メンバページ: tsu

tsu -- life with programming: イベント参加報告

イベントの参加報告です。参加したイベントの中から、このイベントだけはレポートを書いておかなきゃ、と思ったものについて、レポートを書いていこうと思っています。

Tech・Ed 2008 Yokohama のライトニングトーク(3日目)で使ったプレゼン資料を公開します。

IEコンポーネントで AutoPagerize
IEコンポーネントで AutoPagerize

今回が Tech・Ed 初参加。しかも、ライトニングトークでしゃべってきましたよ。

ということで、Tech・Ed 2008 Yokohama (2008年8月26日~29日の4日間) のレポートです。

1日目

  1. オープニング&キーノート
    • the Microsoft Conference 2008 のキーノートの規模を大きくした感じ。
    • 要するに、
      • 講演(日本法人社長とアメリカ本社のSQL Server開発部門のトップ) +
      • 複数人によるアプリケーション構築デモ(というか一種のドラマ)
    • という形式。デモの内容は、全然別物でしたが。
  2. T6-301 Windows Embedded と Robotics Studio によるロボット開発
    • ロボットのハードとソフトを開発している会社の人の講演とデモ。
    • 大学向け(授業用?)に無償でハード+ソフトを配布しているらしい
    • Robotics Studio はまだ、Visual Studio 2005 じゃないとだめらしい (2008 には未対応)
  3. T2-306 Visual Studio と Expression で「開発」するエンタープライズ WPF アプリケーション
    • 業務アプリにも WPF を使うことで(直感だけで使えるシステムを作成することが容易になるので)、ユーザからの問合せが激減するよ、という話

2日目

  1. Embedded Session for Developers 「IT エンジニアのための組み込み開発入門」
    • Windows XP Embedded は XP の名前がついているが、XP とは完全に独立して開発した別のカーネルだそうです。
    • Windows Embedded の名前を冠する主要3シリーズの紹介(全部で5シリーズある)と、EWF (Enhanced Write Filter) の話
  2. T2-203 進化する Visual Studio Team System コードネーム "Rosario"
    • 次期 Visual Studio Team System について。
    • 現行版までのおさらいと、次期版でここが変わる、みたいな話。
    • まだ、現行版との違いはほとんどないらしい。これから、いろいろやるみたいですね。
    • とりあえず、いままで不完全だった UML がフルサポートされるらしいです。 UML と DSL を使い分けてくださいね、とのこと
  3. T4-307 次世代 Forefront コードネーム "Stirling" のご紹介
    • アンチウィルスソフトやファイアウォールや、proxyサーバや、各種フィルタリングソフトをいろんなベンダーのものをごちゃまぜ、ばらばらに入れてセキュリティの管理をしているのでいろいろ大変。
    • これからは Stirling だけをサーバからクライアントまで入れるだけで、管理できるようになりますよ、とのこと
    • 実際には、Forefront の名前がついているいろんな製品を入れなきゃいけないみたいですが。
    • とりあえず、管理画面/管理コンソールが1個にまとめられるというのが最大のメリット。

3日目

  1. T2-401 WCF / WF を使用した拡張
    • カスタムチャンネルを自作する話
  2. T2-304 一歩進んだ Visual C# 活用術
    • C# 3.0、主としてラムダ式とLINQの話
  3. 登壇者控え室で待機、打ち合わせ
  4. ライトニングトーク
    • 8番目に登壇 (プレゼン資料は後日公開予定です)
    • 聴講者はスタッフ等関係者を含めて100人くらい
    • 聴講者の中に、ちらほら見知った顔が。私の名前を見て、わざわざ聞きに来てくれたらしいです。感謝

4日目

  1. T4-401 Sytem Center と Windows PowerShell で実現する運用管理の自動化
    • サーバの管理などの定型業務に PowerShell を使うといいよ
  2. T2-303 ADO.NET Data Service 的な生活 (プロジェクト "Astoria")
    • Webサーバ、アプリケーションサーバ、データベースサーバのような多層構造になって、外部から簡単にデータを参照してチェックするということができなくなった (むかしは MS Access でデータを簡単に参照できた)。
    • そこで、簡単にデータをチェックすることができる仕組みとして "Astoria" というのを開発しています。
    • Webサービスのように RESTful なデータベースアクセスを実現可能。Atom Pub でアクセスしたり、JSON で受け取ったりできますよ。
  3. PeerTalk Lunch
    • バイキング形式で食事を取りながら、技術者同士で会話しよう、という趣旨。人多すぎで、食事を確保するのが大変でした
    • Web でのクロスドメイン制約をどうやって乗り越えるか、とか、そんな話に混じったりしてきました
  4. T2-309 アーキテクチャ策定 on Team Foundation Server
    • それ、アーキテクチャじゃなくて(どっちかというと)デザインパターン(+フレームワークの選定の話)じゃないの? と思ったんですが、私の勘違い?
    • アーキテクチャということばの定義が人によって大きく食い違っていそう
  5. T3-303 プラットフォームとしての Dynamic CRM
    • いままで、プラットフォーム製品とプレゼンテーション製品しか作ってなかったマイクロソフトがビジネスアプリケーション分野にも進出。
    • 「CRM という名前だけど、既存のいろんなアプリケーション、OSを結びつけるハブとしても使えるよ、とかそんな感じの話
    • Windows だけでなく、UNIX や Linux マシンも、Apache なサーバも一元管理できるよ。 .NET だけじゃなくて Java からも使えるよ。
    • いろんなプラットフォームを統合するメタプラットフォーム(?)を狙ってる?
  6. T2-402 ASP.NET MVC Framework 概説
    • 現在開発中の ASP.NET MVC を導入すると、MVC 型の Web 開発もできるようになる
    • html + javascript + css を自分で自由自在にいじりたい人は使ってね(ASP.NET の postback とか使いたくない人におすすめ。というか、今までLAMPで開発してた人がASP.NETでも開発したいときに、すぐになじめる、というのを目指しているっぽいです)

ライトニングトークに参加してみた感想、その他

たぶん、まともにやったら、

  • userscript について説明するのに1分、
  • AutoPagerize について説明するのに、
  • デモを入れて 2分

かかる。さらに

  • Greasemonkey の説明で1分、
  • IE に移植する話で5分。

正攻法では、絶対に5分におさまらない。工夫に工夫を重ねて、当日は、結局、あと20秒足りないくらいのところまで、何とかがんばりました。

ちなみに、28日のライトニングトークで、5分でおさまらなかったの、私ひとりだけでした。みなさん、5分ぴったり。すごいなぁ。

今までいろんなイベントでライトニングトークを聴いてきたけど、5分ぴったりの例は今まで1つも出会ったことがないので、すんごく驚きました。たいてい、時間切れ。あと、時間余りまくり。ぴったりというのはすごいことです。他の日のライトニングトークはどうだったんだろう? 気になります。

それにしても、マイクロソフトのイベントでライトニングトークというのは面白い試みだと思いました。また、機会があったら、参加したいです。

参考

2008年7月5日に開催された「WASForum Conference 2008」の2日目「事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス」に参加しました。GREE の藤本真樹さんの携帯電話絡みの話と、Sony の松並さんのセキュリティライフサイクルの話が、特に興味深かったです。

以下、簡単なレポートです。

  • 開催日時: 2008年7月5日 10:00~17:00
  • 場所: 東京・東銀座 時事通信ホール
  • テーマ: 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス

Morning Session: 今どきのWebセキュリティ

  1. EV SSLの意義と課題 (日本電子認証協会 秋山卓司氏)
  2. SQLインジェクション対策再考 (HASHコンサルティング 徳丸浩氏)
    • 正しくない対策の例
      • SQL文を全角化して格納
      • セミコロンを拒否(複文を受け付けないようにしたい)
        → データの中にはセミコロンを含む場合もあるので駄目
        ← SQL Server ではセミコロンなしでも複文が書けるので、対策にはならない (他のミドルウェアでは効果があるかもしれないけど、SQL Server では無意味)
      • %20 を \%20 に変換して格納 → 全く意味なし(効果なし)
      • 削除するキーワードのリストを作っておいて、そのリストに載っているキーワードを削除してから格納
        → 誤爆が排除できない
    • 正しい対策
      • バインドを使う
      • バインドが使えない場合
        • 文字列 → シングルクォートで囲む。シングルクォートが含まれる場合は、シングルクォート2個に変換
        • 数値 → 妥当性チェックを実施
      • Shift_jis は避ける
        • Shift_jis では漢字の2バイト目に \ (0x5c) 相当のコードが来ることがあるので、いろいろやっかい。UTF-8 を使う
  3. 携帯電話向けWebのセキュリティ (グリー 藤本真樹氏)
    • 携帯電話では
      • referer がない
      • クッキーが使えない (使える端末もあるが、使えないことを前提にした方がよい)
      の2つの理由により、パラメータにセッションIDをつけることになる
    • セッションハイジャックされやすい
      • 端末固有情報を使うことで、セッションハイジャックを回避
      • アクセス毎にセッションIDを変える
        → 「前のページへ戻る」操作をされてしまうと駄目(欠点)
    • 日記に URL を貼り付ける人がいる。当然、セッションIDつきのまま、貼り付けられることになる
      → その URL へのアクセス時、動的にセッションID部分を各ユーザ本来のセッションIDに挿げ替えるような処理を入れることで対策している
    • その他、携帯特有の問題など
      • 中高生とか、携帯の貸し借りが多い → お手上げ
      • パスワードがいい加減な人が多い
      • 携帯は買い替えが多いため、(電話番号をそのまま使った)メールアドレスの再利用が頻繁に発生する
        → 以前の携帯の持ち主へメールを送ったつもりが、新しい持ち主に届いてしまう
      • IPスプーフィング対策として、携帯キャリアが割り当てているIPアドレス以外からのアクセス(PCからのアクセスとか)は拒否するようにしている
        → 結構、突発的に変わるため、変わったことを知らずにいると、PC用のWebページを携帯に送ってしまうこともある (実際に、最近も mixi で発生していた)
        → 告知用のページをはてなアンテナに登録して監視している。告知されるのは実際に実施される3日前とか、かなりぎりぎりなので、見落としやすい
  4. OpenID のセキュリティ (サイボウズラボ 山口徹氏)
    • OpenID は(適切な対策を行なわない限り)中間者攻撃に弱い(盗聴、なりすまし)
    • OpenID にはログインの概念はあるが、ログアウトの概念はない

Afternoon Session: セキュリティデベロップメント“ライフサイクル”: 裏側と表側

  1. セキュリティの作りこみはどのように行なわれているのか
    • (1-a) マイクロソフト 加治佐俊一氏
      • マイクロソフトの SDL、SD3+C の解説
        • 2001年、CODE RED、Nimda 対策として、最初のセキュリティに関する取り組みを開始
          • XP には間に合わず、その時点で開発途中だった Windows Server 2003 から適用対象
          • 開発者全員(約8000人)がいったん開発作業を停止し、開発中の製品の総点検
          • その間、開発は止まったまま。最初1ヶ月の予定が、結局3ヶ月(でも完全には終わらず。一部の人間を残し、開発作業に戻る)
        • 2004年に Security Development Lifecycle (SDL) という取り組みを開始 (作業結果は ISMS の100倍くらいの量の文書になる)
        • その後も SDL の改良は続けられ、現在は SD3+C (C は communication)に進化
          • SD3+C: Security by Design, by Default and in deployment, and Communications
    • (1-b) ソニー(の子会社) 松並勝氏
      • 自社でのセキュリティへの取り組み方 (現在、親会社のソニーへも展開中)
        • SDL はマイクロソフトだからできるのであって、普通の会社には無理
          • 8000人がかりで総点検とか、ISMS の100倍くらいの量の文書とか、他の会社ではほとんど不可能
        • 極力コストをかけず、簡単にできて、それでいて効果の高い方法を模索
          • ライトウェイトアプローチ (LWSSA)
            • 費用対効果の高いものから順に手をつける
              • 全プログラマ対象にセキュアプログラミング教育(4時間)を実施
              • ドキュメントのみを対象としたセキュリティレビュー専門組織を立ち上げる
                • 組織所属員は4ヶ月間のセキュリティトレーニングを受ける (必須)
                • ドキュメントのレビューは、隅から隅まで全部見ていたらきりがないので、「気になるキーワード、文章」を検索し、その近辺を重点的に読む
                  • 脅威分析表(重要キーワード一覧)にしたがってチェック
                  • 見る範囲を絞る
              • コードレビュー
                • 静的解析ツールで分析
                  • 結果の精査は「セキュリティレビュー専門組織」でやる
                    • 精査の途中で上がってきた修正すべき項目を開発者に順次伝えつつ、修正コストがどれくらいになるかをインタビューし、コストの低い修正だけを行なうようにする (修正コストを考慮した脆弱性分析)
            • 「セキュリティレビュー専門組織」の負担が大きすぎることがわかってきた
              • 開発者によるセキュリティの作りこみ
              • コードレビューは開発者自身にやらせる
              • 各プロジェクトにセキュリティのことがわかる人間を最低1人はつくる
                → 「セキュリティレビュー専門組織」向けの4ヶ月間のトレーニングを受けさせる (会社全体で、毎年10人くらいづつ教育している)
                • 「セキュリティレビュー専門組織」内に教育対象者を受け入れて、OJT 形式で教育を実施
                • 「セキュリティレビュー専門組織」の仕事をやらせる
  2. Security Wars Episode III (高橋郁夫弁護士)
    • ダースベーダーのコスプレで登場
    • Star Wars 風プレゼン資料
      • Eposode I 闇に落ちたハッカー
      • Episode II 匿名軍団の攻撃
      • Episode III 希望か絶望か
  3. Webセキュリティのマルプラクティス (門林雄基さん、岡田良太郎さん)
    • マルプラクティスというのは、「間違ったプラクティス」というような意味
    • 会場の反応を集計するための仕組みが秀逸
      • 会場からは指定URLにアクセスして投票、あるいはコメント投稿
    • 間違ったセキュリティ対策、間違ったIT技術の使い方を列挙
      • 「発火セーフを入れるだけで安心」(そんなわけない)
    • 最後は、「マル」を含むダジャレによる間違ったプラクティスの列挙

感想

  • グリー(GREE)の人の携帯電話関連の話は非常に興味深く、おもしろかったです。
  • ソニーの人の取り組みは、他の組織でも大いに参考になるし、取り込めるものは取り込んだ方がいいのではないかと、思います。ただし、4ヶ月間拘束して(その間、その人本来の業務は完全に止まる)のセキュリティ教育は、たいていの組織で無理なんじゃないかとも思います。

2008年6月10日にパシフィコ横浜で開催された「Google Developer Day」に参加しました。去年の第1回がおもしろかったので、今回も参加したんですが、今回もおもしろかったです。

感想

以下、ちょっとしたメモと感想。

  • 基調講演が非常にエキサイティング。いろんな人が入れ替わり立ち代わり話をするスタイルがいいですね。「the Microsoft Conference 2008」の基調講演も同じようなスタイルだったので、今後はこのスタイルが流行るのかもしれません。
  • Google App Engine は「グーグルエーピーピーエンジン」ではなく、「グーグルアプエンジン」と読むそうです
    → これはかなり衝撃を受けました。「アプエンジン」と読むとは全くの予想外。「アプリエンジン」なら、まだ予想の範囲内だったんですが。
  • いまは python しか対応してない Google App Engine、今後はいろんな言語に対応する予定だそうです。具体的にどんな言語に対応するかは、まだ言えないみたい
  • 実際に動いている Android を見ることができました。iPhone と同様にタッチスクリーン、ソフトウェアキーボードで操作する方式。これはひょっとすると、iPhone よりかなり使い勝手がよいんじゃないかと思いました。Android の現状、最大の問題は、まだ実際に販売されてないこと。
  • iGoogle の次期バージョン iGoogle2 のデモがおもしろかったです。ガジェットを「最大化」して表示する機能とかが追加される模様。
  • Google code の宣伝をしきりにしていました。今のところ、まだ活用している人が少ないのかな?
  • 現時点では、API とか、かなり違いがある iGoogle のガジェットと Google デスクトップのガジェットが、将来は同じ API になるかもしれないらしいです。少なくとも、同じようなコードの書き方をすればいいようになりそうな感じ。
  • 今回は、楽しみにしていた「Googleごはん」はありませんでした。飲み物(水、コーヒー、グレープフルーツジュースのみ)は自由に飲めました。
  • おみやげは、今年も Tシャツ
  • ノートPCの持ち合わせがなく、コードラボ(hackathon)に参加できなかったのが残念。
  • 昼休み時間帯にもセッションがあって、そのセッションに参加すると昼食に出かけている時間がないという、少し悲しい状態。セッションがたくさん聴講できるのはうれしいんですが、おなかが減りすぎて、イベントの最後の方は、かなりしんどかったです(苦笑)

Android 用のアプリと、iGoogel 用のガジェット、Google App Engine 用のWebサービスが、(簡単なものなら)実は同じような作り方で作れそうなことがわかったのが収穫かな?

参加したセッション

ちなみに、私が参加したセッションは、以下の通り。

  • 基調講演
  • S-1 Google App Engine
  • S-2 Google Data API
  • M-2 Android アプリケーションの構築 (基礎編)
  • M-3 Android Dalvik VM の内側
  • M-4 Google Gadgets API
  • M-5 Google のソフトウェアエンジニアの日常

参考

2008年6月7日に、東京・新宿のベルサール西新宿で開催された 「VSUG DAY 2008 Summer」 に参加してきました。昨年末の「VSUG DAY 2007 Winter」(の東京会場)と同じ場所です。

今回も、昼食として、サンドウィッチとコーヒーが振舞われました。「フードスポンサー」というのが付いたんですね。今後、恒例化するのでしょうか?

それはともかく、セッション内容は、以下の通り。

  1. Visual Studio 2008 を活用した Web アプリケーションの実現
    (マイクロソフト 近藤和彦氏)
  2. Hello, Silverlight 2!
    (VSUG C#フォーラムリーダー 青柳臣一氏)
  3. インテル C++ コンパイラーによるマルチコア対応プログラム開発の未来
    (インテル 菅原清文氏)
  4. Windows Workflow での実用アプリケーション開発
    (VSUG C#フォーラムリーダー 菊池和彦氏)
  5. コントロール WPF vs Silverlight
    (グレープシティ 八巻雄哉氏)
  6. リフレクションでいろいろやってみよう
    (VSUG .NET Framework フォーラムリーダー こだかかおる氏)
  7. ライトニングトーク
    • 統合開発環境って素敵
    • Silverlight で動画を配信
    • Windows Mobile スマートフォンの「電話 ON/OFF」を切り替える
    • OOXML Formats SDK
    • コードジェネレータジェネレータによるコード生成

マイクロソフト・近藤さんのセッションで、Visual Studio 2008 SP1 の話や SP1 以降の話が聞けました。SP1 は日本語版のみ先に実装される機能があるとか、非常に興味深い話でした。Visual Studio 2008 SP1 の正式版は .NET Framework 3.5 の SP1 と同時リリースになるようです。すでにベータ版が出ているそうです。サービスパックのベータ版というのは珍しいですね。

あとは、Silverlight 2 の話がちらほら。イベント当日に Silverlight 2 の Beta 2 がリリースされたこともあって、少し情報が錯綜してた感じもしますが、今までの Silverlight より開発しやすくなっているようです。正式版ではどうなるのか、興味深いです。

目次

Tech・Ed 2008 Yokohama で発表したプレゼン資料を公開します
Tech・Ed 2008 Yokohama のライトニングトーク(3日目)で使ったプレゼン資料を公開します。 IEコンポーネントで AutoPagerize IEコンポーネントで AutoPagerize (PDF形式, 259 KB [265,709 バイト])...
Tech・Ed 2008 Yokohama
Tech・Ed 2008 Yokohama の参加レポートです。ライトニングトークでしゃべってきました。
WASForum Conference 2008 (2日目)
2008年7月5日に開催された「WASForum Conference 2008」(2日目)の参加レポートです。普段あんまり聞けない話が聞けて面白かったです。
Google Developer Day 2008
今年も Google Developer Day に参加してきました。実際に動いている Android を見ることができたのが最大の収穫ですね。
VSUG DAY 2008 Summer
昨年末の VSUG DAY 2007 Winter がまだ昨日のできごとのような感じがする中、VSUG DAY 2008 Summer に参加してきました。
第10回XML開発者の日
「第九回XML開発者の日」に続き、「第十回XML開発者の日」にも参加しました。
VSUG DAY 2007 Winter
VSUG DAY 2007 Winter の参加レポートです。Visual Studio 2008 の話が聞きたくて、参加しました。
VSUG DAY 2007 Summer
去年の VSUG DAY 2006 Winter に続き、2007年6月1日開催の VSUG DAY 2007 Summer にも参加してきました。Orcas が目玉の話題かと思いきや、どちらかというと Silverlight の話題の方が多かったです。
Google Developer Day 2007
Google Developer Day 2007 の東京会場開催分に参加してきました。Google Gears の発表をいち早く見ることができたのはよかったかも。
VSUG DAY 2006 Winter
2006年11月25日に開催された「VSUG DAY 2006 Winter」というイベントに参加してきました。the Microsoft Conference 2006 と一部内容がかぶってましたが、おもしろい話もちらほら。

過去記事一覧


Copyright (c) 2006, 2007, 2008 OKI Software Co., Ltd.