タグ

ブックマーク / atmarkit.itmedia.co.jp (356)

  • ユーザーはなぜ、自社のシステム開発に協力しないのか

    ユーザーはなぜ、自社のシステム開発に協力しないのか:業が忙しいから、お手伝いはできないよ(1/4 ページ) 複雑怪奇なIT“業界”を解説する連載、第1弾はIT業界にまん延する多重下請け構造と偽装請負について、第2弾は多重下請け構造が起こる仕組みについて、第3弾はシステム開発プロジェクトには複数の契約形態が混在することを説明した。 今回は「ユーザー」の謎を解説する。彼らはなぜ、いつも当事者感覚がないのだろうか――。 お任せ体質ユーザーの末路 私はこれまで、システム開発のトラブルに関する連載や研修などを行うために、さまざまなIT訴訟について調べてきました。 悪い意味で印象的だったのは、ある清涼飲料水メーカーの在庫管理システム構築に関するトラブルです。ユーザー企業の担当者たちの知識不足、そしていわゆる「お任せ体質」がベンダーの作業を遅らせ、ついにはプロジェクトを破綻させてしまった事件でした。

    ユーザーはなぜ、自社のシステム開発に協力しないのか
    JULY
    JULY 2019/08/26
    これ、意外にもっと根深い気が。そもそも、日本の多くの経営者は、論理的な思考が苦手。システム開発は否応なしに、論理的な思考が求められる。そのギャップを誰も埋められない。
  • パッケージソフトだか何だか知りませんが、現行システムと同じの作ってくださいよ

    連載目次 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する連載。今回は「要件の範囲がい違ったことにより生じた紛争」を解説する。 ユーザーが望む機能がシステム開発の要件から抜け落ちたがために発生する紛争は、連載でこれまでにも何度か取り上げてきた。 IT紛争の類型は種々さまざまであり、過去の判例が全てそのまま適用できるわけではないが、裁判所が「たとえ要件としてユーザーから明示されていなくても、その機能が契約の目的を果たす上で、当然に必要な事柄であるとベンダーが認識し得る状態にあれば、ベンダーにはその機能を作り込む義務(債務)がある」と判断した例が幾つもある。 要件定義書よりも契約の目的の方が重いとする考え方だ。 今回取り上げる判例も、「ユーザーが必要と考える機能が、ベンダーの作成した要件定義書から抜け落ちており、これを作り込まなかった」というものだ。これまでと少し異なるのは、パ

    パッケージソフトだか何だか知りませんが、現行システムと同じの作ってくださいよ
    JULY
    JULY 2019/05/08
    最後のページに書かれていることは、要件定義はシステム導入のコンサルタント作業、という話になる。じゃぁ、そこにユーザがお金を払うのか、また、真っ当なコンサルテーションができる会社があるのか、が問題。
  • ひかり電話を契約したらVPNが通信断! 原因は?

    企業ネットワークの店舗や中小規模のオフィスではNTTグループの「フレッツ 光ネクスト」をデータ通信用途だけに使っているケースが多い。電話とFAXはISDNを利用する。ISDNは基料金が月額3530円である。これをフレッツ 光ネクストの「ひかり電話」に移行すると500円になる。 さっさとISDNを止めてひかり電話にした方が得なのだ。筆者が運用しているネットワークでも、ひかり電話導入のための試験を2019年4月初旬に行った。 ひかり電話が登録されるとVPNが通信断 試験環境を使ってひかり電話の導入試験を行った。図1がひかり電話を入れる前の構成である。 CPE(Customer Premises Equipment)とキャリアゲートウェイの間に、IPv6によるIPsecトンネルを張り、IPv4で動くユーザーの拠点間を接続している。CPEは自らが使うIPv6アドレスを生成するために、フレッツ網内

    ひかり電話を契約したらVPNが通信断! 原因は?
    JULY
    JULY 2019/04/22
    自宅は最初からひかり電話だったから、フレッツ光ネクストの IPv6 は DHCPv6-PD と思い込んでいたけど、あれって、ひかり電話を使う場合で、無ければ RA だったんだぁ。
  • 「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘

    PHPユーザ会は2018年12月15日にPHP Conference 2018を開催した。稿では、EGセキュアソリューションズ 代表取締役 徳丸浩氏の講演「安全なWebアプリケーションの作り方2018」の内容を要約してお伝えする。 徳丸氏は、割賦(かっぷ)販売法の改正や、経済産業省が推奨する「クレジットカード情報の非保持化」を紹介。重大なセキュリティリスクを無視した場合、クレジットカード情報(以下、カード情報)を非保持化するシステムでも、カード情報を盗まれる可能性があると指摘する。 クレジットカード周りのセキュリティ対策の動向 徳丸氏は、カード情報に関連する法律の動向として、割賦販売法改正と経済産業省の実行計画を抜粋して紹介。割賦販売法とは、クレジットカードなどによる信用取引に関する法律だ。2018年6月1日に改正され、クレジットカードを取り扱う事業者に対して、カード情報を漏えいさせ

    「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘
    JULY
    JULY 2019/02/13
    リダイレクトで画面が変わると、というのはわからないでもないが、個人的には、3Dセキュアで使っているカード会社の画面が出る方が、信頼度が高く感じる。
  • 米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見:“履歴スニッフィング”攻撃の最新版 - @IT

    セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見:“履歴スニッフィング”攻撃の最新版 カリフォルニア大学サンディエゴ校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見した。ユーザーがあるWebサイトを訪問したかどうかを高速に判定することで、結果的に履歴が漏れてしまう。 米国カリフォルニア大学サンディエゴ校は2018年10月30日(米国時間)、同校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見したと発表した。発見した手法は、2000年代初頭に見つかった「履歴スニッフィング」という攻撃手法と同じカテゴリーに属する。 今回の発表に先立ち、2018年8月に情報セキュリティ関連のワークショップ「2018 USENIX Workshop on Offensive Technologies(

    米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見:“履歴スニッフィング”攻撃の最新版 - @IT
    JULY
    JULY 2018/11/07
    デジタル・フォレンジックとしては使えそうな気がするけど、マネタイズするには効率が悪そうな気がするのは、自分がミスリードしてる可能性が高いのかな。
  • Windows OSでテキストの行数を数える(wc -lコマンドを実現する)

    対象OS:Windows 7/Windows 8.1/Windows 10/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016 Windows OSのコマンドプロンプト上でテキストデータの処理を行う場合、テキストの行数を数えると、簡単に解決することがある。例えばデータを1行ずつまとめたCSVファイルなどでは、行数を数えるとデータの総数が分かる。 またdirなどの結果の行数を数えると(TIPS「Windowsのdirコマンドでファイル名の一覧を取得する」参照)、該当するファイルやフォルダの総数を調べることができる。 テキストファイルの行数を数えたい場合、UNIXやLinuxでは「wc(word count)」というコマンドを使う。wcに-lオプションを付けて「wc -l」と

    Windows OSでテキストの行数を数える(wc -lコマンドを実現する)
    JULY
    JULY 2018/09/20
    PowerShell で Get-Content を使う場合、中身を全部ロードしたオブジェクトを作ってしまうから、大きなファイルだと破綻する、はず。
  • 「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ

    フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱(ぜいじゃく)性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信(IPC)」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。

    「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ
    JULY
    JULY 2018/08/20
    これが「パスワードマネージャを使う事が危険」と受け取られることが怖い。マルウェアが動作している場合に対する考慮が不十分、という話。マルウェアが動作している時点で既に、という面もある。
  • マルウェア「Satori」による攻撃を国内初観測、従来のファイアウォール機能では対応が難しい?

    マルウェア「Satori」による攻撃を国内初観測、従来のファイアウォール機能では対応が難しい?:状況に応じて誘導先ホスト変更 サイバーセキュリティクラウドは、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃を日国内で観測した。攻撃元は世界中に分散し、誘導先ホストを変えることが特徴。 サイバーセキュリティクラウドは2018年6月25日、同社が独自にサイバー攻撃データを分析した「サイバー攻撃速報」を発表した。それによると、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃が日国内で観測された。 Satoriの攻撃目的は、マルウェアの新たな亜種を拡散させることで、リモートコマンド実行の脆弱(ぜいじゃく)性を悪用して、Satoriのダウンローダーに誘導し、マルウェアをダウンロードさせる。 サイバーセキュリティクラウドでは、2

    マルウェア「Satori」による攻撃を国内初観測、従来のファイアウォール機能では対応が難しい?
    JULY
    JULY 2018/06/29
    原理的になにか Firewall で対応が難しいのかと思ったら、誘導するダウンローダサイトの IP が変わる、というだけだった。
  • 「sudoコマンドの脆弱性はSELinuxが有効になっていたため」が誤解であるワケ

    連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を定期的に取り上げ、解説していく。2017年5月30日、Linuxsudoコマンドに全特権取得の脆弱性が報告された。連載初回は、こちらの詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性に関する情報を定期的に取り上げ、解説していきます。 2017年5月30日、Linuxsudoコマンドに全特権取得の脆弱性(CVE-2017-1000367/CVE-2017-1000368)が報告されました。連載初回は、こちらの詳しい説明と情報をまとめます。 脆弱性発見の経緯 2017年5月30日、Linuxsudoコマンドに全特権取得の脆弱性(CVE-2017-1000367)が報告さ

    「sudoコマンドの脆弱性はSELinuxが有効になっていたため」が誤解であるワケ
  • 進まないWindows Update、やっぱり止まっていなかった

    進まないWindows Update、やっぱり止まっていなかった:山市良のうぃんどうず日記(97)(1/2 ページ) Windows 10で大きく変わったWindows Update。Windows Updateがなかなか進まないという状況もしばしば。そのとき、裏側では何が行われているのか、Windows Updateの状況を別の視点から追跡してみました。 新規インストール直後の3つの更新プログラムに2時間半の怪 Windows 10で「Windows Update」は大きく変更され、同じ機能はWindows Server 2016にも搭載されました。新しいWindows Updateに関しては、連載でも何度か取り上げたように、さまざまな意見があると思います。筆者は「累積的な更新プログラム」への変更は、改善点と評価してきました。新規インストール後、最小限の更新プログラムのインストールで最

    進まないWindows Update、やっぱり止まっていなかった
  • WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか

    WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか:「セキュリティリサーチャー」って何をする人?(1/2 ページ) サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 「人材不足」「育成の必要性」などの課題と関連してひとまとめに語られがちな「セキュリティ人材」。しかし、セキュリティ対策の実装や運用だけでなく、内外との調整役、脆弱(ぜいじゃく)性検査とその結果に基づく設計、いざ問題が生じた際のレスポンス対応など、さまざまな役割が必要だ。業務内容は多岐にわたるため、1人で全てを担うのは難しい。セキュリティ担当

    WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか
    JULY
    JULY 2017/05/25
    自分も、攻撃の成立条件と、それによって何ができるのか、は確認するようにしている。大きなインシデントがあった後は、騒がれすぎの傾向があると思う。
  • アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね

    アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね:「訴えてやる!」の前に読む IT訴訟 徹底解説(39)(1/3 ページ) IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する連載。今回は「システム開発におけるドキュメントは、何のために必要か?」を解説する。 連載目次 アジャイル開発だからドキュメントはいらない? 最近はアジャイル開発が一般的になり、ユーザーと一緒になって話し合いながらモノづくりをしていく現場では、「ドキュメントは必要ない」と考える技術者も増えていると思う。実際、最近の開発では、「要件定義書」や「設計書」、あるいは「テスト仕様書」や、その「結果報告書」も作成せず、簡単なメモを残すだけで、後はプログラム体を納品すれば完了してしまうようなものもある。 この考え方は、ある意味合理的だ。システムを細かい機能に分けて、ユーザーヒアリングやワークシ

    アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね
    JULY
    JULY 2017/04/17
    契約がどうだったのか? が最大に疑問だが、「ユーザ側のシステム担当者は~」の下りは承服しかねる。こっちがいくら説明しても、その時はスルーして置いて、後から「これじゃ困る」と言い出すケースは多い。
  • 無謬(むびゅう)性から脱却してサイバーレジリエンス構成学に取り組む門林教授

    無謬(むびゅう)性から脱却してサイバーレジリエンス構成学に取り組む門林教授:「ソフトウェアにはバグがある」「人はミスをする」前提での被害軽減を(1/2 ページ) 奈良先端科学技術大学院大学の門林雄基教授は、2017年4月1日に「サイバーレジリエンス構成学研究室」を立ち上げる。同教授はその狙いを、ユーザーが自由にシステムを組み合わせて使う中で、「無謬(むびゅう)性を前提にせず、被害軽減技術や安全運転支援技術に取り組んでいく」と述べた。 セキュリティインシデントが起きるたびに、侵入を許した原因が調査され、対策が講じられ、意識の向上が呼び掛けられてきた。それにもかかわらず、サイバー攻撃による被害は後を絶たない。こうした現状を前に、被害の予防だけに力を注ぐのではなく、「被害は発生するものである」という前提に立ち、侵入の早期検知と被害軽減を図るアプローチに注目が集まりつつある。 奈良先端科学技術大学

    無謬(むびゅう)性から脱却してサイバーレジリエンス構成学に取り組む門林教授
    JULY
    JULY 2017/03/15
    この話は別段、ソフトウェアに関する話では無くて、日本社会全体がトラブルや不具合に対して抱いている感情だからなぁ。
  • トラブルシューター泣かせのイベントログメッセージ(その2)──「システム時刻の変更」に脆弱性あり?

    連載目次 システムログに何だかヤバそうなイベントを発見! 先日、Windows 10 Anniversary Update(バージョン1607)のWindows PowerShellのシェル環境でイベントログを調査していたところ、背筋が冷たくなるようなイベントをシステムログの中に発見しました。 それは、次のようなイベントです。そのとき使用していたのは、Windows PowerShellのバージョン1.0からある「Get-EventLog」コマンドレットです。フィルターをかけて検索してみると、膨大な数が見つかりました(画面1)。

    トラブルシューター泣かせのイベントログメッセージ(その2)──「システム時刻の変更」に脆弱性あり?
    JULY
    JULY 2017/03/01
    どうしてこうなった?
  • Shift+F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは?

    Shift+F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは?:その知識、ホントに正しい? Windowsにまつわる都市伝説(73)(1/2 ページ) Windowsセットアップの実行中に使える[Shift]+[F10]キーは、コマンドプロンプトを開いて作業できるという、古くからある裏技的な仕様です。Windows 10の機能更新では、この古くからの仕様が重大な脆弱性になることが専門家から指摘されました。 離席厳禁! アップグレード中のWindowsが無防備になる? Windows 10を「Current Branch(既定)」で利用している場合、年に複数回、機能更新プログラムが提供され、Windows Updateを通じて自動更新されます。この機能更新プログラムのインストール中に[Shift]+[F10]キーを押すことで「コマンドプロンプト」を開き

    Shift+F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは?
  • Web広告からのマルウエア感染「Malvertising」にどう対処すべきか

    Web広告からのマルウエア感染「Malvertising」にどう対処すべきか:川口洋のセキュリティ・プライベート・アイズ(57)(1/2 ページ) セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv

    Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
    JULY
    JULY 2015/12/21
    自分は Firefox + NoScript で、素性のよくわからないドメインはブロックしている。それでレイアウトがボロボロになる事もあるし、一般向けじゃないけど、ある程度は防げるかな、と。
  • 「ゾーンがlame」ってどういう意味?

    lame(“レイム”と発音)とは「不十分な」や「不完全な」という意味の単語であるが、DNSの世界では一般に「権威DNSサーバーが適切に設定(運用)されていない状態」を指す。RFC 1912の第2.8節からの引用を以下に示す。 “A lame delegations exists when a nameserver is delegated responsibility for providing nameservice for a zone (via NS records) but is not performing nameservice for that zone (usually because it is not set up as a primary or secondary for the one). ” (対訳) 不十分な委任は、あるネームサーバーが(NSレコードによって)あ

    「ゾーンがlame」ってどういう意味?
    JULY
    JULY 2015/10/28
    具体定期に lame になってしまう設定例が欲しかったなぁ。
  • Internet ExplorerでHTTPSのWebページ表示が非常に遅いときの対処方法(TLS 1.2起因編)

    解説 現在、HTTPS接続時に作られる暗号化通信路の仕組みには、Transport Layer Security(TLS)という標準規格が用いられている(古くからあるSSLの方は、すでにその座をTLSに譲り、使わないことが推奨されている)。 TLSにはバージョン1.0/1.1/1.2があり、どれが実際に使われるかは、WebブラウザーとWebサーバーそれぞれがサポートしている規格の中から、ネゴシエーションによって決定される。 IEの場合、原因は不明だが、特定のWebページ(Webサイト)とTLS 1.2で接続したとき、ページ表示が完了するのにひどく時間がかかることがたまにある(全てのHTTPSのサイトで生じるわけではない)。 TIPSでは、TLS 1.2に起因してWebページの表示が遅くなっているかどうか確認する方法と、どのように対処すべきか、何をすべきでないか、説明する。 設定方法 ●T

    Internet ExplorerでHTTPSのWebページ表示が非常に遅いときの対処方法(TLS 1.2起因編)
    JULY
    JULY 2015/09/09
    「TLS 1.2を無効にして運用しても(現実的にはほぼ)問題ない。」それを言うなら「今は」と付けないと。Web の記事って一人歩きして 10 年後にも参照されて信じこむ人が必ずいる。
  • メールアドレスを公開鍵にする――「ペアリング」とその応用例

    「好きな文字列を公開鍵として使いたい」「情報を暗号化したまま復号できる人を変更したい」――第5回では、暗号に対して求められるこのような利便性を達成するための技術である「IDベース暗号」「代理人再暗号化」と、その基礎となる「ペアリング」という関数について解説します。 連載目次 IDベース暗号とは? まずは「IDベース暗号」の紹介から始めます。IDベース暗号とは、公開鍵に自分の好きな文字列(ID、Identifier)を選べる暗号のことです。従来の公開鍵暗号では、公開鍵はランダムに決められていました。例えば第3回で紹介した「楕円ElGamal暗号」では、乱数aと楕円曲線上の点Pに対して公開鍵はKA=aPです。KAを自分の好きな文字列にすることはできません。一方、IDベース暗号ではそれが可能です。より正確にいうと、以下のような仕組みをとります。 セットアップと鍵生成 鍵生成局Sが各ユーザーXのI

    メールアドレスを公開鍵にする――「ペアリング」とその応用例
  • 容量100PBを無償提供も、米グーグル、Google Cloud Storage Nearlineを一般提供開始

    容量100PBを無償提供も、米グーグルGoogle Cloud Storage Nearlineを一般提供開始:AWSからの移行を意識 米グーグルは2015年7月23日(米国時間)、クラウドアーカイブ/バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに伴い、最大100PBのデータ保存を無償とするキャンペーンを開始した。 米グーグルは2015年7月23日(米国時間)、クラウドアーカイブ/バックアップサービスである「Google Cloud Storage Nearline」の一般提供を開始した。これに合わせ、6カ月にわたり、同アーカイブサービスにおける最大100PBのデータ保存を無償とする販売促進策を発表した。 Google Cloud Storage Nearlineは、データのバックアップ/アーカイブを提供するサービス。

    容量100PBを無償提供も、米グーグル、Google Cloud Storage Nearlineを一般提供開始
    JULY
    JULY 2015/07/24
    この記事だと、AWS Glacier の復元レートのような落とし穴が無くて良さそう。