三菱総合研究所(三菱総研)は2011年7月12日、都内で報道メディア向けの意見交換会を開催し、ソニーをはじめ大手企業や有名企業を狙い撃ちする形で続発しているサイバー攻撃の実態や、それに対して企業がとるべき対策などについての解説を行った。 「大規模サイバー攻撃の実態と政府や企業の対策の方向性」と題された意見交換会で、講師として登壇したのは同社の情報技術研究センター クラウドセキュリティグループで主席研究員を務める村瀬一郎氏(写真)である。 村瀬氏はまず、「サイバーテロ」と「サイバー攻撃」という言葉の違いを説明するところから話を始めた。村瀬氏によれば、一般にサイバーテロとは「テロリストが政治的意図をもって、サイバー空間を介した攻撃をすること」であり、片やサイバー攻撃は「攻撃者が政治的意図の有無にかかわらず、サイバー空間を介した攻撃をすること」と定義されるという。サイバー攻撃の中にサイバーテロが
会員限定サービスです 日経電子版セット2カ月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
「要件定義を難しくする」とクローズアップされてきたのが“非機能要件”の存在である。非機能要件とは,性能や信頼性,拡張性,セキュリティなど,機能要件以外のもの全般を指す。これらはユーザーへのヒアリングからだけでは洗い出しにくい。漏れがあると,稼働後のトラブルの種になる。こうした事態を未然に防ぐ,非機能要件の見極め方を探る。 旅行代理店のアールアンドシーツアーズは,今年10月末に予定しているホテル予約システムの稼働に向けて,今,開発の真っ最中だ。このシステムは,仕入れた航空券の在庫や宿泊の空室情報を管理するホストに,2次代理店からインターネット経由で送信されてくる予約データを受け渡すもの。 開発を主導する大平雅義システム部長は,「機能要件はほぼ固まったが,性能に関する非機能要件が懸案として残っていて悩ましい」と語る。 予約データはインターネットを介してやり取りされる。そこに含まれる顧客情報は暗
ApacheとWebブラウザ間でデータをやり取りするために利用するプロトコル「HTTP」について説明します。 前回までは主に,Apacheの各種機能を使うための設定方法を紹介してきました。さらに深くWebサーバーをカスタマイズするとなると,WebサーバーとWebブラウザの間でデータをやり取りする仕組みについても理解しておく必要があります。 そこで第8回は,Webで利用されているプロトコル「HTTP」そのものと,HTTPを利用した通信の仕組みを説明します。 第1回では,WebブラウザとWebサーバーは「HTTP(Hyper Text Transfer Protocol)」と呼ばれるプロトコルを利用して通信することを説明しました。プロトコルはいわば言葉のようなものです。文法に沿って言葉がやり取りされるように,HTTPにおいても特定のルールに則ってサーバーとクライアントが通信します。例えば,「i
これまでの解説を振り返りながら,Webアーキテクトの仕事の基本的なプロセスと成果物,心得を説明します。 仕事のプロセスは3ステップ Webアーキテクトの仕事は,突き詰めれば「非機能要件に対する現実解を導き出すこと」です。ただし,この現実解のシステム構成や構造は,Webアーキテクトが1人で導き出すわけではありません。 例えば,インフラ製品を提供するハードウエア・ベンダーやミドルウエア・ベンダーの担当者,もしくは特定技術分野に精通した社内外のスペシャリストから,情報提供・技術検証・導入コンサルティングなどを適宜受けることになります。また,開発プロジェクトに参加しているPMや技術者たちとも相談しながら,全体の構成と構造を考えなければなりません。 つまりWebアーキテクトは,システムに対するステークホルダー(利害関係者)の中心となり,技術的な解決策について繰り返し対話・調整・思考する役割を担います
システムの構造や実装方針を決定し,アプリケーションの機能,データ,画面などを定義する「基本設計」。ITエンジニアの「コア中のコア」と言えるスキルだが,「最近弱体化している」と指摘する声が増えている。今こそすべてのITエンジニアが,ユーザーの高品質,短納期の要求に応えるために,「基本設計」のスキルを改めて見直すべきだ。 「ベテランのエンジニアは基本設計の一般的な手順は理解しているが,高度化・専門化した実装技術を駆使したアーキテクチャの設計でとまどう。一方,若手エンジニアは実装技術には詳しいものの,肝心の基本設計の基礎的な方法論を理解していないことが多い」――。 こうした悩みは,多くの開発現場に共通する。これは,基本設計そのものが難しくなっているからにほかならない(図1)。 メインフレーム時代は,ウォーターフォール型の開発プロセスと自社の製品の知識さえあれば基本設計をこなせた。しかし,システム
2009年4月9日,NTTコミュニケーションズ(NTTコム)の「Arcstar IP-VPN」を監視するシステムがウイルスに感染していたことが明らかになった。感染範囲はNTTコムの内部にとどまらず,Arcstar IP-VPNを利用する企業のパソコンまで被害が拡大した。NTTコムのシステム運用の甘さが露呈した格好だ。 Arcstar IP-VPNには,ユーザー企業のルーターを監視する「ルーター監視オプション・サービス」がある。ウイルスに最初に感染したのは,同サービス向けの監視端末である(図1)。 NTTコムが監視端末の感染を知ったのは,2009年4月9日の午前中。Arcstar IP-VPNのユーザー企業から「NTTコム側から不正なパケットが断続的に届いている」との報告があった。この申告に基づきシステムを調査したところ,監視端末のウイルス感染が見付かった。同日13時ごろに全監視端末をネット
中村修二教授は、やはり吼えていた。久しぶりにお会いしたのだが、日本というか日本的システムというか、そんなものに対する不満は一向に解消されていないらしい。 いつまでたってもよくならない技術者の処遇、「みなそうなんだからいいじゃない」と一向にその改善に乗り出す気配を見せない企業の姿勢、その低評価に甘んじる技術者たち、技術者が自立しにくいビジネス環境・・・。まあ、いつもの主張ではあるのだが、何度聞いてもつい引き込まれてしまうのは口舌の熱さゆえか。そんななかで、改めて考えさせられることがあった。「日本は差別国家である」という主張で、以前からよく話されていることなのではあるが。 差別と聞いて多くの人がぱっと思い浮かべるのは、人種や性差、ハンディを持つ人に対するそれであろう。けどそれらに関しては、さすがに徐々にではあっても改善しつつあるのではないかという。では何が問題か。その典型例として彼が指摘したの
ポイント ●通常,届いたパケットにはアクセス元の情報(送り元IPアドレス)が記述されている ●プロキシ・サーバーを介してアクセスしてきたパケットには,大もとの情報(送り元IPアドレス)が記述されていないため,アクセス元のセキュリティ向上につながる ●プロキシ・サーバーはアプリケーション・データをチェックしたり書き換えたりできるため,コンテンツ・フィルタリングなどの機能を持たせることができる 企業などの組織内からインターネットへアクセスする際に,DMZなどに配置したプロキシ・サーバーを経由する場合があります。プロキシ・サーバーを介してインターネットへアクセスする理由はいろいろありますが,セキュリティを向上させる目的もあります。今回は,プロキシ・サーバーを経由させることで,なぜセキュリティが向上するのかを確認していきます。 ルーターを介すだけなら,送信元IPアドレスは変わらない プロキシ・サー
Linus Torvalds氏は2009年3月23日(現地時間),Linuxカーネルの新版2.6.29を公開した。Linus氏が最も大きな変更としているのが,起動時に表示されるロゴがペンギンのTuxからタスマニアン・デビルのTuzに変わったことだ。 Linus氏は,TuxからTuzへの交替は一時的なものであるとしている。ただし,いつまでなのかについては明言していない。 Tuzはもともと,オーストラリアで開催されたlinux.conf.au 2009のマスコットである。Linuxカーネル開発者のJonathan Corbet氏によれば,タスマニアン・デビルが伝染性の腫瘍により絶滅の危機に瀕していることを訴えるため,linux.conf.au 2009に出席したLinus氏がTuzへの交替を決めたという。 Linuxカーネル2.6.29ではそのほか,いくつかのドライバーのアップデート,m68k
これらの対策のうち,ここでは「文字集合の変換を伴う変換をしない」など,アプリケーション全体の文字コードの取り扱いについて上流工程で留意すべき内容について説明しよう。「入力値のチェック」については次回以降,「入力値の検証」の項で詳しく説明する。「アプリケーションでの正しいマルチバイト文字の処理」については,個別の処理内容の項で説明する。 文字コードの取り扱いについて,上流工程で留意すべき点としては,次の三つが挙げられる。 要求仕様として文字集合を定義する端末がサポートする文字集合を確認する実装に用いる文字エンコーディングを決定する まずアプリケーション仕様として,処理対象となる文字集合を規定する必要がある。日英語以外の韓国語や中国語,アラビア語などの対応が必要な場合はUnicodeを選択するしかない。さらに日本語だけの場合でも,例えばJIS X 0201+JIS X 0208はJIS第2水準
「Day2を見習い、締め切り厳守でいく」。記者2人にこう指示し、「Day2特集作成プロジェクト」を開始した。Day2は三菱東京UFJ銀行が先頃終えた開発プロジェクトの通称で、6000人の技術者が参加した。世界最大と言われた開発を納期と予算通りに終えた同行にあやかり、その顛末を報じる我々3人も納期を守ろうとした。しかし、現実は厳しかった。 厳しかった現実を以下に紹介する。その前にお断りしておくが、今回の原稿は「記者の眼」ではなく、正確には「編集長の眼」である。この原稿を書いている筆者が、記者ではなく、日経コンピュータの編集長だからだ。何らかの知見を披露するわけではまったくないので、もっと正確に書けば「記者のつぶやき」ならぬ「編集長のつぶやき」というべき内容になっている。 ITproの「記者の眼」欄の原稿はITpro編集部に加え、各雑誌の編集部が交代で執筆を受け持っている。この2月、ITpro
日本ヒューレット・パッカード(日本HP)は2009年2月9日,フリーのRed Hat Enterprise Linux互換ディストリビューションであるCentOSを含めたオープンソース・ソフトウエアの有償サポート・サービスを開始した。このサービスは日本法人独自のもので,「大手サーバー・メーカーによるCentOSの有償サポートは世界でも初めて」(日本HP)という。 CentOSは,Red Hat Enterprise Linuxから米Red Hatの商標にかかわる要素を除いたフリーのLinuxディストリビューション。「日本では米国に比べ,クラウド・コンピュータのプレーヤーがCentOSなどのフリーOS利用している比率が高い」(日本HP エンタープライズ ストレージ・サーバ事業統括ISSビジネス本部ソフトウェアプロダクト&HPCマーケティング部担当部長赤井誠氏)ことから,日本独自でのCentO
Unicodeでは,複数の文字から1つの文字を合成する仕組みがある。例えば,ヨーロッパの言語で使われているアクセント付きのアルファベットを表現するのに使われる。日本語の濁点/半濁点付きのカタカナ/ひらがなにも,この仕組みがある。例えば,「ぱ」という文字は,「ぱ」(キャラクタ・コードはUTF16で3071)という2バイトの文字と,「は」(同306F)と文字合成用半濁点「゜」(同309A)を組み合わせた4バイト文字の,2種類が存在する。そのため,濁点/半濁点付きの文字を検索する場合,2バイトの単独文字と4バイトの合成文字の両方を検索する必要が出てくるなど,文字列処理が多少面倒になる可能性がある。今回はこの合成文字について,.NETでの処理を調べた。 最初に断っておくが,キーボードからは文字合成用の「゜」(キャラクタ・コードは309A)は入力できない。入力できるのは,キャラクタ・コードが309C
この記事は,日経ソフトウエア 1999年10月号に掲載したものです。それ以降の情報が盛り込まれていませんので,現在とは異なる場合があります。 文字コード規格の基礎を手早く理解したい場合などにお役立てください。 文字コードは間違いなく情報を交換するための「決まりごと」なので,正確を期すため厳密な仕様が規定されている。だが,その仕様そのものを実装するプログラムを作る場合を除けば,プログラマが仕様の詳細を隅々まで理解している必要はない。六法全書を読んでいなくても問題なく普段の生活ができるようなものだ。 ここでは,通常のプログラミングをするうえで必要と思われる範囲のことを,なるべく簡潔に説明したい。「半角カナ」のような呼び名は正確さを欠くものだが,多くの人に伝わりやすいので説明の中でも使っていく。説明を簡略化するため「正確な仕様を知りたいときは規格書そのものを必ず参照してほしい」と書きたいところだ
セキュリティのぜい弱性を突く攻撃やフィッシング詐欺などのプロ犯罪に対抗するために,世界各所で毎年開催しているセキュリティ分野の会議がある。その1つが日本で開催する「PacSec」だ。2008年11月12日から東京で開催される「PacSecカンファレンス2008」のために来日した,同会議の主催者であるDragos Ruiu氏に,2008年11月現在のセキュリティの最新トレンドを聞いた。 PacSecは1年ぶりだが,セキュリティ攻撃のトレンドに変化はあるか。 セキュリティにとって1年間はとても長い。私にとって,1年前のことなど忘却の彼方だ。この1年で,トレンドは,まったく変わったと言ってよい。 PacSecに応募されてきた発表論文を見るに,今年は大きく2つの傾向がある。1つは,仮想マシンやFlash/Silverlightなど,Webブラウザまわりの環境を狙った攻撃が目立つ点だ。もう1つは,ラ
マイクロソフトは2008年8月1日,データベース・サーバーの新バージョン「SQL Server 2008」のボリューム・ライセンス提供を開始した。パッケージ版は9月19日に出荷を開始する。新バージョンでは,Webアプリケーションでの用途に限定した低価格版プロセッサ・ライセンス「SQL Server Web」を追加し,小規模システム向けの販促を強化する。 SQL Server 2008は,SQL Server 2005の基本機能には大幅な変更を加えず,データベース監査機能やビジネス・インテリジェンス機能,地理データや空間データを使用したデータベース・アプリケーションを開発する機能といった,付加機能の追加に主眼をおいた新バージョンである。同社が2008年4月に出荷を開始したサーバーOS「Windows Server 2008」と,同サーバーOSの標準仮想化機能で7月9日に出荷を開始した「Hyp
Webアプリケーションシステムには特有の脆弱性が多く存在している。また,昨今のアプリケーションの多くでWebアプリケーションが利用されることが多くなってきた。PCI DSSでは,その脆弱性を利用した攻撃からカード会員データを保護するため,PCI DSS Ver1.1で新たに要件6.6を定めている。 この要件は,“2008年6月30日まではベストプラクティス”としているが,それ以降は必須要件となる。従って,PCI DSS Ver1.0に準拠している組織にとっても注意が必要である。以下,要件6.6にて定めるアプリケーション防護策について述べる。 すべてのWebに面したアプリケーションは,以下のどちらかの手法を適用することで,既知の攻撃から防護されなければならない。 ・カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に依頼して、一般的な脆弱性についての見直
「セキュリティ・ツールを入れたことで油断してしまっていた」---サウンドハウス 代表取締役社長 中島尚彦氏は2008年7月4日,「WASForum Conference 2008」で,同社を襲った不正アクセスによる情報漏洩被害の経緯と教訓について語った。カカクコムの取締役COOの安田幹広氏も,不正アクセス被害と再発防止体制について講演した。 WASForum Conferenceは,Webセキュリティに関する研究と啓蒙を目的とする非営利団体「Web Application Security Forum」が2004年から開催しているイベント。 「見逃しや消し忘れページ,どこかに穴が出てくる」サウンドハウス社長 中島氏 サウンドハウスは楽器や音響などのインターネット通販を行っている。2008年4月3日,「不正アクセスにより最大9万75000件のクレジットカード番号などが流出した可能性がある」と
ケータイのYahoo!になる,検索エンジン事業も展開 ディー・エヌ・エー 代表取締役社長 南場 智子 氏 ゲームやSNS(ソーシャル・ネットワーキング・サービス)を提供してきたケータイサイト「モバゲータウン」を、総合ポータルサイトにするという。企業にとっても効果的な広告媒体となったが、一方で青少年へのフィルタリングの原則適用により、18歳未満の多くのユーザーがサービスを利用できない事態に陥る。事業の現状と今後の対応を南場社長に聞いた。 2008年1月に、モバゲータウンを総合ポータルサイトにしていくと宣言しました。 モバゲータウンは、もともとゲームとSNSで始まりましたが、どちらもコミュニケーションというか、遊びのジャンル。それだけでは短期的に終わる可能性があります。そこで遊びや、つながる喜びがあると同時に、日常の役に立つもの、不可欠なものとして生活に食い込んでいかないといけない。モバゲーを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
