「エンジニアのための文章力養成講座」は、書籍「文章力を伸ばす 書くことが、これでとても楽になる81のポイント」（阿部紘久著　日本実業出版社）を基に、出版社と筆者の許可を得て、＠IT読者向けに再構成したものです 「要件定義書」「提案依頼書」「テスト仕様書」――エンジニアは業務でさまざまな文章を書きます。しかし、文章力が足りないと、無駄なことをたくさん書いてしまったり、考えているのとは違うことを書いてしまったり、頭の中にあった大事なことを書きもらしてしまったりしがちです。 連載「エンジニアのための文章力養成講座」、第4回も「主語」にまつわる文章力を鍛えます。文章力を身に付けて、より良いエンジニアライフを送りましょう。 「企業は育ってほしい」

Windows 10では、Windows Updateによる更新プログラムの適用をユーザーが止められなくなっている。以前のWindows OSにはあった「更新プログラムをインストールしない」オプションがなく、常に最新の更新プログラムやドライバが自動で適用されるようになっている（Windows 10 Pro以上は設定により最大35日間の適用延期が可能。詳細はTech TIPS「【Windows 10】Windows Updateの更新を一時停止する」参照のこと。）。 しかし、PCの電源をオフにしたまましばらく使っていなかったり、ネットワークに接続できない状態だったりした場合は、更新プログラムが適用されないままとなる。そのため、バックグランドでWindows Updateが実行され、意図しないタイミングで再起動が行われてしまうなど、困ることもある。 このような場合、使い始める前に「手動で」Wi

侵入されることを前提に考える――内部対策はログ管理から：中堅・中小企業向け、標的型攻撃対策の現実解（4）（1/2 ページ） 人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。 当連載では中堅・中小企業における現実的な高度標的型攻撃（APT）への対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。第1回と第2回では最初に取り組むべきリスク分析を扱った。第3回は出入口対策を解説した。 今回は、多層防御のうち出入口対策と並行して対応しなければならない「内部対策」のうち、「ログ管理」を解説

契約書に書かれている法律用語、トラブル時にIT訴訟で争点となるかもしれない契約の種類。エンジニアなら知っておきたいシステム開発契約に関わる法律用語を、IT紛争解決の専門家 細川義洋氏が分かりやすく解説します。 瑕疵担保責任とは何か 瑕疵担保責任とは、現行の民法第六百三十五条に記載されている、「請負契約の発注者に対して「受注者が負うべき責任」のことです。 「仕事の目的物に瑕疵があり、そのために契約をした目的を達することができないときは、注文者は、契約の解除をすることができる」（民法第六百三十五条） 請負契約に基づいて受注者が納品したものに不具合があり、契約の目的を達成できない場合、発注者は契約を解除したり、修補を求めたりできます。不具合のために何らかの損害が発生したら、賠償を請求できます。 システム開発の代表的な納品物の不具合はプログラミングミス、いわゆる「バグ」です。設計のミスやハードウェ

情報危機管理コンテストで考える――人材は育てるもの？ それとも育つもの？：セキュリティ・アディッショナルタイム（17）（1/3 ページ） さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25～27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱（ぜいじゃく）性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた。 さまざまなセキュリティインシデントの経験を経て、事故前提型の対策が提唱されるようになり、いざというときに備えたプロセスや体制作りに取り組む組織が増えてきた。だが往々にしてセキュリティインシデントというものは、事前の想定範囲内には収まらず、「過去問」通りに解こうとしても、うまくいかないことの方が多い。それでも、過去問を解こうとして身に

企業にとって、セキュリティの最大の脅威は「外的なもの」と思われがちだ。しかし近年、多くの企業は、研修を受けたはずの「信頼している従業員」も重大な脅威となり得ることを思い知らされている。スロバキアのセキュリティ企業 ESETが2017年5月26日（現地時間）、同社の公式ブログで「情報漏えいの原因になる3タイプの従業員」を取り上げて解説し、対策方法を紹介した。以下、内容を抄訳する。 セキュリティ分析企業のHaystax Technologyが最近公開した調査結果によると、企業の74％が、「自社は内部の脅威に対して弱い」と考えており、セキュリティ担当者の56％は「この1年で、内部の脅威が頻出するようになった」と回答した。 ESETでは、このような情報漏えいの原因になる従業員のタイプを以下の3つに分類した。 「行動が雑」な従業員 「不注意または怠慢」な従業員 「悪意がある」従業員 （1）「行動が雑

謝ったんだから、アナタが悪いんですよね。：「訴えてやる！」の前に読む IT訴訟 徹底解説（41）（1/3 ページ） 納品したシステムに「バグが残っているから」と支払いを拒否したユーザー。軽微なバグであり、改修のメドが立っているにもかかわらず彼らが強く出た根拠は「ベンダーの謝罪」だった。 連載目次 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。前回は、納品したソースコードの権利は発注者、受注者、どちらにあるのかを取り上げた。 今回は「謝罪」について考えてみたい。 開発プロジェクトで何らかの問題が発生したとき、本当は自分たちに非があるとは思っていないが、「取りあえず謝っておこう」と考えるベンダーは少なくないだろう。筆者も昔、ユーザーテスト時にトラブルが発生し、「正式な謝罪文の提示がないかぎり、ここから先の作業はさせない」とユーザーに言われ、自分たちに非があるかのような文章を

連載「エンジニアのためのビジネス文書作成術」は、書籍「外資系コンサルのビジネス文書作成術」（吉澤準特著　東洋経済新報社）を基に、出版社の許可を得て、筆者自身が＠IT読者向けに再構成したものです。画像はWindows 7 + Word 2013上のものです。機能はWord 2013、2016のいずれでも使用できます 連載「エンジニアのためのビジネス文書作成術」、第1回は「議事録」の書き方を、第2回は「要件定義書」の書き方を学びました。第3回は「提案依頼書（RFP）」をWordで作ります。 提案依頼書（RFP）とは、発注者（ユーザー）が、自分たちが提案してほしいことを具体的な「内容（要件）」にまとめた文書です。受注者（ベンダー）が「提案書」を作成するためのインプット（材料）になります。 RFPはシステムの「実装内容」だけでなく、自社とベンダーの「責任関係」を決める文書です。「役割分担」は、その

本稿は2017年5月17日に初版を公開した「今すぐできるWannaCry対策」の改訂記事です（SMBv1を無効化するための手順と注意点を追記しました）。 2017年5月、「WannaCry（Wanna Crypt、WannaCryptor、Wcry）＊1」などと呼ばれるランサムウェアが世界中で猛威を振るった。医療機関などで深刻な被害が生じている他、日本でも被害が報道されている。

個別の対策を際限なく行う“セキュリティ無間地獄”に陥らないために：継続的な検知と統合管理で潜在的な脆弱性リスクを排除せよ サイバー攻撃の新たな手法が次々と出現している今、個別のセキュリティ対策でいつまでも対応し続けることは非常に難しい。では、どうしたら効果的かつ包括的な対策を実現できるのだろうか。そこでお勧めしたいのが、サーバやクライアントPCなどに潜む脆弱性を検出して企業全体のIT資産を統合管理するTenable Network Securityの「SecurityCenter Continuous View（SCCV）」だ。早急に対策すべき箇所を効果的に突き止められるので、最小限の費用と工数で適切なセキュリティ対策が可能になる。 なぜ、対策しているのにサイバー攻撃の被害に遭うのか？ セキュリティ対策ソリューションを導入していたのに、社内のサーバに保管していたビジネスデータが外部に流出し

連載「エンジニアのためのビジネス文書作成術」は、書籍「外資系コンサルのビジネス文書作成術」（吉澤準特著　東洋経済新報社）を基に、出版社の許可を得て、筆者自身が＠IT読者向けに再構成したものです。画像はWindows 7 + Word 2013上のものです。機能はWord2013、2016のいずれでも使用できます あなたは仕事でドキュメントを作る際、どのソフトウェアを使っているでしょうか。 これは業界次第で傾向が大きく異なります。広告業界やコンサル業界は「PowerPoint」が大好きですし、官公庁や出版業界は「Word」文書で溢れています。 IT業界は「Excel」が多いですね。進捗（しんちょく）管理に使う「WBS」や「課題一覧」、設計フェーズの成果物となる「設計書」に至っては、Excel以外のフォーマットで作られたものを見たことがほとんどありません。 しかし、IT業界でも「これだけはWo

Windows 10初期リリース（1507）のサービス終了のお知らせ：山市良のうぃんどうず日記（92）（1/2 ページ） マイクロソフトは2017年4月12日（日本時間、以下同）、当初の予定通り、Windows Vista（Service Pack 2）に対する全ての製品サポートを終了しました。次にサポートが終了するのはWindows 7ですが、まだ3年もあると思っていませんか。それよりも前に、セキュリティ更新提供が終了するWindows 10があります。 アスタ・ラ・ビスタ、Vista！ 本連載第86回では、先日、2017年4月12日（日本時間）に全ての製品サポートが終了したWindows Vistaのサポート終了までのPCの挙動（筆者の予想を含む）と、Windows VistaのWindows Updateが進まない問題を取り上げました。実際のところ、どうなったのか気になりませんか？

本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。 Webの基本プロトコル、HTTPとは？ Webブラウザを使ってWebサイト（Webサーバ）にアクセスする場合、そこでは「HTTP（Hypertext Transfer Protocol）」というネットワークプロトコルが利用されている。Webブラウザのアドレスバーに「http://www.atmarkit.co.jp/」などと入力した場合の、「http:」の部分のことである。これはHTTPというプロトコル＊1を使って、サイトwww.atmarkit.co.jpにアクセスせよ、という指令である。 Webサーバというと、Webブラウザを使ってアクセスするものと考えるかもしれないが、現在ではさまざまなサービスでWebサーバやHTTPプロトコルが

世の中には連日、ソフトウェアやWebアプリケーションに存在する多数の脆弱（ぜいじゃく）性の情報が流れている。こうした情報を必要な人に適切に届け、対応してもらい、ひいては安全なインターネットを実現するために整備されてきたのが「早期警戒パートナーシップ」をはじめとする脆弱性情報の流通制度だ。 2016年12月1日に行われた「Internet Week 2016」のプログラム、「脆弱性情報と賢く付き合う〜発見から対策までの最前線〜」では、脆弱性情報流通の最前線が解説された。 脆弱性を闇に埋もれさせず、適切な対処を 先日、WordPressの脆弱性が公表され、直後に数千という規模でWebサイトの改ざん被害が発生したことは記憶に新しい。このケースから得られる教訓は多々あるが、少なくとも、適切な脆弱性情報を、必要とする人に、可能であればアップデートなどの修正方法とともに提供することが重要であるのは確か

「怪しいメールは開かない」はもちろんだが…… セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第42回のテーマは不正送金マルウェア「URSNIF（アースニフ）」です。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。 宮田　セキュリティのアレ第42回、今回は「URSNIF」と呼ばれるマルウェアの話から始めます。「年休申請」「請負契約書」「支払確認」など、それらしい件名のメールに添付して送り付けられるとのことですが。 根岸氏　URSNIFはバンキングトロジャン、いわゆる不正送金ウイルスです。日本国内の銀行をターゲットにしていて、添付ファイルを開いて感染すると、オンラインバンキング利用時に情報を盗み取られるなどの被害に遭う可能性があります。 この動画の収録をしているのが2017

それは単なる「お打ち合わせ」だったのか 本裁判は、どうだろうか。 ユーザーであるプロバイダーは、ベンダーと打ち合わせを行っており、要件確定のためにベンダーが作業を行っていることを承知していた。しかし契約の1番大切な部分である「金額」については、合意できる見込みも立っていなかったようである。 裁判所は、どの点に着目をして、どういった判断をしたのだろうか。判決の続きを見てみよう。 関連記事 締結5日前にユーザーが白紙撤回！ 契約は成立？ 不成立？ ユーザー窓口が確約した「○月○日に正式契約しましょう」を信じて一部作業に事前に着手したベンダーは、突然の契約白紙撤回に泣き寝入りするしかないのか？ 見積もりに合意してないから、要件追加分のお金は払いません！ 今回は「見積もりの返事を待たずに着手した追加部分」の支払いをユーザーに拒否されたベンダーの裁判例を紹介する。裁判所の判断はいかに？ 採用通知＝正

連載目次 IT開発では、正式な契約を待たずにベンダーが作業に着手してしまう例は少なくない。もちろん順番として正しくはないのだが、システムのリリース時期を順守しようと思えば、作業着手は1日でも早い方が良い。また、メンバーを待機させるのがもったいなくて、金額の合意や正式契約の締結を待たずに作業に入るベンダーの気持ちも分からなくはない。 しかし、正式な契約や金額の合意なくスタートし、その後開発が中止になったり、そこから紛争に発展したりするプロジェクトは少なくない。ベンダーとして指名され、作業に着手したが、結局、正式な金額が合意せずプロジェクトが頓挫してしまった。この場合、そこまでに実施した作業の費用は払ってもらえるのだろうか。 今回も実際の裁判例を基に考察していこう。

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。 2014年に発生したソニーピクチャーズエンタテインメント（SPE）に対するサイバー攻撃は、こうした攻撃に対する人々の認識を大きく変えた。執拗（しつよう）なビジネス妨害が行われた事例として有名なこの攻撃により、SPEは重大なシステム障害に見舞われた。 「多くのデジタル企業が同様な被害に遭いかねず、この事件を機に、この種の攻撃が警戒されるようになった。こうした大規模な攻撃が行われる頻度は低いが、この事件は執拗なサイバーセキュリティ攻撃がビジネス運営に深刻な打

NECは2017年2月21日、「サイバーセキュリティ経営の実践」を踏まえた、新たなセキュリティ対策支援コンサルティングサービスを開始した。 同サービスは、経済産業省とIPA（情報処理推進機構）が2015年12月に策定した「サイバーセキュリティ経営ガイドライン」に沿い、企業の経営者が、「会社としてセキュリティ対策を実施する責任者に指示すべき」とする重要10項目を網羅した上で、各種のコンサルティングサービスを体系化して提供するもの。例えば、「サプライチェーンのビジネスパートナーを含めたセキュリティ管理体制をどう構築すればよいか」「IoT（Internet of Things）時代を見据えて、より安全なものづくりの体制を構築するには何が必要か」といった課題解決を支援する。 サービスメニューは以下の通り。 「リスクアセスメントサービス」は、ITシステムや制御システムへの脅威分析やリスクの影響度に応

この先、われわれが備えるべき新たな脅威とは何だろうか。2017年2月15日、米国で開催中の「RSA Conference 2017」の基調講演「The Seven Most Dangerous New Attack Techniques, and What's Coming Next」では、米SANS Instituteでセキュリティ分野のリサーチに携わる3人の研究者がそれぞれの見解を披露した。 エド・スコーディス（Ed Skoudis）氏は、真っ先に「ランサムウェア」、特にデータを暗号化してしまうタイプのランサムウェアを挙げた。 「約20年前に公開されたホワイトペーパーでも、暗号技術が悪用される可能性が指摘されていた。今やランサムウェアは急増し、アクティブなものだけでも約150種類が確認されている。遠隔操作用のC2サーバを用意する必要もなく、被害者の方から連絡してくれるわけだから、犯罪者