RealTime Biddingとは

• RTB
  • RealTime Bidding
  • 広告を配信する瞬間にオークションを実行
  • オークショ主催側: SSP (Supply Side Platform)
  • オークション参加側: DSP 広告配信側

• RTBの流れ
  • Webページ表示時、SSPがRTBリクエストを送出、DSPからいくらで買うかをビッド。最も高い値をつけたDSPが勝ち、広告を表示できる

• 本日のお話
  • MicroAd BLADE (DSP)の入礼処理の一部を公開
    • DSPの入札処理のポイント
    • 適切な広告・入札がく決定、高速な処理

• 1.適切な広告選定・入札額決定
  • どの広告を入札するべきか
    • 落札しただけではダメで、クリックして成果が必要
  • いくらで入礼するべきか
    • 上げる: 配信量増○、コスト高×
    • 下げる: 逆

• 2. 高速な入礼処理
  • 制約条件が多い
    • SSPからは80ms程度のタイムアウト制約がある
    • タイムアウトが頻発するとペナルティもある
    • 海外のSSPとのRTBでは通信だけで70msかかる
  • 入札処理に使える時間は10ms前後

MicroAd BLADEの特徴

• MicroAd BLADE
  • 2011年6月から
  • 4000社をこえる広告主
  • リターゲティング/オーディエンスターゲティング広告

• retargeting
  • 広告主サイトへの再来訪を促す広告配信手法
• audience targeting
  • 潜在顧客をターゲットとして広告を配信する
    • 統計的手法により、どういう人が興味を持っているかをためる
    • 広告主はどのあたりに配信したいかターゲットを設定
    • 設定に合う人に対して広告を配信

• BLADEのRTBレスポンス数
  • 2013/1現在、25億件/日

BLADEの内部

• RTBの入札部分のシステム構成
  • RTBサーバー60台 Apache, Tomcat,
    • ログ Hadoop
    • Kyoto Tycoon

• 処理の流れ
  • 広告リストアップ
    • 広告データ、リターゲティング、オーディエンスターゲティングデータ、demographicsデータ それぞれ数億件
  • 配信不可広告のフィルタ: 競合社の広告など
  • 入札額の導出
    • frequencyデータ: 同じ広告を何度も見ると興味が下がっていくため
  • 入札広告の決定

• 5msへの取り組み
  • データ参照がボトルネックになりがち
    • 一般Webアプリと同じ
  • アプリケーションまわりのデータ参照の工夫
    • KVS(Kyoto Tycoon)
    • replication
    • cache
    • object cache

• KVS: Kyoto Tycoon
  • レコード数が多い
  • key/value
    • Webユーザーにひもづくデータ
  • 数億件でも数万QPS以上が可能
  • 負荷対応
    • 1. 参照は複数台のスレーブ
    • 2. 更新が多い場合はストレージIO高速化
      • 更新遅延よりも参照遅延の方が致命的
      • スレーブ側の高性能化が重要
    • 3. マスター分散
      • keyによるpartitioning
  • Kyoto Tycoon用のJava binding: 公式なものはない
    • memcached互換はあるが要件が合わない → 自作
    • thread safe, connection pooling, data serialize/deserialize等等

• replicationとローカル参照
  • デー糸サイズが大きい(1k〜)と通信コストが高くなる
  • データ参照するRTBサーバ上にスレーブを立てて通信を減らす

• cache
  • 使い分けが大事
    • 整理性やリアルタイム性をどの程度担保すべきか
  • よく使う方法2つ: 全件キャッシュ、有効期限つきLRU
  • 全件キャッシュ: まんべんなくアクセスされる
    • 起動時にロード、2分ごとに更新スレッドで全件リロード
    • 入札に選ばれたときに最終確認する
  • LRU: 頻繁に参照されるもの
    • 広告枠ごとのベース入札額
    • 一定件数だけcache
    • ミスヒット時、マスタから取得、一定確率でcache

• object cache
  • 取得したデータをJavaのObjectにするにも時間がかかる
  • Objectになった時点でキャッシュ

まとめ

• まとめ
  • RTBってのがあるんだよー
  • 業務ロジックの高度化と処理の高速化が両方必要
  • Microad BLADEはがんばっています

• もっと話したかったこと
  • 少数精鋭: 入札アプリは3名のエンジニア
  • なぞな職人たち

• Action!
  • 職人魂でエッジの効いたモノづくりをしていきましょう!

• 想い: 動けばいい/無駄なんて気にするな、サーバー足せばいい
  • → クールじゃない。伝統職人に笑われちゃう

感想

普段見ているWeb広告がこのような仕組で配信されているとは知りませんでした。時間的制約のある中での処理の工夫が面白かったです。最終確認でアウトならあきらめるというのは、処理数が多いからできる技でもありますね。

はじめに

• 本当に必要なものがわかるか?
  • ブランコの絵
  • SIでよく起こる話
  • もっとひどいバージョン
  • 期待のマネジメントに失敗
• システムの機能の利用割合
  • 2000年 Stanish
  • まったく使わない機能が45%、ほとんど使わない19、たまに16、よく使う13、いつも使う7
  • まったく使わない、ほとんど使わないで64%。これらを作らなかったら3分の1の期間・コストで作れたのでは?

• あなたの開発はムダだらけ?
  • トヨタ生産方式
  • ムダ: 作りすぎ/手待ち/運搬/加工/在庫/動作/不良をつくる
  • 加工のムダの例: 進捗はわかっているのにおえらいさん向けにプレゼンを作る
• コストの見積りは正しいか
  • 不確実性コーン
• ウォーターフォールV字モデル
  • 時間がかかりすぎて、出来た頃には要求が変化。そもそも要件があっていなかったということが全部できてからわかる
• よく見かける光景
  • 設計までは順調→開発・テストで遅れ→受入れ試験でニーズ不一致が判明
  • 多くのリスクが後半になって顕在。そのころにはとり返しがつかない

• Agile Manifest
  • Kent Beck, Martin Fowlerら
  • 顧客満足を最優先し、規値あるソフトウェアを早く継続的に提供する
  • マーケットに製品を早期に投入して、投資を回収し、利益に結びつける必要がある
  • ドカーンと計画して長い時間かけて作ります、ではない
    • MVPとフィードバックループ
    • ビジネスの成長とプロダクトの成長

アジャイル開発

• アジャイルの範囲
  • 高速に石橋をたたいて渡る「開発環境」 〜 アジャイルのright wing

• Flickr
  • 右上に「最後の更新がいつで何個の更新」と出ている
  • 毎日何回も本番環境にデプロイできているか == 顧客に頻繁に価値を届けられているか
• Amazon: 最大1時間に1079回デプロイ

• よくある話
  • 「てめーもっとちゃんとアプリ作れ」
  • 「運用でなんとかすんのがあんたらの仕事だろ」
  • 「そんなのどっちでもいいからビジネスのこと考えてよ」

• 会場調査
  • unit test〜CIサーバー〜結合・受入テスト自動化〜自動デプロイ〜環境構築の自動化
    • unit testしてるのはほぼ全員。自動デプロイまでは数人、しかし環境構築の自動化までしている人はいない
  • 一日にしてならず。銀の弾丸はない。自分達のプロセスは自分達で進化させる
    • 製品そのものをAgileな状態に保つ
    • 技術的負債を少なく保つ

継続的デリバリー

• 継続的デリバリーの原則
  • 1. デプロイはくり返し可能であり信頼性がある
  • 2. すべてを自動化する
  • 3. 難解、苦痛なことを自動化
  • 4. すべてをSCMで管理
  • 5. 完了は「リリースされたこと」を意味する
  • 6. 品質を作りこむ
  • 7. すべての人にリリースプロセスに対して責任がある(もっと言うとプロダクトに対して)
  • 8. 継続的に改善する

• 継続的デリバリーの4プラクティス
  • バイナリは一度だけビルドする
  • すべての環境にデプロイするのに完全に同一のメカニズムを使う
  • スモークテストを実施する
  • 何か問題が起こったらラインを止める

テスト自動化

• テスト自動化
  • アジャイル開発においては必須
  • 小規模リリースのたびに手動テストするといつかテストしかできなくなる
  • 損益分岐点
• 問題は早めに解決する
  • 早く見つけて早く直す
• デプロイのたびに人手でテストするなんて無理
  • テストしてないものを目をつぶってデプロイしてはいけない
    • 悪魔のささやき: 設定ファイル1行だけだから平気だよね?

• アジャイルテストの4象限
• 自動テストに求められる特性
  • repeatable, independent, self validation, easy
• webだと
  • controllerのテストを沢出書かなきゃいけないのはfat controllerだから

• 完了の定義
  • 何をもってデプロイしていいかを定める
• XPのプラクティスの利用
  • TDD、ペアプロ、CI、などなど

• Jenkins
  • 継続的にテストしていないといつこわれたかわからない
• CIサーバ
  • プロジェクト初期からやる
  • メトリクス取得や静的解析は初期からじゃないとダメ
• CIアンチパターン
  • テストコードと製品コードを同時にコミットしない
  • 帰り際にコミットして結果を見ずに帰る
  • 何も変更してないのにビルドが落ちたり落ちなかったり
  • CIサーバーのメッセージが多すぎる
  • 本番環境とステージング環境が大幅に違う
  • チェック内容が変わらない、プロセスが変わらない
  • などなど

バージョン管理

• バージョン管理
  • 設定情報のバージョン管理
  • バージョン管理は開発者のしつけ
  • どの断面でも再現可能か(昨日、1週間前、先月のバージョンに戻せるか)
    • ソースだけではないDBスキーマも

マイグレーション

• マイグレーション(DBスキーマ)
  • このブランチはどのスキーマ?
  • 既存の問題
    • SQLスクリプトファイルは管理が煩雑
    • 自動実行に向かない
    • ロールバックやデータ移行も難しい
    • 適用順序で結果が変わる(カラム順)
  • マイグレーションを使えばいい
    • Liqui base, dbdeploy, doctrine, Rails migration
  • SQLファイル名の数字の大小の順で適用、など

環境構築の自動化

• 環境構築の自動化
  • そもそも時間がかかる、単純作業はミスしやすい
  • ミスした場合の検知する仕かけが本番障害しかない
  • 手順書の妥当性検証が難しい
• 自動化しておけば、いつでもクリーンな環境を作れる
  • 場合によっては5分くらいで最新版アプリを動かせられる
• 設定やインストールの自動化
  • 本番環境と開発環境の各種バージョンを合わせることが可能
  • Chef/Chef Solo
    • 多数のRecipesが公開されている
  • puppet
• 仮想化と自動化
  • VagrantでSandbox
  • 実験しやすい。失敗したら戻せばいい
  • AWSでStampパターンを使う
• 環境構築で自動化
  • 課題: 有償ソフトウエアのライセンス管理

デプロイ自動化

• デプロイ自動化
  • 以上ができてはじめて可能になる
  • 手でWinScpとかありえない

• ゼロデプロイ
  • プロジェクト最初に、デプロイを自動化する
  • デプロイが自動化しやすいプロダクトの作り方がある
• 気をつけること
  • デプロイが失敗した場合にロールバックできるようにする
  • デプロイが途中で失敗した場合、その先を手動でやってはいけない
• Capistrano
  • Webistrano: Web GUI
  • Fabric: Pythonのデプロイツール
• よくあるデプロイ方法
  • 難しいところ
  • DBの不可逆な変更を避けるようにアプリを作り込んだほうが良い場合が多い
    • 1回冗長にしておいて、うまくいったら消す
    • いったんトリガを張っておいて後で消す

• ビルドパイプライン

• テスト完了してからリリースするまで何日かかる?
  • 障害時に1日でリリースできるのに、障害でないときにできないのは、プロセスに組織的なムダがあります
  • ワンクリックでデプロイできたとしても、リリースの意志決定が遅かったら意味がない
  • → 組織のアジリティーを高める
    • 変化しないとゆるやかに死ぬ
    • 自分たちで変えていく。できることは沢山あるはず
  • すぐできるものではない

• DevOps
  • 開発と運用が協力しあって、継続的にプロダクトを顧客に届けつづける

まとめ

• まとめ
  • ビジネスのために継続的に
  • アジャイルなやり方
  • テストの自動化
  • 常に出荷可能
  • デプロイや環境構築も自動化
  • 改善をずっと続ける

感想

「ワンクリックデプロイ」というタイトルから、chefやcapistranoの話かと思って聞きにきました。しかしアジャイルやスクラムの話が長々と続き、これはどうしたことだと思っていました。話が最後の方まで来てようやく、「ワンクリックデプロイ」というのはアジャイル開発の一部であることを理解しました。ばーんと導入してばーんとできるようになるものでなく、プロセスの改善を続けてだんだん近づいていくゴール(サブゴール)だということがわかっていなかったんですね。一段上の視点を得られた貴重なお話でした。

モデルプランの紹介

• 百瀬さん
• スライド

• モデルプランの中身
  • Webアプリケーション(とプラットフォーム)の脆弱性対策関連の要件に特化した仕様書(特記仕様書)
    • 入札条件にぽっとはりつけられる仕様書
  • セキュリティー保証期間
  • 提案時の提出物
  • ソフトウェア選択に係る要件
  • 対応すべき脆弱性のリスト
  • セキュリティー機能要件
  • テスト要件
  • 検収方法
  • 成果物(納品物)
  • 保守対応関係要件

• セキュリティー仕様選定基準イメージ
  • A 実際に攻撃に使われている手法
  • B 現売点で悪用可能で、将来攻撃に悪用される可能性のある手法
  • その他に未知の脆弱性などがある
• 対策が可能でコストがかかりすぎないものを選んでモデルプランとした
  • 脆弱性対応に関する要件
  • セキュリティー機能に関する実装上の要件
    • パスワード保存時は5文字以上のソルトつけなさい、など
• セキュリティー要件の提示方法: それぞれ長短あり
  • 脅威を明示
  • 名前を明示
  • 実装方法を指定
  • 検査方法を明示
• 実装方法を指定するのがわかりやすい
• 脆弱性が発見されたら直してください、など

• なぜ作ったか
  • ウェブ健康診断
    • 手動で診断。20分くらい、精密検査ではなく
    • クローラへの耐性も入れている 〜librahack事件を受けて
  • ウェブ健康診断仕様はIPAにその維持・発展を引きついだ

• 脆弱性対策に関する課題
  • 突然発覚する脆弱性への対応について幹部の理解が得られない
  • 必要性を理解していない
  • 人事異動で…

• モデルプラン検討経緯
  • 救援を送る → ムリ、首長を啓蒙する → どこから話していいか
  • 根本的な対策が必要 → そもそも脆弱性のあるソフトを作らなければいい
  • 容易に改修できるようにする

• 今後、地方公共団体のセキュリティーレベル向上に必要な施策
  • 事後対策 + 事前対策(new) = セキュリティーレベル向上
  • 地方団体が1800近くある。お金ののあるとこもないところも
    • ユーザー企業・団体・国も巻き込みたい。ベンダーさんにもあらかじめ対応しておいてもらいたい
  • 「いいモデルプランです、パクっていいですか」「どんどんパクってください」

• モデルプランのポイント
  • 「セキュリティ保証期間」という期間を設け、「脆弱性リスト」で示したものに限定して対処を求めている
  • 「セキュリティ保証期間」==5年間(稼動予定期間)とする
    • 瑕疵担保期間とは別
  • 追加費用なしで直せ≠無償で

• 追加費用なしでの効用
  • リスクの見積もりを提案者(ベンター)に委ねる
  • 「自ら開発したソフトで事後に脆弱性が発覚するリスクを見込んで保守費用に対応費用をあらかじめのせといてください」
• 地方公共団体の調達==ほとんど入札、となれば広がっていくはず

• モデルプランの採用が進むと…
  • 対応可能なベンダーが強くなり、脆弱性のある製品が減る

• アンケート: モデルプランを利用したいと思いますか
  • 46% 1: 利用を検討したい
  • 51% 2: 内容を確認してから検討したい
  • ASP, SaaSについて同様のモデルがほしい
  • ユーザー・ベンターの相互の意識を高めることが必要ですね

• まとめ
  • 期間と内容を限定して、万一出たら直してくださいね、となっている
  • 熱心なベンダーにとっては優位な仕様
  • 地方公共団体向けだけど、もっと活用の幅を広げたい

• Action!
  • セキュリティは文化
  • 積極的に、ポジティブに、要求仕様の内容を良くごらんください
  • 「これって当たり前だよね〜(今のやつには実装してないけど)」がほとんどだと思います
  • 当たり前の文化(=開発規約)にすれば、随分世の中の脆弱性がなくなるはず
  • 地方が上げていけばベンダーのレベルも上がる。日本全体のセキュリティーレベルが上がる
  • 「日本のセキュリティの夜明けぜよ!」

モデルプランの主要論点

• 徳丸さん
• 大変な仕事だった。高木浩光さんにウンと言わせるのが大変だった

• 論点1: 脆弱性名の列記ではあいまい
  • 「○○脆弱性がないこと」では契約にならないのでは? など
• 論点3: セキュリティー保証期間
  • OS、ミドルウエアも5年なら5年保証しないといけない(サポートライフサイクル)
  • セキュリティー保証期間、これは瑕疵担保ではないのか → 別のもの
• 論点4: 地方公共団体職員の検収能力に関する課題
  • 職員さんはまじめだが技術力はない。検収できるのか?
  • 受注者に「セキュリティ検査報告書」の提出を求める。入礼価格の中でやってもらう

• 発注者にとってのモデルプラン
  • 発注者とベンターの責任分担を明確にする
  • 未知の問題については責任を問えないので、発注側の責任

• 提案者にとっての意義
  • セキュリティ施策について、何をどこまでやればよいかを明示
  • 対応範囲を明確にする
  • 提案時に責任範囲を明確にすることにより、真面目なベンダーさんが得をするように(安かろう悪かろうが勝たないように)

• 脆弱性が指摘されたとき実際に改修しましたか?
  • 1: 発注者の費用で直した 15%
  • 2: 受注者の費用で直した 55%
  • 3: そう方の負担で直した 30%
  • 4: 直さなかった 0%
  • どうせ受注者の持ち出しになるなら、そう明記しておくほうがいい

• サポートライフサイクルポリシー
  • Linux, OSSなど
  • MSのがすごくよくできてる
    • 2012が発売される直前に2008を導入した。最短(でも)7年間保証される
    • 最新バージョンを使う限り、古いものも延長サポート可能
  • RedHat
    • 7年→10年に延長: リリースから数えるのでいつ導入するかによって違うが、まあOKじゃね
    • RHEL/CentOS5 2017/3/31
    • RHEL/CentOS6 2020/11/30
    • RPMでPHPを入れたらRedHatがサポートしてくれる。これはすごい

• 脆弱性対応
  • あいまい性があっては困る。IPA, CWEを参照している
  • 脆弱性リスト16種類
    • クリックジャッキング、オープンリダイレクタ、クローラ耐性など

• セキュリティ機能
  • ログイン処理、アクセス制御処理、認可処理
  • 自社製品へのガイドラインとしても使えそう
• セキュリティー対策を理由とともに説明
  • 例: ログイン失敗時のメッセージ出力のとき、ユーザー/パスワードのどっちが間違っているか表示してはいけない理由、など

Q&A

• 会場: 自治体サイトに脆弱性が発見された場合、ベンダーの立場として費用をかけて改修しましょうと言ってもなかなか難しい。enforceする仕組はあるのか
  • 百: お金がなければできない。結局お金の問題になってしまう。今後はあらかじめ用意しておきましょうという話になる
• 徳: 脆弱性診断をしているとPHP4だから上げましょう → 「RedHatのサポートが切れているので上げられません」…あっ、PHPって無料じゃなかったんだ、と思った瞬間だった
  • 竹: サポート期間が5年ということでRHEL6を選択するような力がかかると
• 竹: モデルプランはPHP以外にも適用可能?
  • 徳: JavaもOKです。ただし、サポートサイクル的にJava6が終わっても平気かどうかは検討が必要。どうしてもJava6でないと困るという場合、重要事項説明を書いてもらって別途費用がかかる旨書けばいい
• 竹: 最近のJavaの脆弱性はクライアントアプレット側のものが多いが、サーバー側の修正も必要でしょうか
  • 徳: 大丈夫という判断ができるなら、当てなくてもいい
• 竹: Javaの脆弱性で困ったことはあるか?
  • 会場: サーバーサイドのバージョンアップはほとんどされていない。基本的にエンタープライズ用途なので、アプリサーバーがfirewallなどで守られていることが多い。
• 竹: Javaの場合はbyte codeの後方互換性は守られているので、気にしない人が多いのかな、と思っていたんだけど
  • 徳: そこまで大胆に上げる人はいないのでは?
  • 会場: オラクルから非互換リストも出ているので、テストなしでアップデートはありえない。unit testで確認するということはある
• 百: クライアントサイドの問題が取りざたされている。省庁によってはJavaの古いバージョンを使い続けるのは許さないというのが強く打ち出されてきている。そういう号令は省庁では絶対の話。クライアント側はむしろ強く求められていく
• 竹: Javaアプリを使っている地方団体アプリはあるのでしょうか
  • 百: いやーあるんですよー、IE6でしか動かないとかー。対応するためにベンダー内では、専用のパソコンを別ネットに用意して検証しているようだ
• 徳: 「5年しか使えないの?」という声もあった。発注したからには未来永劫使いたい、と。5年経ったらチェックして、使えますねとなったら使い続けるなどを推奨する
  • 竹: 民間企業だと減価償却もあるので5年というのはいいセンだろうと思う
  • 竹: 旧ソ連には減価償却という概念がなかったので古いものが使われ続け、結局崩壊につながってしまったという話もある
• 会場: セキュリティーの範囲として、スマホ、タブレットに対応というと、Webと環境が違うと思う。適用できるのか
  • 徳: スマホのアプリは対象外である。スマホ端末が対象でもいいが、ブラウザで動くものと考えている。HTML5はどうなのという話があると思うが、脆弱性もまだわかっていない。アプリは作る側のリスクになる
  • 百: どういったデバイスに対応するかは明確にしたいと考えている。要求の段階でタブレットはいらないよ、となっていたのに後からほしいと言われても、仕様に入ってないじゃない、とすることができる
• 竹: JSSECから「アンドロイドアプリのセキュア設計・セキュアコーディングガイド」が出ているのでチェックするのをおすすめ
• 会場: リスク評価して応札価値に上乗せしろ、とかそんなことは実現可能なのか
  • 百: 脆弱性が出たのに対応してくれないような業者は淘汰されていくと考えている。チェックできるような書類も提出してもらうことになっているので、後から何かあったときにもさかのぼってチェックできる。このモデルプランで万全ということではなく、うまくいかないということになればまた第2版、第3版と改訂していけばいいと考えている
• 会場: Javaのアップデートするとき、旧バージョンをアンインストールしないと、アプレットがバージョンを指定することができてしまう
  • 百: 旧バージョンを消してね、という通知はしている
• 会場: T市のように海外のサービスに自治体サイトを移した場合、海外サービスのセキュリティー評価をするようなこともあるのか?
  • 百: 答えにくい。セキュリティー健康診断サイトもやっている。基本的にはアプリを提供しているベンダーの許可がなくてはできないよ、としている
  • 徳: ASPやSaaSのひとつがたまたまFackbookと考えることができる。残念ながらモデルプランではASPやSaaSは対象外。この文書を提示して対応してますか、と聞くことはできるだろう。T市の場合いきなり一社に発注していることのほうが問題。自治体や上場企業だと明確な理由なしに一社に決めることはできないだろう

Action!

• 徳: 関心を持っていただきたい。いろんな意見をください。発注書というのはいい例がなくて手さぐりで作ってみた
• 百: ぜひ自治体を助けてください。本当に困ってると思います。お金もらってないし、と他人事ではなく。日本全体のセキュリティーレベルを上げていくためのひとつのマイルストーンができたと思う
• 竹: 地方から日本は変わる、デベロッパーによって変われると思う

感想

自治体システムの場合、納入後の運用におけるセキュリティー上の施策に関して予算確保などいろいろな問題があるのですね。モデルプランでは入札によるシステム開発におけるセキュリティー要件を明確にしたということに意義があるとのことです。セキュリティーの問題は技術者以外の人々に必要性を正しく理解していただくのが難しいと感じています。このような文書を参照できることが重要ですね。いい話をたくさん聞けました。ありがとうございました。

ウェブが破壊したもの

• 20年前のPC, MacはCUIからGUIへの移行期にあり、PCは生産作業ツールだった
  • 当時はGUIが競争力の源泉と考えられていた(例: Apple vs MS裁判 1988-1994 → Apple敗訴)
  • GUI操作の特徴: シングルクリックで選択、ダブルクリックでデフォルトアクション
• ところが1995年インターネットが登場し、PCはコミュニケーションツールに変わった(それ以前もパソコン通信はあった)
  • ウェブブラウザのUIはOS非依存
  • ブラウザ操作の特徴: シングルクリックはページ遷移
• インターネットとブラウザの登場でOSメーカー(MS)とウェブ企業(Google等)の戦略は互いにつぶし合う様相に
  • ユーザビリティーは進化せず、むしろ悪化した

iPhoneの登場とスマホアプリ

• Apple社の戦略はOSメーカーとブラウザのつぶし合いとは違う
  • アプリならではの長所を生かし、AppStoreというエコシステムを形成
• スマホへのブラウザアプリの最適化は不可能ではないとはいえ、専用にするならアプリの方が楽、クロスプラットフォームにしようと思うと互換性で苦労する
• スマホアプリ=進化したウェブアプリなのか? Webの通信を使いながら、より優れたUXを提供できる。ウェブが終わりってアプリの時代が来るのか?

ウェブ vs アプリ

哲学

• Webの基本3要素(Tim Berners-Lee)はHTML, HTTP, URI。一番重要なのはURI
  • URIができたので誰でも同じ情報を参照できるようになった。Google検索もURIがあるから可能
• スマホアプリ=ウェブを補完する存在
  • better UXでウェブをサポートするが、URIは扱わないか意識させない作り

市場

• スマホアプリ市場の規模感: 広告などと比べると小さい。日本のソーシャルゲームくらい
• すべてのウェブサイトはアプリ化するのか?
  • メリットは業態によって様々。零細通販では開発費がペイできないかも
  • アプリ化のデメリットももちろんある: 開発コスト、アップデート頻度低下

技術

• ウェブブラウザも進化している
  • JavaScript高速化、WebGL, Web Audio API, PNaClなど
• W3C Push API
  • ウェブサイトからスマホへのpush通知。通知を受けるとブラウザが起動
• 事例: ngCore on HTML5
  • ngCore: DeNAが提供するゲーム開発環境(ngMocoから)
  • JSでゲーム開発 → OpenGL等のネイティブAPIを利用
  • 2年前は夢物語と言われた → 今は結構動く

まとめ

• スマホアプリ vs ブラウザアプリ: 対立というより相互補完の関係にある
  • アプリ: UIに優れる、ブラウザ: 幅広い用途に対応
• 用途別分類: 横軸: 高度なUI←→機種非依存; 縦軸: 利用頻度としてプロットしてみる

Action!

• できないと決めつけていることはありませんか

感想

スマホアプリとブラウザアプリは相互補完の関係にあるというのは実感としてもわかります。上手な分担ができれば使い勝手はよくなりそうです。アプリとブラウザ間でログインセッションの共有がもっとスムーズにできるといいな、などと連想しました。

パフォーマンスチューニングとは

• 要件を満たすための改善活動 → 目標がある
• 3つのアプローチ → ずらす、変える、増やす
• FAQ: 対策がわからない → 問題・原因がわかったつもりでクリアになっていないケースが多い
  • クリアにできない: 解明手段がない、セキュリティー上見えない
  • クリアにしたくない: メンタルな理由

パフォーマンス低下 - どうする?

• アーキテクチャによって打つ手は違うだろうが、アプローチは本来同じであるはず
• 標準アプローチを確実に押さえることが重要
• Front-Back-DBのマルチtierの例
  • Java, .netの組合せなど

トランザクショントレース技術

• Compuware社製品PurePath
• ユーザーのクリックからDBクエリーまでをひもづけてトラッキング
• 問: ネットワークモニタリングとは違うのか?
  • ネットワークモニタリング: スイッチにしかけてデータの流れを見る
  • トランザクショントレース: アプリケーションの動きを見ている
• ユーザーのクリック → HTTPリクエスト → 各サーバーのどのメソッドを通るかを階層表示
  • [どでかいスタックトレースのようなもの?]

PurePathの仕組み

• タギングを使ってデータを識別
  • 各サーバーにインストールされたエージェントがメッセージにタグをつけていく
  • タグを分析サーバーに集約・分析
  • 流れに付随する引数なども取ってくる
  • 必要なコンテキスト情報をすべて取ることができる
• PurePathの特長
  • ブラウザからDBまでを一気通慣で追跡
  • 全てのトランザクションの性能を正確に測定(サンプリングではない)
  • マルチベンダ・マルチプラットフォーム

デモ

• よくある質問: このネットワーク図って、自分で定義しないといけないんですよね?
  • → サーバー間のトラフィックは実際の呼出しを分析して自動でネットワーク図作成
  • doLoginの第1引数がユーザー名と定義しておけば、ユーザーのクリックからの追跡を抽出できる
  • 取得したトランザクショントレースをexport → 別の技術者がimportして分析
    • 正常時のトレースと比較(リグレッション分析)
    • 今回のデモの例: authenticateメソッドが735回も余分に呼ばれている!
• PurePathの機能
  • リグレッション分析
  • ブラウザ内の分析
  • シーケンスダイアグラムの生成

チューニングのアプローチが変わる

• ログ分析 → トランザクショントレース
• 再現待ちという仕事がなくなる → すぐに分析
• 勘と経験 → 科学的、説明可能な分析
• → 標準化

Action!

• 快適なアプリケーションを通じて、快適な社会を作りましょう

感想

トランザクショントレース技術のすごさがよくわかるデモでした。他の技術と比べたとき、トランザクショントレースの弱点はなんだろうと思いました。

Ruby誕生

• Rubyを作りはじめたのが1993年2月24日。
• この日に「Ruby」という名前が決まった
  • 概念としてのRubyが生まれたのはこの名前が決まった瞬間。そのときにRubyが誕生したと思っている
  • 会社にコンピュータがあってメールも使えたので、いっちょ作るか、と始めたのがRuby
  • あと10日で20周年

• 言語を作るのは大変。"Hello World"を動かそうとすると文字列を作らなきゃいけない。そのためには文字列オブジェクト、文字列クラス、Objectクラス、といもづる式にいろんなものが必要に。出力するにはIOオブジェクト……
  • 最初のHello Worldが出るまでに半年かかっている

• 1995年12月 Version 0.95初公開
  • 人にあげるたびに0.01ずつバージョンを上げていた
• 1998年の1.2以降、開発系と安定系で分かれる
  • 盆と暮れに出すのが目標
• プロットすると、2.0前でサチってしまいそう
  • 「これは本当に2.0にふさわしいんだろうか」という心理的ブロックがある
• 一昨年2.0を出すとアナウンス「2013年2月24日にRuby2.0を出す」

とうとうやってきた2.0

• Ruby2.0の話はこれまでずっとしてきていた
• 過去の2.0候補
• RubyConf2001 最初のRubyConf。キーノートで言及
  • 911があった年で米国入国が大変だった
  • スーツケース全部開けられた
  • Florida州タンパ。OOPSLA会場にて
  • 出席者32人の小さなカンファレンスだった
  • 新VM、新GC、ネイティブスレッド、埋込API
  • 心理的壁にもこのときすでに言及
  • 当時の構想: コア実装の置き換え
    • Perl, Pythonと比べて遅い遅いと言われていた
• ここで言われていることはほとんどRuby 1.9で実現された
  • 新VM → YARV ささだこういちさん Rubyバイトコード
  • 新GC → 世代別GC ひやまさん 1.6→1.7 でメモリ割当てを変更したらかえって遅くなってしまった
    • → 1.9ではLazy Sweepを導入。2.0ではbitmap marking
  • native thread → 1.8まではgreen thread(ユーザーレベルスレッド)
    • Ruby開発開始当時はマルチコアCPUもなかったし普通の人がマルチスレッド使う方が効率的という考え方はなかった
    • キレイにプログラムを書けるようにスレッドを用意した
    • 1.8ではthread切りかえのたびにスタックをまるごとコピー。リンクしたいネイティブライブラリがマルチスレッドだと相性が非常に悪い
    • 1.9ではnative thread。すべてのライブラリの再入可能性を保証できないのでGiant Interpreter Lockを使った。IOするときはロックを外すのでOK。IO heavyなプログラムでなければ使えないと文句を言われる。JRubyはnative threadだよー、とよく自慢される
  • 埋込API → 1.9では不採用。C APIについては互換性あり

現代のRuby2.0の起源

• • RubyConf2003のキーノートで言及
    • キーワード引数、新ハッシュリテラル、メソッドコンビネーション、セレクターネームスペース
  • 心理的壁を乗りこえられたのは
    • 20周年記念 Anniversary Driven Development
      • 20だから2.0みたいな。2000円札みたいな
    • キーワード引数、メソッドコンビネーション、セレクターネームスペースがそろったというのが大きい

Ruby 2.0の新機能紹介

• キーワード引数
  • 名前つきオプショナル引数
  • 呼び出すほうは新ハッシュリテラル(1.9から使えるsyntax)
    • 一番最後の引数がハッシュだとブレース不要(昔からあるルール)
  • Ruby 1.9では問題がある。渡されるほうはhashで受けて手動で分解しないといけない
  • 2.0ではメソッド定義側で書けるようになった
    • def downto(from, to, step: 1)
  • APIの柔軟性、ドキュメント化、読みやすさ、覚えやすさ

• Module#prepend
  • メソッドコンビネーションの実現
  • 既存のクラスの修飾
  • alias_method_chain: Railsで多用
    • 欠点: 名前衝突の危険、名前管理が必要、修飾のグループ化が困難
  • メソッドコンビネーション: CLOS (CommonLisp Object System)から
    • デフォルトで定義されているもの: before, after, around
    • 正直言うとRubyにはオーバースペック
  • 単純化したもの → Module#prepend
  • prepend: 前につける: includeは後ろに追加、prependは前に追加
    • includeは自モジュールが優先だが、prependは入れた方が優先
  • 既存のメソッドをwrapし、superで呼び出す。その前後に追加の処理を記述

• Refinements: 既存クラスの拡張
  • メソッドの追加、wrap
  • オープンクラス: クラス再定義。mathn, jcodeで使用
  • 実用するのは難しい。スコープ問題がある。クラスを再定義してしまうと、プログラムの他の部分に影響をおよぼす
  • そこでRefinements
    • スコープ限定のオープンクラス → 実験的機能として入れることに
    • 実験的とは? 実はJRubyなどで実装しようとして問題が発生
      • → 入れないと誰も使ってくれない。ブランチをDLして使ってみる人はいない
  • module R内でrefine String do ... end
    • using Rが有効なスコープ内でだけ、refinementsが使える
  • 他の言語の試み
    • Smallscript: Selector namespace
      • メッセージの名前空間分離による多重化。挙動が難しい(継承すると大変)
    • Smalltalk/Java: Classbox
      • 既存クラスを置き換える。GUIのlook&feelを変えちゃう例。local rebinding → lispの動的スコープ
    • C#: 拡張メソッド
      • Scalaのimplicit。追加しかできない
    • Classic: プロファイル。matzの卒論
      • ひとつの構造体に複数のインタフェース「プロファイル」。同じクラスに属するプロファイル間で相互に代入可能

• Enumerable#lazy
  • 関数型プログラミング?
  • 関数型ワナビーとして
  • メソッドチェーン (1..Float::INFINITY).map{..}.select{..}.first(3) → 動かない(途中のmap, selectがeager動作)
  • 提案。遅延評価版のメソッドを作る: map_lz, select_lz (lazyが_lzになっている時点ですでになまけものだw)
    • 全部を置きかえるのめんどくさい
    • 遅延(lazy)を求めるものは怠惰(lazy)である
  • 最初にlazyってやればいい → ナイスアイディア
    • (1..Float::INFINITY).lazy.map{..}.select{..}.first(3)
    • 中身はいろいろ大変

• その他の新機能
  • デフォルトUTF-8
  • Dtrace/TracePoint
  • 性能向上: VM,GC,Win上でのrequire

Ruby 2.0以後

• • 言語としてはほぼ完成。これ以上はやりたいこともあるが言語をこわさないといけない
  • そうは言っても、進化は続けなければならない
    • 性能改善: JITとか
      • JRubyが後発なのにうちの方が速いとか言っててムカツク
    • 適用分野拡大: 組み込み、ハイパフォーマンス
    • マルチコア
    • アクター
    • multiple VM

感想

まつもとさん、いつも楽しそうにしゃべりますね。キーワード引数はすぐにも使いたいです。Module#prependは下手に手を出すと可読性に難が出そうですが、instrumentation的な使い方が面白くなりそうでしょうか。

mruby

• 概要
  • 省メモリ環境向けのRubyの新しい実装
  • 2012年ISO/JIS Ruby
  • CRubyのサブセット: ないもの: File, Socket, Thread
  • OS/CPU 依存が少ない
    • POSIXが要求されなくなった。C99さえあればいい
• configurable
  • 不要な機能をコンパイル時に削除
    • evalもいらないとか、Struct, Time, Math, STDIO, Regexp, sprintfなどはでかいから切り離したいとか
  • Tableをhashからlistに
  • 400〜500kからさらに小さく
    • Lego Mindstorm上でも動く
• mruby target
  • 組込
  • デバイスだけでなくアプリにも組み込める。エディタのマクロ言語とか
  • mod_mruby
• mruby internals
  • VM: RiteVM: Multi VM instance
  • 弱点: スレッドセーフでない
• 開発
  • 2010年春からクローズでスタート
  • 2012/04/22 GitHubに公開
• mrbgems
  • 2012/11に@boviが作った(rubygemsとの互換性はない)
  • GitHubからカンタンにインストール
  • クロスビルドサポート
  • mrubyで提供されているライブラリbindings
    • digest, json, iconv, base64
    • 作ってるのは5人くらい
  • mruby: 車のエンジンのようなもの。シンプルな昔のエンジン

MobiRuby

• 米国から日本への帰国便の中でiPhoneで動くことを確認
• What's MobiRuby
  • iOS app development kit
  • MITライセンス - mrubyと同じ
  • Objective-Cで使える機能はすべてmrubyで書ける
  • Android版も準備中
  • AppStoreでmobirubyをさがせ
• Vision
  • Rubyの力をモバイルデバイスに
  • 「Rubyの力」とは → メタプログラミング
  • Cocoaプラットフォームの機能をキレイにラッピングしたい
• MobiRubyコードの例
  • defineはほとんどObjective-C
  • コード補完が効かないのが痛い
• Next Step
  • Ruby風のDSLでCocoaクラスを使う

MobiRubyスタック

• mruby-cfunc: C言語の関数を呼ぶ。mallocも呼べる
• mruby-cocoa: Cocoaブリッジ
  • CocoaはほぼすべてCから呼べるようになっている
    • mruby-cfuncでたたけば何でもできる
    • 速度が必要な部分などはCで書いた
  • delegate, blockも使える
  • キモイこともできる
    • Objective-CのクラスをRubyで継承、さらにObj-Cで継承
    • ひとつのメソッドだけRubyで定義
  • メモリ管理方法のミスマッチ(refcount vs mark-sweep)
    • 苦労して実装 → 遅い
• mobiruby-common: iOS/Androidで共通にできるだろう機能
  • mrubyにはrequire, loadがない(なぜならFileがないから)
  • requireを作ってもらった
• mobiruby-ios: iOS用にパッケージングするためのモジュール
  • GitHubでmobiruby-iosを取れ!
  • Xcodeインテグレーション
• ロードマップ
  • Cocoa bridgeがなんとかできた。デバッグ中 ←ここまで2012年度中に
  • パッケージング
  • ドキュメンテーション
  • Wrapped Apps
• current status
  • MobiRuby based appがすでにOK
  • AppStore規約に合うか?
    • 外部から読み込んだコードを実行できてはいけない
    • プライベートAPIをたたいてはいけない
      • 仕様には書いていないがヘッダファイルに書いてあるAPIを使っている → 心配
  • 残存バグ: プロパティーが定義できるが読めない
• テスト
  • C側のテストはだいたいそろった
  • ObjC側のテストをこれから作っていく
• Pros
  • Ruby power
  • based on Matz implemented Ruby
  • mrbgems
  • MIT license
  • Compact (〜4000行)
  • mrubyで正規表現がサポートされれば……
• Cons
  • 不安定。そもそもmrubyがまだバージョン番号もない
  • class/functionsが少ない
  • debugがつらいbacktraceがない
• FAQ: RubyMotionと比べてどうよ
  • RubyMotion は2万円、MobiRubyは無料
    • 安定性から言って、いますぐ2万円払う方がおすすめですw
  • MobiRubyはMatz実装なのが大きい

Action!

• MobyRubyの動機: Ruby Powerを世界に
  • JavaScriptでiOSアプリを作る会社にいた
  • mrubyのα版をもらえるので作ってみた
  • 競合はしない
• ワールドワイドのポートフォリオを作りたい
• 海外のカンファレンスでしゃべる

• twitter @mobiruby
• github.com/mobiruby

感想

@masuidriveさんのTLを見ていると、日々@mattn_jpさんとキャッキャウフフしながらmrubyの実装を進めている様子が伺えます。mrubyいろいろ試してみたいです。

中野さん

• 関数型言語ってこわい?
• 「関数型言語である」と思う基準は?
  • 関数が値として渡せる?
  • 高階じゃないと関数型じゃない?
  • 参照透過性? 副作用が隠蔽/分離されている? 型推論?
• 答: 問題が不適切です
  • 「関数型」とはプログラミングスタイルである
  • 言語に依存しない問題
• そもそも「関数」とは
  • 数学の関数の定義と同じ。入力集合の全ての値に対して結果がひとつ定まる
  • 関数でない例: 同じ値でも出力が変わってしまうもの、入力集合の一部に対して値が定義されないもの
• 関数はどれ?
  • getchar(), putchar(int c), random(int p), inc(int* x)
  • 答: 問題が不適切。入力集合A、出力集合Bが定義されないとわからない
  • 入力は引数だけではない。出力は返り値だけではない
• 関数化する
  • スライド参照
• 関数化の注意点
  • f(g(x))のgを関数化する → gの入力集合が変わる → fの出力集合も
• 関数型言語?
  • 入出力の集合を知らないといけないはず。どうする?
  • 結局のところ定義が難しい
• 関数型プログラミングとは?
  • ほとんどが関数であるような記述。非関数をできる限り小さく
  • どんな言語でも書けるが、書きやすい言語は存在する
  • 「関数型プログラミングが記述しやすい言語」
• 関数型のメリット
  • モジュール化しやすい: 並行計算
  • 検証などの最新研究の恩恵: 型検査、モデル検査
  • エアバスA380: OCamlで検証・生成したCで実装されている
• 関数型: 便利な機能に慣れる必要がありますが理論まで理解する必要はありません
  • Functional is Fun

• takesakoさんのQ: 「関数」と「函数」の違いって何?
  • 武市先生の意見: 「函」派。ブラックボックスであるハコに入れると出てくる

こわくないSML#

• 上野さん
• SML# 1993年 .netより前からあるんだよ
• 2012年1.0リリース、2013年2.0
• SML#: 強い型付け、eager評価。MLファミリー。OCaml, Standard MLの仲間
• 関数型は輝かしい未来。Cとかはどろくさい現実。2つの世界は名状しがたい何かで分離されている。そこにはテクニカルな何かがある。SML#は2つの世界を結ぶ。輝かしい未来でなくどろくさい現実を指向した言語 #devsumiB
• 3Dアニメは関数: 動画(時刻 t) → 画像
• 多言語プログラミング
  • 手続き的な処理はC、宣言的に書けるところはML
• pros
  • MLでシステムプログラミング
  • プロトタイピング

こわくないScala

• 水島さん
• こわそうなScala
  • implicit conversion, implicit parameter
• 誤解1: 関数型の概念を理解する必要がある
  • 「タイプ数が少ないJava」になることをおそれない
  • 第一級の関数の活用 → ループから再帰・高階関数
• 誤解2: implicitなんとかを使いこなす必要がある
  • スクラッチから書きときは必要ない
  • 標準ライブラリを読むときに勉強すればいい
  • 最初に全てを知ろうとしないことが大切
• 誤解3: 関数型なコードを書かないとたたかれる
• 誤解3: Scalazという難しいライブラリを普通に使う
  • コアライブラリの作者が使っていたりする

18:39

ここでMBAが電池切れになってしまい、自分も電池切れになったのでその後のパネルが思い出せません。すみません。
Togetterをどうぞ。

感想

関数型言語は、やろうやろうと思いつつまだ勉強していません。数学の定義から関数を考える、というのが結構わかりやすい気がしました。