ユーザーはなぜ、自社のシステム開発に協力しないのか：本業が忙しいから、お手伝いはできないよ（1/4 ページ） 複雑怪奇なIT“業界”を解説する本連載、第1弾はIT業界にまん延する多重下請け構造と偽装請負について、第2弾は多重下請け構造が起こる仕組みについて、第3弾はシステム開発プロジェクトには複数の契約形態が混在することを説明した。 今回は「ユーザー」の謎を解説する。彼らはなぜ、いつも当事者感覚がないのだろうか――。 お任せ体質ユーザーの末路 私はこれまで、システム開発のトラブルに関する連載や研修などを行うために、さまざまなIT訴訟について調べてきました。 悪い意味で印象的だったのは、ある清涼飲料水メーカーの在庫管理システム構築に関するトラブルです。ユーザー企業の担当者たちの知識不足、そしていわゆる「お任せ体質」がベンダーの作業を遅らせ、ついにはプロジェクトを破綻させてしまった事件でした。

連載目次 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「要件の範囲が食い違ったことにより生じた紛争」を解説する。 ユーザーが望む機能がシステム開発の要件から抜け落ちたがために発生する紛争は、本連載でこれまでにも何度か取り上げてきた。 IT紛争の類型は種々さまざまであり、過去の判例が全てそのまま適用できるわけではないが、裁判所が「たとえ要件としてユーザーから明示されていなくても、その機能が契約の目的を果たす上で、当然に必要な事柄であるとベンダーが認識し得る状態にあれば、ベンダーにはその機能を作り込む義務（債務）がある」と判断した例が幾つもある。 要件定義書よりも契約の目的の方が重いとする考え方だ。 今回取り上げる判例も、「ユーザーが必要と考える機能が、ベンダーの作成した要件定義書から抜け落ちており、これを作り込まなかった」というものだ。これまでと少し異なるのは、パ

企業ネットワークの店舗や中小規模のオフィスではNTTグループの「フレッツ 光ネクスト」をデータ通信用途だけに使っているケースが多い。電話とFAXはISDNを利用する。ISDNは基本料金が月額3530円である。これをフレッツ 光ネクストの「ひかり電話」に移行すると500円になる。 さっさとISDNを止めてひかり電話にした方が得なのだ。筆者が運用しているネットワークでも、ひかり電話導入のための試験を2019年4月初旬に行った。 ひかり電話が登録されるとVPNが通信断 試験環境を使ってひかり電話の導入試験を行った。図1がひかり電話を入れる前の構成である。 CPE（Customer Premises Equipment）とキャリアゲートウェイの間に、IPv6によるIPsecトンネルを張り、IPv4で動くユーザーの拠点間を接続している。CPEは自らが使うIPv6アドレスを生成するために、フレッツ網内

日本PHPユーザ会は2018年12月15日にPHP Conference 2018を開催した。本稿では、EGセキュアソリューションズ 代表取締役 徳丸浩氏の講演「安全なWebアプリケーションの作り方2018」の内容を要約してお伝えする。 徳丸氏は、割賦（かっぷ）販売法の改正や、経済産業省が推奨する「クレジットカード情報の非保持化」を紹介。重大なセキュリティリスクを無視した場合、クレジットカード情報（以下、カード情報）を非保持化するシステムでも、カード情報を盗まれる可能性があると指摘する。 クレジットカード周りのセキュリティ対策の動向 徳丸氏は、カード情報に関連する法律の動向として、割賦販売法改正と経済産業省の実行計画を抜粋して紹介。割賦販売法とは、クレジットカードなどによる信用取引に関する法律だ。2018年6月1日に改正され、クレジットカードを取り扱う事業者に対して、カード情報を漏えいさせ

米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見：“履歴スニッフィング”攻撃の最新版 カリフォルニア大学サンディエゴ校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見した。ユーザーがあるWebサイトを訪問したかどうかを高速に判定することで、結果的に履歴が漏れてしまう。 米国カリフォルニア大学サンディエゴ校は2018年10月30日（米国時間）、同校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見したと発表した。発見した手法は、2000年代初頭に見つかった「履歴スニッフィング」という攻撃手法と同じカテゴリーに属する。 今回の発表に先立ち、2018年8月に情報セキュリティ関連のワークショップ「2018 USENIX Workshop on Offensive Technologies（

対象OS：Windows 7／Windows 8.1／Windows 10／Windows Server 2008 R2／Windows Server 2012／Windows Server 2012 R2／Windows Server 2016 Windows OSのコマンドプロンプト上でテキストデータの処理を行う場合、テキストの行数を数えると、簡単に解決することがある。例えばデータを1行ずつまとめたCSVファイルなどでは、行数を数えるとデータの総数が分かる。 またdirなどの結果の行数を数えると（TIPS「Windowsのdirコマンドでファイル名の一覧を取得する」参照）、該当するファイルやフォルダの総数を調べることができる。 テキストファイルの行数を数えたい場合、UNIXやLinuxでは「wc（word count）」というコマンドを使う。wcに-lオプションを付けて「wc -l」と

フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱（ぜいじゃく）性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信（IPC）」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。

マルウェア「Satori」による攻撃を国内初観測、従来のファイアウォール機能では対応が難しい？：状況に応じて誘導先ホスト変更 サイバーセキュリティクラウドは、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃を日本国内で観測した。攻撃元は世界中に分散し、誘導先ホストを変えることが特徴。 サイバーセキュリティクラウドは2018年6月25日、同社が独自にサイバー攻撃データを分析した「サイバー攻撃速報」を発表した。それによると、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃が日本国内で観測された。 Satoriの攻撃目的は、マルウェアの新たな亜種を拡散させることで、リモートコマンド実行の脆弱（ぜいじゃく）性を悪用して、Satoriのダウンローダーに誘導し、マルウェアをダウンロードさせる。 サイバーセキュリティクラウドでは、2

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を定期的に取り上げ、解説していく。2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性が報告された。連載初回は、こちらの詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性に関する情報を定期的に取り上げ、解説していきます。 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性（CVE-2017-1000367/CVE-2017-1000368）が報告されました。連載初回は、こちらの詳しい説明と情報をまとめます。 脆弱性発見の経緯 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性（CVE-2017-1000367）が報告さ

進まないWindows Update、やっぱり止まっていなかった：山市良のうぃんどうず日記（97）（1/2 ページ） Windows 10で大きく変わったWindows Update。Windows Updateがなかなか進まないという状況もしばしば。そのとき、裏側では何が行われているのか、Windows Updateの状況を別の視点から追跡してみました。 新規インストール直後の3つの更新プログラムに2時間半の怪 Windows 10で「Windows Update」は大きく変更され、同じ機能はWindows Server 2016にも搭載されました。新しいWindows Updateに関しては、本連載でも何度か取り上げたように、さまざまな意見があると思います。筆者は「累積的な更新プログラム」への変更は、改善点と評価してきました。新規インストール後、最小限の更新プログラムのインストールで最

WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか：「セキュリティリサーチャー」って何をする人？（1/2 ページ） サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 「人材不足」「育成の必要性」などの課題と関連してひとまとめに語られがちな「セキュリティ人材」。しかし、セキュリティ対策の実装や運用だけでなく、内外との調整役、脆弱（ぜいじゃく）性検査とその結果に基づく設計、いざ問題が生じた際のレスポンス対応など、さまざまな役割が必要だ。業務内容は多岐にわたるため、1人で全てを担うのは難しい。セキュリティ担当

アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね：「訴えてやる！」の前に読む IT訴訟 徹底解説（39）（1/3 ページ） IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「システム開発におけるドキュメントは、何のために必要か？」を解説する。 連載目次 アジャイル開発だからドキュメントはいらない？ 最近はアジャイル開発が一般的になり、ユーザーと一緒になって話し合いながらモノづくりをしていく現場では、「ドキュメントは必要ない」と考える技術者も増えていると思う。実際、最近の開発では、「要件定義書」や「設計書」、あるいは「テスト仕様書」や、その「結果報告書」も作成せず、簡単なメモを残すだけで、後はプログラム本体を納品すれば完了してしまうようなものもある。 この考え方は、ある意味合理的だ。システムを細かい機能に分けて、ユーザーヒアリングやワークシ

無謬（むびゅう）性から脱却してサイバーレジリエンス構成学に取り組む門林教授：「ソフトウェアにはバグがある」「人はミスをする」前提での被害軽減を（1/2 ページ） 奈良先端科学技術大学院大学の門林雄基教授は、2017年4月1日に「サイバーレジリエンス構成学研究室」を立ち上げる。同教授はその狙いを、ユーザーが自由にシステムを組み合わせて使う中で、「無謬（むびゅう）性を前提にせず、被害軽減技術や安全運転支援技術に取り組んでいく」と述べた。 セキュリティインシデントが起きるたびに、侵入を許した原因が調査され、対策が講じられ、意識の向上が呼び掛けられてきた。それにもかかわらず、サイバー攻撃による被害は後を絶たない。こうした現状を前に、被害の予防だけに力を注ぐのではなく、「被害は発生するものである」という前提に立ち、侵入の早期検知と被害軽減を図るアプローチに注目が集まりつつある。 奈良先端科学技術大学

連載目次 システムログに何だかヤバそうなイベントを発見！ 先日、Windows 10 Anniversary Update（バージョン1607）のWindows PowerShellのシェル環境でイベントログを調査していたところ、背筋が冷たくなるようなイベントをシステムログの中に発見しました。 それは、次のようなイベントです。そのとき使用していたのは、Windows PowerShellのバージョン1.0からある「Get-EventLog」コマンドレットです。フィルターをかけて検索してみると、膨大な数が見つかりました（画面1）。

Shift＋F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは？：その知識、ホントに正しい？ Windowsにまつわる都市伝説（73）（1/2 ページ） Windowsセットアップの実行中に使える［Shift］＋［F10］キーは、コマンドプロンプトを開いて作業できるという、古くからある裏技的な仕様です。Windows 10の機能更新では、この古くからの仕様が重大な脆弱性になることが専門家から指摘されました。 離席厳禁！ アップグレード中のWindowsが無防備になる？ Windows 10を「Current Branch（既定）」で利用している場合、年に複数回、機能更新プログラムが提供され、Windows Updateを通じて自動更新されます。この機能更新プログラムのインストール中に［Shift］＋［F10］キーを押すことで「コマンドプロンプト」を開き

Web広告からのマルウエア感染「Malvertising」にどう対処すべきか：川口洋のセキュリティ・プライベート・アイズ（57）（1/2 ページ） セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv

lame（“レイム”と発音）とは「不十分な」や「不完全な」という意味の単語であるが、DNSの世界では一般に「権威DNSサーバーが適切に設定（運用）されていない状態」を指す。RFC 1912の第2.8節からの引用を以下に示す。 “A lame delegations exists when a nameserver is delegated responsibility for providing nameservice for a zone (via NS records) but is not performing nameservice for that zone (usually because it is not set up as a primary or secondary for the one). ” （対訳） 不十分な委任は、あるネームサーバーが（NSレコードによって）あ

解説 現在、HTTPS接続時に作られる暗号化通信路の仕組みには、Transport Layer Security（TLS）という標準規格が用いられている（古くからあるSSLの方は、すでにその座をTLSに譲り、使わないことが推奨されている）。 TLSにはバージョン1.0／1.1／1.2があり、どれが実際に使われるかは、WebブラウザーとWebサーバーそれぞれがサポートしている規格の中から、ネゴシエーションによって決定される。 IEの場合、原因は不明だが、特定のWebページ（Webサイト）とTLS 1.2で接続したとき、ページ表示が完了するのにひどく時間がかかることがたまにある（全てのHTTPSのサイトで生じるわけではない）。 本TIPSでは、TLS 1.2に起因してWebページの表示が遅くなっているかどうか確認する方法と、どのように対処すべきか、何をすべきでないか、説明する。 設定方法 ●T

「好きな文字列を公開鍵として使いたい」「情報を暗号化したまま復号できる人を変更したい」――第5回では、暗号に対して求められるこのような利便性を達成するための技術である「IDベース暗号」「代理人再暗号化」と、その基礎となる「ペアリング」という関数について解説します。 連載目次 IDベース暗号とは？ まずは「IDベース暗号」の紹介から始めます。IDベース暗号とは、公開鍵に自分の好きな文字列（ID、Identifier）を選べる暗号のことです。従来の公開鍵暗号では、公開鍵はランダムに決められていました。例えば第3回で紹介した「楕円ElGamal暗号」では、乱数aと楕円曲線上の点Pに対して公開鍵はKA=aPです。KAを自分の好きな文字列にすることはできません。一方、IDベース暗号ではそれが可能です。より正確にいうと、以下のような仕組みをとります。 セットアップと鍵生成 鍵生成局Sが各ユーザーXのI

容量100PBを無償提供も、米グーグル、Google Cloud Storage Nearlineを一般提供開始：AWSからの移行を意識 米グーグルは2015年7月23日（米国時間）、クラウドアーカイブ／バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに伴い、最大100PBのデータ保存を無償とするキャンペーンを開始した。 米グーグルは2015年7月23日（米国時間）、クラウドアーカイブ／バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに合わせ、6カ月にわたり、同アーカイブサービスにおける最大100PBのデータ保存を無償とする販売促進策を発表した。 Google Cloud Storage Nearlineは、データのバックアップ／アーカイブを提供するサービス。