トークンバケットアルゴリズム

APIのスロットリングで使われるトークアルゴリズムをよく忘れるので書き出しておく。

AWSAPI Gatewayで採用されている。†1

トークンバケット - Wikipedia

https://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%83%90%E3%82%B1%E3%83%83%E3%83%88

APIの利用を制限する場合例えば、OWASP API SecurityのAPI 4 API4:2023 Unrestricted Resource Consumption - OWASP API Security Top 10APIバックエンドで自力で防ぐには、実装することになる。...ネットワーク上位で対応するのがよいだろう。

†1: API リクエストを調整してスループットを向上させる - Amazon API Gateway

学習候補

学ぼうと思っている(すでに学び始めている)領域を書き出す。ほんとうに学ぶかはわからんが書き出したからには学ぶだろう。たぶん。

サイバーセキュリティ、情報セキュリティ

Google サイバーセキュリティ プロフェッショナル認定証

7日間無料ないしは¥7,281 /月で受けれるなんて、最高では...?

www.coursera.org

マルウェア解析

よさげな記事を見かけた。参考にするのがよいだろう。
the-art-of-nerd.hatenablog.com

脆弱性

GitHubのSecure Code Gameがよさそう。

github.com
www.publickey1.jp

RubyRuby on Rails

パーフェクトRuby

あらためて読む。キャースガサーン。

パーフェクトRuby on Rails

昨日届き流し読みした。あとは、必要になったら細かく読んだり、手を動かしてみる。
キャースガサーン。

n月刊ラムダノート Vol.4, No.1(2024)

n月刊ラムダノート Vol.4, No.1(2024)www.lambdanote.com

ストリーム処理(Apache beam)、Ruby・Swift開発者によるWebAssembly、PicoRuby。

経済産業省のIT経営力指標

IT経営力指標は、経済産業省(以下、経産省)が自組織において、ITの活用度合いを測る指標です。

なぜ記事にしようと思ったかといえば、経産省のサイト上で公開されていたURLはわかるものの、現時点でサイトで見当たらなかったため、Wayback Machine でサルベージした。ほかにも困っている人はいるだろう、一助になればと思う。

下記は引用。

自社のIT活用度合いが気になるという経営者が多い中、同業他社、他業種、他国などとの関係において、IT活用における自社の位置付けをしっかりと把握しておきたいものです。
経済産業省では、経営者が取り組むべき事項をまとめた「ITの戦略的導入のための行動指針」をベースに、その達成度合いを4つのステージに分け、「IT経営力指標」として企業のIT活用度合いを客観的に測るための指標を作成しました。

経営戦略とIT戦略ないしはシステム戦略

経営戦略とIT戦略ないしはシステム戦略といえば、経産省システム管理基準において、ITガバナンスの文脈で語られている。

具体的な引用ではあるが、下記。

Ⅰ.1.1 経営戦略とビジネスモデルの確認
組織体の目的(パーパス)を実現するためのビジネスモデルと、それを実現するための経営戦略を支援するための IT 戦略ビジョンを策定する。
なお、ビジネスモデルとは、組織体が、顧客や社会に価値を提供し、持続的に価値を向上させていくビジネスの仕組みのことをいう。
<達成目標>
1. 組織体を取り巻く自然環境、社会的・経済的な状況に応じて、組織体の目的を達成するための経営戦略とビジネスモデルと達成すべきビジネス成果が明確にされ、組織体全体に周知されている。
2. 経営戦略とビジネスモデルを実現するための IT の役割と重要性が認識されている。
3. 経営戦略とビジネスモデルを実現するための IT 戦略ビジョンが策定されている。
4. IT ソリューションや新技術等が経営戦略とビジネスモデルに及ぼす影響が定期的に評価され、経営戦略とビジネスモデルについて、必要な見直しを行っている。
<ガバナンス活動の例>
1. (IT 戦略ビジョンの策定)経営戦略とビジネスモデルにおける IT の役割を明確にし、組織体の IT 戦略ビジョンを策定する。
2. (ビジネス成果の設定)IT 戦略ビジョンでは、経営戦略とビジネスモデルにより達成すべきビジネス成果を設定する。
3. (ステークホルダーのニーズの反映)IT 戦略ビジョンには、ステークホルダーのニーズを反映する。
4. (新技術等の定期的評価)新しい IT ソリューションや新技術が IT 戦略ビジョンに及ぼす影響を定期的に評価する。
5. (市場変化の定期的評価)市場の変化が経営戦略とビジネスモデルに及ぼす影響を定期的に評価する。
6. ( IT 戦略ビジョン等の見直し)事業環境等の評価を実施し、その結果に基づいて、ビジネスモデルと IT 戦略ビジョンの見直しを行う。
Ⅰ.1.2 IT 戦略の策定
組織体における IT システムの利活用のあるべき姿を示す IT 戦略を策定し、それに基づいて IT マネジメントの責任者に指示する。
<達成目標>
1. 取締役会等の意図と期待を明確にした IT 戦略( IT ガバナンス方針と IT 基本計画)が策定されている。
2. IT ガバナンス方針には、ビジネス成果を実現するための IT 戦略の達成目標が設定されている。
3. IT 戦略の実現に必要となる組織体のデジタル活用能力を確保するための戦略と計画が策定されている。
4. IT 戦略において、IT ソリューションの劣化や陳腐化に対処するための戦略と、将来に向けた IT に関する適切な方向性が示されている。
<ガバナンス活動の例>
1. (IT 戦略の策定)IT 戦略に関する取締役会等の意図と期待を明確にしたIT ガバナンス方針と IT 基本計画を策定する。
2. (IT 戦略策定の権限委譲)経営者に権限委譲して IT 戦略を策定する。
3. (IT 戦略の評価と承認)策定された IT 戦略は、取締役会等が内容を評価し承認する。
4. ( IT 戦略の見直し)組織体を取り巻く環境変化を評価し、その結果に基づいて、IT 戦略を見直す。
5. (IT ガバナンス方針)IT ガバナンス方針では、次の事項を明確にする。
(1) ビジネス成果の実現と結び付けられた IT 戦略の達成目標の設定
(2) IT ガバナンスの体制、責任及び権限
(3) IT 投資の方針
(4) IT 資源の調達と IT 人材の育成・確保に関する方針
(5) IT システムの利活用に関わるリスク評価(サイバーセキュリティリスク評価を含む)に基づく IT リスクマネジメントの方針
(6) データ利活用の役割と意思決定に関する方針
(7) 新しいソリューションや新技術の定期的な影響評価に基づく、技術の陳腐化等に対処するための方向性
6. (IT 基本計画)IT 基本計画では、次の事項を明確にする。
(1) 組織体の現在のニーズと将来的なニーズへの対応
(2) IT システムの利活用に関わるステークホルダーの特定と、そのニーズの反映
(3) 組織体のデジタル活用能力の駆使による組織体の価値の向上
(4) IT 戦略の目標達成状況を評価するための開発計画等におけるパフォーマンスの期待値と IT エコシステムの選定基準の設定

ここ2,3年を振り返り読んでいた書籍。

近年...ここ2,3年で読んだ書籍をまとめる。インプット!

現職は内部監査部門に所属していたり、業務でSRE、情報セキュリティの領域に携わったこともあり、その関連が多い。

内部監査

AI監査

AI専業の会社にいるのにキャッチアップしないのはないかなということで読んだ。

ISO統合マネジメントシステムの構築と内部監査の実践

特に「第3章内部監査の基本」「第4章内部監査技術とその適用例」を中心に読んだ。ISO 19011の監査プログラムを知る。

内部統制

内部統制より具体にはJ-SOXをキャッチアップする必要があったので。

機械学習

現場で使える!機械学習システム構築実践ガイド デザインパターンを利用した最適な設計・構築・運用手法

同僚と話題になり、斜め読みした。大変よかった。

ネットワーク

ルーター自作でわかるパケットの流れ ソースコードで体感するネットワークのしくみ [

...ぱらぱらめくった記憶しかない...

エンジニアキャリア

スタッフエンジニア マネジメントを超えるリーダーシップ

上級エンジニアや上級エンジニアを目指すエンジニアに読んでほしい書籍。
テックリード、アーキテクト、ライトハンド、ソルバーどれも私だよ!という自尊心が生まれた。ソルバーが一番近いかな。

社会、業界全般

最後の海賊 楽天三木谷浩史はなぜ嫌われるのか

かつての職場を回顧した。

黒子の流儀

かつての職場を回顧するとともに、いまの職場に関わりないわけでもないので読んだ。春田さんは聡明で、チャーミング。

英国海兵隊に学ぶ最強組織のつくり方

ゲーム

誰かから教えてもらって買った。ほとんど読めていない...。

書き終えて

だいぶ抜け漏れありそう...。

ブラウザで開きっぱなしになっているページを整理

どうしても調べている途中のサイトはブラウザで開きっぱなしにしているが、そのまま忘れ去られるのはもったいないので備忘録として残す。

セキュリティ

情報処理安全確保支援士

情報処理安全確保支援士 倫理綱領
  1. https://www.ipa.go.jp/jinzai/riss/hjuojm000000gwne-att/000073809.pdf
「情報処理安全確保支援士 特定講習」募集等要領

募集等要領から、求められるスキルが読み解ける。

  1. [https://www.meti.go.jp/policy/it_policy/jinzai/tokutei_file/bosyuu221031.pdf:title=「情報処理安全確保支援士 特定講習」

募集等要領]

コミュニティ

Chatham House Rule

  1. Chatham House Rule

建設業者を調べたくなったら

こんにちわ、調べ物とくに法人や人を調べるのが大好きな id:rokujyouhitoma です。

これは pyspa Advent Calendar 2023 - Adventar の10日目の記事です。

建設業者を調べたくなったら

皆さん、家の購入する際や、相続した家を更地にするなど、何かと建築業者と付き合いが出てくるかと思います。はたまた大規模なビルの建設現場を通りかかったら、その建設業者の名前が目にとまることがあるかと思います。

その際に、建設業者を調べたくなると思います。なりますよね?

ここでは、私の調べ方を紹介しようと思います。

レベル1:ググる

ググります。

以降例示で「ゼネコン 売上高 最大」でググったときにスニペットに表示された「鹿島建設」を題材にしようと思います。


まずは会社の概要を把握したいですよね?ググりましょう。ひたすら、ググります。

例えばこんなクエリでググります。大抵はその会社のサイトの情報にたどり着きます。

鹿島建設 会社概要」「鹿島建設 役員」。


許認可を受けたり、公共入札に参加していることがあるかもしれないので、みていきます。また、建築業などに関連して有資格者がいたりするので、それもみていきます。

鹿島建設 資格 許可」「鹿島建設 入札」「鹿島建設 有資格者」。


その会社が上場企業であれば、次のようなクエリでググります。

鹿島建設 コーポレートガバナンス」「鹿島建設 統合報告書」「鹿島建設 内部統制」。

レベル2:登記事項証明書を確認する

会社の概要がざっくりわかったら、登記事項証明書で会社をより正確に理解したくなると思います。

登記事項証明書を取得しましょう。

その会社の所在地がある法務局に通うというもありだと思いますし、司法書士などの士業にお願いすることもできるとは思います。

私の場合は、有償サービスですが、一般財団法人 民事法務協会の提供する「インターネット登記情報提供サービス」に申し込みをして、利用しています。

www1.touki.or.jp

このサービスは、法人の登記情報のみならず不動産登記情報も取得できるので、土地や建物を調べる際にも便利です。法人登記(全部事項)であれば一件332円で取得できます。

取得できるものは下記です。

  1. 不動産登記情報(全部事項)
  2. 不動産登記情報(所有者事項)
  3. 地図情報
  4. 図面情報
  5. 商業・法人登記情報
  6. 動産譲渡登記事項概要ファイル情報及び債権譲渡登記事項概要ファイル情報

インターネット登記情報提供サービスでの検索結果例。

レベル3:国土交通省のサイトで調べる

建設産業・不動産業の監督官庁たる国土交通省が提供するサイトを使って調べます。

私が使っているのは、2つあります。

  1. 国土交通省 ネガティブ情報等検索サイト
  2. 建設業者・宅建業者等起業情報検索システム

国土交通省 ネガティブ情報等検索サイト



届け出が出ている事業所の所在地が確認できたりします。

www.mlit.go.jp

建設業者・宅建業者等起業情報検索システム

建設業者・宅建業者等起業情報検索システム は、国交省が所管している様々な業をカバーしています。

国交省がサイトで掲載している趣旨は次のとおりです。

近年、企業の社会的責任を重視する考え方を背景に、コンプライアンス違反等の不 祥事を犯した企業の収益や株価が落ち込むなど、一般消費者や投資家(「一般消費 者等」)が市場メカニズムを通じて企業に与える影響がますます大きなものとなっ ています。そのような中で、従来の行政の監督に加えて市場による選択・監視を活 用することは、事業者の適正な事業運営の確保のみならず、それを通じて安全・安 心の確保、公正で自由な競争の確保といった行政目的を達成するためにも有効です。

市場による選択・監視の力をより一層活用するためには、事業者の情報開示による 透明性の確保が不可欠です。しかし、過去の処分歴など、事業者にとって有利に働 かない情報(ネガティブ情報)の公開は、事業者自身に任せるのではなく、行政か らも業務を遂行する中で保有した情報を公開していくことが必要です。

ネガティブ情報の公開は、事業者に対し追加的なペナルティを科すために行うので はなく、事業者の適正な事業運営の確保を目的とするものであり、ひいては、国民 の安全・安心の確保、公正で自由な競争の確保などのために有効なものです。

特に法令違反をして行政処分を受けていないか等をしらべるのにもってこいです。

次のものを調べられます。

レベル4:一般社団法人建設業情報管理センターが提供する経営事項審査結果を調べる

もし、公共工事を請け負おうとする建設業者をより知りたい場合には、建設業法に基づいて「経営事項審査」を受けることが義務付けられています。経営事項審査は、経営状況や経営規模等が評価されます。

制度の詳細については、国交省のサイトをみて下さい。
建設産業・不動産業:建設業に関する登録制度について - 国土交通省

2.経営状況分析機関の登録申請について
 公共工事を発注者から直接請け負おうとする建設業者は、建設業法第27条の23の規定により経営事項審査を受けなければならないこととされています。経営事項審査は、経営状況、経営規模等を数値により評価することとされており、このうち、経営状況の分析の業務については、従来は指定経営状況分析機関が行ってきたところです。平成16年3月1日からは、この業務については、国土交通大臣の審査を受けて登録された登録経営状況分析機関が行うこととなりました。

そして、一般社団法人建設業情報管理センター経営事項審査結果の公表 を公表しています。

このサイトのすごいところは、無料で、経営規模等評価結果通知書 総合評定値通知書を確認できます。

キャプチャを貼るのは、控えますが、「鹿島建設の経営規模等評価結果通知書 総合評定値通知書」のリンクはおいておきます。ぜひ閲覧して下さい。

おまけ:民間企業の有償サービス

私は稀にしか使わないけど、民間企業の帝国データバンク東京商工リサーチの有償サービスを使ったり依頼するのもありだと思います。

www.g-search.or.jp
www.tsr-net.co.jp

ざっとソフトウェア開発の技術書の良書、おもしろ書籍を紹介

アクアリウム始めてミナミヌマエビも飼っている。コケが増えてきたのが悩みです。

ざっとソフトウェア開発の技術書の良書やおもしろかった書籍をまとめる。興味があるものがあれば読んでみるとよいよ!

実装から学ぶ、コーディング、アルゴリズムとデータ構造、レビュー、リファクタリング

実装パターン

実装パターン

Amazon
これはすばらしい書籍で、状態や振る舞い、データコレクションについてよく書かれていた。あと命名とか。
ちょっと古いところはあるので、例えば、クラスとかメソッドあたりはぴんと来ないかもしれない。

コード改善するときに、よく遭遇する状況を章立てで言語化しててくれるすばらしい書籍。コードを改善する機会って、コード書けば書くほどあるし、ある日突然コードを改善しないといけないことは多々あったりするから、その機会に

UNIXのコマンドのソースコードで理解試みるなら。

アルゴリズムとデータ構造。

ゲームでよく見かけるデザインパターン。実際よく見かけるパターンがまとまっている。
原文は英語だが、ウェブサイトで公開されている。Game Programming Patterns

ちょっとそれて、検索エンジンを試しに実装から学ぶならこの一冊。

LISPにはマクロという代表的な機能があり、誤解ある表現かもしれないが、言語を拡張できる。
この書籍では、そのマクロを実装で学んで世界を広がるかもしれない。
原著はウェブで公開されている

原著:On Lisp

ちなみに、原著者は、ドメイン見てわかる通り、Y Combinatorの創設者Paul Graham。「ハッカーと画家」著者と言った方が伝わるのかな。
彼が開発関わってのちにYahoo!に買収されたYahoo!StoreはLISPで動いてたんだよ。最高だろ!?


ちょっと古い書籍ではるのだけど、ピアレビューの大切さを伝えてくれる書籍。
レビューにおいてCMMI(組織成熟度)のレベル3(定義された)はこうだというのを垣間見ることができると思う。

デザインパターントランザクションスクリプトとかよくあるパターンを学べる。

広くソフトウェア開発

これは最近の書籍ですでにご存じかもしれない。わたしはドキュメンテーションの章が好きです。

インフラ、インフラの設計

インフラの設計パターンが紹介されている。大規模システムのインフラ設計する機会って結構あったりするから、その前に目を通しておくとよい。

いまどきAWS使う機会多いので、AWSの設計パターンをキャッチアップするならこれ。AWSのソリューションアーキテクト系の資格勉強でよくない?とはなるかもしれない。

Testing

ソフトウェアの品質というのは大変大切でぜひに。

若干古いけど、Googleのテストについて紹介されている。
合わせてGoogle Tesitng Blogとかも購読したり、過去の記事読むとよいかも。

OSSコミュニティなどのテスト関わってる人たちがどうやっているのかを(インタビューもとなのかわからないけど)紹介している書籍。有名どころだとPythonインタプリタ)やFirefox、Claim Anti-Virusのテストをどうやっているかなどを知ることができる。

プログラミング言語、言語処理系

これは本当にすばらしい書籍。様々な言語の概念や、特徴、歴史を学べる。

7つのそれぞれ違うパラダイムの言語を7言語x3日=21日で学ぶ書籍。Iolanguageとかマイナーな(?)言語も紹介されてる。

一昔前は、なかなか程よくインタプリタ(言語処理系)を学べる書籍ってなかったのだけど、程よく一冊目に学ぶならこれ。
一昔前は、ドラゴンブックとかタイガーブックみたいな概念ゴリゴリの大学・大学院で教本になるような書籍(SICPもその一冊といえばそうかな)ばかりだったけど、これは実際につくって学ぶ。最後はマクロまで実装する。

ガーベージコレクションに特化しているが、Rubyコミッターの方が、ガーベージコレクションのアルゴリズムについて紹介してくれている書籍。
GCはこの書籍で学んだ。

沼にはまって、コンパイラの理論を学ぶなら。通称ドラゴンブック。

沼にはまって、コンパイラの理論を学ぶなら。特に最適化に特化している。通称タイガーブック

検索エンジン自然言語処理関連

検索エンジンを基礎の仕組みから、評価、課題やユーザーインタフェース、プロジェクトの始め方など広くまとまっている。

自然言語処理の基礎。放送大学自然言語処理の教本とどちらがよいかなやんだが、こちら。

検索エンジンをざっくり理解するなら。

IME興味あるなら。かな変換や機械学習・統計数学かかわるアルゴリズムも紹介されている。

Google検索エンジンはこんな感じだろって知ることができる書籍。強くすすめはしないが、もし興味あれば。

もし、検索沼にはまりそうで、大学院で学ぶ基礎を抑えるなら。

もし、検索沼にはまりそうで、実装と評価が気になるなら。

データベース

MySQLを中心としてた書籍だけど、MySQLの開発者してた方が書いている。昔いた会社では、まぁ、必修だよねくらい読まれていた。

7つのデータベースが紹介されている書籍。

広く人工知能

これ事典で、お高いけど、ぱらぱらめくってみるだけでも面白いと思う。
私は大学で哲学ちょっとかじってたことがあったりするので、第一章で哲学から語られてて興奮した。
あとは、身近な知人がファジー理論について院で応用研究してたりしたので、そこだけ読むとか、自然言語処理についても当然収録されているし、過去に関わった電力関連の事例も収録されていたりする。

ソフトウェアライセンス

どうしてもOSSを使う機会はあり、ライセンスは知っていないと困る。ソフトウェアライセンスを学び始めるならこれ。

エンジニア採用

MicrosotでExcelの開発関わってた Joel Spolsky が書いた採用ガイド。
身近で読まれてるのよねー。

システム運用、サービス運用

ITIL4の図解付きの書籍。ITサービスマネジメント興味あればぜひ。というかITシステム使ってると関わってないわけはないことをITIL4というベストプラクティスを体系化している標準があって、そのITIL4を学ぶ一冊目に。

書籍名の通り。

セキュリティ

セキュリティの書籍は紹介したいのが、いくつもあるけど...ネタとしてこの一冊を変化球として紹介する。
Python(のツール)を使って、バイナリ解析どうやればよいのかというのを紹介している書籍。

もし、サイバーセキュリティに関する法務、法律に興味あるなら、この一冊。

思考手法

知的生産するうえで大切なことを淡々と語ってくれている書籍。はまる人にははまると思う。

ラムダノート社の書籍

技術書出版ラムダノート – 技術書出版と販売のラムダノート

控えめにいって、どれも最高。