次元削減、局所性鋭敏型ハッシュ――コンピュータサイエンスは美しい:Go AbekawaのGo Global!~Tyler McMullen(前)(1/3 ページ) グローバルに活躍するエンジニアを紹介する本連載。今回はFastlyのCTO、Tyler McMullen(タイラー・マクマレン)さんにお話を伺う。高校生のころはアーティストになりたかったタイラーさん。そんな同氏を引き留め、エンジニアの道に導いたのはある先生の一言だった。 国境を越えて活躍するエンジニアにお話を伺う「Go Global!」シリーズ。今回はFastlyのCTO(最高技術責任者)、Tyler McMullen(タイラー・マクマレン)さんにお話を伺った。ゲームやレゴなどパズル的なものが大好きな少年は「ゲームジニー」でプログラミングの世界に足を踏み入れる。 聞き手は、アップルやディズニーなどの外資系企業でマーケティングを担
Microsoftは2022年7月12日(米国時間)、SBOM(Software Bill of Materials:ソフトウェア部品表)生成ツール「sbom-tool」をオープンソースとして公開した。 SBOMはソフトウェアを構成する全てのコンポーネントのリストのこと。ソフトウェアサプライチェーンにおける透明性や、依存関係のトレーサビリティー(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいる。例えば、2021年の米国大統領令「国家のサイバーセキュリティの向上」においても、SBOMは重要な要件として挙げられている。 Microsoftによると、今回のSBOM生成ツールは汎用(はんよう)的で、業務に広く利用されてきた実績がある。WindowsやLinux、macOSなどのプラットフォームで動作し、SPDX(Software Package Data Exchange)形
ビジネスを支えるITインフラとしてクラウドの導入や活用が一般的になる中、企業には、オンプレミス時代とは異なるリスク管理が求められている。業務やサービスを支えるインフラが、クラウド上にあることを前提に、新たなセキュリティポリシーやBCP(事業継続計画)を策定する企業も多い。 しかし、実際に何らかの問題が発生した際、組織や個人がそれに適切に対処する行動を取れるかどうかは、文書化された「ポリシー」や「計画」とは別の問題だ。大規模災害の発生を想定し、非常時のアクションについて身をもって学ぶ「BCP訓練」が必要とされているのと同様、巧妙で悪質なサイバー攻撃に直面した際、組織が適切に対処できるように備える上で「インシデント対応訓練」の実施は有用な取り組みといえる。 クラウド会計サービスを提供するfreeeでは、2021年10月に「標的型攻撃によりセキュリティが突破され、ランサムウェアでCEO(最高経営
高木浩光氏が危惧する、「不正指令電磁的記録に関する罪」のずれた前提と善なるエンジニアが犯罪者にされかねない未来(Coinhive裁判解説 後編):私たちは当事者なんです(1/3 ページ) 一審無罪となったCoinhive裁判。しかし判決の裏には、条文の誤読や残された論点がある。裁判で被告人証人となった高木浩光氏が、裁判、法律解釈について詳しく解説した。
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編):権利は国民の不断の努力によって保持しなければならない(1/3 ページ) Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。 2018年6月、自身が運営するWebサイト上に、閲覧してきた
GitHubが障害を総括、43秒間のネットワーク断が1日のサービス障害につながった:データベースの不整合解消に時間 GitHubは2018年10月30日(米国時間)、2018年10月21日16時頃(米国太平洋時)から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータ管理データベースの不整合を引き起こし、復旧に時間を要したという。 GitHubは2018年10月30日(米国時間)、2018年10月21日16時頃(米国太平洋時)から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータを管理するデータベースの不整合を引き起こし、復旧に時間を要した
Windows 10 October 2018 Updateはなぜ一時配布停止となったのか:Windows 10 The Latest Windows 10 October 2018 Updateの提供が一時停止している。配信停止の原因となった不具合とはどういったものなのか、また不具合に遭わないための方法などを解説する。 連載目次 Windows 10 October 2018 Update(Ver.1809。OS.Build 17763.1。以下、October 2018 Update)は、10月2日(米国時間)に配布が開始されたが、すぐに配布が中止された。その後10月9日に修正版がWindows Insider Previewで配布され、原稿執筆時点では、アップデートしたユーザー向けに品質アップデートでBuild 17763.55が配布中である。 配布が一時停止された原因は、OSをアッ
新OSSプロジェクト「Istio」は、マイクロサービスのためのサービスメッシュを開発:グーグル、IBM、Lyftが開始 米グーグル、米IBM、米Lyftは、マイクロサービスのためのインフラサービスソフトウェアを開発するオープンソースプロジェクト、「Istio」を、2017年5月24日(米国時間)に開始した。 米グーグル、米IBM、米Lyftは、マイクロサービスのためのインフラサービスソフトウェアを開発するオープンソースプロジェクト、「Istio」を、2017年5月24日(米国時間)に開始した。 Istioは、マイクロサービス間通信のためのサービスディスカバリ、負荷分散、モニタリング、ダイナミックルーティング、セキュリティなどの機能を備えた、開発言語やランタイムに非依存のサービスコンポーネントを開発する。 「(マイクロサービス間通信にかかわる課題に関する)解決策の1つは、gRPCのようなRP
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと:セキュリティ・アディッショナルタイム(21)(1/3 ページ) 缶詰め状態で集中して脆弱(ぜいじゃく)性を見つけてもらう「バグハンター合宿」を、サイボウズが2017年11月3~4日に実施。予想以上に多くの報告を受理しただけでなく、サービス開発者とバグハンターの双方に気付きが生まれた。 開発者にとって、セキュリティ担当者や外部のコンサルティング、そして「バグハンター」は、ちょっと面倒くさい存在かもしれない。 少しでも早く製品やサービスを市場に投入したいのに、セキュリティ上の問題や脆弱(ぜいじゃく)性を指摘し、やむを得ないときにはリリースに待ったをかけるからだ。海外では、脆弱性を報告してきたエンジニアに、詳細の公表を控えるよう求めたベンダーがあったことまで報じられている。 だが、開発者とバグハンターの関係にはもっとよい形があ
@ITは、2017年8月にセミナー『連日の「深刻な脆弱(ぜいじゃく)性」どう向き合い、どう対応するか』を東京で開催した。本稿では、レポートシリーズの後編として、前編同様、多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けする(前編記事)。 WannaCryから数カ月、一連の報道から得られる教訓とは? 多くの企業のセキュリティ担当者は、ベンダーから得られる情報の他、ニュースや脆弱性情報を集約するサイトを通じて脆弱性情報を把握し、対応に取り組んでいることだろう。自社システムをよりよく守るために、どのようにこれらの情報を受け止め、生かすべきだろうか? 「セキュリティリサーチャーズ脆弱性ナイト(世界のどこかはきっと夜)」と題するパネルディスカッションでは、根岸征史氏(インターネットイニシアティブ)、辻伸弘氏(ソフトバンク・テクノロジー)、piyokango氏という日本を代表するセ
「Amazon Connect」の、コールセンターを変える「破壊力」:むしろセールスフォースユーザーに適する? Amazon Web Services(AWS)の「Amazon Connect」は、コールセンターをクラウド上にソフトウェアで構築できるサービスだ。最大の特徴はコールセンターの構築・運用コストの大幅な削減。だが、従来型のコールセンターシステムを、ビジネスの変化に柔軟に対応できるツールに変えたいという用途にも適している。AWSとセールスフォースの説明に基づき、このサービスをあらためて紹介する。 Amazon Web Services(AWS)の「Amazon Connect」は、コールセンターをクラウド上にソフトウェアで構築できるサービスだ。最大の特徴はコールセンターの構築・運用コストの大幅な削減。機械学習/AI系サービスの併用などにより、自動応答を増やすことで、オペレーターのコ
サイバーセキュリティの世界で欠かせないのが、社内外での「情報共有」だ。そして最も円滑に機能する情報共有の場の1つに「飲み会」がある。 「重要な情報は全て酒席で交換されている」「セキュリティの世界においてアルコールの果たす役割は計り知れない」、そんなウワサも耳に入ってくる昨今だが、果たしてそれは本当なのだろうか? ウワサの真相を検証し、普段は見られないセキュリティ担当者たちの姿に出会うべく始まった本企画。今回は、リクルートテクノロジーズの皆さまにご協力いただきました。 「飲み会でもいつもセキュリティの話ばかり」――熱過ぎるRecruit-CSIRTの面々 ここは銀座のとある焼肉店。1つのテーブルからこんな会話が聞こえてくる。 「SHA-1衝突しましたね」 「SHA-256にすればいいんだろうけど、パフォーマンスがなぁ……」 「64bit CPUのソフトウェア実装だと、実はSHA-512/25
こんにちは! 千葉県生まれのIターンエンジニア、「モンスター・ラボ」島根開発拠点のハスミンです。「ITエンジニア U&Iターンの理想と現実:島根編」第1回は、私たちが実践している屋外開発事例を、第2回は、仕事以外のIターンライフ@島根県松江市を紹介しました。 U&Iターンに興味のあるエンジニアの皆さんは「本当にU&Iターンできるの?」なんて思っていませんか? そんなときは、誰かが相談にのってくれれば心強いですよね。 安心してください。われらが島根県には強い味方がいます。 なぜ島根県はITエンジニアの移住に熱心なのか、どのような組織と情熱でU&Iターンをサポートしているのか、公務員たちはどのようにエンジニアのコミュニティーに関わっているのか――「ITエンジニア U&Iターンの理想と現実:島根編」、第3回は、移住者の不安や悩みの相談に乗ってくれる島根の公務員をお招きして、座談会を開きました。
クラウドサービスに最適な暗号方式とは?――暗号化したまま計算する「準同型暗号」:クラウド時代の暗号化技術論(4)(1/2 ページ) 情報漏えいの懸念があるクラウドの世界では、データを暗号化して保持するのが安全です。しかし従来の暗号方式では、暗号化されたデータを計算するときにいったん復号を行う必要があり、ネットワークやクライアントマシンに負荷がかかってしまいます。今回はこの問題を解決するための「準同型暗号」について解説します。 連載目次 準同型暗号とは? 今回からいよいよ近年の暗号技術を見ていきます。まず、「準同型暗号(HE:Homomorphic Encryption)」を取り上げます。“準同型”というのは耳慣れない言葉かもしれませんが、ここでは「暗号化したまま計算ができる方式」を意味します。 例えば、ウエアラブルコンピューターを用いて身長、体重、心拍数などの個人情報を集約するサービスを考
「ローカル管理者」のパスワード管理、どうする?――LAPSを使ってみよう!:Active Directoryによるローカル管理者のパスワード管理(1) 過去に大規模な情報漏えい事件の要因にもなった「PCのローカル管理者パスワード」を効率的に管理するためのツール「Local Administrator Password Solution(LAPS)」の使い方を紹介します。 「ローカル管理者のパスワード」、どうやって管理する? 2015年、日本年金機構において大規模な個人情報漏えい事件が発生しました。その詳細は2015年8月20日に内閣サイバーセキュリティセンターが発表した「日本年金機構の個人情報流出事案に関する原因究明調査結果(pdf)」にまとめられています。この報告書の中で、短時間に広範囲の端末へ被害が拡大した技術的要因の1つは、「ローカル管理者権限のID・パスワードが同一であったことを悪
サイボウズは2016年1月28日、同社が実施した脆弱性報奨金制度で実績を持つ“バグハンター”たちに向けた「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。 “善意の”ハッカーたちに「感謝状」 サイボウズは2016年1月28日、「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。報奨金制度は同社が2014年6月から実施しているもので、サイボウズの各種製品やクラウドサービスに存在する脆弱(ぜいじゃく)性の発見者に1件当たり最大30万円の報奨金を提供するもの。 同社では社内においても、開発・運用・品質保証(QA)の観点から製品やサービスの安全性を向上させる取り組みを行っているが、それでも検出し切れない「未知の脆弱性」を社外の“善意の”ハッカーたちの手を借りて発見し、製品・サービスの品質を一層向上させようとするのが本制度の趣旨だ。 本制度の特徴の一
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク/コンピューターに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取った上で、自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 落ちるのは、這い上がるため。知るのは、守るため。 約1年のご無沙汰である。 前回の連載を終えてからの1年間、筆者はいろいろな方に出会い、いろいろな刺激をもらった。中には落胆をしてしまうような状況も味わい、発奮するような機会も与えてもらった。その繰り返しだった。 とある映画の続編のタイトルと同様、今回の連載タイトルは、前回の連載タイトルから想像に難くないものだろう。正直、連載を再開する上でタイトルについてはいろいろ悩んだ。編集担当と話をしていくつか別の候補も出たが、どれもしっくりこなかった。 が、
退社した人のPCや前の管理者が管理していた共有PCなど、パスワードが分からなくなり、仕方なくWindows OSを再インストールする羽目になった、ということもあるのではないだろうか。実は、パスワードが分からなくなっても、ちょっとした操作でパスワードの再設定ができる。ただし悪用は厳禁である。他人のPCに対して許可なく、以下の方法でログオン(サインイン)すると犯罪になる。 以下、Windows 10のインストールメディアを使い、Windows 10のパスワードを解除する手順を紹介する。他のバージョンのインストールメディアやWindows 7/8/8.1でも同じ手順でパスワードの再設定が可能だ。 Windows OSのパスワードをリセットする裏技 パスワードを再設定するには、ちょっとした裏技(?)を利用する。Windows 7/8/8.1/10のログオン(サインイン)画面にある[コンピューターの
ゼロデイ攻撃をめぐる攻防、第5回はコードエリア以外でのプログラム実行を防ぐDEP(Data Execution Prevention)を取り上げます。 連載目次 DEPという強力な防御手法の登場、そして…… これまで第2回では「スタックに対する攻撃」を、そして第3回、第4回の2回にわたり「ヒープに対する攻撃」を紹介してきました。これらの攻撃の対策として、実行ファイルを生成する段階で作成するコンパイラー、リンカによる対策と、実行時に機能するシステム(OSなど)レベルの対策を紹介しました。しかし、これらの対策を実施しても、脆弱性をなくし、攻撃を完全に防ぐことはできないのが実情です。 今回紹介するDEP(Data Execution Prevention)は、これまで紹介した対策手法とは異なるアプローチの対策で、脆弱性が存在し攻撃が成功したとしても、攻撃コード(Shellcode)の実行を阻止す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
