HTML5 x セキュリティ

http://www.cross-party.com/programs/?p=143
パネラーの撮影やustream中継が禁止で行われたこのセッション。malaさんいるしね。HTML5で色々な機能が使えるようになったけど、悪用される恐れもあるんだよというのを実感させられるセッションだった。以下メモ。

• HTML5 fullscreen APIを使ってのフィッシング詐欺怖い。（@takesako）
• ブラウザにドラッグ＆ドロップして画像を見るのは辞めた方がいい。意図せずアップロードされちゃうかも。（@Hamachiya2）
• iPhoneのaudio要素での注意点。マナーモードでも音を出すことが可能。やり方によってはツイートなどの短縮URLをクリックしただけで意図しない音が！満員電車に乗ってるときなど狙われたら危険。（@Hamachiya2）
• 今現在某ブログサービスでXSS発生中。直っていないのでオフレコ。document.domain注意。（@bulkneets）

あとはフリートークで脆弱性あるあるなど。

• crossdomain.xmlでワイルドカード指定はダメ。
• robots.txtに秘密のURL書いてあったりするよ。
• .svnも公開されてたら色々見えちゃうよ。

Q&Aで「スマホアプリを作ってるんだけどwebviewってどうですか？」という質問に対しては一同怖いよと。アプリから連絡帳やインストール済みアプリ一覧を取れたりする場合があるとのこと。csrfも多そうという見解だった。
次はお昼をはさんでスクラムのセッションを聞いた。

企業CROSS DeNA x グリー x Aiming： 大企業・ベンチャーが語る「スクラム」開発

http://www.cross-party.com/programs/?p=369
まず認定スクラムマスターのお三方から各社でのスクラムでの取り組み状況などを発表。

• DeNA飯岡さん
  • スクラム導入前
    • 社員爆発的増加
    • 部署間の溝
    • よく分からないところからよく分からないタスク
    • 超人的な調整力で対応
  • 実際やってみても右往左往。バーンダウンチャートあがり続ける。チーム肥大化。ミーティングの長時間化。
  • よかったこと
    • クロスファンクショナルなチームができた
    • 優先順位の共通意識
    • 問題が浮き彫り
  • コーチを招いたり、勉強してスクラムの理解を深めることで成果が出て、今はほとんどのチームがスクラムで運用。
• GREE林さん
  • スクラム導入以前
    • wikiで仕様やスケジュール作成
    • redmineでタスク管理
    • svnでコード管理
    • wikiでレビュー
  • スクラム導入へ
    • reviewboard、JIRA導入、fisheye（後git）導入
    • スプリント計画はチームでサブストーリー選択してサブタスク
    • 朝会、コードレビュー
• Aiming小林さん
  • スクラムは「推奨」という扱い
  • ゲーム開発では仕様書どおり作ったらクソゲー。試行錯誤が必要なのでスクラムがマッチ。
  • 壁足りないくらい付箋張ってる。
  • 朝会、夕会、スプリント1週間、進捗の見える化（アナログ＋デジタル）
  • マイルストーン毎に振り返り。
  • jenkins、ペアプロ、github
  • 難しさ
    • チームが分散してること（東京、札幌、大阪）
    • doneの定義が曖昧（ゲームは作ったら終わりではない。運用もある）

このあと司会のGoogle及川さんから導入、運用時にはまったことというお題に対して各社回答。

• DeNA
  • まずは小さなチームでやって成果を出すのが重要。
  • 経営層と抵抗する理由を徹底的に話し合った。
  • 専任スクラムマスター必要。
• GREE
  • スプリント計画を工夫する。
• Aiming
  • 合意形成と方法論とは分けて考えた方がいい。合意形成の部分で炎上した場合スクラムが悪いというわけではない。

次にプロセス運用はアナログ？デジタル？というお題。

• DeNA
  • アナログ
  • ツールを使いこなせない人がいる。コミュニケーション大事。
  • JIRAの一覧性がイマイチ。
  • チケットログは終わったら捨てる。サブタスクは残してもしょうがない。
  • 付箋紙が落ちる笑
• GREE
  • デジタル
  • スプリント計画は時間がかかる。
  • JIRAが進化している。
  • 朝会、夕会は会議室のモニタに大写しにしてやる。設備重要。
• Aiming
  • 両方

Q&Aにて「スクラムマスターの仕事って？ボトムアップじゃだめ？」という質問に対して各社回答。

• DeNA
  • 一言で言うとチームをドライブする。
  • スクラム教える、会議のファシリテーション、振り返りの記録
  • 第三者視点からのチームへのアドバイス
• GREE
  • 技術リーダーなどとはロールを分けるのが理想。兼任は難しい。
  • チーム横断的な視点。
• Aiming
  • 火消し＝スクラムマスター
  • 雑務？付箋紙の発注。笑

次にどこまでチームに介入するか？という質問。

• Aiming
  • フォロワーに徹する。質問をぶつけまくる。気付かせる。解決してもらう。
• GREE
  • コードレビューを徹底。

最後にこれから導入しようとしている人へのアドバイスという及川さんからのお題。

• GREE
  • 準備重要。研修でみんなに知識を深めてもらう。
  • JIRA,git,githubが三種の神器。
• Aiming
  • 自立的なチームになっているかどうか。
  • 上が、プランナーがと言い出すと炎上のおそれ。そういう炎上したときにスクラムを提案するといいかも。
• DeNA
  • スクラムの導入が目的ではない。
  • 振り返りでたくさんでてくる問題は一個ずつ解決する。
  • コミュニケーション量重要。席替え重要。絶賛。

これまでスクラムに対する知識は皆無だったんだけど、一気に身近になったような気がしたセッションだった。やっぱり生で話を聞くのはいいな。とにかくもう少しスクラムに対する知識を深めたいと思った。スクラムマスター目指してみようかな！
さてこのあとは個人的には楽しみにしていたセッションへ。

クラウドな働き方 x 介護 〜来るべき育児と介護をどうITの力で乗り越えるか！？〜

http://www.cross-party.com/programs/?p=129
まずは介護をとりまく状況について司会の小室さんから。

• 人口が減少する、なかでも労働人口が減少していく
• 2045 一人が一人を介護する時代
• 東京周辺にITの仕事が密集
• 親の介護のために地方へ帰るとITの仕事がない
• 介護認定をもらうのに数年かかる。その間、自分で介護する必要があるかも。

このあとパネラー3名の発表。

まとめ

今回このイベントはクロス・交流というのがテーマになっているけど、普段の仕事ではまずクロスしない「介護」というテーマについて興味深い話を聞いて考えるきっかけになったことはすごくよかった。もちろん介護のセッションだけじゃなく、HTML5のセキュリティやスクラムというのも僕の普段の業務にはまだ直接関係のあるものでないけど、すごく興味深くて面白かった。
そうそう、あとプレミアムモルツの飲み放題！これはうれしいですね！これだけでもチケット代2000円の元とれるよ。
また来年も参加したいと思います。
関係者のみなさん、ありがとうございました。そしてお疲れ様でした。

ヘルプマン！（１） (イブニングコミックス)

• 作者: くさか里樹
• 出版社/メーカー: 講談社
• 発売日: 2012/11/05
• メディア: Kindle版
• この商品を含むブログ (1件) を見る