Azureの Web AppsにFTP接続
WordpressをAzure WebAppsへ移行するのを個人的に頼まれ、Wordpresのメディア(画像系)の
アップロードをちまちまWebUIでやるのはしんどいので、FTPが使えるらしいので試してみた。
1.Azureコンソールへ接続し、アップロード対象のWebアプリを選択し、「デプロイ資格情報を設定する」をクリックする。
2.ユーザー名とパスワードを入力し、チェックをクリックする。
5.接続情報の入力画面が出るので先ほど控えたデプロイ/FTPユーザーと設定したパスワードを入力する。
6.Web接続できることを確認する。
8.接続情報の入力画面が再度出るので情報を入力する。
9.エクスプローラーで開くことを確認する。
【勉強会】第18回オワスプナイト
OWASP Japan主催のオワスプナイトに初参加したのでメモを残しておきます。
* Outreach Activities - S Nakata
元 Webの脆弱生診断員
現 コンサルタント OWASPプロモーションリーダー
今日のお話
・OWASP Japan対外的活動の共有
・OWASPのドキュメント類の紹介
【対外的活動の共有】
OWASP Japanブログを始めた
イベントの参加やオワスプナイト開催の通知等を長文で解説する
【ここ最近の活動】
本日のデブサミにブースを出展しその足でここに来た
JFT2015(ブースとショートプレゼンで参加)
石切山さんがプレゼンテーション
某社とコラボレーション企画を考えている。
【OWASPのドキュメント類の紹介】
OWASPドキュメントの使いどころ
・要件定義フェーズ
WebシステムWebアプリケーションセキュリティ要件書
・設計・開発フェーズ
OWASP Proactive Controls
OWASP TOP10で定義したリスクを事前に防ぐ方法をまとめたもの
OWASP ASVS
後のセッションで説明
OWASP Cheat Sheet Series(33種類、14準備中)
テクニカル要素(あるべき論)を纏めたもの
・テストフェーズ
OWASP Zed Attack Proxy (ver2.4.0)
日本語UIが多くなった
アタックモード(web遷移するとアクティブスキャンをかってにかける)
・運用保守フェーズ
OWASP Testing Project
テスト手法を纏めたもの
OWASP ModSecurity Core Rule Set Project
modsecurityに関するもの
OWASP AppSensor Project
侵入検知とそれに対するレスポンス応答を同時におこなう
OWASP Dependency Check
使っているライブラリに脆弱性がないかをチェック
その他
OWASP TOP10
Mobile Top Ten
Internet of Things Top Ten
リスクと対策を纏めたもの
OWASP Snakes and Ladders(twitterbotが存在)
OWASP TOP10のリスクと対策をスゴロクで遊べる
OWASP Proactive Controlsを日本語訳した。(公開準備中)
* Hardening Project 2015 - Hardening 10 Market Place Inside Story - N Takanori
OA機器メーカ勤務
【Hardening Projectとは】
ITシステムの総合運用能力を競うイベント
ビジネス継続をふまえた守りに特化したもの
6/20,21に沖縄宜野湾市(コンベンションセンター)で開催
20日は競技主体のHardeningday
21日は振り返り&表彰のsoftningdaywasforum.jp
ロゴの意味は灼熱のHardeningdayと祝福のsoftningdayで
色がそれぞれ分かれている。
Hardening Project 2015コンセプトロゴです。 pic.twitter.com/wxNibVanXK
— Hardening Project (@WASForum) 2015, 6月 17Hardening競技とは
テーマはマーケットプレイスの活用
・インシデントレスポンス
・可用性
・パフォーマンスチューニング
・在庫管理
これらをうまく8時間で回していく。
実行委員の川口さんが@ITに競技の模様をコラムとして書いている。www.atmarkit.co.jp
【コラムに書いてないこと】
マーケットプレイスの商品は?
プラットフォームサービス、プロダクト、アウトソーシング、コンサルティング、分析解析、構築サービス
これらを使ってECサイトをうまく回していく(可用性を保ってDoS回避とか)
マルウェアの回避はプロダクト内のWAFだったりセキュリティ対策ソフトを使って対処
※うまく使っていたチームは少なかった印象
応募選考があり、MAX40名を想定していた。
スーパーアリーバードで十数名を想定。
金曜夜にスーパーアリーバードを募集して日曜の昼に締め切りで40名のうち過半数を超える応募
急遽、アーリーバードを廃止して選考しようとしたが、その後も応募が多数。
VM数が350超え、VLANIDも100を超えるシステムでの競技になった。
Hardening 10 marketplace, スーパーアーリーバードに期待値を超える申し込みをいただきました! 実行委員会で熟慮の結果、Early Birdsを無くすことにしました。 Birdsで申し込んで下さい!
— Youki Kadobayashi (@youki10) 2015, 4月 26競技環境内はLBに繋がれた3台のECサイトやDB、サポート端末といったものが用意され、
これらをうまく管理しさまざまな攻撃に対処する。
これらのサイトはTomcat、wordpress、stratsといったもで構成されている。
Tomcat、wordpressのプラグインは脆弱性対策されているが、インジェクション対処をしない
チームがほとんどであった。
簡単に対策できるところだと思うのできっちりやってほしい。
手軽に確認できる方法としてSecurity Ninjas AppSec Training Programがある。
dockerコンテナで脆弱性のあるWebページが用意されている。
OWASP TOP10の項目に紐付いたWebページとなっておりクイズ形式で進められる。
OWASP TOP10の脆弱性項目を簡易的に体験できる。
Mini Hardening Project 1.2が8月に開催される(1.0や1.1に参加されていない方が対象)
3時間程度のライトなHardening競技でこちらで腕を試して12月の本戦にお越し頂きたい。minihardening.connpass.com
ざっくり分かるインシデントレスポンス M Tamaki
以下2点のお話し。
・最近のWebサイトに対する脅威
・Webアプリケーションエンジニアからみたインシデントレスポンス
最近のWebサイトに対する脅威
2015年7月だけでも脅威が9つもある。
攻撃者の目的は攻撃用インフラとして使うものや情報を搾取するケースとして分類できる
被害者は企業ではない、Webサイトの利用者である
企業としては利用者に対し情報を提供することが大事
対策責任の所在
利用者の問題というものはあまりない
パスワードリスト攻撃にしても運営者が強固なパスワードや認証手段を用意すればよい
運営者が責任もって対処すべきである
とはいっても脆弱性ってそんな簡単に対処できない
ゼロデイ脆弱性トップ5のパッチ適応される期間がどんどん伸びている
→対処が難しい
攻撃までの期間が早い
→シマンテックレポートでは脆弱性が明らかになって4時間で攻撃開始されるものもある
対処が難しい
パッチ適用のためのサイト停止が難しい
インシデントレスポンスの必要性
適応できないから何か起こった場合、チェックして見つけて対処する必要がある
脆弱性を防いで、攻撃されないようにするのは難しい
攻撃される事を前提で、それをいかに検知し対処できるか
Webアプリケーションエンジニアの方はそれらを理解して行動しなくてはいけない
Webアプリケーションエンジニアは何をすべきか
インシデント発生時、CSART体制(想定)で活動すると思われるが、Webアプリケーション開発者及び
Webサイト管理者はインシデントに対する調査や対応、復旧の実働者
インシデントレスポンスの一般的なライフサイクル
準備 → 検知・分析 → 封じ込め・根絶・復旧 → 事後活動
これらのカテゴリ内でWebアプリケーションエンジニアがやるべき事
準備:サイト情報の整理、検知策導入、監視、予防対策 <平時>
検知・分析:インシデント初期調査、調査結果の報告、セキュリティ専門業者とのやり取り <有事>
封じ込め・根絶・復旧:初動対応、対策の実施、サイトの復旧 <有事>
事後活動:改善の協力 <平時>
検知・分析
・エラーログアクセスログを見る
・改ざんされることを想定し差分を取っておく
・MD5やSHA1といったハッシュ値でチェックする
・日付を見ておく
・NW設定を見る(変更されてないか)
・アカウントの確認
・ジョブスケジューラの確認
・DNSとかARPの設定確認
やらないといけない事がたくさんある
焦ってはいけないけど急ぐ
Webサーバのログチェック観点
存在以内ファイルや埋め込みコード、LB内すべてを対象とするとか
報告
調査の結果は必ずCSIRT(責任者)へ報告
Webアプリケーションエンジニアはあくまで手を動かすこと
電話での報告
VoIPとかだと攻撃者が盗聴しているかも
メールでの報告
スニッフされているかも
報告も気をつける必要がある
ログ確認時も注意が必要
エビデンスが汚染される(アクセスによって履歴が変わる)
調査履歴を取ることが必要
調査結果の報告で忘れがちな事
専門家に規定頂いた時の入室管理やアクセス権の扱い
調査場所がDCである場合とかは事前に入館申請を出すとか忘れがち
封じ込め・根絶・復旧
気をつけるべき事としては、対処した時に変わる情報を押さえておく(報告と同様)
自分が管理しているサイトにどのくらいの売り上げや重要度があるのか
これにより対処したいが出来ないこともある
ECサイトのセール等で止める事ができないようなこともあるのでスケジューリング大事
CSIRT責任者が把握していればいいということも考えられるが、Webアクリケーション
エンジニアは実際のアクセス量や対策の問題点を把握しているので説得力がある
対策の実施
バックアップから復旧すると完全に直らない場合がある。
古くから発生しているインシデントもある。(履歴管理をすること)
復旧後に脆弱性が完治している事を確認、それをもって公開する
まとめ
インシデントレスポンスは重要だけど実際に実施すると大変なことが多い
チートシートはログのチェック項目や観点が書いてあり参考になる
インシデントレスポンスのフォーマットもある
Application Security Verification Standard (ASVS) Project 3.0 preview - R OKADA
アプリケーションセキュリティ検査/検証の標準化というプロジェクト(2009年頃から)がOWASPにある。
アプリケーション検査における象徴的な絵
「思った通りに動いてる」とは何か?
思った通りに動いているという事をテストするときに
・ソフトウェアの脆弱性、ビジネスロジックの話をいかに網羅しているかを定義
・リスクに対して十分なテストをしているという定義
これら以外に難しい。
このような背景からOWASPでは標準化するという活動をしている
検査:第三者的なイメージ
検証:Verificationを翻訳すると「自分でverifyする」という主体的な意味合いもあるし、
既に起きているものを検査するという意味もある
文脈に応じて使い分ける(誤解を招く可能性あり)
OWASP TOP10
重要リスクの普及啓発するツール
しかし、検査しなくてはならない項目としては明らかに不十分
検査しなくてはならない項目を網羅的にしたドキュメントではない
注意事項にはASVSをガイドすることの明記がある。
開発者向けのメッセージにもASVSをセキュリティ標準とする事が明記されている。
ASVS 1.0のあまりよくなかったとこ
検査レベルを1〜4まで設けていた
ツールで出来るテストの範囲とツールで出来ない範囲のテストを厳密に定義した
どのようにテストするか?何をテストするか?の両方が書かれてしまっている
そのため身動きが取れにくくなってしまっていた
ASVS 2.0
シンプルなセキュリティレベルが定義された。
Level 0:テストしてない
Level 1:すぐに見つかるレベル
Level 2:標準レベル
Level 3:より進んだテストを実施
それ以上:外部とのモジュール接続等標準化しにくいもの
どのようにテストするかではなく、どのような項目をテストするかが書かれている
13項目からなる検査要件
Vxxで表現(xxは数字)
V2. Authentication
V3. Session Management
・
・
・
V17. Mobile
Version 3.0が7月にPreview版がでた
大項目が3つ増えた
V18. Web services (NEW for 3.0)
V19. Configuration (NEW for 3.0)
V20. Client side Security (NEW for 3.0)
議論の場はGitHubで行われる
issueベースで議論github.com
レベルはどのように決めるのか?
このシステムはレベル1でOKのような使い方、このシステムはレベル2は必要みたいな。
付録ページにあらゆる業種で使われるシステムで定義に応じたレベル分けをしており、
リスクの仕分けに使える
標準の使い方
宣伝文句に惑わされない(XX社製品よりできますとか)
開発会社の選定(レベル2以上の技術が必要とか)
使いどころ
経営層にアプローチ
開発中のシステムに照らし合わせてみる
セキュリティに関係ない方、学生さん
セキュリティを学ぶツールとして利用できる
セキュリティ上の原則に基づくテクニックが学べる
www.slideshare.net
参考Web 第18回 オワスプナイトまとめ #owaspjapan togetter.com @okdtさんのツイートOWASP Nightで投影すればよかったビデオがありました Promotional Video for AppSec USA 2015 - Highlights from 2014 https://t.co/mjRTLM47HN #owaspjapan
— riotaro okada (@okdt) 2015, 7月 30
うるう秒まで あと2日!
明後日(2015年7月1日)に挿入される「うるう秒」に対して各社の対応を纏めてみました。
うるう秒について説明もそんなに必要ないと思いますが、独立行政法人 情報通信研究機構(NICT)からプレス
リリースがでていますのでこちらを見て頂ければ分かると思います。
プレスリリース | 「うるう秒」挿入のお知らせ | NICT-情報通信研究機構
IaaS関連
【AWS】
EC2について
AWS側でインスタンス内部の時刻同期は管理しないのでNTPを利用する事を推奨。
AWSが提供するAMIはデフォルト設定でtime.windows.comやntp.orgに同期を取るように
設定されている。
但し、保証は出来ないのでOSベンダ対応を確認することを強く推奨。
マネージメントコンソールやAWSにおけるバックエンドシステムについて
うるう秒に未対応。
ログ取得サービス(Cloudtrail等)のログに「:60」といった記録は残らない
【Azure】
具体的な見解は見当たらず利用者側も注意しておいた方が良いという記載です・
※不安な方はサポートに問い合わせることをおすすめします。
今年は7/1にうるう秒が挿入されるようです。 : Microsoft Azure 情報メディア「AZURE WAVE」
MS製品の対応の記載もありましたので記載しておきます。
http://smallbusiness.support.microsoft.com/ja-jp/kb/2722715
【GCP】
Googleは1秒を反復するのではなく、余分な1秒をわかりにくくして消してしまう処理する。
20 時間後には、うるう秒が完全に加えられ、ぼかしの入らない時間と同期する。
Google Cloud Platform Japan 公式ブログ: うるう秒がやって来る!〜 6 月 30 日の ” 1 秒”に備えよう〜
【Softlayer】
Softlayerとしての公式見解は見つかりませんでしたが、Softlayer上に乗っている思われる
IBM Platform Computing製品は、うるう秒の影響は受けないとの記載があります。
※不安な場合はサポートへの問合せをおすすめします。
IBM 2015年うるう秒に関するガイド - Japan
【Cloudn】
7/1までに基盤ににてslewモードを利用して、うるう秒に対応する公式発表が出ています。
うるう秒挿入に対するCloudnの対応状況・およびお客様へのお願い | クラウド・エヌ・インフォメーション
【GMOクラウド】
影響有りの可能性があるとの公式見解が出ています。vps.gmocloud.com
【ニフティクラウド】
回避策の提示が公式見解で出ています。
http://info.biz.nifty.com/cloud/20150601_pls.pdf
【ビットアイルクラウド】
powerd by ニフティクラウドで提供しているので、基本的にはニフティクラウドの
見解に準ずるとのことです。
2015年7月のうるう秒対応につきまして | ビットアイルクラウド Nシリーズ Information
【Akamai】
アカマイはシステムの障害を未然に防げるよう”Leap Smear”技術を使って回避する
との公式見解が出ています。
Login | Akamai
※上記URLはログイン要
【EMC】
製品別にナレッジを公式に出しています。
EMC Community Network - ECN: 2015年7月1日うるう秒問題
【トレンドマイクロ】
製品によってはハングアップする可能性がある事を公式見解で出しています。
サポート情報 : トレンドマイクロ
影響を受ける製品は以下
InterScan Messaging Security Virtual Appliance 8.x
Trend Micro Threat Discovery Appliance / Deep Discovery / Inspector All
Deep Discovery Email Inspector 2.0
Network VirusWall Enforcer All
ServerProtect for Linux 3.0
InterScan Web Security Virtual Appliance 5.6
InterScan Messaging Security Suite 7.0
【シマンテック】
Symantec Mail Security製品について記載がありました。
Symantec Mail Security製品では、うるう秒の挿入により製品の動作に影響を与えるような
障害はないという公式見解が出ています。
Symantec - Symantec Mail Security 製品がサマータイムやうるう秒に対応しているか確認したい
※上記以外の製品についてはサポートでご確認頂く事を推奨します。
【Oracle】
Oracle社からうるう秒に対しての公式見解は見つかりませんでした。
NTTデータ先端技術株式会社さんがOracle製品のうるう秒に関して触れています。
Oracle 製品 (DB、WLS、BI) のうるう秒に対する対応について | NTTデータ先端技術株式会社
※Oracle社の公式見解ではないのでご注意ください。
【SQL Server】
うるう秒に伴うシステム時刻のずれ(1秒間)が発生したとしても、それがSQLServerの動作自体に
影響を与える事はないという公式見解が出ています。
うるう秒に関するサポートについて
【DB2】
影響を示唆する公式見解が出ています。
IBM [DB2 LUW] うるう秒が DB2 に与える影響 - Japan
【MySQL】
MySQL5.6リファレンスマニュアルに記載がありました。
MySQL :: MySQL 5.6 リファレンスマニュアル :: 10.6.2 タイムゾーンのうるう秒のサポート
【Postgresql】
9.3のドキュメントに「技術的には、SQLはうるう秒を制御しない」との記載がありました。
https://www.postgresql.jp/document/9.3/html/functions-datetime.html
【その他参考ブログ】 うるう秒まとめ - めもおきば 2015うるう秒対策!WindowsもLinuxも任せろ! うるう秒挿入後に Leap Second Insertion フラグを削除する - Red Hat Customer Portal Javaとうるう秒 | DAブログ
【メモ】LXDを少し触ってみた
気になってたLXDを少し触ってみましたのでメモを残しておきます。
LXDって何? は以下を見てもらうと分かりやすいです。
Linux Containers - LXD - イントロダクション
まず、コンテナ上にOSを立ち上げるところを試してみました。
どんな環境でもいいのですが、Azure上にubuntuを立ち上げてその上でLXDを
動かしました。
#cat /etc/issue
Ubuntu 14.10 \n \l
リファレンスを見るとPPA を使うことを推奨しているようなので従います。
# add-apt-repository ppa:ubuntu-lxc/lxd-git-master # apt-get update # apt-get install lxd
次にイメージのインポートです。
【ubuntu】 # lxd-images import lxc ubuntu testubuntu amd64 --alias ubuntu 【centos6】 # lxd-images import lxc centos 6 amd64 --alias centos6
落としたイメージを確認できます。
# lxc image list +---------+--------------+--------+-------------+--------+-------------------------------+ | ALIAS | FINGERPRINT | PUBLIC | DESCRIPTION | ARCH | UPLOAD DATE | +---------+--------------+--------+-------------+--------+-------------------------------+ | ubuntu | 04aac4257341 | no | | x86_64 | Jun 22, 2015 at 10:35am (UTC) | | centos6 | afae698680fc | no | | x86_64 | Jun 24, 2015 at 1:14am (UTC) | +---------+--------------+--------+-------------+--------+-------------------------------+
イメージから指定のOSでコンテナを起動する。
ロードしたいOSのALIASの名称をlaunchの後にいれ、コンテナ名(任意)を入力する 【ubuntu】 # lxc launch ubuntu testubuntu 【centos】 # lxc launch centos6 testcentos6
即立ち上がるので立ち上がったコンテナ一覧を出します。
# lxc list +-------------+---------+------------+------+-----------+-----------+ | NAME | STATE | IPV4 | IPV6 | EPHEMERAL | SNAPSHOTS | +-------------+---------+------------+------+-----------+-----------+ | testcentos6 | RUNNING | 10.0.3.194 | | NO | 0 | | testubuntu | RUNNING | 10.0.3.107 | | NO | 0 | +-------------+---------+------------+------+-----------+-----------+
あとはコンテナに対し自由にコマンド入力できます。
# lxc exec testcentos6 -- uname -a Linux testcentos6 3.16.0-39-generic #53-Ubuntu SMP Tue May 26 09:38:21 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux # lxc exec testcentos6 -- cat /etc/issue CentOS release 6.6 (Final) Kernel \r on an \m # lxc exec testubuntu -- uname -a Linux testubuntu 3.16.0-39-generic #53-Ubuntu SMP Tue May 26 09:38:21 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux # lxc exec testubuntu -- cat /etc/issue Ubuntu 14.04.2 LTS \n \l
コンテナの内部でshellも打てます。
# lxc exec testcentos6 -- /bin/bash [root@testcentos6 ~]# pstree init-+-dhclient |-2*[mingetty] `-rsyslogd---2*[{rsyslogd}]
コンテナを停止させます。
# lxc stop testubuntu # lxc list +-------------+---------+------------+------+-----------+-----------+ | NAME | STATE | IPV4 | IPV6 | EPHEMERAL | SNAPSHOTS | +-------------+---------+------------+------+-----------+-----------+ | testcentos6 | RUNNING | 10.0.3.194 | | NO | 0 | | testubuntu | STOPPED | | | NO | 0 | +-------------+---------+------------+------+-----------+-----------+
停止したコンテナを起動させます。
# lxc start testubuntu # lxc list +-------------+---------+------------+------+-----------+-----------+ | NAME | STATE | IPV4 | IPV6 | EPHEMERAL | SNAPSHOTS | +-------------+---------+------------+------+-----------+-----------+ | testcentos6 | RUNNING | 10.0.3.194 | | NO | 0 | | testubuntu | RUNNING | 10.0.3.107 | | NO | 0 | +-------------+---------+------------+------+-----------+-----------+ 一連の流れは問題なくできそうです。 今のところ情報が少ないのでDocker(LXC)のほうが取っ付きやすい感じがしますが もう少しLXDを追っかけてみようと思います。 ubuntuで有名な Canonical Ltd が商用盤として保守をされているようです。 www.canonical.com LXDについて話されている動画もありました。 insights.ubuntu.com参考Webサイト [lxd] - TenForwardの日記 Ubuntu 15.04とLXDではじめるコンテナ型仮想化 | 株式会社インフィニットループ技術ブログ lxc/lxd · GitHub
【勉強会】世界に羽ばたく!! Product Manager Night
6/4にスマートニュースさんで開催された「世界に羽ばたく!! Product Manager Night」の
メモです。smartnews.connpass.com
最前線で活躍されているプロダクトマネージャのテック話、思想論、考え方等のお話が
聞けて大変勉強になりました。
以下メモです。
SmartNews
Ads プロダクト担当ディレクター 渡部 拓也さん
NativeアプリにおけるProduct Management ~ 点・面・線 ~
www.slideshare.net
人生はゲームみたいなもの
・パーティにはいろいろなキャラが必要
戦士とか僧侶とか、、、プロダクトマネージャは勇者キャラだと思ってる
・例えばInngressレベルはある程度のとこまでは簡単だけど、そこを越えると
上げるの大変。
プロダクトマネージャはそのメダル(プロダクト戦略、業績)を獲得して人
スマートニュースに置けるプロダクトマネージャ
エンジニアの上位職種の位置づけ
(決してエンジニアより偉いとかそういう事ではない)
より上に上がるための選択肢(ダーマの神殿的な)
・プロダクトマネージャになるか
・スーパーエンジニアなるか
SmartNewsのMAUは417万人(国内No.1)
月間総訪問時間は1,335時間(第1位)
全米ニュースアプリNo,1(1,200万DL突破)
メディアとしての見せ方も意識している。広告だけではない。
SmartNewsがどういうプロダクトで、どういうメディアで、どういうユーザーが
居るのか等を考えながら、広告も考える。
両局面を考えるのが非常に大変。
・メディアとしてはクリックされれば儲かる。
・配信事業者として考えると、広告主からすればクリックされてインストール
してもらわないと困る。
点・線・面を意識している。
3つに分けた理由は??
問題の粒度に応じて意識するポイントを明確に分割。思考の統治分割。
点
広告の表示
・画像サイズ
記事レイアウトで動的に決定。表示保証領域は守る
・文字
長短2種類の文字データを入稿
動的に使用する文字を選択
・クレジット
広告主名を広告表示と併記
点の極意
一つのボタン、一つの文字列、魂は細部に宿る
点だけだとネイティブには足りない気がする。
面
点(view/矩形)のstackとしてのpage
pageとpageをつなぐLink
ネイティブにおける面
縦(上下)スクロール → 右にスワイプ → 左スワイプ → タップ
何が言いたいのかというと、、、
Transitionが大事
Transition
SmartNews全体を張り出す(スライド 31ページ参照)
実際に動かしてイメージする。閲覧領域を確認する。
でっかいスクリーンをスマホの穴で探索するイメージ
・広告が過大に見えすぎたりしてないか?
・想像する見た目になっているか。
記事の抽出/配信を行うシステム
記事のURLをインターネットで探索してきて見つけてきて、構造解析/構文解析をして
どのくらい重要な記事かを推定、Diverslfcationと呼ばれる処理をする。
例えば東京オリンピック決定の記事が出ると各メディアが一斉に書く。
それでスポーツ関連の記事を開くと東京オリンピック開催決定っていうだけの記事では
つまらないので、同じようなこが書いてある記事を並ばせないような選定をする。
広告の仕組みはユーザの行動ログと広告の配信実績を噛み合わせて特徴ベクトルを作る
フィルタリングにはさまざまな制限があり時間帯や1日あたりの配信量等、配信していいもの
以外をはじく。
利用ユーザーにとって何がよい広告なのかを独自のアルゴリズムを使って計算している。
配信結果のログから学習もする。
広告を含むコンテンツ編成 適切なユーザに適切なコンテンツ配信を行う
コンテンツへのアクセスを提供
ユーザから見える画面は平面。
奥行きがある面のイメージして作っている
線
GOALに続く面の進化
Executionとは
・ひたすらProductについて決断
・良質なlterationをまわし続ける
・Teamにwhy(背景、決断理由)を伝える
Product Managerをスタートアップでやる意味は?
時間という概念が加わる
→ いつまでに市場のどのポジションを取るのか
スピードが大事。では何にBetするのか?
例えばマージャン。最終回で1万点必要なのに5千点しか取れない手であがっても
仕方ない。
勝つためには1万点に鳴る可能性がある中で最も高い確率のもの選択する。
勝つ手の中で最大の可能性にあるものに賭ける。
エンジニア出身のProduct Managerが気をつけた方がいい事
・自分が無力である事をちゃんと認識する
・納期、品質を自分の経験を基準で考えない
Product Managerとして腕を磨くエクササイズ
・筋トレ(リアルな筋トレとは別)
→ センスは磨くもの。
・良質なサービスやProductに触れ続ける。
→ 続けないとダメ(筋肉が落ちる)
・街中Elevator Pitch
→ しゃべるチャンスがあったら「Do you know SmartNews?」
(サンフランシスコでやった)
いきなり話すので30秒くらいしか無い。
短い時間でどのような説明をしたのか、すればいいのかを考える
結果、Uber運転手がインストールしてくれた。
街中Elevator Pitchのコツ
話聞いて貰えないとダメ
フックになるようなネタを仕込んでおく(腕時計を左右2つ付けるとか)www.itmedia.co.jp
CyberZ
OPENREC事業部 開発局局長兼プロダクトマネージャー 中村 智武さん
ネイティブマーケティングカンパニーにおけるProduct Manager
プロダクトマネージャの心得の一例
www.slideshare.net
商売の基本サイクル
創って、作って、売る(V字回復の経営)
CyberZの共通言語になっている。
Product Manegerは「創って、作って、売る」をまわす責任を持つ事
ミッションは携わっているProductを市場でNo1にする
創って:ロードマップを引き、開発項目を決定する
→ビジネスを分かってないと話にならない
作って:開発体制を組織し、マネージメントする
→技術を知ってないと話に鳴らない
売る:価値を正しく市場や顧客に届ける
→プロダクトの価値を分かってないと話にならない
求められる事の幅が広い。
創って → 作って → 売る これをしっかりと矢印を邁進させる
作る
・エンジニアの採用と育成には全責任を持つ
→作る上でも人は大事
・技術セットは幅広く抑えておく
→それぞれの技術セットがどう使われていて、どう活用されているかは
把握する
・時間を見つけてコードを眺める、出来れば書く
→Productの本質的に深く理解するのはコードを知るのが早い
売る
・売る=自分で営業もする、ではない
→自分と同じ事をはなせる人間(営業)を作る
・機能説明をする人には決してならない
→機能ではなく、顧客が何を求めて自分たちのプロダクトがどう活用できるか
・同じ話を社内の全員が出来る状態を目指して頑張る
→覚えてもらうではなく理解してもらう
創って
・ハンズオン、ハンズオン、ヒアリング、ヒアリング
→自分の足でクライアントのもとへ行き、自分で聞く
・自分だけでは限界があるので、情報が集まる組織に
→全部出来る訳ではないので、情報があつまるようにする
・そして、市場が求めてるものだけを開発する
→答えを誰も持ってない事が多い
・「これは今は創らない」という開発の断捨離をして開発スピードを上げる
創って、作って、売る会議
・プロダクトサイドとセールスの会議
情報共有の場ではなく、Productの良さが市場に届けられているかの管理
顧客からフィードバックを貰う。
結論
・プロダクトマネージャはプロダクトにおける「何でも屋さん」
・エンジニア出身がなるべきポジション
・やりがいは最高です
DeNA
取締役 最高技術責任者 川崎 修平さん
自分はプロダクトマネージャではないですがプロダクトよりの開発者として
思ったきたことなどを
プロダクトに関する要素
主な構成要素
・事業戦略(ビジネスセンスがいいか)
・プロダクト(DeNAの場合は容れ物な事が多い)
品質/出来映え、サービス清澄戦略、分析、、、
・コンテンツ(ゲーム等)
・マーケ
・営業(どういうトークをしたらいいか)
・マネタイズ
事業にとってのそれぞれの構成要素の重要度は異なる
出来るだけ広い分野の知識があるにこした事無いけどすべての理解の必要は無い
っていうか無理
しかし、プロフェッショナルが考えている事をやいってる事を理解できる事は重要
余談
分析の目的
定性的な分析
ユーザー心理の理解
気づいていなかった需要への気づきのきっかけ
定量的なもの
仮説が正しかったのか検証
成熟期におけるセサく効果最大化
定量的なもの関しては結果が理解できればいいが、定性的な部分は自分で
見た方がよい
プロダクトマネージャまで目指さなくても
当然ながらプロジェクトマネージャかそうでないかの2択ではなく、中間という
選択肢もある。
職人的な品質・保守性を追求する立ち位置と、サービス成功を追求する立ち
位置と、その中間と。
実際のところ、プロダクトの全責任を負いたいエンジニアは少数派だと思う。
エンジニア経験とプロダクト
エンジニアとしての経験がプロダクトにどう生きるか
プロトしながら現物見て品質改善できるので、凡人でも品質を高める事が用意
→天才的な想像力が無くてもいける。
ともかく話が早い
→こんな事したいって伝えるとその要求に対して最大公約数的なサービス設計が
出来る
エンジニアであるが故の悪癖
・無意識に面倒な実装を避ける
・エンジニア目線で嫌な出来映えの部分はリリースしたくない時もある
→ディスられるのとあった方がいいと思う機能の葛藤
・あとで対応できる事を後回しにしてしまう
以下、自分の立場やチームでサービスを立ち上げる時に大事にしている事
・チームは事業の目的に対して同じゴールを持っている
→ ここが出来ないとうまくいかない。成功したチームを見た事が無い
・ゴールが達成された世界のわくわく間を共有している。
・互いの専門性を尊重して、お互いの観点から率直な意見交換ができる
→ エンジニアだからプログラム書く、営業だから営業だけやります、とかあるが
事業のゴールを目指す事が第一義である。本当は営業やりたいけど能力無いから
営業は任せますみたいなスタンスで仕事できるとお互いハッピーになる。
互いの意識を尊重し合える。
・プロダクトに一貫性を持たせポイントがずれないようにするために、最終決定は
明確なオーナーが責任もって意思決定する。
→ 一貫性が無いと話が伝わらない。最終的には誰かが責任もって一貫性持った
世界観できちんとやる。
・成功イメージが描けるまでは見切り発車してチームを動かすのはいけない。
魂感じるプロダクト
・魂の籠ったプロダクトは、何か伝えたい意思がユーザー側に肌感覚で伝わる
→ 納期ギリギリでやったんだなぁとか、こんなことしたかったんだろうなぁ
みたいなのは伝わる
・細々としたテクニックはあると思うが、最重要なのは一貫した明確な製品ビジョンを
持ってものつくりに取り組む事
→ どういうプロダクトを届けたいのか。一貫性。
・焦点がぼけるくらいならあった方がベターな仕様でも切った方がいい
→ 伝えたい事をユーザーにきちっと伝える。
・あと、寝る時間にどれだけ触ってるかとか。
→ 開発の時間を外れてる時に触ってると気づく事がたくさんある。
開発者の立場で要件見ながらやってると気づかない事でも離れると気がつく事が
ある。
・とりあえず一番伝えたい事は何か?
→ 人に伝えれているときをイメージする。
フェーズにあわせたプロダクトの変化
・アーリーアダプターに刺さるフェーズ
割り切って一番響くと事に特化した尖った設計
おおらかにする事でシンプルな設計
→ まだ誰も使ってないのにセキュリティ・個人情報ガチガチに作っている。
まだ流行っても居ない段階でガチガチにしないようにしている。
・マスに広げるフェーズ
ローンチ時にアーリーアダプター特化した仕様のうち、この規模の規模になると
有効に機能しない or 支障になる壁は切り離す。
・収益化のフェーズ
→ 手が離れるフェースなので分からない。
課題
個人がプロダクトを主体的に持ちながら計画的に仕事を進めるのは個人的には
まだまだ課題が多い
GREE
取締役執行役員 荒木 英士さん
Engineering出身Product Managerの強みと弱み
私なりのProduct Management
・Lead team
→ チームを成功に導く
・Drive project
→ プロジェクトを成功に導く
・Make Product
→ プロダクトを成功に導く(沢山のユーザー、沢山の収益)
Lead team
・プロジェクトマネージャの仕事
ビジョンを打ち出す
メンバーを集めチームを作る
メンバーのパフォーマンスを最大化する
・エンジニア出身だと、、、
テクノロジへの情熱、企画書ではなくプロトタイプ
エンジニアは技術がわかるリーダーを好む
課題への理解と対策の精度が高い
Drive project
・プロジェクトマネージャの仕事
プロジェクトマネジメント
チーム内外との協調・協同
問題発見、解決
エンジニア出身だと、、、
開発行程の理解、リスクやボトルネックをスケジュールか
オブジェクト指向とか役立つ(気がする)
何が起きてるのか理解しやすい。エンジニアを応援できる。
Make Product
プロジェクトマネージャの仕事
ユーザー理解と課題定義
プロダクトデザイン
実装、Growth、$$$
エンジニア出身だと、、、
テクノロジの歴史と展望に基づいた膾炙増を描ける(?)
Cutting Edgeな技術により実現可能なinnovativeなアイデア(が出るかも)
開発にもGrowthにもマネタイズにも技術理解は欠かせない
私が大事にしている事
誇りに思えるもの以外リリースしないこと
そんないいことばかりではない
エンジニア出身だからこそ失敗したこと
企画発想が自分の実装能力に縛られる
開発工数見積もりが自分ベース(過少・過大)
エンジニアが書いたコードを上書きしてキレられる
他社製品・サービスを買うより自分で作りたがる(Not Invented Here症候群)
NIH症候群 - Wikipedia
エンジニアがプロダクトマネージャになるには?
流行ってるものに迎合してみる
参考リンク 世界に羽ばたく!! Product Manager Nightのつぶやきまとめ #pmnight - Togetterまとめ Engineerのキャリアとしての”Product Manager”とは? 日本のスターエンジニアが語る4つの視点 | SmartNews 開発者ブログ
【勉強会】サイバー攻撃の脅威とその対策
ちょっと鮮度は落ちてしまいましたが、5/26にeLV勉強会で「サイバー攻撃の脅威と
その対策」に参加したのでメモを書きます。
情シス部門やこれからセキュリティを始めようとする方にはぴったりな内容でした。
スライドや講師に関しましては許可を得ていませんので記載は控えます。learningvesper.doorkeeper.jp
情報セキュリティとは
3つの大きな要素(CIA)
・機密性
・可用性
・完全性
3つの要素がそろっていないと情報セキュリティが守れているとは言えない
機密性:失われると秘密にしておきたい事が秘密ではなくなる。
完全性:仕舞っていたものが、おかしくなってしまう。
(サーバの情報が改ざんされる)
可用性:使いたい時に使えない
セキュリティ対策の前提
ガバナンス系(内部脅威)
情報漏えい等
サイバーセキュリティ(外部脅威)
サイバー攻撃等
サイバーセキュリティのお話
脅威の特徴
・目に見えない(攻撃に気がつかない場合がある)
・攻撃側優位(攻撃側は自由(スキル高)だが、守る側はサラリーマン(
知識が無い)ケースが多い)
・腕次第(若くても一人で国家機関を落とすことも可能)
サイバー脅威は「国家」によるもの「犯罪者」よるものの2種類ある
国家:スパイ、通信傍受(政治的動向調査)、知的財産(軍事機密)、破壊工作等
知的財産の例
最近は薬産業が狙われやすい、1種類作るのに1,000億ほどかかるので、それらの
情報を盗んで自国の財産にする。
2009年にはアメリカ国防総省でF35戦闘機の情報が盗まれた。2014年、2015年
にも盗まれている。その結果かどうかは不明だが中国の戦闘機が似ていた。
破壊工作の例
破壊工作は不要なものを壊す行為
・北朝鮮が行ったといわれているSonyPictures社内PCの破壊
・アメリカが行ったといわれているウラン生成施設に向けての
ウイルス混入(スタックスネット)
スタックスネット - Wikipedia
このような破壊工作は各国の政府間で行われていることから「第五の戦場」と
呼ばれている。
・人民解放軍 ▶ 数万人単位でサイバー攻撃を行う部隊がいる(61398部隊︎)
アメリカ政府が指名手配している。
中国サイバー軍 - Wikipedia
・北朝鮮 ▶︎ サイバー攻撃は足がつきにくい。核ミサイル同様にサイバー攻撃を
重要視している。
・アメリカ ▶︎ 陸・海・空・宇宙に続く第五の戦場としてサイバー攻撃を定義
している。サイバー軍も創設している。
・イスラエル ▶︎ 近隣国が敵国にかこまれており、サイバー軍事に力を入れている
犯罪としてのサイバー脅威
麻薬取引は中南米で汚職まみれで政府を巻き込んで麻薬組織が牛耳っている最中、
それを上回る額のサイバー犯罪がある。
企業がサイバー攻撃により被った平均コスト(謝罪料金も含む)
※ヒューレットパッカード調べ
→ 7億800万円
狙われるのは大きい会社ではなく、小さい会社も同様に標的にされている。
小さい企業は守りが浅いので狙われやすい傾向も。
東京オリンピックに向けて攻撃増加の懸念がある。
→ サイバー犯罪者にとっても祭典。
2013年度の全体の攻撃で508万件を記録。(1年間)
2012年のロンドンオリンピックでは期間中だけで2億件(2週間程度)
日本のオリンピックでも相当な攻撃がくると予想される。
(ここ数年で市場が伸びる ※4%程度)
攻撃の数の割には市場の伸びが少ない。何故?
→ サイバーセキュリティ技術者が足りていない。
日本国内で26.5万人(推定)居るといわれている。
現時点で8万人足りていないといわれている。しかも26.5万人居る中で
16万人は技術スキル足りていない
(本来の業務にスキルレベルが足りていない)という調査結果が出ている。
セキュリティ対策を国策として推進
→ サイバー新戦略(セキュリティはコストではなく投資へ)
サイバー脅威の種類を知る
2015年版 情報セキュリティ10大脅威の中から一部を解説。
1位 インターネットバンキングやクレジットカードの不正利用
2位 内部不正による情報漏えい
3位 標的型攻撃による諜報活動
4位 ウェブサービスへの不正ログイン
5位 ウェブサービスからの顧客情報の搾取
6位 ハッカー集団によるサイバーテロ
7位 ウェブサイトの改ざん
8位 インターネット基盤技術を悪用した攻撃
9位 脆弱性公表に伴う攻撃
10位 悪意あるスマートフォンアプリ
1位 インターネットバンキングやクレジットカードの不正利用
インターネットの口座からいつの間にかお金がなくなっているという被害が最近多い
あまりに犯行が多く銀行サイトのトップページが警告だらけに。
昨年の被害額は29億1000万円に達している。
法人が多かったせいか被害額が大きかった。
フィッシングサイトと呼ばれる手法。
→ 偽の案内メールでIDやパスワード入力してしまい、その情報が盗まれお金を抜き出される。
ファーミング
→ マルウェアを利用してhostsファイルを書き換えて悪意あるサイトへの誘導
DNSキャッシュポイズニング
→ DNSレコードを書き換えられてしまい、悪意あるサイトへ誘導されてしまう。
ここまでいくとユーザー側で対処は難しい。
MITB
→ クライアントPCにマルウェアを仕込まれ、正常な銀行サイトへアクセスし、
振込するなどの行為の時に、マルウェアが発動し情報を書き換えられてしまい
別の口座に送金されてしまう。
銀行側、ユーザー側は見た目上、正常なやり取りなため気づかない。
3位 標的型攻撃による諜報活動
特定のターゲットを狙った攻撃。高度な手法が使われている事が多いため気づきにくい。
事例としてはアメリカの「TARGET社」があり、POSレジがマルウェアに感染
→ 4,000万のクレジット情報、7,000万件の個人情報漏えい
出入りの空調業者がメンテナンスのために持っていたIDが盗まれた
日本では「三菱重工」が被害にあっている。
→ 軍事関連情報が多く、加盟していた航空宇宙関連の協会を踏み台に侵入
各社とも自社のセキュリティレベルは高いもの、脆弱な部分が突かれてしまった。
メール添付でのファイルを送りつけてくる。
・偽装して社長からのメールとしてPDFを添付
・採用関連と称して添付付きで送付
悪意あるユーザは興味のある内容(開かざる得ない)情報を付加して送りつけてくる。
7位 ウェブサイトの改ざん
8割程度の方がパスワードの使い回しをしていると一般的にいわれている。
不正ログインが頻発
昨年の2月〜5月にかけて、JALやANAといった大手を筆頭にたくさんの企業が
被害があっている。
方法は、ブルートフォース(総当たり)、辞書攻撃(辞書DB利用)といった方法が多かったが
ログイン試行回数制限などで利用が出来なくなっている。
攻撃者が逆の発想で仕掛けてくる
→ リバースブルートフォースアタック
パスワードは固定してIDを変更していく。
サービス側は単にユーザーが間違えているようにしか見えない。
実際はIPが同じだったりするので、制限されると思われる
【参考】ブルートフォースに攻撃に要する時間
アルファベット4桁(大文字/小文字区別無し) 3秒
アルファベット4桁(大文字/小文字区別) 2分
アルファベット6桁(大文字/小文字区別無し) 37分
※アルファベット6桁でも大文字/小文字区別無しだと簡単に解かれてしまう。
しかもこの統計自体が古くCore2 DuoのCPUでの話なので現代のCPUだと比べ物に
ならないくらい早く解かれてしまう。
なので8桁以上のパスワードが推奨されている。
パスワードの使い回しの危険性(パスワードリスト攻撃)
あるサイトでパスワードが盗まれた場合、別のサイト(堅牢であっても)で
同じIDパスワードで試されてしまう。
どんなに堅牢なサーバでも正規なユーザーでアクセスされるので通過してしまう。
7位 ウェブサイトの改ざん
webサイトが書き換えを行われてしまう。昨年は7000件を超える。
悪意あるユーザーから見て企業規模は関係ない。やれるところをやる。
最近は見た目の変化が無いような書き換えがされている。
密かに裏側でマルウェアをインストールされてしまう事もある。
webサイトに書き込まれる手段
・webサイトの管理者PCをウイルス等で乗っ取る(認証情報搾取)
・webサイトを動かしているサーバの脆弱性を突く
10位 悪意あるスマートフォンアプリ
スマホを狙った不正なサイト、不正なアプリが多くなっている
何故多いのか?
スマホの普及率が高く出荷台数が多い
ITリテラシの低さ(google playとかに置いておくと勝手にインストールして
くれる)
※appleは登録が厳しいため、androidの方が多い
サイバー脅威に備える
ウイルス対策ソフト
→ 基本中の基本
1日に出現するマルウェアの数は?
→ 数十万以上
毎日315,000の新種が出てくる @2013年 カスペルスキー
7割は1回限りで姿を消す @2014年 ファイア・アイ
virus total
→ googleが提供しているウイルススキャンサービス
(約50種類程度のエンジンでスキャン)
怪しいものがあるとgoogleがベンダに情報を提供するwww.virustotal.com
逆に有料で怪しいものが見つかっても提供しないというサービスもある。
(スキャンフォーユー)
→ ウイルス作者がアンチウイルスソフトに検知されないかを確認するため。 scan4you.net
ウイルス対策は「指名手配の悪人を防ぐ」もの。壁に穴(脆弱性)があいている
ようでは泥棒から守る事は出来ない。
ウイルス対策ソフトですべての侵入は防げない。
パッチ
→ 開発者の予想しなかった見落としを埋めるもの
JAVAアプリケーションが狙われやすい(JRE)
Oracleがあまり更新(脆弱性対処)してくれない。
利用しないのであれば消してしまう。
IPAで主要アプリケーションが最新になっているかを確認するツールを
配布している。
→ MyJVNバージョンチェッカ
MyJVN - MyJVN バージョンチェッカ
Micorsoftからは脆弱性緩和ツールが提供されている。
(不具合修正でなく、プロセスの強制終了)
→ EnhancedMitigationExperienceToolkit(EMET)
Microsoft Privacy Statement
パスワード
パスワードは使い回さない、単純なパスワードは使わない
→ ではどうする?
→ 文章や自分なりの法則を使う
パスワード管理ツールを利用することも効果ある
二段階認証が利用できるのであれば利用する。
→ メールやコード送信といった追加認証が要求される。
バックアップ
セキュリティの観点からもバックアップした方がよい
勝手に暗号化してしまうウイルス
→ 解いて欲しかったら金銭を要求。
しかしながら強力な暗号化してしまうため、例えウイルス駆除が出来ても
データが戻らないケースが多い
そういう意味でもバックアップが重要
【Azure】Azure概要
Azureサービスに関してのメモ
コンピューティング
・Web Apps(2015/3よりWebサイトから名称変更)
・Virtual Machines
▶︎ 仮想サーバサービス
Windows、Linuxに対応し、他のAzureサービスとも連携
VHDイメージの持ち込み可能
VM Depot(コミュニティによるAzure仮想マシン用イメージ置き場)によるデプロイ可能
RHELのサポート
このような記事もあります。Still no Red Hat Linux on Azure, but VMware looks to be on its way | ZDNet
・Cloud Service
▶︎PaaSサービス。Webロール(公開アプリケーション)とワーカーロール(バックグランドアプリケーション)
・Mobile Apps(2015/3よりモバイルサービスから名称変更)
・App Service
Web Apps(旧 Webサイト)
▶︎PaaSサービスだがCloud Serviceよりも制御できる階層が少ない
Mobile Apps(旧モバイルサービス)
▶︎MBaaSサービス
.NETやNode.jsでの処理やAPIでの開発、認証、Push通知を提供︎
API Apps
▶︎アプリケーション間のWebAPIを提供するサービス
Logic Apps
▶︎複数のAPI Appsを組み合わせてフロー化し実行できるサービス
BizTalk Connectors(Biz Talkサービスの一部機能)
▶︎API AppsやLogic Appsでオンプレミスや他のSaaSソリューションを連携させるサービス
データサービス
・BLOB
▶ファイルやマシンイメージを格納するストレージ
・Table
▶︎NoSQL型の構造化ストレージ
・Queue
▶︎サービス間(Webロール 〜 ワーカーロール間)のメッセージ交換で利用するストレージ
・Files
▶︎ファイル共有プロトコルSMB2.1を利用してファイル共有機能を提供するストレージ
・DocumetDB
▶︎スキーマレスでSSDを搭載したデータベースサービス
jsonでドキュメントを保持しREST APIで操作が可能
・SQL Database
▶︎SQL ServerをベースとしたRDBMSサービス
・HD Insigt
▶︎分散データ処理のhadoop(MapReduceエンジン)を利用できるサービス
・Backup
▶︎Azureバックアップを利用し、サーバー上のデータをAzureのBLOBストレージ上にバックアップ
・Mchine Leaning
▶︎Azure上で機械学習を行うサービス
・StorSimple
︎ ▶︎Azure上のストレージと連携するiSCSIサービス
アプリケーションサービス
・Media services
▶︎Azure上で動画のエンコードや配信するサービス
・Service Bus
▶︎サービス間、AP間でメッセージ配信及び接続を行うためのサービス
・Notification Hubs
▶︎プッシュ通知の送信サービス
・Visual Studio Online
▶︎ソースコードの管理、タスク管理、テストの実行、CI等を行うためのサービス
・BizTalk Service
▶︎EDI(企業間電子データ交換)処理サービス
・Automation
▶︎Azure上でWindows PowerShell Workflow構文で記述されたRunbookをスケジュールに従って実行するサービス
・Schedule
▶︎定期または指定時刻にWebプロトコルを使って他サービスのコールやAzureストレージのQueueに
メッセージを送るサービス
・API Management
▶︎作成したWeb APIを管理するサービス
・Remote App
▶︎Office等のアプリケーションをリモートで実行するためのサービス
・Active Directory
▶︎アカウント管理、他サービスとのシングルサインオン、OAuth2等が可能な認証基盤サービス
・CDN
▶︎コンテンツキャッシュ配信サービス(EdgeCast NetworksのCDNノード)
・Caching
▶︎分散オンメモりキャッシュサービス
