オープンソースの仮想ネットワークソフト、「OpenVNet」公開：最新のOpenFlow 1.3に対応 あくしゅが運営するWakame Software Foundation（WSF）は、OpenFlow 1.3を採用した仮想ネットワーク構築ソフトウェア「OpenVNet」をオープンソースとして公開した。 あくしゅが運営するWakame Software Foundation（WSF）は2013年10月28日、OpenFlow 1.3を採用した仮想ネットワーク構築ソフトウェア「OpenVNet」を公開した。LGPLv3に基いて公開されており、誰でも無償で利用できる。 OpenVNetは、オーバーレイ型の仮想ネットワークを構築するためのオープンソースソフトウェア。仮想スイッチ／仮想ルータの役割を果たすほか、外部の物理ネットワークと接続するゲートウェイ（VNetEdge）としても動作する。 特

NICTが脆弱なSSLサーバの検出システム「XPIA」を開発、分布を特定：「共通の秘密鍵」を生み出さない、適切な乱数生成モジュールの利用を 情報通信研究機構（NICT）は2013年10月22日、Secure Socket Layer（SSL）の脆弱性を検証するシステム「XPIA」を開発したことを明らかにした。 情報通信研究機構（NICT）は2013年10月22日、Secure Socket Layer（SSL）の脆弱性を検証するシステム「X.509 certificate Public-key Investigation and Analysis system（XPIA）」を開発したことを明らかにした。 XPIAは、SSLサーバが暗号化通信に利用しているX.509電子証明書からRSA公開鍵の情報を抽出し、脆弱性が存在しないかどうかを検証するシステムだ。XPIAでは、共通の秘密鍵を有しており

いわゆる「水飲み場攻撃」に管理者はどう対応すべきか：氷山の一角？ 1つ1つの手口は既知でも、周到に組み合わせて準備 マイクロソフトは10月9日、Internet Explorer（IE）に存在したゼロデイ脆弱性の修正（MS13-080）を公開した。ラックは、この脆弱性を狙った攻撃は、より巧妙化した標的型攻撃だったとし、注意を呼び掛けている。 日本マイクロソフトは10月9日、月例セキュリティアップデートを公開した。この中には、Internet Explorer（IE）に存在したゼロデイ脆弱性の修正（MS13-080）も含まれている。パッチがリリースされる前に、この脆弱性を突いたゼロデイ攻撃が確認されていたこともあり、「ただちにアップデートすることを推奨する」（日本マイクロソフト）としている。 同日ラックは、「MS13-080を狙って発生した攻撃は、より巧妙化した標的型攻撃だった」とし、注意を

「さあさあ、今日の3時休みは、お中元にもらったカルピスをみんなで作って飲みましょうよ！」「そりゃいいねっ！」

LPI-Japan、「Linuxセキュリティ標準教科書」を無償公開：iptablesやACL、OpenSSHなどを解説 LPI-Japanは2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。 エルピーアイジャパン（LPI-Japan）は2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。PDF版とEPUB版が無償でダウンロードできる。 LPI-Japanは、オープンソースソフトウェア（OSS）／Linuxの技術者育成と認定試験の普及に取り組んでいる特定非営利活動法人だ。過去には、Linuxについて基礎から学ぶことのできる学習教材「Linux標準教科書」や「Linuxサーバー構築標準教科書

OpenStackプロジェクトの歴史、いまさら聞けないOpenStackコンポーネント：たまおきのOpenStackウォッチ（2013年9月版）（1/3 ページ） 本連載では、今後の実務利用が期待されるOpenStack界隈の技術動向を中心に紹介していきます。1回目は、Red Hat Enterprise Linux OpenStack Platformに関する情報源や、OpenStackプロジェクト全体の振り返り、各コンポーネントの整理をしていきます。 連載バックナンバー 日本仮想化技術のたまおきです。 日本仮想化技術は仮想化技術に特化した技術者集団で、最近ではOpenStackなどのオープンソースのクラウド基盤に力を入れております。今回運良く執筆の機会をいただきましたので、OpenStackの最新情報やクラウド全般についての情報をお伝えしていきます。 Red Hat Enterpris

膨大なログの中から不審な通信を見つけ出したり、マルウェアの挙動を解析するならば専門家の長年の経験やカンに勝るものはない、という印象が強い。しかし、次々と亜種のマルウェアを生み出してくる攻撃者の「物量作戦」の前には、いくら優秀な専門家でも後手に回りがちだ。ならば「機械学習」を活用して異常を速やかに検出し、次の亜種を予想して、先回りして攻撃を防げないだろうか――そんなアプローチが始まろうとしている。 機械学習は、コンピュータの黎明（れいめい）期から研究が進んできた分野だ。コンピュータプログラムにデータを与え、その中に潜んでいる規則性を機械学習のアルゴリズムを使って抽出し、モデル化することで、あたかも人間と同じように判断を下せるようにする。かつては、膨大な計算量が必要なことがネックとなっていたが、近年のコンピューティング能力の向上に伴い、画像処理やユーザーの行動分析、それに基づくレコメンデーショ

WebページをRetina対応させるテクニック～基礎知識編：jQuery×HTML5×CSS3を真面目に勉強（4）（1/2 ページ） iPhoneのRetinaディスプレイは、Webページの制作フローにも大きな変化をもたらした。WebページをRetina対応させるにはどうすればいいのだろうか。 はじめに 2010年6月に登場したアップルのiPhone 4には「Retinaディスプレイ」と呼ばれる、それまでの常識を覆した高精細なディスプレイが搭載されました。それ以降、スマートフォンやタブレットといったモバイル端末のディスプレイはより解像度の高いものへと進化していき、2013年の初めにはサムスン電子のGALAXY S4やソニーモバイルのXperia Zなど、フルHD画質対応（1920×1080ピクセル）のディスプレイを搭載したスマートフォンが登場するまでになりました。 高精細ディスプレイの登場

富士通は2013年8月20日、視覚障がい者や色覚障がい者のアクセシビリティを高めるための診断ソフトウェアツール群「富士通アクセシビリティ・アシスタンス」の無償提供を終了した（参照記事）。このニュースはSNSでの反響も大きく、ユーザーから「なぜこのような素晴らしいサービスが終了してしまうのか」との声が多く聞かれた。 同様のツールは他にもあったが、富士通アクセシビリティ・アシスタンスが愛用されるのにはわけがあった。富士通アクセシビリティ・アシスタンスは、3つのツール群「WebInspector（ウェブインスペクター）」「ColorSelector（カラーセレクター）」「ColorDoctor（カラードクター）」から構成されており、それぞれ以下の特徴が挙げられる。 WebInspector ローカルフォルダを指定した場合、サブフォルダのHTMLまで一括でチェックでき、結果をCSVで保存できる C

第1回　モバイル全盛時代のメール環境にGmailが適しているワケ：マルチ・デバイス時代のGmail活用術（1/2 ページ） スマートフォンやタブレット、そしてPCという「マルチ・デバイス」を利用していると、メール環境が複雑化して使い勝手が悪くなったり管理の手間も増えがちだ。そこでGmailを活用してメール環境をシンプル化する方法を解説していく。 連載目次 ここ数年、スマートフォンやタブレットなどのモバイル・デバイスの隆盛には目を見張るものがある。そういった比較的廉価なモバイル・デバイスを複数台持ち歩き、公衆無線LANやLTE、WiMAXといった高速な無線通信網を利用して無償のクラウド・サービスに接続し、いつでもどこでも仕事をこなす。社内でもBYOD（Bring Your Own Device）よろしく個人所有のモバイル・デバイスを持ち込んで仕事に活用する。そういった新しい仕事のスタイルが次

「リスト型攻撃」などのセキュリティ事故が起こったとき、その責任を問われるべきなのはサービス提供側だけなのか。利用者側に求められることはないのか？ 前回「大切なパスワードをつなぐ ひみつマネージャ」では、4月から断続的に発生している「リスト型攻撃」の被害増大を受けて、「リスト型攻撃」とはどういったものかを実際の手法を交えて紹介し、複数のサービスで同一のパスワードを使い回すことの危険性とその対策について解説させていただいた。あれから3カ月ほど経過したわけだが、まだ被害は後を絶たない。 実は筆者には、前回の記事を書きながら漠然と考えていたこと（その片りんは記事中にもあったのだが）があった。それから3カ月たったいま、それが現実のものとなりつつある気がしている。 今回は、皆さんにも一緒に考えていただくために、そのぼんやりとした考えを整理した結果を書き記したい。 不正ログインによる被害の責任はどこにあ

これら3つの項目は、攻撃が回を重ねていく過程の中で複雑に変化していきます。今回は、過去と現在に国内で猛威を振るったDBD攻撃の事例を取り上げ、その変化について解説します。 「Gumblar攻撃」とは何だったのか 2013年現在も、日本国内では、正規サイトが改ざんされ、リダイレクトするよう書き換えられる被害について、「『Gumblar（ガンブラー）』攻撃の被害を受けた」と称する方がいらっしゃいます。その由来は、今から4年前の2009年の事件にさかのぼります。 2009年3月初旬を境に、類似性の高い、正規Webサイトに対する改ざん攻撃と改ざんサイトの閲覧者による不正プログラム感染被害報告が相次ぎました。これが後にGumblar攻撃と呼ばれる、犯罪者が仕掛けた一連の作戦行動「攻撃キャンペーン（Attack Campaign）」でした。 犯罪者たちは国内外の脆弱なサイトに対して無差別に改ざんを行い

NTT Comのサーバに不正アクセス、Webアプリサーバの脆弱性を突かれた可能性：メールアドレスとハッシュ化されたパスワード、約400万件が流出の恐れ NTTコミュニケーションズ（NTT Com）は2013年7月24日、外部からの不正アクセスを受けたことを明らかにした。最大で約400万件のメールアドレスとハッシュ化されたパスワードが外部に流出した可能性がある。 NTTコミュニケーションズ（NTT Com）は2013年7月24日、同社のWebアプリケーションサーバが外部からの不正アクセスを受けたことを明らかにした。最大で約400万件のメールアドレスとハッシュ化されたパスワードが外部に流出した可能性があるという。 NTT Comが不正アクセスに気付いたのは7月23日。OCNメールやOCNマイページなどへのログインに利用される「OCN ID」を管理するサーバに、5つの不審なプログラムファイルが設

LPI-Japan、2014年1月を目標に「HTML5認定試験」開始へ：試験範囲はCSS3やレスポンシブWebデザイン、JavaScript エルピーアイジャパン（LPI-Japan）は7月8日、「HTML5認定試験（HTML5 Professional Certification）」の開発に着手したことを明らかにした。2014年1月からの配信開始を目標にしている。 エルピーアイジャパン（LPI-Japan）は7月8日、「HTML5認定試験（HTML5 Professional Certification）」の開発に着手したことを明らかにした。2014年1月からの配信開始を目標にしている。 HTML5認定試験は、次世代のWeb標準として注目を集めるHTML5を扱うWebプロフェッショナルの知見や技術力を、中立的な立場で認定するもの。HTML5に関する基本的な知識や静的なコンテンツを制作する

最近さまざまなイベントやブログエントリで見かける「DevOps」。この言葉をひもとき、なぜ「Dev」と「Ops」が衝突するのか、その解決に必要な要素とは何かを分かりやすく解説します。 DevOpsとは 2009年にオライリーが開催した「Velocity 2009」というイベントにおいて、Flickrのエンジニアが、“開発と運用が協力することで、1日に10回以上のペースでリリースが可能になること”を紹介しました。いまさまざまなシーンで見かける「DevOps」という言葉は、このプレゼンの中で登場したものです。 DevOpsとは、開発（Development）と運用（Operations）が協力し、ビジネス要求に対して、より柔軟に、スピーディに対応できるシステムを作り上げるためのプラクティスです。多くの人々により議論は続けられていますが、ITILとは異なり、現時点においては、DevOpsに厳密な

連載目次 Windowsランタイム・コンポーネントとは Windowsストア・アプリは、JavaScript、C#など、さまざまな言語を用いて開発できる。 しかし、Windowsストア・アプリの実行基盤であるWindowsランタイム（WinRT）は、.NET Frameworkのような共通言語基盤ではない。 具体的には、Windowsストア・アプリでは、プログラミング言語ごとに利用できるインフラストラクチャとバイナリ形式が異なる（次の図を参照）。このため、C++/CX（C++ component extensions。後述）で開発したネイティブ・コードのDLLをJavaScriptやC#のコードから呼び出したり、C#で開発したMSILのDLLをC++/CXのコードから呼び出したりはできない。 インフラストラクチャ間の相互運用性の欠如は、Windowsストア・アプリの開発に対する制約となる。

将棋ソフトがプロ棋士に勝利する時代がきてしまった。しかもコンピュータの性能はまだまだ上がる。人間の尊厳を守るには……

NTT Com、「フレッツ 光ネクスト」でIPv6 PPPoE接続を標準提供：フォールバック問題解決の一助に？ NTTコミュニケーションズは4月26日から、OCNの「フレッツ 光ネクスト」対応プランにおいて、IPv6インターネット接続サービスを標準で提供することを発表した。 NTTコミュニケーションズは4月26日から、OCNの「フレッツ 光ネクスト」対応プランにおいて、IPv6インターネット接続サービスを標準で提供することを発表した。別途対応ルータを用意する必要があるものの、これまでオプションとして提供してきたIPv6 PPPoE接続を標準で提供することで、いわゆる「IPv6 フォールバック問題」の解決の一助になることが期待される。 対象となるサービスは、NTT東日本／西日本の「フレッツ 光ネクスト」をアクセス回線として利用するOCN 光 with フレッツ、OCN 光 「フレッツ」。企業

「IT業界のツチノコ伝説」として、35歳定年説はこれからも受け継がれていくことでしょう。次回は「栄養ドリンク」です。 →他の用語解説も読んでみる ■「35歳定年説」：おすすめ記事・超まとめ 50歳になっても、エンジニアでいたい！ 所属していた会社は、「30代中盤までには技術営業になる」ことが通例だった。「50歳になってもこの仕事を続けたい。それだけは譲れなかった」というあるエンジニアの選択は？ 「プログラマ35歳定年説」を思い起こさせるIPAの調査結果 40歳代を境に、IT関連業務からそれ以外の業務に転職する人が50％を超えるなど、「プログラマ35歳定年説」を思い起こさせるデータも（2008年の調査結果）

2月1日、第15回「Identity Conference（Idcon）」が開催された。東京・六本木に用意された広い会場は、金曜日の夜にもかかわらず「アイデンティティ愛好家」で埋め尽くされる盛況となった。 2月1日、第15回「Identity Conference（Idcon）」が開催された。Idconはデジタル・アイデンティティに興味を持つ人々による勉強会で、OAuthやOpenID Connectといったアイデンティティ関連技術を中心に、それを取り巻くさまざなな情勢について情報共有し、議論する場だ。 東京・六本木に用意された広い会場は、金曜日の夜にもかかわらず「アイデンティティ愛好家」で埋め尽くされる盛況となった。