番楽。その場で洗えるので。
正確には購入となりますが、大体のとこは格安で譲ってくれます。いぶかしがられますが。
ビールケースはスタックできるので、設置スペースの観点からも有用。
だいたいこれで、製造原料・設備が1.5畳ぐらいのスペースを占拠するだけで収まり、毎回10リットルのビールを楽しく作ることが出来ています。
MacTypeはただのフォントレンダラーであってGithubで公開もされてる。beta5使っとけ。
Mac所有してるなら抜き出して使っても問題ないと思うが、MacぽいフォントにしたいならIPA Pゴシック(日本語部分は等幅がいいならExゴシック)にシステムフォント置き換えるだけでいいんじゃないかな。noMeiryoUIあたり使って。
あとChromeのUI部分に適用させるならChromeのショートカット引数に--disable-directwrite-for-uiを加える。
あとChromeの設定内のフォント設定でもIPA系フォントを指定しておくといいな。
アプリのタイトルバーに効かないなら使ってるプロファイルのiniファイルの、[UnloadDll]にあるdwm.exeをコメントアウトして再起動。
あ、ストアアプリでGoogle日本語入力使ってるとIMEオンできなくなるみたいな副作用はあるけど。直し方は知らん。
IPAが公開している電子メール利用時の危険対策のしおりの影響
https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf
‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘
普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ
そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる
システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい
https://www.jisa.or.jp/service/privacy/tabid/831/Default.aspx?itemid=31
‘【第23条】個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。‘
ISMS認証にも似たような審査基準が記載されている、気になるなら自分で文章探すんだな
お客様に「うちはセキュリティ対策に社全体で取り組んでいます」アピールと安心感を持たせるためには必要なPマークとISMS認証のためなんや
労働者の無駄とか不便とかどうでもいいんや、そんなのに答えたらPマークと認証外されちゃうからな
上記の再送システムも付ければ最高のセキュリティ対策になるとお上の方々は思ってるんやで
「21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?」ってタイトルの@ITの記事、大元のitmediaもPマークを持っているわけだが
どうやって客や取引先にファイルを送っているのか教えて欲しい、パスワード付きzipを叩くぐらいだ画期的なセキュリティ対策をしているのだろう
いやそれはちょっと違う。
日本語Windowsで見た時は游ゴシックが表示に使われるが、Windowsがほっそい游ゴシックをキレイに表示できるレンダリング性能を持ってないせい。
4Kモニタとかなら気にならんだろうが、FHDとかのモニタ使ってるならMacTypeを入れると大分マシになる。
というか多少検索能力に自信のあるWindows使いならみんなMacType使え。
blogとかのスクショでギッザギザのメイリオとか見ると無様すぎて泣けてくるようになる。
MacTypeと、githubにあるbeta2パッチを導入し、
noMeiryoUIでシステムフォントを全部IPA Pゴシック(10pt以上)に変更し、
UEFIでセキュアブートを無効にした上でMacTypeをレジストリモードで運用するといい。
Chromeのショートカットには引数で--disable-directwrite-for-uiを入れ、
Chromeの設定でフォントカスタマイズからデフォルトフォントをIPA PゴないしP明に変え、
Stylusでスタイルシート弄ってメイリオやMSPゴなどをIPA系に置き換えてしまえ。ここで游ゴも置き換えてもいい。細すぎるし。
タスクバーやスタートパネル、UWPアプリなどにはMacTypeやフォント置換は効かないが、これでだいたいフォント描画への不満はなくなる。
ただあらゆるトラブルの元凶になる可能性があるアプリなんで何か起きた時は真っ先にオフにすること。メジャーアプデ時も事前にオフにすること。
資格取得の勉強とか、アプリ開発とか、小説執筆とか、何かを成し遂げようと思ったことは幾度となくあるけど、何一つ大きな何かを完遂できた試しがない。
今年もなんたらスペシャリストとかいうIPAの試験受けようと云千円も試験料払ったのに現時点でほぼ無勉状態だからまあ試験日当日にバックれかますつもりだ。
ちなみに半年前は受けなきゃなーとか思いながらも申込みすらサボった。
アプリ開発だって、藤原竜也ツールレベルの細かいのは何回も完成させてるが大きなのはほぼコケてる。
企画はいろいろあったんだよ。決済機能付きの技術投稿サイト。2chAPIを実装した専ブラなしでも使用に堪えうる今風UIの掲示板。対立煽りながら漫画やアニメ作品を格付けさせて2つの作品間の優劣をハッキリさせるサービス。etc。
環境作ったりテーブル設計してマイグレーション走らせてAPI部分だけ作ったけどフロントエンド技術の習得で作業が止まったり、
企画に対して仕様が練りきれなかったり、単純に飽きたり、まあ理由はいろいろあるけどやる気が足りないっていう理由がまあほぼ独占してる。
今は英語の勉強を始めたくてとりあえず単語帳アプリの開発をしてるんだが開発の方に飽きかけてるせいで英語の勉強も始まる前に終わってしまいそうだ。
こんな自分はダメなのはわかってたからまず俺はタスク管理法というのを調べたよ。
Todoアプリはどんなのがあるのかとか、みんなどんな感じでタスク管理してるかとか、タスク管理法のプロマネ向けの書籍を読んだりもした。
そんで俺は平日の終わりに休日にやるべきことを、休日の終わりに平日にやるべきことをタスクとして洗い出してTodoアプリに登録するようにした。
ポモドーロテクニックっていうのを使って(超要約すると25分仕事→5分休憩を4回やって30分休憩、っていうのを繰り返すタスク管理テクニック)
25分の作業を1タスクとして、できるだけ細かく、そして無理のない範囲でタスクを洗い出すことにした。
作業の中には勉強とか開発のものだけじゃなくて例えばSteamの積みゲーを25分間×3回かけて崩すとかアマプラのドラマ何話まで見るとか、そういう遊びのタスクも含めて管理するようにした。
んで今はというと遊ぶ方のタスクだけ前半で綺麗に消化されて2ヶ月くらい前に登録した開発用のタスクをまた来週平日分のタスクとして繰り越そうとしている。
成果としては積みゲー消化がやけにスムーズになってしまっただけ。アレだよ。某Youtuberの『時間足りなかったので1分追加しまーす』ってのを人生の中で延々と繰り返してるんだよ。
ぶっちゃけどんなに緻密にやることをTodo管理しようとしても友人からの『マリカーやろうぜ!』のLINE通知があれば何もかもが崩れてしまう。
いや、そんなもんなくても崩れてるんだろうけど。いやだって勉強よりゲームやアニメって楽しいじゃん。
唯一長年続けられてるものといったら日課的な部屋の掃除とDSの脳トレゲームと筋トレくらい。
生産的なことは何一つやれてねえ。
ぶっちゃけこういうのって脳みそのレベルである程度決まってそうな感じするから単純な精神論行ってても仕方がない気がするんだが、
もうちょっと何か自分を追い込むような方法ってないのかなぁ。なるべくお薬とか以外で。
そろそろ人生的に転職エージェントに相談したり転職用ポートフォリオとか作らなきゃあかん時期なんだけど、このままじゃ転職すらままならねえぞ。