2009年11月25日水曜日

Tohoku Android Group 1st Session.

第1回 日本Androidの会 東北支部 発信会に行ってきました。

今回のメインは、有限会社エボテックの畠山さんのセッション。
エボテックでは様々な組込み開発の実績があるそうですが、「Androidでなら何が出来るだろう」というところから始まってプロジェクトが立ち上がり、ET2009ではAndroidを使ったデジタルサイネージのデモを出展したそうです。(ET2009行きたかった…… orz)
ET2009のエボテックの紹介ページ
http://imyme.chicappa.jp/ET2009/exhibitor/exhibitor.cgi?no=199

内容は、畠山さんが実際にAndroidでの組み込み開発に携わってみての感想を元にした、3つの視点から見たときのAndroidのお話。

・技術者目線
Androidを技術面で大雑把に言ってしまえば、「携帯電話向けの顔を持ったLinux」。
なので、既存のLinux開発のノウハウを流用できる。オープンソースなので、開発の初期コストが節約できる。しかもGUIセットでお得!
実際の開発としては、階層分けして作業が出来る。アプリ屋・ミドルウェア屋・ドライバ屋という具合。

・事業者目線
先日のET2009ではAndroidで盛り上がっていて、エボテックの他にもAndroid関連の出展が多かったそうです。
実際にAndroidで組み込みの技術に関係したビジネスをやるとするなら、ポーティングとかミドルウェア/ドライバの高速化やカスタマイズなどがあるだろう(もちろんアプリなどコンテンツ提供も)。

・利用者目線
メモ忘れ

とりあえずこんな感じでした。

「携帯機器向けのAndroidを組み込みで扱うのは余計な手間がかかるしどうなの?」という意見も出ましたが、今のAndroidを取り巻く市場に足りないのはこういう事業者目線なのかなと思いました。正直なところ、今まではAndroidを見るのは技術者目線ばかりという印象があったんです。それが最近になって、Android搭載端末が続々と登場し、日本でもHT-03A(HTC Magic)が発売されて、やっとAndroidが「ビジネス」として認知されだしているのは喜ばしいことだよなぁ、と。

次回の東北支部の活動は12月19日土曜日で、早めに発信会を終わらせて忘年会行こうぜ! という具合。

それと、エボテックさんが1月19日に仙台のイベントに出展するそうです。(イベント名聞き漏らして、ググってもそれらしいのが見つからず。。。)

<追記>
ご本人からコメントで補足情報いただきました。
ありがとうございます!

「ものづくりの集い」
平成22年1月19日(火)
 12:00~17:25
プラザ仙台ホテル 松島(東西)

まぁ、平日なので行けそうもないのですが…… orz

2009年11月15日日曜日

Alice Carroll problem in Tohoku IT Security study session.


第2回東北情報セキュリティ勉強会に行ってきました。

講演したのは、HASHコンサルティング徳丸浩さんと、MS09-047脆弱性の謝辞犯人nig_luceさん。
あと、お菓子。
講演の後にディスカッションなんかも行ったり。
それとあと、お菓子とか。

徳丸さんの講演内容は、この記事を読んでもらう方が早かったり → 発注者のためのセキュリティ http://www.hash-c.co.jp/d/20090906.html

一応、記憶をつらつらと書き出してみる。

Webアプリケーションのセキュリティとかって、契約に十分に盛り込まれていなかったりする。発注側としてはもし問題が起きた場合に責任の所在が曖昧になるのは避けたい。
ただし、「脆弱性が全くないこと」なんて契約に盛り込めるわけが無い。抽象的な記述のくせに、不可能だと一発で分かる記述なんて、どうしようもない。そもそもそれは、バグの範疇だったりする。
対応策としては、具体的な実装・検収方法を指定するなどある。ただし、諸刃の剣。コストが高くなってしまう。発注側が実装まで指定してしまうのは、開発側のノウハウを潰すことになったりするので。

では、他にコストを下げられる箇所があるか。
仕様策定時に、情報資産を個々にいちいち洗い出したりするが、それって毎度毎度やる必要があること? セキュリティに関する脅威とか、いちいち再確認してもどうせ決まりきってる。
また、絶対問題が起きない製品を作るなんて不可能。ならば、逆にリスクの許容範囲はどこまでか、を考える。問題を起点にして考えるのではなく、ベストプラクティスなセキュリティ対策でどこまで対応出来るのか、から考える。そして、ベストプラクティスなセキュリティ対策なんてのも、決まりきっている。

開発側としては、安全対策を施したライブラリを使ったり等々、開発標準を決めておけば良い。(IPAなどが開発標準のモデルを公開している)

そして、セキュリティに関して発注側が直接負担しなければならないコストは大したことがなかったりする。
(面倒くさくなったので残り割愛)


nig_luceさんの講演は、所謂ID3v2タグのアリス・キャロル問題(全然所謂じゃない点に付いてはご愛嬌)。

フザケた呼び方してますが、実は結構深刻だったりする。
講演では実際に、タグ情報に細工をしたMP3ファイルを再生しようとするとどうなるか、というのも行ってくれた。結果、Windows Media Playerが死亡。
ExplorerでもファイルアイコンにマウスオーバーしただけでMP3ファイルのタグ情報を読みにいくし、詳細表示モードでもそう。そして、内部ではタグ情報を得るためにWindows Media Playerと同じ処理をしようとするので、Explorerも死亡。

ちなみに言うと、報告から対応パッチが出るまで、8ヶ月経過してたそうな。


ディスカッションは殆ど雑談。でも、一応内容はセキュリティのこと言ってたよ!

というわけで、とても有意義な勉強会でした。
主催したまっちゃだいふくさん、スタッフの方々、他の参加者の方々、ありがとうございました。

第3回が楽しみだなぁ!!

参考:アリス・キャロル(Alice Carroll)ARIAの登場人物 - Wikipedia