自社だけでできる、コスパ最強の「サイバー演習」実施レシピ&鉄則
本連載「中堅・中小企業向け、標的型攻撃対策の現実解」では、中堅・中小企業における「高度標的型攻撃(APT)」への現実的な対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。 ベースラインAPT対策コンソーシアム(以下、BAPT)のメンバーが交代で各回を担当。第1回と第2回では最初に取り組むべき「リスク分析」を扱った。第3回は「出入口対策」、第4回は「ログ管理」、第5回は「エンドポイント対策」について解説した。 前回の記事では、コンピュータセキュリティに関わるインシデントに対処するための組織、CSIRT(Computer Security Incident Response Team)構築の勘所を解説した。本記事は構築したCSIRT、また既存のインシデント対応体制を強化する方法の一つである「サイバー演習」を中心に、セキュリティ強化するための方法
期待のサービスはなぜ「総売り上げ3万5400円」でクローズに至ったのか――失敗から学び成長するための6項目
「失敗の振り返り」は、同じ間違いを繰り返さないために必要なこと……と分かっていても、できれば避けて通りたいツラい作業でもある。失敗したのが、自分自身が責任者として取り組んだプロジェクトであれば、なおさらだ。2019年4月24日に東京の大田区産業プラザPiOで開催された「明日の開発カンファレンス」では、あるサービスのプロダクトオーナー(PO)を務めた開発者が、あえて公開の場でその苦行に挑んだ。なぜ、そのサービスは失敗してしまったのか。立ち上げから、クローズまでの過程で、どのような意思決定があったのか。貴重な「公開振り返り」が行われた。 「総売り上げ:35400円 受託エンジニアが自社サービスのPOをやって学んだこと」と題したセッションを行ったのは、現在、永和システムマネジメントで「Agile Studio Fukui」のディレクターを務める岡島幸男氏だ。同社は受託開発ビジネスを主軸に、近年で
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編):権利は国民の不断の努力によって保持しなければならない(1/3 ページ) Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。 2018年6月、自身が運営するWebサイト上に、閲覧してきた
一にも二にも「防御」を――元CIAのCISOが提言した6つのセキュリティ対策
CIAのCISOを務め、今はコンサルタントとして活躍するロバート・ビッグマン氏が、@ITセキュリティセミナー、東京会場の基調講演に登場し、基本的かつ実践的な対策をアドバイスした。 長年にわたってCIA(米国中央情報局)のCISO(最高情報セキュリティ責任者)を務め、今はコンサルタントとしてさまざまな政府機関や企業にサイバーセキュリティに関するアドバイスを行っているロバート・ビッグマン氏。その同氏が来日し、@ITセキュリティセミナー、東京会場で「日本のセキュリティリーダーに告ぐ」と題する基調講演を行った。 メインフレームの時代からサイバーセキュリティの世界に37年間携わり、「私よりも長くこの業界にいる人は数えるほどではないか」というビッグマン氏。60数社のサイバーセキュリティ対策を間近で見た経験も踏まえ、来場者にシンプルなアドバイスを行った。 外部の脅威が気にするのはターゲットの防御能力 N
VS Codeでかっこの対応を分かりやすくするには
これにより、かっこの対応付けが色分けされて表示されるようになる。以下は、例としてASP.NET Coreプロジェクトを作成して、そのファイルを開いたところだ。かっこ(())、波かっこ({})、角かっこ([])が色分け表示されていることが分かる。 また、上の画像では12行目にカーソルがあるが、ここからカーソルを囲む直近のかっこ(スコープ)の終了位置までかっこと同じ色で縦線が引かれていることにも注目しよう。これにより、かっこの対応付け、その範囲がどこまでかが一目で分かる。 Bracket Pair Colorizer拡張機能には多くの設定項目があり、自分の好みに合わせた表示方法に設定できるようになっている。以下では幾つかの設定項目を紹介しよう。これらは「bracketPairColorizer.XXX」という名前だが、以下では「bracketPairColorizer.」は省略する。 forc
KVS系NoSQLのまとめ(Hibari、Dynamo、Voldemort、Riak編)
序 章 ビッグデータの時代 第1章 NOSQLとは何か? 第2章 NOSQLのデータモデル 第3章 アーキテクチャの基本概念と技術 第4章 HadoopはNOSQL? 第5章 主なNOSQLデータベース製品 第6章 NOSQLデータベースの選択基準 第7章 NOSQLを使うビジネス 本連載は書籍『NOSQLの基礎知識』(リックテレコム刊、ISBN:978-4897978871)で解説されている内容から一部を抜粋し、本連載向けに一部再編集して掲載したものです。 書籍では、一般にNoSQLと呼ばれている各種データベース技術について、基本概念から主要なプロダクトの特性、ベンチマーク結果までを紹介しています。データモデルやアーキテクチャの違いといった基本概念から、各プロダクトの特徴を理解できる内容になっています。 本連載では、この書籍の内容から、主要プロダクトを紹介している第5章を抜粋し、そのエッ
試すのが難しい―機械学習の常識はMahoutで変わる
ビッグデータ時代―なぜ、いま機械学習なのか Apache Hadoop(以下、Hadoop)の登場で、今まで捨てていたデータ、貯めるだけで処理しきれなかったデータを活用できるようになりました。 活用手段として最近とみに注目されている技術が「機械学習」であり、Hadoopの強みを生かし簡単に機械学習を行うためのライブラリが、「Apache Mahout」(以下、Mahout)です。 本稿ではMahoutを動かしてみることで、機械学習の常識を身に付けます。 そもそも、機械学習とは? 機械学習とは、一定のデータをコンピュータ・プログラムに「学習」させ(すなわち、そのデータに潜むパターンや規則性を表す「モデル」を自動的に構築させ)、他のデータにそのモデルを適用すれば、あたかも人間のように複雑で柔軟な判断が行えるようにするという試みです。 機械学習をビジネスに活用した例は、レコメンド(ユーザーや商品
CRMに役立つ顧客セグメンテーション方法とは? - @IT情報マネジメント
CRM施策を実施する際、ポイントとなるのが顧客セグメンテーションだ。CRMをより効果的にするには、顧客セグメンテーション方法とは? 今回は、CRMの視点で顧客セグメンテーション(顧客を一定の基準で分類する)を行う方法をご紹介します。 まずCRMとは何かについて、簡単に定義しておきましょう。ここでいうCRMとは、カスタマ・ロイヤリティの高い人々(=ロイヤル顧客)を増やすための各種施策です。“自社の商品を売り込む”のではなく、“顧客との関係を深め、商品を求められる存在になる”という発想に立って、マーケティング・コミュニケーションを主とした、さまざまな施策を打つのがCRMなのです。 では、この定義における“ロイヤル顧客”はどんな人たちかというと、 自社商品を繰り返し買ってくれる 自社商品を好きと思ってくれる です。 つまり、自社商品のヘビーユーザーで、かつ商品に対する好意が高い人がロイヤル顧客で
いまさら聞けないHadoopとテキストマイニング入門
ビッグデータ時代の救世主「Hadoop」とは 「Apache Hadoop」は今、最も注目を集めている技術の1つです。Hadoopとは、大量のデータを手軽に複数のマシンに分散して処理できるオープンソースのプラットフォームです。 Hadoopを活用している企業は年々増え続けていて、不可欠な技術になりつつあるといえるでしょう。 本連載では、Hadoopとは何か、Hadoopがどう活用できるのかということを、「テキストマイニング」に焦点を当てて解説していきたいと思います。 重い処理を複数のマシンに分散させる 複数のマシンに処理を分散させるには、プロセス同士の通信、監視、障害時の対応などを考えなければならず、プログラマにとってハードルが高いものです。しかし、Hadoopはそういった面倒くさい処理を一手に引き受けてくれ、プログラマは、やりたい処理だけに集中できます。 例えば、Hadoopを使うと、1
検索エンジンの常識をApache Solrで身につける
表のような転置インデックス完成後は、クエリに対する結果を返す処理は簡単です。例えば、ユーザーが「Vim」というクエリを発行すると、検索エンジンは「Vim」を含む文書IDリストを返します。表では文書IDの「2」を返します。 検索エンジンを取り巻く7つの技術 検索エンジンのコア技術は前節で紹介したインデックスです。しかし実際に、検索インデックスだけで構成する検索エンジンから、検索サービスを構築するには多大なコストが掛かります。以下の節で検索エンジンを利用したシステム、検索サービスを構築する際に便利なコンポーネントを紹介します。 これらの機能のいくつかは、多くの検索エンジンが組み込んでいます。一方で、簡素な検索エンジンは、以下で紹介するコンポーネントをサポートしていないため、ユーザーが独自に開発するか、その機能を持つコンポーネントを組み込む必要があるものもあります。 【1】トークナイザ 検索エン
UNIX互換環境SUAに追加のパッケージをインストールする - @IT
TIPS「UNIX互換環境を実現するSUAを利用する」では、Windows OS上にUNIX/Linux互換実行環境である「SUA(Subsystem for UNIX-based Applications)」をインストールする手順を解説した。SUAを利用すれば、UNIX/LinuxベースのツールやアプリケーションをWindowsシステムの管理業務に利用できるようになる。 ただし、上記の操作でインストールできるSUAのパッケージは基本的なものだけであり、例えばbashコマンドなどは含まれていない。これらを利用したければ、ソースコードやインストール用のパッケージを入手して、自分で追加インストールする必要がある。 とはいえ、これらをすべて自分で行うのは簡単ではないし、そもそも無駄な作業である。幸いなことに、SUA向けのインストール・パッケージがいくつか開発され、SUAのコミュニティ・サイトで公
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
「計画的にやれ」が悲しいほどメンバーに通じない理由 − PG時代と何が違う? 新任PMがついやってしまうNG集 − @IT自分戦略研究所
1人で仕事をしているプログラマ時代は、ばりばり仕事がこなせたのに、PMになった途端に仕事がうまく進まない! そんな新任PMの悩みを解決するTipsを紹介します。 お悩みのPM諸君、ついこんなこと言っていませんか 同じ「プロジェクト」に関わるにしても、PM(プロジェクトマネージャ)になる前と後では大違いです。プログラマの1人として働いている時は、自分の作業に専念していればよかったのに、PMになった途端「顧客から新しい要望が来た」「○○さんの作業が遅れている」といってはフォローに追われる日々。「何で皆、ちゃんと動いてくれないんだ!」とストレスをためるPMも多いはずです。 ですが、「自分が動くこと」と「人に動いてもらうこと」が違うのは当然のこと。ですが、ついそのことを忘れて、こんなことを言ってしまうPMは多いのではないでしょうか。 これらはPMの発言としては“NG”です。いくら口をすっぱくして注
Javaで覚えるIT技術者の40の常識 - @IT
~新人プログラマ/SEは覚えておきたい“まとめ”~ @IT編集部 2011/3/24 このページは、開発者/プログラマが、以下のような項目に関して、常識的な基礎知識を学ぶための記事リンクのまとめです。 デスクトップなどの見た目に関する3つの常識 プログラミング・コーディングに関する6つの常識 ネットワーク/通信に関する9つの常識 セキュリティに関する3つの常識 データとファイルに関する5つの常識 設計・アーキテクチャに関する6つの常識 ソフトウェアの品質管理に関する3つの常識 業務アプリに関する5つの常識 Java SE(旧、J2SE)のコアAPIやJSP/サーブレット+StrutsのWebアプリケーション開発、JBossやその他のJavaオープンソースソフトウェアのサンプルコードや使い方を通じて、さまざまな“常識”を学習する以下の連載の記事に、基礎知識のカテゴリごとに分けてリンクしていま
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
サーバサイドJavaScriptの本命「node.js」の基礎知識
本稿では、Node.jsの特徴や動作原理に触れ、サンプルや役に立つパッケージ、活用事例などを紹介したいと思います。 主なサーバサイドJavaScript Node.jsに触れる前に、予備知識として他のサーバサイドJavaScriptにも触れておきます。Node.js含め、サーバサイドJavaScriptには、主に以下のようなプロジェクトがあります。 サーバサイドJavaScripの標準仕様「CommonJS」とは サーバサイドJavaScriptには、「CommonJS」と呼ばれる標準化が策定されています。標準化というと難しい感じがしますが、要はサーバサイドでJavaScriptを実行するのに何が必要かを仕様として、定義しているドキュメントのことです(例えば、「ログが必要だよね」など)。 Node.jsは、このCommonJSに則って開発されています。現段階であれば、CommonJSの仕様
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
単体テストを“神速”化するQuick JUnitとMockito
単体テストを“神速”化するQuick JUnitとMockito:ユカイ、ツーカイ、カイハツ環境!(16) Quick JUnitプラグインの3つの大きな特徴 近年、JUnitとHudsonを利用した継続的インテグレーション(CI)によるテストの自動化や、テスト駆動開発(TDD)の普及などにより、ユニットテスト(単体テスト)のテストコードの作成が重要視されています。 今回紹介する「Quick JUnit」プラグインは、JUnitによるテストコードの作成と実装を支援するEclipseプラグインです。Quick JUnitプラグインは石井勝さんにより開発されていましたが、石井さんが不慮の事故により死去後、Quick JUnitプラグインプロジェクトにより開発が継続されています。優れたオープンソースプロジェクトの模範のようなプロジェクトです。 訂正のお知らせ 故人のお名前について間違いがあり、修
サーブレットやJSPの“バージョン”意識してますか?
サーブレットやJSPの“バージョン”意識してますか?:現場にキく、Webシステムの問題解決ノウハウ(7) 本連載は、日立製作所が提供するアプリケーションサーバ「Cosminexus」の開発担当者へのインタビューを通じて、Webシステムにおける、さまざまな問題/トラブルの解決に効くノウハウや注意点を紹介していく。現在起きている問題の解決や、今後の開発のご参考に(編集部) 10年で「J2EE 1.2」から「Java EE 6」へ 1999年にJ2EE 1.2がリリースされてから10年以上経過し、2009年12月には4回目のバージョンアップ版であるJava EE 6がリリースされた(参考:米Sun、軽量、モジュラー化を進めた「Java EE 6」を公開)。 この間、多くの技術が実装され、またエンハンスされてきたが、エンハンスに伴って以前のバージョンと振る舞いが変わってしまったケースが少なからず存
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
