発注者と開発者の認識の齟齬により要求と実現されるソフトとの間に「ギャップ」が生じます。具体的には、次の(1)~(3)のようなギャップが生じます。 要件定義すべき内容が抜けており、開発者に説明していない。 発注者が開発者に説明したが、何らかの理由で漏れた。 開発者が何らかの理由により誤認・拡大解釈し、実現範囲に取り込んでしまった。 機能要件に着目し、上流工程で実現したい情報システム像を伝え、発注者と開発者との不充分な合意形成が原因で発生する下流工程の手戻りを防止するための次のようなコツを集めたものです。 実現したい情報システム像について発注者と開発者が合意形成するために、伝える側が漏れなく正確に情報を提供するためのコツ 発注者と開発者との不充分な合意形成が原因で下流工程で発生する手戻りを防止するための先人の開発者のコツ 機能要件の合意形成ガイドは、「概要編」 と次の6つの技術領域のコツをまと
この3月、情報処理推進機構(IPA)から1冊の本が発行された。タイトルは「共通フレーム2013」。システムの企画・開発・運用に至る作業内容や成果物、役割分担などを定義したものである。システム開発に携わる方なら、標準的な開発プロセスとしてなじみのあるフレームワークかもしれない。 おおむね5年おきに改訂される共通フレームには、その時代の「情報システムの潮流」が反映されている。前版の共通フレーム2007では、「超上流」がトピックだった。具体的には。システム化構想やシステム化計画の立案といった企画プロセスが拡充された。実際、この前後から、超上流を強化する開発現場が確実に増えた。当時在籍した日経SYSTEMSでも、見積もりや要件定義など超上流の記事をよく取り上げたことを覚えている。 では、今年発行された共通フレーム2013のトピックは何か。それが実は「運用」にほかならない。筆者らは今年4月、「日経B
MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、 脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア 製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です。
SOCKS(RFC1928)は、ソケットプログラムを利用しアプリケーションプロトコルに依存せずに、トランスポート層上でアクセス制御を行うためのセキュリティプロトコルです。SOCKSサーバーにコネクションリクエストを渡すと、SOCKSサーバーはクライアントを認証してからコネクションを確立します。 当初SOCKSは、UDPアプリケーションをサポートしていませんでしたが、バージョン5になり、UDPベースのアプリケーションをサポートするようになりました。 SOCKSは「Sockd」というプログラムを介して、プロキシサーバーとクライアントの通信を行う仕組みになっています。この図で説明するとSockdにFTPやtelnetをカプセル化して通信を行おうとするクライアントAは内部ネットワークの資源を利用できますが、直接telnetを使って通信を試みるクライアントBはプロキシーサーバーによって通信を拒否され
情報処理推進機構(IPA)は2011年11月4日、拡張子を偽装するウイルス(悪質なプログラム)が多数報告されているとして注意を呼びかけた。ファイル名に細工を施すことで、実行形式ファイル(拡張子は.exe)のウイルスを、PDFファイル(.pdf)に見せかける。 今回、IPAが注意を呼びかけたのは「RLTrap」と呼ばれるウイルス。2011年9月中には、同ウイルスの検出報告が、およそ5万件寄せられたという。 RLTrapの特徴は、ファイル名にユニコード(Unicode)の制御文字「RLO(Right-to-Left Override)」を挿入することでユーザーをだまそうとすること。 RLOとは、文字の流れを右から左に変更する制御文字。ファイル名の中にこの制御文字(文字コードは[U+202e])を挿入すると、本当の拡張子が「.exe」であっても、画面上は「.pdf」に見せかけることができる。 例
前回の記事で説明したように「新しいタイプの攻撃」における共通脅威パターンは5つあります。この5つそれぞれに対して“出口対策”を施す必要があります。 共通パターンを改めて見てみると、5つのパターンのうちパターン1~3の3つがバックドア通信に関するものです。つまり、バックドアに対する対策が「新しいタイプの攻撃」への対応策として有効ということがわかります。 実際のシステム設計や構築では、まずHTTPプロトコルを使うパターン1と、独自の通信プロトコルを使うパターン2に対して何らかの制限を設け、バックドアの通信を遮断します。この遮断が通過された場合のパターン3に対しても対策を施すという考え方になります(図3-1)。 80番ポートを使う通信に監視の目を光らせる まずパターン1とパターン2について見ていきましょう。パターン1と2はいずれもプロキシを経由せずに、外部と80番ポートを使って通信しようとします
情報処理推進機構(IPA)は、デジタルテレビなどのデジタル家電やブロードバンドルーターを対象に、「ファジング」という手法を用いて未知の脆弱性を検出する取り組みを2011年8月から開始した。ソフトウエア製品の脆弱性を検出する手法であるファジングの普及啓発を目的に、2012年の第1四半期(1~3月)に作成予定の「ファジング活用の手引き」に、取り組みの内容を反映する。既に家庭向けのブロードバンドルーターを対象にファジングを用いた検査を行っており、いくつかの脆弱性も検出されているという。取り組みの過程で検出した脆弱性は、機器メーカーにフィードバックする。 スマホやSTBなどの組み込みソフトが対象 「脆弱性」とは外部から悪用される恐れのあるソフトウエアの不具合を指す。脆弱性があると個人情報の流出などの原因になるほか、今後ネットに接続する家電製品が増えた場合に「極端な例で言うと、外部から機器に極度な負
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
ITスキル標準V3 2011は、こちらよりダウンロードすることができます。(2012年3月26日) 「ITスキル標準V3 2011」は、カスタマサービス職種定義を見直し現状にあった内容に改訂を行っています。これに伴い、レベル6の追加を反映しキャリアフレームワークを変更しています。 「ITスキル標準はやわかり」-人材育成への活用-(V3 2011対応版)は、下記のリンクからダウンロードできます。(2012年7月6日) ITスキル標準V3英語版(ドラフト)は、下記のリンクよりダウンロードできます。(2009年2月19日) The working draft of Skill Standards for IT Professionals V3 English edition is available for reference purpose. ITスキル標準V2英語版(ドラフト)は、下記のリン
制御システムを標的にした「Stuxnet攻撃」が海外のセキュリティ業界で大きな話題になった。IPAは、今後国内でもこの種の攻撃が深刻な問題につながる恐れがあると提起する。 2010年夏、電力などのエネルギーを制御するシステムを標的にする「Stuxnet攻撃」が発生し、世界中のコンピュータセキュリティ業界を震撼させる事態になった。この攻撃によって制御システムが第三者に不正操作されれば、電力供給がストップするなどの深刻な被害が発生しかねないためだ。情報処理推進機構(IPA)は、Stuxnet攻撃によって顕在化した脅威を「新しいタイプの攻撃」(海外では「Advanced Persistent Threats=高度化した執念深い脅威」と呼ばれる)と名付け、12月17日にレポートを公表した。 「新しいタイプの攻撃」に見られる特徴には、次のようなものがある。 従来は侵入が困難とされたシステムに侵入する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
