58年北海道生まれ。81年東京大学経済学部卒。三菱商事、野村投信、住友信託銀行、メリルリンチ証券、山一證券、UFJ総研など12社を経て、2005年に楽天証券経済研究所客員研究員、23年3月から現職。 山崎元のマルチスコープ 旬のニュースをマクロからミクロまで、マルチな視点で山崎元氏が解説。経済・金融は言うに及ばず、世相・社会問題・事件まで、話題のネタを取り上げます。 バックナンバー一覧 来年からいよいよ期待の新制度である「新NISA」が始まる。そこで、新NISAを活用する上で「やってはいけないこと」と「すべきこと」について、最後の総点検をしたい。（経済評論家　山崎 元） ついに始まる「新NISA」は 期待が集まる大型の新制度 来年初から、「新NISA」が始まる。新NISA（少額投資非課税制度）は、後から岸田文雄政権を振り返ったときに、多分最大で、おそらくは唯一の善政と評価されるであろう期待

# タイトル日付 ブクマ感想1 茶とコーヒーと俺ん家の話 1/23 642 これぞ増田文学2 小さな図書館の思い出を喋りたい 2/27 274 生々しく悲しい別れの話3 コロナ失職したアラフォーおっさんが自作のWEBサービスを公開するまで 4/4 432努力の話。がんばれおっさん。4 はじめてラーメン二郎に行った 2/5 233 二郎デビューを思い出させるシズル感5 同棲を解消したら同棲を解消しなかった未来が見えた 2/26 353 じんわりと、ずっしりと胸に来る6 コロナで母が壊れた 2/6 183 最後まで読んで欲しい7 金沢駅のトイレで、e-maのど飴を握りしめたあの日のこと 2/2 518 心温まる素敵な増田8 緊急事態宣言下のカツカレー 1/27 922 日常を切り取るのが上手い9 市役所でべしゃり散らす女児を見ていて思った話 3/9 796 SFチック。興味深い。雑多に選んでみ

はてなブックマークは、みんなが今、インターネット上で話題にしている記事がわかる「ソーシャルブックマーク」サービスです。 はてなブックマーク はてなブックマークはオンラインにブックマークを無料で保存できるソーシャルブックマークサービスです。みんながブックマークしたインターネット上の旬なニュースや情報が集まります。 b.hatena.ne.jp そして、今年はマンガの話題が非常に多くありました。まさに2020年はマンガの当たり年！といっても過言ではないでしょう。 そこで、この記事では、漫画を読みまくっているアル編集部が選んだ、「はてなブックマークで話題になった漫画作品で特に刺さったもの」をまとめてみました。すべて読み切りマンガでかつ無料のものを集めています。 全部オススメです！ 読み切り作品その淑女は偶像となる(637users)

2023.08.21 更新 中古マンション購入の注意点5つ！プロ秘伝の失敗しないためのチェックリストを大公開 中古マンションの購入は、人生のなかでも1、2を争う高額な買い物。 だからこそ誰しもが、「中古マンションの購入で後悔や失敗をしたくない」と思っているはずです。 そこでゼロリノベでは、宅建士と一級建築士監修のもと「失敗しない中古マンション選びの注意点」を209項目のチェックシートにまとめました。 中でも今回は、絶対に見落としてはならない大事な5つのポイントを、元銀行員で不動産投資家でもあるゼロリノベ代表が解説します。 人生を変えかねないほどに影響力がある5つのポイントさえ押さえれば、失敗のリスクを減らしマンション購入の成功へと一歩近づけますよ。 ぜひ、本記事とチェックリストを納得のいく中古マンション購入にお役立てください！ Advisor [監修]宅地建物取引士／元銀行員 鰭沼 悟 宅

はじめに 資産運用で 99 点をとる方法とその考え方について説明します。この記事の対象はいわゆる「普通の人」です。 資産運用は趣味ではない。 資産運用を始めてみたいが何をしてよいのかわからない。 資産運用をすでに行っているが毎年ころころと方針を変えてしまっている。 資産運用に無駄に時間ばかり費やしている。 今のところ資産はすべて銀行の普通口座や定期預金にいれている。このまますべて現金でおいておくのも何か損しているみたいでモヤモヤする。だけど難しいことは勉強したくないし時間も使いたくない。 といった人たちです。 記事では最初に結論、すなわち「やるべきこと」を述べます。資産運用で 99 点の投資効率を達成するためにはこの結論部分だけを実行するだけでよいです。 次に、それだけでどうして 99 点といえるのか、その裏付けとなる考え方や理論を中心に説明します。 99 点をとるにあたってこれらの知識を

ボクが主宰している「コミュニティ4th」では、毎月「Bookトライブ」という読書会をやっています。 一冊課題図書を決めて、みんなで読んできて感想を言い合う、という会ですね。 そこでここ数年、何を読んできたか、というのはこちらに書きました。 で。 去年の年末、そのトライブによく来ている谷川敦さん（あだ名はタフマン）という30歳男子（当時）が、こんなようなことを相談してきました。 「教養のある大人になりたいなあ、とぼんやりとした憧れを持っているんですが、ほとんど本も読まずに30歳になってしまいました。来年はBookトライブの課題図書だけでなく、もっとたくさん本を読みたいと思うのですが、絶対読むべき本を100冊くらい教えてくれませんか？」 ・・・なるほど。 ちょっと上からになって申し訳ないけど、良い心がけじゃｗ。 よし、ここはボクだけでなく、驚異の本読みにして「Bookトライブ」の部長である高島

仕事の都合で別の業種の女性と幾度か会った。弊社の人間が、と彼女は言った。弊社の人間が幾人かマキノさんをお呼びしたいというので、飲み会にいらしてください。 私は出かけていった。私は知らない人にかこまれるのが嫌いではない。知らない人は意味のわからないことをするのでその意味を考えると少し楽しいし、「世の中にはいろいろな人がいる」と思うとなんだか安心する。たいていはその場かぎりだから気も楽だし。 彼らは声と身振りが大きく、話しぶりが流暢で、たいそう親しい者同士みたいな雰囲気を醸し出していた。私を連れてきた女性はあっというまにその場にすっぽりはまりこんだ。私は感心した。彼女は私とふたりのときには同僚たちに対していささかの冷淡さを感じさせる話しかたをしていた。 どちらがほんとうということもあるまい。さっとなじんで、ぱっと出る。そういうことができるのである。人に向ける顔にバリエーションがあるのだ。私は自

はじめに H2OはH2O.ai社がOSSとして公開している機械学習の実装です。 筆者が使ってみた感じ、以下のような特徴があるようです Javaでフルスクラッチで開発されている しかし、PythonやRのユーザも取り込めるように、PythonとRのインターフェースもきちんと用意されている 使用できるアルゴリズムの数は非常に少ないが、どれもKaggle等でよく使われる厳選されたものになっている(上画像を参照) そのため、「サービスやプロダクトに機械学習を実用する」という視点だと、迷いがなく非常に使いやすい 研究や学習向けではなく、完全に実用向き 学習時に並列処理が行われるので、マルチコアCPUの良さを十分に活かすことができる。(H2Oでクラスタを作成することもできるようだが、筆者はそちらは調べていない) OSSであるが、非常にお金がかかっている印象。UIが洗練されており、ヘルプやドキュメントも

HRSとは 2018年の7月に、「XSS due to the header Transfer-Encoding: chunked」というタイトルでPHPの脆弱性報告がありました。 https://bugs.php.net/bug.php?id=76582 日本語の情報源としては徳丸さんによるこちらの記事が参考になります。 この脆弱性は下記のように、HTTPリクエストヘッダ内に一見矛盾していたり、明確でない内容が含まれている場合の挙動についてのものでした。 Transfer-Encoding: chunked Content-Length: 25 この問題はHTTPリクエストスマグリング(HTTP Request Smuggling、以下HRS)と呼ばれていて、今から13年前、2005年に知られたものです。筆者は今から11年前に「ウェブアプリケーションセキュリティ」という本(通称:金床本)

はじめに IPレピュテーションはIPアドレスそのものの信頼性をスコアリングし共有する手法で、主にスパムメール対策において使われてきました。しかし近年では(他社さんの)WAFがウェブアプリケーションへの攻撃を防ぐためにIPレピュテーションを利用する、というケースが増えてきたように感じます。 筆者は、あくまで個人的な感覚としてですが、「IPレピュテーションはウェブの攻撃検知・防御では役に立たないだろう」と思っていたのですが、今回これを客観的に評価してみることにしました。 何を調べるか？ IPレピュテーションというのは要するに「一度(あるいはそれ以上)悪さをしたIPアドレスは、次から許さないぞ」というアプローチです。つまりあるIPアドレスからの最初の攻撃に対しては無力ですが、一度攻撃を見つけたら、次からはそのIPアドレスからの攻撃を防ぐことができる、ということになります。 そのため調べるべきなの

はじめに 2017年にJoomlaに見つかったLDAPインジェクションの脆弱性、CVE-2017-14596について調査をしたので、簡単にブログにまとめたいと思います。 怪しい動画 脆弱性があったのは./plugins/authentication/ldap/ldap.phpの中です。ユーザ入力をそのままエスケープ処理することなくLDAPのSearchに渡してしまっているという、典型的なものでした。 これを発見したのはRIPSTechという企業のようで、こちらのブログ記事が一時情報源となっているようです。この記事からはこの脆弱性を突くデモ動画へのリンクが存在しているのですが、この動画は非常に興味深い（？）です。 一見するとLDAPインジェクションの脆弱性をうまく突いて、管理者のパスワードを抜いているようであり、「あちゃ〜、Joomlaダメだこりゃ...」と思います。しかしよく考えると、かな

はじめに 「異常検知したい」と考えている人は多いと思います。もはや囲碁ですら機械が人間を上回る時代となったので、システムの故障を発見したりクレジットカード詐欺を見つけたりという異常検知システムも、データサイエンスを使えば人間以上に優秀なものを作れるのではないか？と考えるのも自然でしょう。 一方で、実際に異常検知システムの開発に乗り出してみたものの、意外と上手く完成まで辿りつけなかったり、せっかく作ったけれども結局誤検知だらけでお蔵入りしたり、というケースもあるのではないかと思います。この記事では実際に異常検知システムをゼロから開発してみた経験からいくつかの点について書いてみたいと思います。 この記事にはアルゴリズム的な、技術的な知見は含まれていません。「もし居酒屋で異常検知をネタに呑むとしたら、このへんで盛り上がるかな」的な記事として書いてみましたので、お時間あるときに気軽に読んでいただけ

HBOSの概要 HBOSはヒストグラムベース、統計ベースの教師なし異常検知アルゴリズムです。非常にシンプルでわかりやすく、論文も読みやすいです。ラベルがついていないデータセットに対して適用し、各データについて異常度(Anomaly Score)を算出してくれます。利用者は結果と相談しながらこの異常度に対して閾値を決め、それ以上を異常として扱うような形で使うことができます。こちらの研究レポートでHBOSが速度・検出精度ともに優秀であることが紹介されています。 ヒストグラムベースとはどういうことか HBOSでは各特徴それぞれについて全データの値からヒストグラムを作成し、それぞれのビン(ヒストグラムのいわゆる縦棒のこと)について、所属するデータの数が多ければそのビンに所属するデータは正常、少ないならば異常という考え方でスコアが付けられます。個人的にはクラスタリングでの異常検知にも近い考え方だと思

XBOSの概要 XBOS(Cross interaction based outlier score)はクラスタリングを使う教師なし異常検知アルゴリズムです。異常と正常両方を含んだラベルなしのデータセットに対して適用し、それぞれのデータに対して異常度のスコア付けを行う形で使用します。発想も実装も非常にシンプルで、Pythonではわずか55行のコードの実装になっています。Scutumにおけるアノマリ検知のために開発されたもので、こちらの記事で書いたようにかなり良い性能を発揮します。 XBOSの処理は大きく2つのステップに分かれており、まずクラスタリングを行い、次にクラスタ間の調整を行います。 Step1: K-Meansによるクラスタリング まずはじめにクラスタリングを行います。クラスタリング自体はどのアルゴリズムを使っても問題なく、ScutumではとりあえずK-Meansを使っています。K

はじめに Scutumでは2017年の初旬からアノマリ検知(異常検知)による防御機能の開発を本格的にスタートし、1年ほどかけて徐々に実用性を高めてきました。ここで行っているのはいわゆる「教師なし学習による異常検知」で、中核としているアルゴリズムはXBOSというものです。 しばらくの間は完全に手探りでシステム開発を進めていて、異常検出のアルゴリズムの定量的な性能については科学的な裏付けに乏しい状態でした。「なんとなく動いている(異常を見つけることができている)ようだから、これでいいか」という感じの状態でデプロイし、結果を見て改善を重ねるというサイクルを繰り返してきた形です。 2018年になり、これまで殆ど目を通すことができていなかった異常検知に関する学術的な情報(論文等)を見ていたところ、いくつか面白い発見がありました。そこで今回、少し自分でも手を動かして調査したポイントのうちの1つ、3つの

はじめに 2017年、ついにOWASP Top 10が更新されました。筆者が一番印象的だったのは「Top 10にCSRFが入っていない」ということです。 なぜCSRFが圏外になってしまったのかは4ページのリリースノートで軽く説明されています。「retired, but not forgotten」つまり「引退したね...でも君の事は忘れてないよ」という感じでしょうか。全米がCSRFのために泣きそうです。 それはさておき、具体的には「as many frameworks include CSRF defenses, it was found in only 5% of applications.」という部分が引退理由だと思われます。「多くのフレームワークがCSRF対策を備えた結果、5%のアプリケーションにしかCSRFは見つからなかった」というのが引退の理由です。 この理由を読むと、「というこ

はじめに Apache Tomcatに立て続けに見つかったCVE-2017-12615～12617の3つの脆弱性は基本的には同じ原因によるものでした。3つのうち2つは任意のJSPファイルをPUTリクエストでアップロードできてしまい、アップロード後にアクセスすることでJavaのコードが実行できてしまう、というパターンのRCE。残りの1つはJSPがそのまま静的ファイルとしてアクセス可能なためにソースコードが漏洩してしまう、というものです。 今回JPCERT/CCも注意喚起するなど、広く知られることになりましたが、一方でなかなかパッチが提供されないという状況にもなっています。今回はこの脆弱性についての調査を報告します。 readonlyパラメータとは何か JSPがアップロードできてしまうのはreadonlyパラメータがfalseになっている場合です。このパラメータはデフォルトでtrueであり、f

はじめに 先日、Struts 2に新たな脆弱性S2-052(CVE-2017-9805)が発見され、修正されました。 これはリモートからの任意のコードの実行(RCE)が可能な脆弱性であり、「またか」と思われた方も多かったのではないかと思います...。 しかし実はこの脆弱性によるRCEは、過去繰り返しStruts2に報告されてきたOGNLインジェクションとは異なるメカニズムで発生するものでした。 ここでは、この脆弱性の原因と、RCEに至るメカニズムを解説してみようと思います。 多少プログラミングの知識のある方向けになってしまいますが、ご容赦ください。 シリアライズ／デシリアライズ プログラム内で扱うオブジェクトのインスタンスを特定のフォーマットに従ってバイト列に変換する、またその逆操作を行う仕組みをシリアライズ／デシリアライズと呼びます。 これは単なるデータの保存・復元ではなく、オブジェクト

はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成