初めてBlogを書くときには軽めのネタがいいんじゃないかなぁと思っていたのですが、ちょうどそんなネタが回ってきたので。

モジュール結合度(coupling)

　という言葉を聞いたことがおありの方はたくさんいらっしゃるかと思います。

　IPAの試験とかでよく問われる単語ですね。

　このモジュール結合度、こんな感じで順序付けされています(昇順)。

1. データ結合
2. スタンプ結合
3. 制御結合
4. 外部結合
5. 共通結合
6. 内部結合

　この中で、"外部結合"と"共通結合"の差について、とある場所でとある先生がとある言説をしていたのを聞きとがめまして。

『外部結合は外部データをお互いが共有するというような情報の共有方法』

『共通結合は構造型の外部データを共有する方法』

　え、これおかしくないですか？　と思った私は、先生の講義そっちのけで調べ物に入りました。

外部結合と共通結合の違いは？

　なんとなくおかしいなと思ったのですが、この言説って結構あるんですよね。

モジュールの強度と結合度＜システムの調達＜Ｗｅｂ教材＜木暮

http://www.geocities.jp/nakamiya_town/ProModule.html

d.hatena.ne.jp

　で、WikiPediaによるとこうあるわけです。

結合度 - Wikipedia

共通結合（Common coupling）

グローバル結合とも呼ばれ、二つのモジュールが同じグローバルデータ（例えば、グローバル変数）を共有する。共通のリソースを変更すると、それを使用したすべてのモジュールを変更することを意味する。

外部結合（External coupling）

二つのモジュールは、外部から供給されたデータ·フォーマット、通信プロトコル、またはデバイスインターフェイスを共有している場合に起こる。 これは基本的に外部ツールやデバイスへの通信に関連している。

　どうせ海外発の概念だし、WikiPediaをうのみにするのもどうよ、と思ったので英語で検索。

　英語版のWikiPediaではこうでした。

Coupling (computer programming) - Wikipedia

Common coupling

Common coupling (also known as Global coupling) occurs when two modules share the same global data (e.g., a global variable).

Changing the shared resource implies changing all the modules using it.

External coupling

External coupling occurs when two modules share an externally imposed data format, communication protocol, or device interface. This is basically related to the communication to external tools and devices.

　日本語版は英語版の訳だったが…と思いつつ、言っていることはWikiPediaとそれ以外で相違しています。

　もう少し英語のネタを漁っていきます。

http://faculty.cs.uwlax.edu/~riley/CS741Sum10/lectures/8_CouplingCohesion.pdf

CPSC 333: Levels of Coupling

Common Coupling

Two or more modules exhibit common coupling if they refer to the same global data area - that is, to something that corresponds to a data store on a DFD or a “register” that must be shared by several processes.

External Coupling

Two or more modules exhibit external coupling if they share direct access to the same I/O device or are “tied to the same part of the environment external to software” in some other way.

　うーん。言っていることはWikiPediaとそう違ってはいません。

　日本語版WikiPediaを英語版の忠実な僕とすると、日本語圏の認識と英語圏の認識が相違しているわけです。興味深い。

どちらが正しいんだろう？

　私の感覚では英語の内容だと思うんですよね。

　外部結合は、例えば共通のI/Oインタフェースを参照する等、グローバル変数とは異なる同一のリソースを参照しているケースですが、この場合、

• 参照している内容、手順は第三者から明確に認識可能
• 明文化された手順、規約に従えば他のモジュールからもアクセスできる

　と、ある一定の明確な規約のもとでリソースを参照しています。

　いわば明示的な約束に基づいて(外から分かる形で)リソースを共有しているわけです。

　一方で共通結合は、グローバル変数を参照していることだけが分かっているだけであって、その変数がいつ、どのようにアクセスされるかは、参照関係にあるモジュール間だけの暗黙的な約束になっています。

　暗黙な約束を持つ、ということは、モジュールは相互にどのようなアクセスをしているのかを知っていなければならない、ということであり、その約束は外部から認識できない、ということ。

　要は、『共通の秘密を持っている方が結合度が高い』ということ。

　察するに、日本語の誤認識は『データ結合』(構造のない引数)と『スタンプ結合』(構造を持つ引数)の差を、英語のリソースを確認せず、外部結合と共通結合に敷衍したことから発生したんじゃないかなぁと、あまり深く考えずに思ったりしましたが、真相はよく分かりませんし、割とどうでも良いですね。

まとめ

• 誰かの話を聞いて、自然でない認識に至る場合は裏を取ったほうが良いですね。
• 古くて定説化されていても、怪しければ英語に当たったほうが良いですね。
• なぜそう位置づけられているのか、という理由は大事ですね。

　という話でした。

講演資料

http://www.slideshare.net/devsumi/18e2android60

概要

　Androidアプリの脆弱性の現状を示した後、最近改版されたJSSECのセキュアコーディングガイドに基づき、6.0で特に留意すべきセキュリティ対策について説明する。

スピーカー

ソニー(SDNA)の奥山さん。

詳細

所属している会社

• ソニーデジタルネットワークアプリケーションズ株式会社(SDNA)。
  • VAIOのソフト部門が独立したソフト専門子会社。
  • ソフト開発専門。
  • ソニー製品の開発、検証。
  • 比較的早い段階からセキュリティに携わっている。

最新Androidの事情

• 突然だが、Androidアプリは安全だと思うか?　と会場に質問。
  • 大半の人間が挙手しない。参加者は安全だと思っていない。
  • 認識のとおりである。
  • 2015年、Google Play上のAndroidアプリについて、脆弱性の実態調査を行った。
    • カテゴリダウンロード上位500、かつ1000ダウンロード以上。11,686件。
    • 結果、93%に脆弱性リスク。
      • ちなみに2013年の調査結果は96%。微減。

アクセス制御リスク

• 脆弱性の中で、アクセス制御リスクは88%から59%に減少。

  • 対策方法が簡単で効果があったとみられる。

• アクセス制御リスクの実例。

  • 勝手にツイートされるTwitterクライアント(非公式)
    • 悪いアプリからの要求を受けて、ノーチェックで勝手にツイートしてしまう。
    • これはアクセス制御の問題。
    • 画像アップロード用Activityが外部から呼べる状態だった。

HTTPS通信

• HTTPS通信の利用は72％から88%に増加。

  • HTTPSの利用はGoogleやTwitterも呼びかけている。
  • 良い傾向なのだが‥。
  • 実はHTTPS実装に起因する脆弱性が39%から43%に。悪化している。

• HTTPS通信脆弱性の一例。

  • 通信内容を盗み見られるECアプリ。
    • ログインID、パスワード、クレジットカード番号を傍受可能。
    • 野良Wifiで攻撃者のPCを経由することで、Man in the middle攻撃が可能。
    • Man in the middleはサーバ認証を行っていれば回避できる。
    • が、サーバ証明書の検証結果を無視し、エラーが出ているのに通信を継続してしまっていた。

暗号

• 強度が弱い暗号技術(MD5,DES)が利用されている割合が62%と高い。

Mode World

• ファイル保存時の生成モード。
  • MODE_WORLD_READABLE/MODE_WORLD_WRITABLEを使っているアプリが22%ある¹。

ダウンロード数と脆弱性の関係

• ダウンロード数5000万ぐらいが脆弱性発見数のピーク。
• そこからダウンロード数が増えると脆弱性が減少傾向になる。
  • ダウンロード数が多くなるとお金が取れるようになるので、対策をしっかりしてきているのかもしれない。
  • ちなみに2013年にはなかった傾向。

セキュアな開発をするには

• JSSEC(Japan Smartphone Security Association)のセキュアコーディングガイドを参照。
  • JSSECはスマートフォンのセキュリティを推進する組織。
  • 総務省も紹介するような基準。
  • セキュリティを意識している会社は結構使っている。
    • 三大キャリアとか、キャリアに関連する会社とか。
  • デファクトスタンダードと言って良い。
  • 2012年に初版を発行。
  • 以降、半年～1年程度で改定している。
  • 第6版が2/3に公開された。

セキュアコーディングガイド第6版で追加された内容

• 3つの内容について解説する。

1. 6.0のパーミッションモデル変更に対応

• 6.0では、インストール時にパーミッションを与えるのではなく、実行時に許可するようになった。
  • 実行する必要が発生した場合にユーザ許諾を求める。
  • iPhoneに合わせているらしい。
  • パーミッションはある程度グループ化されており、グループ単位で権限を管理する。
  • ユーザによる許可の取り消しもあり得る。
    • つまり、許可を得ていない段階でも動かなければならないケースが出てきた。
  • アプリ開発者が明示的にAPIを呼ばなければならない。
    • iphoneは自動的にOSが許可を求める仕組みなので、開発者は意識しなくて良いが、
    • Androidでは明示的にAPIを呼ぶ必要があり、後方互換性に影響を与える。
    • コールバック関数で結果を受け取り、許可の可否によって動きを変える必要がある。

2. 指紋認証アプリ

• Nexus5x/Nexus6Pでは、指紋認証機能がサポートされた。
  • デフォルトではロック解除に使用しているが、個々のアプリで様々な用途で使える。
    • 端末ユーザ認証による実行制御に用いる。
    • 楽天銀行とかでも使っている。
  • 指紋認証のセキュリティ強度はパスワードより弱い場所もある。
    • 秘匿困難性、非交換性、認証精度などを理解して使用する必要がある。
    • 指紋認証の弱点を理解して使う必要がある。
    • 指紋認証だけに頼らないこと。
      • 楽天銀行では指紋認証はオプション、ログインだけしかできない。
      • その他の処理はパスワードを使っている。
    • また、機密性の高い情報は扱わないほうがいい。
  • Android FingerPrint Architectgure
    • アーキテクチャを見ると、最終的にFingerPrintは暗号鍵として扱われている。
    • 暗号処理と密接に関連しているので、暗号の使い方を理解して使うこと。

3. Lまでの新規事項に対応

• Notification Visivirity
  • ロック画面中の通知表示のこと。
  • 表示可否を3段階で制御している。
    • Secret(ロック画面には何も表示しない)
    • Private(アイコンなどの基本的な情報を表示。デフォルト)
    • Public(すべての内容を表示)
  • Privateだけ、ロック画面に表示する情報と、非表示の情報の両方を有している。
    • 実装を誤ると、ロック中にプライベート情報を表示してしまう可能性がある。
    • デフォルトなので特に注意が必要。
  • 実装時には、Visivilityと通知内容の確認をすべし。
    • ロック中の表示情報とロック解除後の情報の内容を正しく切り分けること。

講演資料

http://sssslide.com/speakerdeck.com/plasticscafe/enziniawocheng-chang-saserutamefalsezu-zhi-dukuri

概要

　リクルートコミュニケーションズにおいて行われている、エンジニアの成長を促進するための組織的な取り組みについて紹介する。

スピーカー

• リクルートコミュニケーションズ(RCO)の阿部さん。
• 独立系SIで何でも屋をやった後、RCOに入ってアドテクを立ち上げた。
• 今年から、組織のスループット拡大を意識して、マネージャをやっている。

詳細

• 前回のデブサミ(Ask The Speaker)で、エンジニアの成長環境について質問をもらった。
  • これを受けて、今回は組織的な取り組みを紹介したい。

リクルートコミュニケーションズ

• リクルートグループは、事業分野ごとに事業会社を持っている。

  • 一方で事業横断な事柄について、機能外車を持っている。
  • リクルートコミュニケーションズは、事業横断でデジタルマーケティングを支援。

• 自分が属するアドテク部は、クライアントとユーザのマッチングにアドテクノロジーでアプローチする。

• 50名中、半分ぐらいがエンジニア。

• エンジニアがプロダクトの開発、推進にコミットするスタイル。

  • エンジニアとプランナー両方でアイデア出し。
  • エンジニアの技術観点とプランナーのビジネス観点の両方で考える。
  • 見立てがついたら予算をつける。
  • 高速開発。
  • KPIを設定して仮設検証を繰り返し改善。
  • という流れ。

組織のスループットを上げる

• 組織をシステムとして捉える

  • インプットされた経営資源に対して、何らかの組織価値をアウトプットするシステム。
  • 変換部分の処理能力を上げてやれば価値を増大できる。
    • 個々のメンバーの成長でスループットを増大できる。

• エンジニアの組織である以上、組織の価値を高めるコア要因はエンジニアの成長。

• 人的リソース管理の考え方

  • 従来モデルは『似たスキルを持っているメンバーをスケールさせる』
    • 人を増やすことで組織を成長させる。
  • 目指すモデルは『メンバー自身の成長で価値面積を拡大していく』
    • 各人の価値を増大させることで組織を成長させる。

エンジニアが発揮する価値

• 3つあると考えている。

• 現在開発しているプロダクトの価値を上げる

  • 新規開発、機能追加によって得られる価値。
    • 営業、企画、運用というロールがあり、それぞれ貢献率がある。
    • アドテクはアルゴリズムに依存するので、エンジニアの貢献率が高い。
• 新規サービスにおいて、最終的に価値になるもの
  • 直接の売上にならなくても、最終的に価値になればOK。

• 損失リスクの軽減的な意味での価値向上

  • 可用性、セキュリティ等。
  • 技術的負債を減らす、というのも入る。

• まとめると、

  • エンジニアの価値は、組織に対して何らかのプラスの変化を起こす力。
  • これをいかに大きくできるか。

RCOにおける取り組み

• マネージャとしての頑張りポイントは4つ。

『採用』

• 組織とマッチするか?

• 一緒に成長していけるか?

• 現場の人間も採用プロセスには強くコミット

• RCOで活躍しているエンジニア
  • プログラミングで高度な課題を解決していく。
  • 3度の飯よりプログラム好き(楽しんでやれる人)
• 現場のエンジニアがコーディング試験を作成し採点
  • 組織が求めるスキルや性格を評価している。

『目標設定』と『評価』

• 目標設定と評価は表裏一体
• 設定した目標を達成できたかを評価している。
• 目標は本人のWillとエンジニア価値から目標を設定
  • Will: どういう価値のあるエンジニアになりたいか。
  • エンジニア価値:課題解決によって実現できる価値は何か。
• 業務を通してどれだけ成長できたかで評価する。
  • 査定ではなく、成長させるためのコミュニケーション
  • 目標の高度化と達成が継続循環すれば成長につながる。
• Willに近い目標を設定できれば成長を加速できる。
  • なりたい姿に向けた活動は楽しい。
  • 楽しく取り組めば結果が出やすい。
  • 結果が出ればなりたい姿に近づける。
• やりたいことと業務課題のマッチング
  • 完全一致しない。
  • が、業務課題にもWiilも幅がある。
  • 選択肢を組み合わせて両方を設定。
• 本人のWillにより近いところを探してあげる。
• RCOの文化として、以下を腹決めしている。
  • 『メンバーは成長すべきである』
  • 『マネジメントは成長を促進すべきである』
• このマネジメントは結構しんどい。
  • Will、業務課題ともにしっかり見ないといけない。
  • 場合によっては案件自体を作りに行くことも。

『機会の提供』

• 成長が業務の幅に束縛されてしまうので、機会を広げていく。
  • 勉強会
  • 機械学習大会
    • AI同士でボンバーマンを対戦させてみたりした。
  • 開発合宿
    • ドローンを機械学習で動かしてみたりした。
    • エンジニアがワクワクするチャレンジの場を提供する。
  • カンファレンス参加支援
    • 技術トレンドに遅れないように。
• 最終的には組織に価値が戻ってくる。
  • エンジニアのスキルベースアップ。
  • 最新技術や理論の還元。
  • エンジニアならではのチャレンジ。
    • 早稲田との共同研究事例(量子アーニング)
    • 外の勉強会でコネクションを作ったのがきっかけ

まとめ

• エンジニアを成長させるための組織に必要なもの

  • エンジニアがチャレンジできる業務
  • ビジネス課題と価値発揮領域のマッチング

• マネジメントの頑張りどころ

  • 採用
  • Willと業務課題のマッチング
  • 成長を意識した評価
  • 業務の枠にとらわれない成長の機会

講演資料

http://www.slideshare.net/nkjm/iot-58447760

概要

　ニューラルネットワークのライブラリを用いた画像認識のデモと、Oracle Database Clowdでリアルタイム機械学習を活用した例を通して、機械学習の可能性を紹介する。

スピーカー

Oracleの中島さん。

詳細

　デモをメインとしたセッション。

前準備

• 最初に、quiz.oracle.tokyo/ds というサイトにつなぐことを指示される。
  • node.jsを使ったリアルタイムアンケートシステム。
  • Oracle Database Clowdに興味があるか? と謎の質問をされる。
    • 割と『いいえ』が多かった。

Neural Network

• 脳の神経回路を模した機械学習のアルゴリズム
  • めちゃめちゃ難しい
  • 簡単に紹介してもらったと言いつつ難しい
• 画像認識や自動運転の世界で応用されている
  • そこで、まずは画像認識がどれほどの精度を持っているのかを伝えたい

デモ(静止画像が何であるかを認識する)

キーとなるライブラリ

• TensorFlow
  • Googleの機械学習ライブラリ
  • セットアップ、記述が簡単
• Imagenet
  • 今回の画像学習データのモデル
  • 世界中の物体、名詞について1000個ぐらい保持

• この組み合わせはTEDで有名になった。

  • コンピュータが写真を理解するようになるまで (https://www.ted.com/talks/fei_fei_li_how_we_re_teaching_computers_to_understand_pictures?language=ja)
  • めちゃくちゃわかりやすいので、後で興味のある人は見ておいてもらいたい。

• このライブラリを使ったデモ¹を動かす(http://tf.oracle.tokyo/)。

  • 画像をアップロードすると、その画像が何であるかを示すWebアプリ。
  • 暖炉(薪ストーブ)っぽい写真をアップロードする
    • 『99%でストーブ』と認識
  • ちなみに暖炉と薪ストーブは厳密には違うらしい
  • ミニチュアダックスフンドの写真をアップロード
    • ゴールデンレトリバーとして認識された。
    • まぁその程度。ライブラリはゴールデンレトリバー好きらしい。

デモ(静止画像を自然言語で表現する)

キーとなるライブラリ

• NeuralTalk2
  • 画像認識ライブラリの一つ。

  • 何ができるのかをビデオで紹介(https://vimeo.com/146492001)

    • スマホを持って町を歩くと、スマホのカメラが見ている景色を、リアルタイムで英語表示してくれる。

  • このNeuralTalk2を使ったデモ。

    • 椅子の上に犬が座っている写真をアップロード。
    • 英語でdog on the chairみたいな文章が表示された。

IoTとどう繋がるのか

• 防犯カメラ
  • 今は画像を撮影しておいて、インシデントがあったら解析のために後から使われるが…。

  • 機械学習を併用すれば、撮影した画像をテキストに落とし込める

    • 撮影中にアラートを鳴らし、即現場に急行する事ができるかもしれない。
    • 加えて、テキストを元に動画内を検索できるようになるのではないか。

  • メカニズムとしては、カメラ→画像解析→データベースに保存→異常検出という流れ。

    • もう少し実装の話をすると、 カメラ→Node.js→TensorFlow→Oracle Database Clowdという流れで機械学習、異常検知を行う。
  • ここでOracle Database Clowdという言葉が出てくる。
    • 昔はOracleは売りきりだったが、今は従量課金のクラウドデータベースを提供している。
    • データベースクラウドの中に機械学習を組み込んでいる。

デモ(普段と違う画像を検出する)

• 家の玄関ドアの画像を以下のバリエーションで数枚アップロード。
  • 夜間、ドアの前に誰もいない画像。
  • 夜間、ドアチャイムを鳴らす人が撮影されている画像。
  • 朝、ドアの前に誰もいない画像。

• この時、チャイムを鳴らす人が撮影されている画像を機械学習で検出できるかを見てみる。

• SQL DeveloperでOracle Database Clowdをコントロール。

  • 操作はアイコンベース。
  • ワークフローを作成し、画像を格納したデータベースと機械学習のアイコンをマウスでつなぐ。
  • すると、各写真毎にアノマリ検知の有無(0 or 1)と確率が出力された。
  • 当初は他の写真もアノマリ検知に引っかかっていた。
    • が、NeuralTalk2で出力したテキストと併用して機械学習すると、 ドアチャイムを鳴らす画像だけがアノマリ検知された。

• データベース上に機械学習エンジンが組み込まれている。

  • つまり、リアルタイム分析が可能ということ。
  • また、SQL上でアノマリ検知をクエリに組み込んだり、分析対象をチューニングすることができる。
    • SQL上で分析可能ということは、アノマリ検知をそのままWebアプリに組み込むことが可能ということ。

Oracle Database Clowdの機械学習

• Enterprise High Performance Edition以上だと機械学習が可能。
  • OSS製品と比較すると高いけど、従来のOracleデータベースと比較すると安いんじゃないか、と思っている。
  • Oracleもかつては企業向けデータベースを高値で売っていたが、今はクラウドへモデルチェンジを行っているところ。
  • DBクラウドはREST APIでアクセス可能なので、様々なデバイスからでもアクセス可能。
  • 使ってみてね。

告知

• 3/4 Oracle Cloud Developerというイベントを開催予定とのこと。

最後に

• リアルタイムアンケートシステムで、Oracle Database Clowdに興味があるか? と再び質問をされる。
  • 『はい』が増えていた。²