政府情報システムにおける セキュリティ・バイ・デザインガイドライン
政府情報システムにおける セキュリティ・バイ・デザインガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-200 〔キーワード〕 セキュリティ・バイ・デザイン、DevSecOps、システムライフサイクル保 護 〔概要〕 情報システムに対して効率的にセキュリティを確保するため、企画から運 用まで一貫したセキュリティ対策を実施する「セキュリティ・バイ・デザイ ン」の必要性が高まっている。本文書ではシステムライフサイクルにおける セキュリティ対策を俯瞰的に捉えるため、各工程でのセキュリティ・バイ・ デザインの実施内容を記載する。 併せてセキュリティ・バイ・デザインの実用性を確保するための関係者の 役割を定義する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 i 目次 1 はじめに ................
システム管理基準 / 経済産業省 令和 5 年 4 月 26 日
システム管理基準 経済産業省 令和 5 年 4 月 26 日 i 目次 前 文 ( シ ス テ ム 管 理 基 準 の 活 用 に あ た っ て ) ............................1 Ⅰ . IT ガ バ ナ ン ス 編 .................................................14 Ⅰ .1 IT ガ バ ナ ン ス の 実 践 ...........................................15 Ⅰ .1.1 経 営 戦 略 と ビ ジ ネ ス モ デ ル の 確 認 ...........................15 Ⅰ .1.2 IT 戦 略 の 策 定 .............................................16 Ⅰ .1.3 効 果 的 な IT
アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
安全最優先ゆえの新技術導入に慎重な体質 関電システムズは関西電力100%出資の子会社として、関西電力向けシステム開発を専門とする機能子会社だ。2019年4月より関西電力と関電システムズの合同でDevOps推進が始まったが、当時の関電システムズと関西電力の関係は、IT部門再編に伴い役割分担が大きく見直された直後であったこともあり、西内氏が「完全なる親子関係」と振り返るほど強い上下関係だったという。 株式会社関電システムズ テクニカルラボ DevOps推進グループ テクノロジスト(プロフェッショナル)西内 慶子氏 そのため関電システムズの開発体制は決められたことを計画どおり進めていくウォーターフォール型が基本方針であり、技術面では「枯れた技術」の使用が推奨されているなど、新技術の導入にあまり積極的ではなかった。 こうした体質は以前から課題認識されており、関電システムズではDevOpsの推進前に
新著が出ます:『センスの良いSQLを書く技術』|ミック
「最近書きすぎなんじゃないの」と言われそうな気もするが、またまた新著が出る。著者もそろそろキャリアの終わりを意識するようになって、体と頭が動くうちに宿題を終わらせておかないとな、という心境である。 本書は純粋な技術書ではない。コードもあまり出てこないので寝転がっても読める。エッセイと言ってしまえばそれまでだが、技術の背景にある思想や理論(あとちょっとした仕事術)にフォーカスした本だ。NewSQLやHTAP、生成AIによるクエリジェネレータなど時事的なテーマも扱っているが、その根底にもデータベース独自の思想や考え方が含まれている。その意味で本書は、筆者がどんな考え方や知識をバックグラウンドとしてDB/SQLに向かい合ってきたかという、今まで明示的に語ってこなかった頭の中を直接ダンプしたような内容になっている。それを伝えることで、長い目で見て読者の血肉になるような物事の考え方や視野の広さを養え
何となくのコードレビューを小さくて素早く価値あるプロセスに変えるための参考値や考え方 - mtx2s’s blog
ソフトウェア開発におけるコードレビューの位置づけは、曖昧にされがちだ。欠陥を見つけるためにやっているのだろうか。コード品質を高めたいのだろうか。いずれにしても、チームやプロジェクトで統一された目的がないこともめずらしくない。レビュアーはただ、眼の前にあるコードの中で気になった箇所にコメントしているだけになってはいないだろうか。 また、チームのバージョン管理ツールを観察すると、コードレビュー待ちの開発ブランチが多いこともめずらしくない。実装することにばかりに時間が割かれ、コードレビューは後回しになっているのだ。しかし、レビューを終えなければ、それらは統合ブランチにマージされない。そうして生存期間が長いブランチが多くなるほど、マージコンフリクトが起こりやすくなる。その対処に支払うコストもばかにはならないだろう。 本稿は、コードレビューに関する2つの論文を中心に、機能的なコードレビューのあり方に
将来は人がコードに関わらなくなる、プログラミング言語はXMLのような存在に
最近は欲しいアプリケーションがあると、人工知能(AI)による対話サービス「ChatGPT」につくってもらうことが増えた。自分で調べてつくると半日から1日はかかるようなアプリでも、ChatGPTを使えばあっという間に出来上がる。 AIアプリも簡単に実現できる。先日AIの取材で、オープンソースの物体検出モデルである「YOLO(You Only Look Once)」を使ったデモを見た。これを自分のパソコンでも再現できないかと思い、Pythonによるアプリの作成をChatGPTに依頼してみた。 最初はアプリ内の画面表示がうまくいかなかったものの、数回のやり取りでトラブルは解決した。ChatGPTが生成したPythonコードを実行するとアプリが起動し、パソコンのカメラに写った複数の物体をリアルタイムに認識してそれぞれが何かを表示してくれる。こんなアプリがたった数分で出来上がるのだ。私はコードを1行
Microsoft傘下のGitHub、「GitHub Copilot」を無料に(制限あり)
米Microsoft傘下のGitHubは12月18日(現地時間)、Visual Studio Code上で「GitHub Copilot」を無料で利用できるようにしたと発表した。これにより、ユーザーは「Visual Studio Code」(VS Code)内でGitHubアカウントにログインするだけで、追加料金なしにCopilotによるコード補完や提案を得られるようになる。 現時点ではVS Code向けのGitHub Copilotが無料提供の対象だ。従来は、メンテナーなど一部の認証されたユーザー以外は月額10ドルからの有料だった。なお、JetBrains IDEやNeovimなど、VS Code以外の環境でCopilotを利用する場合は、引き続き有料プランへの加入が必要だ。 また、無料版にはいくつかの制限がある。例えば、アクセスできるコード補完は1カ月当たり2000件までで、Copil
「なぜGoogleのプロジェクトは失敗するのにMetaのプロジェクトは成功しているのか」を分析してわかった3つの問題とは?
GoogleやMetaなどの大手IT企業は大規模なプロジェクトをたくさん推進していますが、それらのプロジェクトは必ずしも成功するとは限りません。AI関連製品のコンサルティングを行っており、かつてMetaで機械学習に取り組んでいたこともあるジェフリー・リュウ氏が、「なぜGoogleのプロジェクトは失敗するのにMetaのプロジェクトは成功するのか?」という疑問について分析しています。 Google's Lost Moonshots · Jerry Liu https://www.jerry.wtf/posts/googles-lost-moonshots/ リュウ氏は、Googleはかつて製品を作るだけでなく「未来を定義する」会社でもあり、Googleが生み出したイノベーションやスローガンは世界に大きな影響を及ぼしてきたと指摘。たとえばGoogle マップはナビゲーションの世界に革命をもたらし
ODC分析:なぜなぜに疲れたQAメンバーに捧ぐ分析手法 | Sqripts
こんにちは、クオリティマネージャーのこやまです。 QAメンバーやプロジェクトマネージャーの方で、お客様や上司から「不具合を分析して対策をまとめて」と言われたことはありませんか? 不具合分析と言われるとなぜなぜ分析と信頼性成長曲線分析が思いつきます。信頼性成長曲線分析は不具合収束の傾向を把握できますが、不具合の原因特定までできません。一方、なぜなぜ分析では、不具合の詳細な調査に多くの時間と労力が必要です。 そこで、効率よく原因と傾向が分析できる「ODC分析」があると知り、調べた内容をご紹介します。 ODC分析とは 1992年に米IBM社 ワトソン研究所で確立された「欠陥分類手法」です。ODC分析のODCは「Orthogonal Defect Classification」の略称で、直訳すると「直交 欠陥 分類」となります。「直交とは直線どうしが直角に交わること」との意味で、お互いに依存しない
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
デジタルガバメント推進標準ガイドライン実践ガイドブック2023年デジタル庁.pdf
セキュア・プログラミング講座 / IPA
中小企業のための クラウドサービス 安全利用の手引き
アジャイルソフトウェア開発宣言の読みとき方
ITSS+ アジャイル領域 価値創造社会の持続的発展 のカギはアジャイルにあり Ver2.
アジャイル開発実践ガイドブック2021年内閣官房IT総合戦略室.pdf
ソフトウェア管理に向けた SBOM(Software Bill of Materials)の導入に関する 手引 Ver. 1.0 / 経済産業省 商務情報政策局 サイバーセキュリティ課 令和5年7月28 日
令和3年10月29日 経済産業省 商務情報政策局 サイバーセキュリティ課 資料3 サイバー・フィジカル・セキュリティ確保に向けた ソフトウェア管理手法等検討タスクフォース の検討の方向性
外部委託等における情報セキュリティ上の サプライチェーン・リスク対応のための 仕様書策定手引書 2015 年 5 月 21 日 / 内閣サイバーセキュリティセンター
政府機関等のサイバーセキュリティ対策のための統一基準 (令和5年度版) 令和5年7月4日 / サイバーセキュリティ戦略本部
デジタル社会推進実践ガイドブック DS-110 デジタル・ガバメント推進標準ガイドライン 解説書 (第3編第1章 ITマネジメントの全体像) 2023 年(令和5年)3 月 31 日 / デジタル庁