富士通とNECは大企業病ではない
富士通とNECの社長がそれぞれ、日経 xTECH上で自社は大企業病だと反省の弁を述べていたが、2本のインタビュー記事を読んで違和感を覚えた。 読者の中でこのインタビュー記事を読み、経営トップが「期待にほど遠い結果」あるいは「期待される分野に人を集めて投資もしてきた。ところがほとんど伸びなかった」と素直に語ってよいのか、などと思われた方がいたかもしれない。 筆者がひっかかったのはそこではない。富士通とNECは果たして大企業病なのか。そういう疑問が浮かんだ。 いや、何か勘違いしているのだろうか。まず言葉の定義を確認しようと広辞苑を引いたが「大企業病」は載っていなかった。インターネットを検索すると大企業病という言葉を作ったのはオムロンの創業者、立石一真氏であると出ていた。 「大企業病」という言葉を使った創業者 オムロンのWebサイトに掲載されている「創業者物語 ~立石一真、挑戦の90年~」によれ
世田谷区のシステム障害が復旧、原因は負荷分散装置の処理異常
8月4日午前から続いていた世田谷区役所のシステム障害が復旧した(関連記事:世田谷区役所でシステム障害、現時点で復旧のメド立たず)。5日の開庁より、住民登録など全ての窓口業務を再開している。障害の箇所は基幹系システムの前段に設置していた負荷分散装置で、再起動することで復旧したという。 世田谷区は、4日午後10時頃に本格的な障害調査・復旧作業を開始。その結果、基幹系システムの前段に配置する負荷分散装置が、電文を正常に処理できておらず、高負荷になっていることが判明した。同装置を再起動して、5日午前0時から午前1時にかけて負荷テストを試みたところ、正常に動作することを確認できた。午前7時にも再度、負荷テストを実施して異常がないことを確認できたため、午前8時頃に通常の窓口業務を再開することを決めた。 負荷分散装置は本番系と待機系で二重化していた。本番系で正常な処理ができなくなったため、待機系に切り替
システムが1週間停止した福井県9市町、発端は仮想化ソフト更新 | 日経 xTECH(クロステック)
福井県9市町の行政システムが2018年7月22日、障害で使用できなくなった。この結果、証明書発行などの住民向けサービスが停止や縮小に追い込まれた。発端は、ITベンダーがネットワーク仮想化ソフトを最新版に更新したこと。更新後に障害が発生し、システムと庁舎との通信が途絶えた。更新の切り戻しにも失敗。完全復旧に8日間を費やした。 「庁内のシステムが使えない」。 猛暑が続いていた2018年7月22日の日曜日、福井県坂井市役所の休日担当職員が朝にPCを立ち上げ、異変に気づいた。坂井市は県北部にあり、東尋坊や丸岡城などの観光資源を抱える県内第2の都市である。 市役所の情報システム部門に当たる企画情報課の担当者が、報告を受けて急きょ出勤。事態の深刻さを把握した。住民基本台帳(住基)、税務、社会保障、水道など住民サービス用のシステムに加え、庁内向けの財務会計、人事給与、文書管理、庶務、グループウエアなどの
札幌市のシステム障害が復旧、原因はデータベースソフトの誤作動
日経クロステック登録会員になると… ・新着が分かるメールマガジンが届く ・キーワード登録、連載フォローが便利 さらに、有料会員に申し込むとすべての記事が読み放題に! 春割キャンペーン実施中! >>詳しくは
スーツにリュックは非常識、合成皮革の靴もダメ | 日経 xTECH(クロステック)
これまでは、周囲から正当な評価を得るためのスーツの選び方について解説してきました。まずスーツはサイズにこだわって選びます。スーツの色は自分が相手にどのような印象を与えたいかによって、紺色か灰色のどちらかを選びます。黒を選ぶのは非常識なので、選んではいけません。と、前回まではここまで解説しました。 今回はスーツを離れて、バッグと靴の選び方を取り上げます。バッグや靴などのビジネスアイテムでも、あなたが常識だと思っていることが実は非常識といったことがあるでしょう。せっかく自らの印象を高めるスーツを選んだとしても、ほかのアイテムの選び方に失敗すると印象を損なってしまうかも知れません。 ビジネス現場のリュックにメリットなし まずバッグから解説していきます。あなたは通勤にどのようなバッグを使っていますか。SEはノートPCやコード類、資料などを持ち歩くことが多く、荷物が重くなりがちです。そこでリュックサ
ついに破られた「SHA-1」、Googleが衝突攻撃に成功
米Googleは現地時間2017年2月23日、ハッシュ関数「SHA-1」の衝突耐性を突く実用的な攻撃手段を初めて成功させたと発表した。同社は「SHA-1がもはや安全と言い切れないことが確実になった」とし、より強力な暗号化技術に移行するよう呼びかけている。 SHA-1を巡っては、2005年に攻撃手法が発見され、安全性に疑問が生じて以降、公的機関や主要ブラウザーが段階的に廃止を進めている。Googleも2014年に、「Chrome」ブラウザーにおいてSHA-1を使った証明書のサポートを終了する方針を発表している。 SHA-1衝突の攻撃はMarc Stevens氏の論文などで理論上の方法が報告されていたが、実際に衝突耐性を突破したのは今回が初めてという。Googleはオランダの国立情報数学研究所と2年にわたって共同研究を行っていた。 Googleによれば、攻撃者がSHA-1衝突を悪用すれば、不正
またもやLINEをかたるフィッシング出現、「安全認証」にだまされるな
フィッシング詐欺対策の業界団体であるフィッシング対策協議会は2016年12月21日、LINEをかたるフィッシング詐欺が出回っているとして注意を呼びかけた。偽のメールで偽サイトに誘導し、IDやパスワードなどを盗もうとする。同様のフィッシング詐欺は10月末および11月末にも確認されている。 フィッシング詐欺とは、有名な企業や組織をかたった偽メールや偽サイトでユーザーをだまし、個人情報などを盗むネット詐欺のこと。典型的な手口は、偽サイトのURLを記載した偽メールを不特定多数に送信。実在するWebサイトのログインページなどに見せかけた偽サイトに誘導して、パスワードなどを入力させる。 今回確認されたのは、LINEをかたるフィッシング詐欺。偽メールには「お客様のLINEアカウントに異常ログインされたことがありました」や「こちらのURLをクリックしてください。安全認証」といった文章とともに、偽サイトのU
「防衛省へのサイバー攻撃」報道、有識者はこう見る
大手新聞社や通信社は2016年11月28日、防衛省と自衛隊の情報基盤がサイバー攻撃を受け、陸上自衛隊の内部情報が流出した可能性があると報じた。防衛省は「報道にあったような事実はない」(大臣官房広報課)と否定するが、「防衛医科大のPCから学術情報ネットワーク経由で侵入が試みられ、情報の流出は確認されていない」といった報道も出ている(関連記事:サイバー攻撃で陸自の内部情報が流出か、防衛省は全面否定)。今回の一連の報道を受け、ラックでCTO(最高技術責任者)兼CISO(最高情報セキュリティ責任者)を務める西本逸郎・取締役専務執行役員に見解を聞いた。 これまでの報道を総合すると、防衛省のネットワークと接続している防衛医科大のPCが最初に不正アクセスを受けた可能性が高い。同PCが「標的型攻撃を受けた、あるいは標的型攻撃を受けて既に遠隔操作されているPCから攻撃を受けて遠隔操作されるようになったと推測
SSLはもう古い TLSがおもしろい
暗号と数学はどういう関係があるの? 公開鍵暗号では、公開鍵と秘密鍵のペアを作成して使用する。ペアの片方で暗号化したデータは、対となる鍵でしか復号できない。公開鍵と秘密鍵の数学的な関係はわかっているのに、公開鍵からは秘密鍵を求めらない──。このような巧みさを実現できるのは、非常に都合のよい一方向性を備えた数学理論(数学的問題)を基にし… 2016.08.26 SSLを使えなくしたいけど、どうすればいいの? 主要なWebブラウザーの新しいバージョンでは、SSLを初期設定で無効にしている。しかしながら、古いバージョンのWebブラウザーを使い続けていると、SSLが有効になっている可能性がある。また、新しいバージョンのWebブラウザーでも、SSLが無効か念のために確認したいケースはあるだろう。 2016.08.25 TLSはWeb専用なの? TLSやSSLは、HTTPと組み合わせて使われるケースが多
できる人に任せ過ぎ? 堺市68万個人情報流出事件、最大の問題
筆者は堺市で発覚した個人情報流出事件について継続的に取材している(写真1)。2015年12月までに、全有権者約68万人分の住所・氏名・生年月日などがインターネット上に流出したことが判明した。国内の地方自治体で起きた同種の事件では、京都府宇治市で約22万人分の住民情報が漏洩した事件などを上回り、過去最大級だとみられる。 筆者が最初にこの事件について知ったのは2015年9月上旬だった。堺市の職員が、外郭団体の短時間勤務職員約1000人分の個人情報をインターネット上に流出させていたことが判明した(関連記事:堺市職員がレンタルサーバーで個人情報1000人分“公開”、開発スキルが裏目に)。 筆者がこの事件に関心を持ったのは、情報流出の規模が大きいからというだけではない。当該職員が高度な開発スキルを持ち、データ流出の原因になったシステムを自作していたという点が引っ掛かったからだ。これについては後で詳述
改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設
参議院は2016年4月15日の本会議において「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」を賛成多数で可決した。既に衆議院を通過しており、法律は成立した。同法案は2月2日に国会に提出されていた(関連記事:サイバー法改正案が閣議決定、「情報処理安全確保支援士」新設へ)。 改正法成立により、政府機関や独立行政法人・特殊法人のセキュリティ監視に関する内閣サイバーセキュリティセンター(NISC)の機能が強化される。監視対象拡大による業務量増大に備えるため、一部事務を情報処理推進機構(IPA)に委託する(関連記事:年金機構事件が残した“宿題”、改正サイバー法は政府機関を守れるのか?)。 加えて、サイバーセキュリティに関する助言を行う国家資格「情報処理安全確保支援士」が新設される。現行の「情報処理技術者試験」とは別格の資格で、合格者の登録制や定期的な講習などが実施さ
ANAシステム障害の原因判明、シスコ製スイッチの「世界初のバグ」でDBサーバーがダウン
同期処理が失敗した原因は、4台をつなぐスイッチの不具合。具体的には、スイッチが故障状態であるにもかからず、故障を知らせる「故障シグナル」を発信しなかった。国内線システムは故障シグナルを検知するとスイッチを予備機に切り替えるが、今回はその機能そのものを作動できなかった。 スイッチは完全に停止したわけではなく、「不安定ながらも動作していたようだ」(同)。そのため、DBサーバー間の同期は順次失敗し、停止していったと見られる。 ANA広報によると、スイッチは米シスコシステムズ製「Catalyst 4948E」という。「2010年6月の発売開始以降、世界で4万3000台、うち日本で8700台を販売しているが、今回の不具合は初めての事象と聞いている」(ANA広報)。なぜ「故障シグナル」が発信できなかったかは分かっていない。 1台での縮退運転を決断 4台の完全停止から37分後、ANAは1台のDBサーバー
やばいぞセキュリティオペレーション[2]、演習で主体性を身に付ける
日本のセキュリティレベルの現状に警鐘を鳴らす連載の2回目である。新たなサイバー攻撃に対抗するには「次世代のセキュリティオペレーション」を支える5軸である「収集」「防御」「監視」「回復」「演習」を包括的に実施する必要がある(図)。第1回では収集と防御を説明した。今回は監視、回復、演習について解説する。 「監視」フェーズ、時間とコストの予測に基づいた決定を 監視とは一般的に、企業や団体を恒常的に襲うサイバー攻撃をリアルタイムで監視することを指す。「何が今起こっていて」「何が今やばいのか」を知ることが目的だ。作業主体は「自社」「アウトソース」の二つがある。以下、「何を」「なぜ」「どのように」監視すべきかを解説しつつ、作業主体を検討するベースとなる「監視の本質」にも触れていく。 「何を」監視すべきか 一義的に監視すべきは「ソフトやハードが出力するログ」である。ただログは膨大であり、漫然と見ていても
![やばいぞセキュリティオペレーション[2]、演習で主体性を身に付ける](https://cdn-ak-scissors.b.st-hatena.com/image/square/2e696874b396d3371b00eaf530a6093e038f6545/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F090800214%2F090800002%2Fph.jpg%3F20220512)
やばいぞセキュリティオペレーション[1]、監視だけでは防げない
今回から5回にわたって日本の企業や団体におけるサイバーセキュリティの現状のまずさと、そこからの脱却方法を解説する。一言でいえば日本のサイバーセキュリティのレベルは底上げが必要だ。対策が行き届いていない組織も多く、売り手の無責任さも目に余る。 筆者は米シマンテックの日本法人で顧客のセキュリティ状態の監視サービスを統括しているが、今回は会社を離れて一人のセキュリティ技術者として危機感を持っていることや疑問に思っていること、会社の垣根を越えたセキュリティ技術者同士で「これはおかしい」と話題にしていることなどをベースにしたい。今ほどサイバーセキュリティが注目されている時はない。この特集が正しい危機感と正しい対策を講じていただくきっかけになれば嬉しい。 見渡せば「時代遅れ」ばかり 第1回と第2回では、「セキュリティオペレーション」を取り上げる。セキュリティオペレーションとは、組織のセキュリティを適切
![やばいぞセキュリティオペレーション[1]、監視だけでは防げない](https://cdn-ak-scissors.b.st-hatena.com/image/square/ff956d068e3334c8901dcfb0202be00b90bfc8a0/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F090800214%2F090800001%2Fph.jpg%3F20220512)
堺市職員がレンタルサーバーで個人情報1000人分“公開”、開発スキルが裏目に
堺市は2015年9月7日、同市の外郭団体の職員約1000人分の個人情報がインターネット上で公開状態になり、外部に流出していたと発表した。会計室の課長補佐級職員が個人契約していたレンタルサーバーに保存したデータが流出したという。 市の説明によれば、当該職員はシステム開発のスキルを持ち、市の外郭団体から依頼を受けて短時間勤務職員の出退勤システムを作成していた。この外郭団体から提供を受け、レンタルサーバーに保存していた約1000人分の個人情報が4月から6月までの間公開状態になっており、外部に流出した。 流出データには短時間勤務職員約1000人分の氏名、性別、生年月日、住所、電話番号と、給与実績データなどが含まれる。当該職員が業務上保有していた別の外郭団体のアルバイト応募者11人分の個人情報も流出した。 「選挙管理支援システム」が発覚の発端 こうした事態が発覚する発端になったのが、6月24日に堺市
政府が2015年度内に疑似サイバー攻撃テスト実施、省庁ごとに最低1システムが対象
内閣サイバーセキュリティセンター(NISC)が、2015年度内に全省庁のシステムを対象とした大規模な疑似攻撃テスト(ペネトレーションテスト)を実施することが2015年5月27日、明らかになった(図)。5月25日に開かれたサイバーセキュリティ戦略本部第2回会合で方針が示された(関連記事:政府が新たな「サイバーセキュリティ戦略」案を公表、6月下旬決定へ)。 政府が全省庁を対象にペネトレーションテストを実施するのは今回が初めて。脆弱性を早期に発見し、情報漏えいやシステム障害などの発生を未然に防ぐ狙いがある。 NISCによれば、ペネトレーションテストは全省庁の情報システムを対象に2015年度内に順次実施する。結果は2016年度にサイバーセキュリティ戦略本部に報告する。1省庁につき最低1システムを原則として、省庁側と調整しながら選定する。Webサイトのような一般向けのシステムになることもあれば、省庁
LINEアプリに深刻なセキュリティ脆弱性、トーク履歴などを抜き取られる恐れ
LINEは2015年3月16日、Android/iOS版のLINEアプリにセキュリティ上の脆弱性があり、LINE内のトーク履歴や友だち一覧などのデータを取得・改ざんされる可能性があったと発表した(画面)。 iOS版アプリは3月4日、Android版は3月10日のアップデートで脆弱性を修正したという。最新版以外のLINEアプリは脆弱性の影響を受ける可能性があるため、同社は最新版に更新して使うよう呼びかけている。 このセキュリティ脆弱性は、悪意の第三者が「中間者攻撃」を目的に無線LAN(Wi-Fi)アクセスポイントを設置した場合などに、被害につながる可能性がある。利用者がこのアクセスポイントを通じて、脆弱性があるLINEアプリを利用すると、アプリ内のトーク履歴などのデータを取得・改ざんされる恐れがある。 サイバーセキュリティ関連ベンチャー企業のスプラウト(東京・渋谷)は3月16日、LINEの脆
発注者として最低最悪、公共機関のシステムをどうするのか
システム開発において発注者責任の自覚やその能力が無く、丸投げしかできないにもかかわらず、お客様は神様であることを信じて疑わず、買い叩くことだけに血道を上げる。しかも開発プロジェクトの最中に要件はどんどん膨らむが、追加料金は出さないし、納期厳守も要求。当然プロジェクトは破綻を来すが、その責任の全てをITベンダーに押し付ける。 こんな危ない客がいたら、ITベンダーはその開発案件を取りに行くだろうか。普通はスルーだ。諸般の事情で商談に参加しなくていけなくなったとしても、“法外な”高値を提示するなどして、間違っても受注しないように努力するだろう。そもそも今どき、そんなとんでもない客がいるのか。それが、いるのである。官公庁をはじめとする公共機関だ。 公共機関だとすると、冒頭に書いた客としての振る舞いは、その多くが「とんでもない」ではなく正当な行為となる。公共系システムは国民・住民からの税金などで作る
政府がシステム整備の“憲法”を決定、非効率なシステムはなくせるか
政府情報システムの整備・管理のあり方を規定する“憲法”とも言える基本ルールが、IT総合戦略本部の各府省情報化統括責任者(CIO)連絡会議で2014年12月3日に決まった。2014年度中に実務手引書を作成し、15年度が始まる4月1日から施行する。14年度中に調達手続きを行う案件については、一部の規定を先行して適用する。 政府システムを整備・管理するための新しいルールの名称は、「政府情報システムの整備及び管理に関する標準ガイドライン」。既存の4つの指針「業務・システム最適化指針」「情報システムに係る政府調達の基本指針」「行政機関におけるIT人材の育成・確保指針」「電子政府ユーザビリティガイドライン」を一本化して置き換える格好になる。既存の指針は適用対象を特定の行政分野のシステムに限っているが、新しいガイドラインは原則すべての政府システムに共通のルールとなる。 政府のIT施策を主導する遠藤紘一政
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[スクープ]政府がIT調達の一元化へ、2019年にも![[スクープ]政府がIT調達の一元化へ、2019年にも](https://cdn-ak-scissors.b.st-hatena.com/image/square/78188135c5f610ebfe65e63ecf55a0cd267b6cac/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F03654%2Ftopm.jpg%3F20220512)
