脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。 関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。 この脆弱性は、多くの一般的

高専生という存在のパワーを間近で感じることができる「高専カンファレンス」が東京で開催された。さまざまな分野で力を発揮する彼らの可能性はとどまるところを知らない。 12月6日、東京・新橋にあるミラクル・リナックスにて「高専カンファレンス2008 Winter in 東京」が開催された。2008年6月にウノウで開催された第1回を皮切りに、9月には北海道で、そして再び東京での開催となった。 「リーマン社長はジョーカー」――ミラクル児玉氏が明かす「社長への道」 今回のカンファレンス開催を全面的に支援したミラクル・リナックス。その代表取締役社長兼最高経営責任者（CEO）の児玉崇氏も、鈴鹿高専を卒業した高専OBだ。 その児玉氏の基調講演で幕を開けた今回のカンファレンス。「高専生から社長への道のり」と題されたこの講演では、社長のタイプとして「家業継承」「ベンチャー起業」「リーマン社長」を挙げ、リーマン社

People to People Communications（川崎市）は11月25日、統計データを元に作成した「疑似個人情報」の無償提供を始めた。非営利目的に限り、1人3000件まで無料でダウンロードできる。 架空の名前や住所、生年月日などで構成した個人情報リストを提供する。自治体などが公開している統計データの分布を正確に反映させており、実在の情報ではないものの「本物と区別することができないほど」そっくりだとしている。 本物の個人情報のダミーとして保管したり、システム開発でテストデータとして使ったりするのに利用されている。2月から有料で販売していたが、非営利に限って無償で提供する。

ITは金食い虫？――資産を「リソース」と「能力」に分類してみる：差のつくITIL V3理解（1/4 ページ） ITは金食い虫？ 太古の昔（？）より、会社がその事業を遂行していくために必要な資産は「ヒト、モノ、カネ」だといわれてきた。現代でもその様相は変わらない。多くの企業は、人的資産（アタマカズという意味でも、それぞれのヒトが持つスキルという意味でも）をどのように調達するか、物資（施設や設備、ものづくりであれば材料だとか、運送業であればトラックだとか、いろいろ）をどれぐらい用意するか、カネ（言葉どおりだ）をどうやって工面するかで、頭を悩ませてきた。 しかし不思議なことに、ITサービスという観点においては、その「ヒト、モノ、カネをどうやって準備するか」という概念が大幅に狂ってしまうらしい。それよりも紙誌面を踊らせ、経営者が頭を悩ませるのは「コスト削減」という言葉である。1990年代後半より、

近年、ますます注目を集めているCIOという職務。しかしCIOの職務領域はあまりにも広く、一般的な定義や説明だけでは、実効性に乏しい。ではどうすべきか──「CIOとは自ら役割を作り上げていくものだ」と語る元セブン-イレブン・ジャパンのCIO、碓井誠が、自らの経験をもとに「これからのCIO像」を提案する あいまいなCIO像 CIOの役割とは何か──ここ数年、ITの活用領域が拡大し、経営におけるIT活用の重要性が高まるにつれて、CIOをめぐる議論が活発化している。併せて、日本版SOX法におけるIT内部統制の在り方や、政府の「情報システムに係る政府調達の基本指針」、行政におけるCIO機能強化といった動きを受けて、CIO機能の設置やその役割の明確化が、企業にとっても大きなテーマとなっている。 そもそも「CIO」という職務の歴史は、1980年代までさかのぼることができる。当初は情報技術活用やシステム構

スウェーデンのセキュリティ企業Outpost24は10月2日、インターネット通信に使われる標準プロトコルのTCPに脆弱性が見つかったと発表した。 Outpost24によれば、この脆弱性は悪用されるとサービス妨害（DoS）攻撃を仕掛けられる恐れがある。現時点で詳しい内容は公表していない。 同社の最高セキュリティ責任者ジャック・ルイス氏はフィンランドのヘルシンキで10月16日から17日に開かれるT2カンファレンスで講演し、Windows、BSD、Linuxおよび組み込みシステムのTCP/IP stackスタックに対する攻撃のデモを実施する予定だという。 フィンランドのCERT-FIによると、この脆弱性は比較的少ないトラフィックで悪用できるが、ソースアドレスレベルのフィルタリングで回避可能との情報もある。影響が及ぶ範囲や深刻度などは現在検証中としている。 CERT-FIは影響を受けるベンダーや脆

リアルコムは10月2日、今春に買収を完了した米国子会社であるREALCOM U.S.（旧AskMe）のナレッジマネジメントソフトウェア「REALCOM AskMe Enterprise 8.5 日本語版」（AskMe）を出荷開始したと発表した。リアルコムの代表取締役社長兼CEOの谷本肇氏はAskMeの出荷について「リアルコムがグローバル展開する上での第一歩。国内、米国で浸透させた後、欧州や日本以外のアジアでも展開し、グローバル化を実現したい」と話した。 AskMeは社内に蓄積されている暗黙知やノウハウ、専門知識をあぶり出し、共有できるようにするソフトウェア。特長は社内の専門家に焦点を当てていることだ。社内のスタッフごとに自分の専門性やこれまで作成した資料などを登録するプロフィールページを作ることができ、検索を通じて社内の専門家や資料を探せるようになっている。 このプロフィールページには専門

12月6日、Internet Week 2006のセッションの1つとして行われた「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 12月5日から8日にかけて「Internet Week 2006」が横浜で開催された。このうち12月6日に日本ネットワークインフォメーションセンター（JPNIC）が主催した「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 なりすましと反射を悪用したDoS攻撃 取り上げられた課題の1つは、偽装した発信元IPアドレスから不特定多数のDNSサーバにクエリを投げかけ、被害者に多数のパケットを反射させてDoS状態に陥れる「DNS amplification attack」だ。2006年3月には実際にその被害が発生し、警察庁からも関連するレポートが公表され

今回はIT投資の責任は誰にあるかについて考えます。IT投資の失敗はビジネス部門の責任だと思っている人も多いのではないでしょうか。 前回、前々回とIT予算のお話をしました。今回はIT投資の責任は誰にあるかについて考えます。 最初から、CIO（最高情報責任者）やITエグゼクティブの方々にはショッキングなデータを示さなければなりません。「2005年のGartnerの調査によると、CEOの96パーセントが、IT投資を含んだプロジェクトの結果、当初見込んだ利益が未達だった場合に、問題の発生箇所がどこであれ原因をIT部門に帰す」と言っています。 これには、多くのCIO／ITエグゼクティブの皆さまが驚きました。IT投資を含んだプロジェクトは、結果的にプロジェクト内の投資のほとんどがIT分野で占められたりするものです。しかし、IT部門側に属する人はたとえCIOであっても、実際にシステムを利用してビジネスベ

システム障害から会社を救うのは誰？――名ばかりCIOはいらない：サバイバル方程式（1/2 ページ） 企業にとってのCIOの重要性を考えるとき、システム障害によるさまざまなトラブルが起こったことを想像すればいい。システム障害によるトラブルを未然に防ぐ、あるいは事故後、速やかに対応するには権限を有した専任のCIOの存在が必要になる。 システム障害から分かる専任CIOの重要性 前回まで、専任CIO設置企業が明らかに経営に優れていること、しかしCIOの重要性が叫ばれる割にはCIOが企業の中で軽視されていることをみてきた。今回は、企業の中でのCIOの重要性・必要性をさらに多面から分析し、再認識する。 CIOは、なぜ重要で必要なのか。 ERP導入をはじめとして、これほど企業がIT化されると、ITに関するトラブルが企業の存続を左右しかねない。ここ何年もの間、枚挙にいとまがないほどのシステム障害がマスコミ

Googleの「Chrome」ブラウザがどれだけ多くの情報を集めているかについて気掛かりに思っているのはわたしだけだろうか？ Chromeのプライバシーポリシーには驚くべき真実が隠されている。Chromeを使うことで、GoogleはわたしのWeb閲覧の習慣について妻よりも詳しく、いや、あるいはわたし自身よりも詳しく把握することになりそうだ。 とにかく、まず見ていただきたいのは、Chromeのプライバシーポリシーに書かれている次の文面だ。「アドレスバーにURLまたはクエリを入力すると、入力した文字がGoogleに送信され、ユーザーが探しているであろう用語またはURLをGoogle Suggest機能が自動的に推奨するようになっている」 つまり、これって、キーロガー？　「入力した文字が送信される」だなんて、一体、どういうことだろう？ では、次の段落に少なくとも2回は目を通してみていただきたい。

設計書の1ページ目に全ての「登場人物」を 話を本題に戻す。前々回までの話で、発注側においてシステム画面とDBのテーブル・フォーマットが用意された。次は、設計書として仕上げる作業だ。大変そうに思えるが、実は地場のSEに委託するので、職員が苦労することはあまりない。 詳細に検討され、プロがデザインしたシステム画面とテーブル・フォーマットが用意されている場合、設計書を書くのはSEとして大変ではない。さらに県庁内のハードウェア構成とサンプルとなる設計書を用意しているし、開発言語やWebサーバなども指定してある。SEなら誰でも設計書が書けるはずだ。逆に、これだけ用意されているのに「書けない」というSEがいたら「こいつは偽物だ」と思った方がいい。 長崎県では、SEが適当にまねて設計書を書いてくると、筆者からこてんぱんにされる。特に1ページ目がいい加減な場合は、これでプロかと叱り飛ばされる。 業務システ

関連記事 rsyncを使った熟練者レベルのバックアップ rsyncを使いこなせば、あなたが想定するバックアップのニーズのほとんどに対応できるようになる。ここでは、あなたをrsyncマスターにするためのポイントを解説する。 FreeNASで家庭内LANにストレージを簡単に追加する FreeNASは企業での利用に実力を発揮するだけでなく、普通のSOHOユーザーでも十分に活用できる使いやすさも備えている。ここでは、rsyncによるバックアップ用およびFTPサーバとして簡単に使えるNASデバイスを、個人用のLANに追加する方法を紹介する。

元Googleエンジニアが立ち上げた企業Cuilが7月28日、従来とは異なる手法を使った新しい検索エンジンを発表した。 Cuil（「クール」と発音する）の検索エンジンは、従来のリンク分析やトラフィックランキングといった手法ではなく、Webページの内容を分析し、それに基づいて検索結果のランキングを決める。また類似の検索結果をグループ化し、検索結果を「雑誌スタイル」でテーマごとに表示したり、さらにカテゴリーごとに検索することもできる。 例えば「Harry Potter」を検索すると、検索結果ページは「すべての検索結果」「Harry Potter Books」「Harry Potter Games」などのテーマごとにタブで区切られ、右側には「Actors」「Movie Stars」「Directors」などのカテゴリーが表示される。 Cuilは「ほかの検索エンジンの3倍に上る1200億のWebペ

日本ネットワークセキュリティ協会の「情報セキュリティインシデントに関する調査報告書」によれば、USBメモリの紛失などによる個人情報の漏えいが増加している。 日本ネットワークセキュリティ協会（JNSA）がこのほど公開した「2007年度情報セキュリティインシデントに関する調査報告書」によれば、流失した個人情報の人数は、USBメモリなどの可搬記録媒体からのものが実質最多であることが明らかになった。 それによると、情報漏えいの原因となった媒体・経路別の割合は「紙媒体」が40.4％、「Web・Net」が15.4％、「USBなど可搬記録媒体」が12.5％となった。USBなどの可搬記録媒体が占める割合は、2006年度の8.5％から増加した。

大企業であれ中小企業であれ、適切な管理ポリシーとトレーニングが欠如していると、セキュリティ面で混乱を招きかねない。Untangleのダーク・モリスCTO（最高技術責任者）は、予想される問題とそれを避ける方法についてアドバイスする。 「ウチは中小企業だ。わざわざ当社のネットワークをハッキングしようとする者などいない」 これは間違いだ。 事実、Small Business Technology Instituteが調査した中小企業の56％が、過去12カ月の間に少なくとも1件のセキュリティインシデントを経験している。最近では、大企業を狙うよりも中小企業を攻撃するサイバー犯罪者が増えている。大企業に比べると、中小企業は一般にシステムが脆弱で、総合的なセキュリティソリューションに投資する時間的・経済的な余裕がない場合が多いからだ。 加えて、ハッカーたちは絶えず手口を変え、ネットワークセキュリティ分野

テクノロジー解析：企業はVoIPアプリケーションを導入するために何を実行し、どう活用すればよいのだろうか。 P2P（Peer-to-Peer）VoIP（Voice over IP）アプリケーションの「Skype」が爆発的な人気を獲得するとともに、IT管理者はしばしばいくつかの問題に頭を悩ませるようになった。企業におけるSkype利用には制限を設けるべきなのか。バックドアが生まれるおそれがあっても、Skypeをサポートした方がよいのだろうか。最初からシステムに組み込んで、積極的な利用を図る必要があるのだろうか。 Skype運営母体の最近の動向に鑑みるに、企業が壁を乗り越えるための対策を立てねばならない時期が来たようだ。すなわち、Skypeを継続的に使用したいと考えている企業は、同アプリケーションを正式に導入して管理および制御を徹底し、使用しなくてもいいという企業は、Skypeを完全に遮断する

ソースコードのバージョン管理ツールとして人気を集める「Subversion」の最新版がリリースされた。Merge trackingなどユーザーが待ち焦がれていた機能が実装されている。 CollabNetはバージョン管理ツール「Subversion」の最新版となる1.5.0をリリースした。ソースコードおよびバイナリが公式サイトで提供されている。 過去のバージョンとは下位互換性を保ちつつ、バグフィックスと多くの新機能が追加されているが、中でもマージ管理機能であるMerge trackingが実装されたことが注目される。ブランチから、もしくはブランチへのマージを行うに当たって、どのリビジョンをマージしたかをトラッキングできるため、マージ済みの修正を再度適用するなどのエラーを防止できるようになる。Merge trackingにかんする情報はsvn:mergeinfoというプロパティで管理されており