セキュリティとは科学である

株式会社ディアイティの河野省⼆さんがいらっしゃり、3部構成でセキュリティのお話を聞きました。

1. 情報セキュリティの現場力・使えるスキルと⼈材像
2. クラウドサービスにおけるセキュリティ
3. 最近のいろいろなセキュリティの話題

「情報セキュリティは目的ではなく手段である」「ISMSを取得するための情報セキュリティ対策ではなく、真に会社に必要な対策を考えるべき」「利用者の意識を向上させるのではなく、システムで何ができるかを考えるべき」・・・などなど、出てくることが目から鱗の言葉ばかりでした。

特に今まで勘違いしていた（というかそういうもんだと思っていた）ことで、ハッとなったのは次の3つ。

• 社で許可されたUSB以外の外部メディアをPCに接続するのを禁止するのはウィルスが入り込まないようにするため？
  → 否。ウィルスからの保護はウィルスソフトがやればいい。本来の目的は残存データが漏れないようにするため
  （USB上のデータは初期化しても消しきれない、復元できる可能性がある）
• 大事な書類をメールに添付する危うさ
  → 上司があるファイルに必要事項を入力して返信するよう、5人の部下に書類を添付してメールを出したとする。
  この場合最終的に、マスタファイル（1）、上司の送信フォルダ(1)、各部下の受信フォルダ（5）、各部下のマシン（5）、各部下の送信フォルダ（5）、上司の受信フォルダ（5）、上司のマシン（5）合計27ファイル、つまり26ファイルものデータコピーができる。
  データコピーができればできるほど、漏洩のリスクが高まるわけなので、共有サーバーやクラウドの利用などで適切に管理するべき。
• メールで重要書類を送る時は、ファイルを圧縮して暗号化し、送信メールとは別便でパスワードを送りましょう
  → 別便でパスワードを送ることに何の意味もない。だって同じNW上じゃない？POPメールなら1つのデータになることもあるよ。（金庫を盗まれた道を鍵を持って歩くようなもの。泥棒は待ち伏せしているだけでよい。）
  この場合、パスワードはメール以外の手段で伝えたり、送り先と共通の認識（相手先の会社の電話番号など）をパスワードにするよう取り決めておく方が有効。

どれもやっていることだなあと。しかも何も疑問に思っていなかった。

特に2番目。クラウドなど外部にデータを預けることは危険・禁止となる風潮が多いけれど、ファイルが大量にコピーされるという脆弱性がメールにはあるのだということを恥ずかしながら意識したことがなかったなあ。
適切にログが取れて、管理権限も調整できる共有サーバーやクラウドの方が脆弱性は少ないのですね。

禁止は何も生み出さない

「○○してはいけない」というルールを生み出すことが情報セキュリティではない。これも目から鱗。
どうしても「あれもできない」「これもできない」「これも禁止された」「セキュリティって面倒」となってしまう事が多いので…。
これは「情報活用のための情報セキュリティ」について考えられていないから。
ISMS取得のためであれば、禁止を増やし続ければよいのだろうけれど、新しい事をはじめる・次の時代の事を考えるときに禁止は足かせにしかならない（「一つでも禁止事項があればそれに足を引っ張られて新しい事が導入できない」）。
「してはいけない からの脱却」のために、正しい知識を持った情報セキュリティマネジメントができる人が必要なのですね。（SSCPという資格があるよ！）

クラウドのセキュリティ

「クラウドを利用してリスクがないわけがないじゃないか、でも、リスクがあるからと言って利用を禁止するのはもっと馬鹿」
という最初の言葉が印象的でした。
大事な事は「免疫力を高める」こと（風邪をひくからどこへも行かない？体力つけてどこかへ出かける方がよくない？）。
そのためにはクラウドの特徴を知って、メリットデメリットをきちんと把握する事が大切。
どのようなリスクマネジメントをするかは、その会社・組織に応じた適切な方法や範囲を選択する事になる。
だから資料を参考にしてどーんとは決めきれない事も多い。
そのために中小企業向けのチェックリストなどを作って配布しているようです。

また、ガイドラインは参考程度にとどめておく事も重要。ガイドラインを丸写ししてもリスク対策はできない（「知識を集約するだけではよいものは作れない」）、現場に合わせて息を吹き込む事が大事。
この辺りはプロジェクトマネジメントなどとも似ているなあと思いました。
どちらも人間が関わる、組織によって文化的背景が違う、生のもの。

最近のセキュリティ色々

興味深かったことを箇条書きに。（3部は力尽きていてメモも少なかった・・・）

• アンチウイルスソリューション
  クラウド型(ソーシャル型)であれば、ゼロデイ攻撃にも対応できる可能性があるかも？！集合知。
• 標的型攻撃の判定にクラウドを使う
  クラウド型(ソーシャル型)であれば、自社が狙われているのか皆狙われているかわかる。
• 結局スマートフォンもガラパゴス化している
  Androidのバージョンだけじゃなく、各機種にデフォルトアプリが色々入ってるー。
• スマートフォン対策が大変だけど重要になる
  クラウド系のアプリってブラウザだけじゃなくAPIもあるよね？つまりAPIやアプリのレベルでの対策を講じる必要がある。
  技術が高度になった分、その辺りの対策は大事になる。

—-
自分のメモ＋当日配布いただいた資料で思い出しながら書いてみました。
こうやって、まとめてみると濃いですね。
冒頭に書いたセキュリティについての意識、これが変わったのが一番大きいです。
普段の行動の目的を考える事ができるようになった。

例示がわかりやすい

全体を通して、途中途中で出てくる例示がとてもわかりやすかったです。
例えば
「今財布の中に入っているお金が1円／10円／100円／1000円単位でわかる人？」（それぞれに手を挙げる）
「お財布の中身を1000円単位でしか把握できていない人は10円、100円がなくなってもたぶん気がつきません」
「＝セキュリティを高めるには、きちんと管理できている事が重要になります。」
という例。なるほどー！！と思いました。

おやつ

和菓子、和菓子たっぷり。

お団子も柔らかくて素敵でしたが、ここの豆大福、美味！

IT勉強会スタンプラリー

全国規模で行われている勉強会のスタンプラリー、IT勉強会スタンプラリーにせきゅぽろが参加している、ということで、記念すべき1つ目のスタンプを押しました。

北海道では、せきゅぽろ、CLR/H、LOCAL PHP部がスタンプ対象の勉強会です。
「違う勉強会に3回」か「同じ勉強会に3回」で何かもらえるみたいです。
行ったことのない勉強会ばかりだけど、スタンプを押すために参加してみようかなぁ。
面白そうな内容の勉強会があったら飛び込んでみよう、と思いました。

2012年3月31日から1年間で始まっているこの試み、次回はもっと北海道でも参加する勉強会が増えたら上位を狙えて楽しいですね！

アジャイルテストの4象限

テストの目的を

• チームを支援する⇔製品を批評する
• 技術面⇔ビジネス面

という2つの側面から分類し、4つに分けた物がアジャイルテストの4象限になります。
それぞれの特徴が書かれていたのをざくっとまとめてみる。

第1象限

（チームを支援する・技術面）
単体テスト。主にTDDなどで作ることになるテスト。コードに対するテスト。
コードの品質を高める、プログラマのためのテスト。
基本的にテスト実行は自動化されてなければいけない。

第2象限

（チームを支援する・ビジネス面）
機能テスト。ストーリーに対するテスト。第1象限より粒度が大きくなり、1つ1つがビジネス的な意味のかたまりになる。
ストーリーの開発が完了することを保証する、開発チームのためのテスト。
継続的ビルドの対象として自動化されているべき。

第3象限

（製品を批評する・ビジネス面）
ソフトウェアが顧客の求めるものになっているかをテストする。
ユーザー受け入れテスト、ユーザビリティテスト、探索的テスト。
創造能力と直感力が必要になる、基本的に手動で行われるテスト。
※これは実際にテストの質を（数値的に）保証するのが難しいテストだね、という話が出ました。

第4象限

（製品を批評する・技術面）
パフォーマンス、堅牢性、セキュリティなどの評価を行うテスト。
非機能要求テスト。専用のツールを使用してテストする。

アジャイルテストの4象限をチームにどのように適用するか

もちろん、全ての象限のテストを十分に実行できることが望ましいのですが、それが叶わない場合もある（時間や予算）。
その時に、何を選んでいくべきかという話。
大事なことは
「ストーリーごとに検討する前にやらないという選択をするのではなく、
全ての象限のテストについて検討した後にやらないことを決める」
こと。そのためには全象限のテストに関するスキルは必要。
また、ここで「（必要なのはわかっているけれど）やらない」という選択をするということは、技術的な負債を積み上げることになるわけです。
実際に負債が積上っていった経験談などを交えて、どうするのがよいのかなあという話をしました。
製品を長期にわたって開発、メンテナンスするかなどとの兼ね合いも考えないといけない。

コンテキストのテスト

「それぞれの組織、製品、そしてチームはそれぞれの状況があり、それぞれ必要なことがある」ということを忘れてはいけない。
コンテキスト（組織、製品、チームの流れや空気、慣習のようなもの？）意識したテスト設計が必要。
この章はなるほどなあと思いました。
製品に対するテストを機械的に行うだけではなく、プロジェクトやチームメンバーのことを考えたテストを作っていこう、とする気持ちも大事なのですね。

導入部分の読書会に参加できて良かったです。
次回からはそれぞれの象限のテストを掘り下げていきます。参加できますように！

河野さんからクラウドをテーマにしたお話を聞けるということで とても楽しみにしていました。

下記は今日の簡単なログです。 (間違っていたらすいません)

今日の目標

• 情報セキュリティの目的に従って判断ができるようになる
• リスクベースの考察ができるような次頭作り
• 学生諸君は情報セキュリティプロフェッショナルになるための準備と差別化

情報セキュリティの現場力、使えるスキルと人物像

• 情報セキュリティは「科学」

- 推測しにくにパスワードはない 「科学的というのは誰がやっても同じ」という意味 ルールをどうやって作るかの方が重要 「あやしいメールを開かない」→ 何が怪しいかがわからない

• 情報セキュリティは目的ではなく、手段だということを知らない三流エンジニア

[問題]

• USBメモリ利用禁止の「管理目的」はなんでしょう

- アンチウイルス対策？→ウイルスソフトウェアがやるもの 本来の目的 - データが残ることが問題

 データを完全に削除することが難しいハードである。復元ソフトウェアで復元できてしまう

「残存オブジェクト」という。 残存データが悪用されないことを目的にする

スタックスネット USBメモリでデータを持っていたために、ウイルスに感染した話のせいかも

[問題] 個人情報保護のためのシンクライアントを導入している企業がしなくてはいけないことはなんでしょう

会社中の情報を誰でも見れるのが問題[日本のベンダー] 日立が問題？

ログインしたら、WordやExcelだけが選べるようになっていて、かつ特定のファイルにしか アクセスできないようになっている。→アプリケーションレベルでセキュリティをかける

シンクライアントはマシンを紛失してもサーバーにログインしないとデータを取れないので 安全である。情報保護でできることはこれだけ。

[問題] 個人情報保護法を違反したとして、何らかの処分を受けた人は2005年以降(行政では2003年以降） 何名いるでしょうか？ (6ヶ月以下の懲役または30万円以下の罰金) →０名

消費者がクレームをいったときに対応をできないと違反になる。

• 情報セキュリティって？

- 情報資産のセキュリティではない - ISMS取得を簡単にするためにやってきた情報セキュリティ対策から、自社のための情報セキュリティ

 に切り替えられない企業が山ほどある

いかに自分たちの会社にあった基準にしていくかが大事。徐々に緩やかに基準を落として行くほうがいい - 情報を活用するためのセキュリティができないと、クラウド、ソーシャルの世界に乗り遅れて

 しまいますよ

• 現場に必要なのは

- リスクアセスメントが正しいかどうかを判断できる人材

 情報システムを活用するメリットを理解し、情報セキュリティ対策を立案できる人
 ○○してはいけないは、何もしないということなので、意味がない
 テレビをみちゃいけないは結果が残らないからだめ、
 テレビを見ないで本を読みなさいだと、本を読んだ結果について議論ができるのでよい。ほめることができてよい。

 「モチベーションが上がらないと誰もやらない」

- プロシージャを作成できる人材 私用マシン持ち込みについて →自分でルールを作っているから運用できている

 自分の作ったルールが会社の基準と合致していればだいたいは許可される

[問題] 課長が部門の5人にエクセルで管理表を送付しました。社員がこれらに記入してメールに添付して 課長に返信した場合、添付書類は全部でいくつになったでしょうか？ →27個になる

 本来はこの27個分のチェック基準を作る必要がある。

でもだいたいは最初の課長のPCのチェックだけである。なのでなくなってもわからない ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ---------------------------- メールでの添付は危ない ----------------------------

よくファイルを暗号して、パスワードは別便で送ることがあるけど、 SMTPの経路を2回通ることになるので、泥棒が待ち伏せしているのと 同じ状況なのであまり意味がない。

パスワードは事前に両者が知っている情報がいい(電話番号の下4桁とか。ただしメールのシグネチャに注意する)

アイデアは - ミッションインポッシブル - シャーロックホームズ - ナショナルトレジャー などにある。

• リスクと損失のフレームワーク

リスク(インシデントの発生する可能性)

 脆弱生 × 脅威

       ↓
 損失(事故が発生した結末)

 - 情報資産が漏れたり、他社に使われたときの影響
 - 情報資産が意図せず改編されたりする

• システム要件を考える

社外の関係者とも「共有ファイルサーバ」を使うときには、 どのような条件を満たしていればよいか

[要件] - ユーザー単位のID発行 - ファイル単位のアクセス権限

 編集制限

- ファイル単位で同時編集可能もしくは排他制御 - ファイル単位の記録

 更新履歴
 アクセスログ

• 現場力を高めるために

- 「○○してはいけない」というルールは何も生まない - ひとつでも禁止事項があれば、それに引っ張られて、新たなシステムや

 ITサービスを導入することができなくなってしまいます。

クラウドサービスにおけるセキュリティ

クラウドセキュリティは簡単

• リスクがあるか、ないか？

- 「そんなもんあるだとこころから思っている」 - 「リスクがあるから使わない」なんている人がいると「もう息をすうな」と思っています。

  人間の免疫力を馬鹿にすんなよと思っている

• クラウドの免疫を高めるために

- 免疫ってのはどうやって出来るんだっけ？ - いろんなことを考えてみよう。

 「こうやったら使えるじゃん」と考えれる人が向いている

[結論] クラウドセキュリティを大きな声で語っている奴に、クラウドのヘビーユーザはいない - 使っちゃ行けないって言っている

リスクマネジメントの基本から

- そもそもリスクマネジメントの基本に忠実に判断するべきではないだろうか - 「データがどこにあるのかわからないのが気持ち悪い」というのは不安であって、科学的なリスクではない

• クラウドサービスで何が変わったのか

- 変化を正しく判断できないと

クラウドコンピューティングの特徴

• 変化をしることにしましょう
• NIST SP-800-145の定義

 - オンデマンドセルフサービス
   使いたいときに簡単に使える。amazonなら5分くらいで使えるようになる
 - 広範囲なネットワークからのアクセス
   VPN以外などのネットワークからのアクセスなど
 - リソースの共有
   メモリだけ、CPUだけ、ディスクだけ借りれるので、それを共有している。
   レンタカーのような感じ。
 - 迅速な対応
   ヤフーのゲームサービス
   サーバ費用だけで6億円、今は200万円だった。
   ユーザーが少なくなっても、6億の費用を維持しなければならない。
   クラウドは使わないときに減らすことができるのが便利
 - 従量課金製

上記のことを英語で正確に訳せてない人は信頼しないほうが...

• On-demand self-service

メリットとリスクを並べてみる(できる限り考える) 二要素認証があれば、管理画面を乗っ取られる事はないんじゃないかってことを考えてみる。

それぞれの組織にとっては

• リスクアセスメントは組織や、団体における事業計画、環境によって異なる
• IPAでは中小企業用にサービスチェックしーとを作った

 http://www.ipa.go.jp/security/cloud/tebiki_guide.html

最近気がついた事

• Evernote 手書きOCR

- メタデータの削除ができないことについて、みんなで考えてみるといい。

最近のいろいろなセキュリティの話題

• どこのリージョンにデータがあるかわからないのもいいところである。
• 半年間くらい観察しているのが一番危ないので、ここで食い止めたい。

- 日々、PCをスキャニングするのが大事。 -PC立ち上がったときにウイルスソフトが起動しているか確認してみる。

自社だけでインターネット全体のウイルスの感染状況を把握するのは難しい

無駄な事にお金をかけないで、ウイルスソフトが立ち上がっていることを確認するほうが大事！

スマートフォンの リスクアセスメント

• 安価にセキュリティを守る方法

- Google Apps for business > モバイルの設定を利用するとよい

 Android Sync 年間6,00円

• 今はブラウザのセキュリティの話よりも、クラウド時代はスマフォのクライアントアプリケーション

 にフォーカスがあたっている。

誰がどのアプリを使っているかを管理する時代になってきている。

懇親会

• 白木屋

ツッコミを入れる

1年前に挫折したわけですが、一応もう一回来てみました。適当にメモします(キックオフなので打ち合わせ中心だと思いますが)。

ご挨拶 / @naoya_t さん

• 今日はエクストリームリーディングします
• 自己紹介タイム
• 今後は幹事役を分散したい
  • 会場安いとことか募集
• 全員に発表してもらいたい → 発表しないと身に付かない
• グループ分けして1章〜2章をエクストリームリーディングしましょう
• 暇な人は演習問題を(答え有り)
• 休憩

1章の黙読

各自15分程度目を通す。

• 1.66の導出はベイズの定理から形式的に出てくる？
  • 暗にグラフィカルモデルを考える必要がある？(以降の章で出てくる)
  • ここでαとβはハイパーパラメーターで確率変数ではない(独立性の問題)
  • 適宜、常識的な範囲で独立性を補わなければ出ないのではないか
  • 機械形式的に1.66を出せる人は教えて下さい！
• 1.6の情報量は何に使うの？
  • EMアルゴリズムで
  • ロジスティック回帰でもちらっと
• 1.68は解析的に解ける？ 最終的に求まる分散1.70と1.71はよく使う式？
  • 宿題。実際はgnuplotとかが勝手にやってくれる。導出の仕方を覚えておくことはよい。

2章1節の黙読

各自10分程度目を通す。

• 共役性の定義は？
  • パラメータを置き換えれば一致する、程度で

2章2節の黙読

• 機械学習などで事前分布に共役な分布を選ぶ理由は？
  • 悩まない、ということは1つの手
  • 自然言語処理だと頻度分布とかを選んだ方が精度が高いんじゃないか → αを非対称にすればOK
  • 計算の都合だけど、絶対そうしなければいけないという理由はない
  • 過学習と関係ある？ → 事前分布のご利益としては。ただ、他の分布でも一緒。
• 十分等計量のありがたさは？
  • 後で出てくるので割愛
• ベータ分布のμのハイパーパラメータ
  • 4〜5個のサンプルで初めて、いいところを探している
  • 極所解に落ち入らない？
  • 過学習は気をつけているけど、ベストかは不明
  • データが多くなると、パラメータチューニングで苦労するという印象はある
• β分布やディリクレ分布は事前分布以外に使い道があるのか。μを使ってるのが気持ち悪い
  • 後でxを使ってるので。
  • 知ってる範囲では使ってるところは見たことがない
• P.76 の有効観測数は α_k - 1 では？
  • 恐らくそうでしょう
  • となると、α_k が 0.1 の場合に有効観測数が負になる。これはどう解釈すべき？

2章はしっかりやりたいので、次回以降に持ち越して担当決めて腰据えてやりましょう。

来月は2.3のガウス分布から2章最後まで。3章頭もやるかも。

発表スライドであらすじ、質疑を中心で。

発表時間は5分程度でも、重要と思った箇所は長い時間でも。読んでること前提でOK。

本レーンは1枠1時間程度(今回は本レーンよりだいぶ細かく切ってる)。

来月分の割当を完了。

ええ、そうなの！？ と思ったので深追いしてみた。

逆FizzBuzzって、オートマトンなので正規表現を使うと楽に出来るはず。

Perl で 逆FizzBuzz

状態遷移図を書いてみるとこう。

ほんとは1〜15まで全て状態を書いて、ε遷移を加えてεの長さも1とした最少の単語を見付けなければならない。

で、これをこのPDFの方法で正規表現に書き直してみる。だるかったのでfizzはF、buzzはB、fizzbuzzはZにしておいた。

my $reg_inv_fizzbuz = qr/^(
    (((((F?B)?F)?F)?B)?F)?Z
    (FBFFBFZ)*
    (F|FB|FBF|FBFF|FBFFB|FBFFBF)
    |(((((F?B)?F)?F)?B)?F)?Z
    |((((F?B)?F)?F)?B)?F
    |(((F?B)?F)?F)?B
    |((F?B)?F)?F
    |(F?B)?F
    |F?B
    |F
)$/x;

これでfizz buzz の列について回答が存在するか否かは判定できる。ただ、正規表現に変換してしまった時点で各遷移の重み付けの情報は飛んでしまったので、逆fizzbuzzの解答にはならなかった。

おしまい。

【追記】

正規表現は使ってないけど、一応automata的な解答は作っておいた。もっと簡単にかけると思ったら思ったより面倒。

ええ、そうなの！？ と思ったので深追いしてみた。

逆FizzBuzzって、オートマトンなので正規表現を使うと楽に出来るはず。

Perl で 逆FizzBuzz

状態遷移図を書いてみるとこう。

ほんとは1〜15まで全て状態を書いて、ε遷移を加えてεの長さも1とした最少の単語を見付けなければならない。

で、これをこのPDFの方法で正規表現に書き直してみる。だるかったのでfizzはF、buzzはB、fizzbuzzはZにしておいた。

my $reg_inv_fizzbuz = qr/^(
    (((((F?B)?F)?F)?B)?F)?Z
    (FBFFBFZ)*
    (F|FB|FBF|FBFF|FBFFB|FBFFBF)
    |(((((F?B)?F)?F)?B)?F)?Z
    |((((F?B)?F)?F)?B)?F
    |(((F?B)?F)?F)?B
    |((F?B)?F)?F
    |(F?B)?F
    |F?B
    |F
)$/x;

これでfizz buzz の列について回答が存在するか否かは判定できる。ただ、正規表現に変換してしまった時点で各遷移の重み付けの情報は飛んでしまったので、逆fizzbuzzの解答にはならなかった。

おしまい。

【追記】

正規表現は使ってないけど、一応automata的な解答は作っておいた。もっと簡単にかけると思ったら思ったより面倒。

行きつけの床屋さんが閉店してしまってどうしたものかと思っていたんだけど そのときの日記はこちら↓
床屋さんで感動して涙がこぼれ落ちた マスターのつてで新しくお店を開業したい人が見つかりGWにOpenしてたので行ってみました。

年齢は僕と同じくらいでとても話しやすい気さくな人がマスターでよかったです。

髪を切りながら、以前マスターがいたお店の話や「僕がどれくらいヤシロさん通っていたの？」などお話しました。最近は人柄で自分が通うお店を決めるのですが、ヤシロのマスターに劣らず良い人なので行きつけのお店になりそうです。あ、もちろん腕もよいですよ！

Open記念ってことでお店で使っているとてもよいらしいシャンプーをもらって帰ってきた。

ツッコミを入れる

すもけさんから小樽北の誉 酒泉館に行きたいので、幹事してくれい！というご要望があり有志を募り行ってきました。

が、ブラック企業勤務となった言い出しっぺのすもけさんは欠席になりましたwww。そこで当日はすもけさんのために、画像投稿するときに必ずmentionをしてあげる優しさ(いじめ？)をしてみました。

写真は20120512_酒蔵オフ at 北の誉 酒泉館です。

• 入館10秒で試飲
• 工場見学の際には謎の帽子をかぶりました。記念にみんなでかぶっている姿で写真撮影
• この時期はお酒を作っていないので絞りたてのお酒は飲めなかった。冬は搾りたてを飲めるとのことでした！

参加できなかったすもけさんには親玉という日本酒をこっそり買っておいたので、今回はこれで我慢してくださいw

この後はみんなで(旧)岡川薬局でご飯食べてきました。僕は念願の岡川ラーメンを食べてきました。

また企画しようと思います。

ツッコミを入れる

ひだまりソケットは壊れない
perlbrew を使って Ubuntu 12.04 に perl 環境を構築する

この場を借りて、お礼申し上げます。

という訳で、このUbuntuだと、
以下のコマンドでインストールします。

$ perlbrew install perl-5.14.2 -Dplibpth=/usr/lib/x86_64-linux-gnu

めでたし、めでたし。

perlbrew install-patchperl

なので、これに従ってコマンドを入力すると上書き確認が表示されて、
上書きしてから再度インストールしたらうまく行った。

めでたし、めでたし。