林田力

南アフリカラグビー協会（SARU）は2021年7月7日、チーム内で新型コロナウイルス感染者が多数出ていることを受け、同国ヨハネスブルクで9日に予定されていたジョージアとのテストマッチを中止したと発表した。選手5人とジャック・ニーナベル（Jacques Nienaber）ヘッドコーチ、さらにスタッフ5人とマッサージ師が新型コロナウイルスに感染した（「ラグビー南ア対ジョージア戦が中止 コロナ感染者相次ぎ」AFP 2021年7月8日）。

ラグビートップリーグ「三菱重工相模原ダイナボアーズ」では選手とスタッフ計7人の新型コロナウイルス感染が確認された。7月8日までに所属する選手らが体調不良を訴えたためPCR検査を受けたところ、3人の選手の陽性が確認された。その後、さらにほかの選手やスタッフ合わせて３９人を検査したところ、9日に4人の陽性が新たに確認された（「ラグビートップリーグのチーム選手ら７人が感染 相模原」NHK 2021年7月11日）。神奈川県相模原市はクラスターと認定した（「＜新型コロナ＞神奈川県で新たに389人の感染確認　ラグビートップリーグのチームがクラスターに」東京新聞2021年7月11日）。

相模原市中央区にある國學院大學のラグビー部の寮で新型コロナウイルス感染のクラスターが発生した。この寮で暮らす男子学生1人が7月3日に新型コロナに感染していることが確認された。この寮で生活するほかの学生への検査を行ったところ、9日までに合わせて32人の学生の感染が確認された（「新型コロナ 國學院大ラグビー部寮で計３２人感染 相模原市」NHK 2021年7月9日）。

東京都の2021年7月10日の新型コロナウイルス新規感染者は950人。先週の土曜日より234人増えた。新型コロナウイルス感染拡大のリバウンドが始まっている。政府は7月12日から東京都に4度目の緊急事態宣言を出す。東京オリンピック（五輪）が開幕する23日までの減少効果は限られ、感染者1千人超で迎える五輪の開幕が現実味を帯びている（「感染者1千人超の五輪、現実味　止まらぬ東京の感染拡大」朝日新聞2021年7月11日）。
まん延防止重点措置では減らないことは過去の実績が示している。緊急事態宣言を出すべき時に出すことは当然であり、出さないよりも良いことであるが、後手後手の対応に都民失望である。どこの国でもワクチン接種が一定の進展を見せると感染者が逆に増えている。ワクチンへの期待は禁物である。

林田力『東急不動産だまし売り裁判訴状』（The Petition Against TOKYU Land Corporation Fraud）は東急不動産だまし売り裁判（東急不動産消費者契約法違反訴訟、平成１７年（ワ）第３０１８号　売買代金返還請求事件）の訴訟資料を収録した電子書籍。訴状や陳述書（甲第１３号証、甲第４７号証）、証拠説明書、判決を収録した。

東急リバブル東急不動産は隣地建て替えによる日照・通風・眺望阻害という不利益事実を隠して東京都江東区の新築分譲マンションをだまし売りした。東急不動産だまし売り裁判では東急不動産が提出した証拠に虚偽があるなど偽装工作も見られた。消費者契約法第4条第2項の不利益事実の不告知による売買契約の取り消しはマンションだまし売り被害者のラストチャンスになる。

千葉ロッテマリーンズは2021年5月23日、清田育宏外野手の契約解除を発表した。無期限謹慎処分の解除直後に球団ルールに反する行動を行っていたことが判明した。「度重なる不適切な行動及びチームに対する背信行為に鑑み、当球団としてはこれ以上清田選手との選手契約を維持することはできないと判断しました」（「ロッテ清田育宏が契約解除「度重なる不適切な行動及び背信行為」で判断」日刊スポーツ2021年5月23日）。東急不動産だまし売りマンションの売買契約取り消しも同じ気持ちである。

マンションだまし売りは黒い噂だけでなく、真実である。マンションだまし売りの実態は衝撃のデータになる。マンションだまし売りには品性の欠片もない。マンションだまし売りは、ぼったくりバーと同じである。東急リバブル東急不動産に非難殺到である。マンションだまし売りやFJネクストのマンション投資の迷惑勧誘電話に疑問の声が出ている。

マンションだまし売りは消費者の信頼や不動産市場の透明性に対する破壊行動である。日本のメチャクチャさは東急リバブル東急不動産のマンションだまし売りやFJネクストの迷惑勧誘電話が示している。マンションだまし売りの損失は不動産業者が補填しなければならない。さもなければ社会崩壊をもたらす。

JR東日本千葉支社は2021年5月28日、京葉線の新習志野駅から海浜幕張駅間に開業する幕張新駅（仮称）の駅名を募集すると発表した。千葉市在住、在勤・在学の人に応募資格があり、一人1点まで応募できる。駅の名称は、応募数ではなく、応募のなかからふさわしい名前をJR東日本で選考するという。

「応募された駅名は応募数による決定ではなく、ご応募いただいたすべての駅名から新しい駅にふさわしい名前を当社にて選考します」（JR東日本千葉支社「幕張新駅（仮称）の駅名を募集します」2021年5月28日）。

最初から民意を無視する姿勢である。過去にも高輪ゲートウェイ駅のように透明性が批判される結果になった。 素直に幕張イオン駅で良いのではないか。イオンがあるという資本の論理で決めた方がまだスッキリする。一応意見を聞いていますというアリバイ作りのポーズだけの公募は腹立たしい。

Web Application FirewallはWeb Applicationの通信をフィルター、監視、ブロックする機能。アプリケーションの可用性やセキュリティ侵害、リソースの過剰消費に影響を及ぼす可能性のある一般的な攻撃パターンをブロックする。

アプリケーションレベルで通信の中身を解析し、特定の条件にマッチする通信を検知・遮断する点が一般のFirewallやIPSと異なる。SQLインジェクションやクロスサイトスクリプティングなども対象とする。

AWS WAFはAWSのWAFサービス。Amazon CloudFront distribution, Amazon API Gateway REST API, Application Load Balancer, AWS AppSync GraphQL APIに転送されるHTTP(S)リクエストをモニタリングする。

AWS WAFはリクエスト本文の JSON コンテンツを解釈できる。JSONコンテンツの特定のキーまたは値をAWS WAF ruleで検査する。AWS WAFは、AWS WAF APIかAWS Management Consoleから設定する。

AWS WAFでは、ラベルを生成し、それらのラベルに基づいて WAF ruleをカスタマイズできる。ルールに関連付けられているアクションに関係なく、WAF ruleがリクエストに一致した時に、ウェブリクエストに説明ラベルを追加するように WAF を設定できる。

後続の WAF ruleでこれらのラベルの存在を確認し、他の WAF ruleと組み合わせて、ラベルを含むウェブリクエストに対してアクションを実行することができる。ラベルを作成すると、対応する CloudWatch メトリクスも生成され、可視性を向上させるためにラベルが WAF ログに追加される。

AWS WAF Bot Controlはボットトラフィックの可視化し、制御するManaged rule group。スクレーパー、スキャナー、クローラーなどの普及しているボットを簡単に監視、ブロック、レート制限できる。また、ステータスモニターや検索エンジンなどの一般的なボットを許可することもできる。Bot Control Managed rule groupを、WAFの他のManaged ruleや独自のCustom WAF ruleと一緒に追加し、アプリケーションを保護できる。

DX; Digital Transformationの具体的内容は論者によってさまざまである。日興アセットマネジメントのデジタル・トランスフォーメーション株式ファンドはゼロ・コンタクト・ビジネス(非接触型ビジネス)にフォーカスしている。非接触型ビジネスを行う企業の株式に投資する。非接触型ビジネスの例として、「リモートワークやオンラインショッピング、オンライン診療」を挙げる。
https://www.nikkoam.com/fund/detail/654700
城西大学（埼玉県坂戸市）は2021年4月から数理・データサイエンスセンターを開設し、AIなどデータサイエンスの研究を行う。このような研究分野は需要のある大学になるだろう。

SQL Server 用に構築されたアプリケーションは、Azure Synapse 専用 SQL プールとシームレスに連携します。 ただし、SQL Server で一般的に使用されている機能と言語要素が Azure Synapse で使用できなかったり、異なる動作をしたりする場合があります。
https://docs.microsoft.com/ja-jp/azure/synapse-analytics/sql-data-warehouse/sql-data-warehouse-partner-compatibility-issues

SQL Server と Azure SQL Managed Instance での T-SQL の相違点
https://github.com/MicrosoftDocs/azure-docs.ja-jp/blob/master/articles/azure-sql/managed-instance/transact-sql-tsql-differences-sql-server.md
互換性証明書
https://docs.microsoft.com/ja-jp/sql/database-engine/install-windows/compatibility-certification?view=sql-server-ver15
ALTER DATABASE (Transact-SQL) 互換性レベル
https://docs.microsoft.com/ja-jp/sql/t-sql/statements/alter-database-transact-sql-compatibility-level?view=sql-server-ver15

AWS Glue DataBrewはAWSのビジュアルデータ準備ツール。データプロファイル、データクレンジング、データリネージュ機能がある。データのクリーニングと正規化を迅速にする。コードを記述することなく、データをクリーンアップし正規化する。GlueとBrewで韻を踏んでいるのだろうか。
AWS Glueはコーディング前提のサービスであり、既存ETLからのシフトにはハードルがある。これに対してGlue DataBrewはビジュアル操作を強調しており、既存のデータプロファイリングやクレンジングの市場に影響を与えそうである。
Glue DataBrewはデータセット内のデータを視覚的に探索、把握、統合、クリーンアップ、正規化するためのプロジェクトを作成する。複数のデータセットをマージしたり結合したりできる。データの系統を視覚的にマッピングして、データが通過した様々なデータソースと変換ステップをビジュアルで確認する。
コンソールからは値の分布やヒストグラム、箱ひげ図などでデータの異常を特定できる。データ全体のなかで重複している値や欠けているデータの量、データの分散量（カーディナリティ）、分散の様子、ユニーク値にはどんな値があるかがビジュアルに表示される。
AWS Glue DataBrewではプロファイルジョブを実行して 列レベルのカーディナリティ（値の種類の絶対数）、数値的相関、一意の値、標準偏差などのデータ品質統計を自動生成できる。この際に分析するデータセットのサイズを設定することができる。非常に大きいデータセットの場合に一部のデータに対してプロファイルを実行して、結果を素早く取得することができる。
カーディナリティは項目の値の絶対数である。性別ならば2である。社員番号ならば社員数だけある。カーディナリティが低いとは、カラムの値の種類がレコード数に比べて少ないことを意味する。項目内の要素の重複が多くなる。

侵入検知システムIDS; Intrusion Detection Systemはネットワークやサーバを監視し、不正または異常な通信を検知し、管理者に通知するシステム。ホスト型IDSとネットワーク型IDSがある。前者は各ホストにソフトウェアを導入して分析する。後者はネットワークトラフィックを収集して分析する。多数のホストがある場合はネットワーク型IDSが拡張性の観点で優れている。

AWSでネットワーク型IDSを実装する場合、IDS用のVPCを作成し、全てのトラフィックをこのVPCにルーティングするように設定する。その上で新しいVPCにIDSプラットフォームを構築する。

Amazon GuardDuty はAWSのネットワーク型IDSのサービスである。GuardDutyはAWS CloudTrailイベントログ、Amazon VPCフローログ、DNSログなどの複数のAWS データソースからイベントを分析する。運用しているAWSで実際に起こったイベントが分析対象である。実際のログを分析して脅威が存在するかをチェックする。

Auto Scalingはリソースの使用状況をモニタリングし、その使用状況に応じてEC2 Instanceを自動で増減するサービス。負荷の状況に応じて自動でスケールアウト・スケールインすることができる。スケーラブルで費用対効果が高い。
Auto Scalingを実行するために設定するスケーリングプランには、CloudWatchのメトリクスやスケジュールの指定などを定義する。CloudWatchのメトリクスを参照する場合、CloudWatchが一定間隔で収集したデータを参照してスケールアウト・スケールインする。デフォルトの収集間隔は5分。詳細モニタリングのオプションを有効にすることで1分間隔とすることができる。
EC2 InstanceはAuto Scalingグループで指定したサブネットで動作する。AZが複数ある場合はAZ間でEC2 Instanceの均衡を保つように起動する。EC2 Instanceの増加時はEC2 Instanceが一番少ないAZで起動する。EC2 Instanceの起動に失敗した場合は、起動が成功するまで別のAZで起動を試みる。
AZが複数ある場合のスケールインはデフォルトではEC2 Instance数が最も多いAZ内からランダムにAZを選択する。AZのInstance数が同じ場合は、最も古い起動設定を使用したEC2 InstanceがあるAZを選択する。最も古い起動設定を使用したEC2 Instanceが複数ある場合は、次に課金が発生するまでの時間が最も短いEC2 Instanceを選択する。次に課金が発生するまでの時間が最も短いEC2 Instance複数ある場合は、この中からランダムにEC2 Instanceを選択する。

AWSにはDocker containerをサポートするcontainer orchestration service としてAmazon ECS; Amazon Elastic Container ServiceとAmazon EKS; Elastic Kubernetes Serviceがある。ECSにはEC2起動タイプとFargate起動タイプがある。
EC2起動タイプはEC2上にタスクとしてContainerをデプロイし、サービスをスケーリングすることで処理を分散する。Container自体がスケールし、ホストのリソースをひっ迫させた場合もホストするEC2自体がスケーリングするため、ワークロードに合わせたインフラストラクチャを利用できる。起動したEC2に対して費用が発生する。
EC2起動タイプはContainer実行環境であるホストマシンの管理・運用が必要である。インフラストラクチャを含めて設定を管理したい場合に利用する。
Fargate起動タイプはプラットフォームを含めてフルマネージドになる。ホストマシンを意識せずにContainerを実行できる。EC2 Instance typeの選択やクラスターのプロビジョニングとスケール、各サーバのパッチ適用と更新が不要。ユーザーはアプリケーションのデプロイに集中できる。AWS FargateはAmazon ECSとAmazon Elastic Kubernetes Service; EKS の両方で動作するContainer向けのサーバーレスコンピューティングエンジン。
Amazon ECSは、Amazon ECS タスク定義での Amazon FSx for Windows ファイルサーバーの使用をサポートする。これによってECS Container間で永続的な共有ストレージを使用できる。
ECSではIAMリソースポリシーを VPCエンドポイントにアタッチできる。インターフェイス VPC エンドポイントを使用するようにECSを設定することで、VPCとECS間のトラフィックをAmazonネットワークに制限してVPCセキュリティを向上させることができる。

AWS SSO; Single Sign OnはAWS Accountやクラウドアプリケーションへの SSO アクセスの一元管理を容易にするクラウドベースのSSOサービス。割り当てられたアカウントとアプリケーションの全てに対する1か所からのSSOアクセスをユーザーに提供できるようにする。Microsoft AD; Active DirectoryやAzure AD; Active Directory, Okta Universal Directoryなどの既存のアイデンティティソースに接続することができる。
AWS SSOはオンプレミス環境のADと連携し、AWS Management ConsoleへのSSOを許可することもできる。オンプレミス環境のADの情報を利用し、Management Consoleへのアクセスを許可するためにはSAML 2.0の形式でIdP側とAWSでメタデータ情報を交換し、信頼関係を構築する必要がある。
AWS Directory ServiceのAD Connectorを利用するAD Connectorを利用を利用する場合はManagement Consoleへのアクセスを許可するIAM Roleを作成し、IAM RoleにAWS Directory Serviceとの信頼関係を設定する。AWS Directory Service for Microsoft ADを利用する場合は、AWS Directory Service for Microsoft ADとオンプレミス環境のAD間に信頼関係を設定する必要がある。

Internet Gatewayは、VPCとInternetとの間の通信を可能にするVPCコンポーネント。VPC内のリソースからInternetへアクセスするためのGateway。Internet GatewayはIPv4 トラフィックとIPv6トラフィックをサポートする。
Internet GatewayはInstanceに代わって1対1のNATを論理的に行う。トラフィックがVPC subnetから出てInternetへ向かう時、返信アドレスフィールドはInstanceのPrivate IP AddressではなくPublic IPv4 Addressまたは Elastic IP Addressに設定される。逆にInstanceのPublic IPv4 Addressまたは Elastic IP Address宛てのトラフィックは、その送信先アドレスがInstanceのPrivate IP Addressに変換されてから、VPC に配信される。