求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?:OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか 各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。 高まるSBOM導入の機運、継続的な監視/運用の体制作りが重要に ここ数年で、オープンソースソフトウェア(OSS)の利用リスクに大きな注目が集まるようになった。「Apache Log4j」で明らかになった脆弱(ぜいじゃく)性の問題は、今やOSSがあらゆるところで使われており、セキュリティ上の問題がもたらす社会的インパクトが大きいという事実を浮き彫りにした
契約書にも民法にも書かれていませんが、「義務」なので履行してください
契約書にも民法にも書かれていませんが、「義務」なので履行してください:「訴えてやる!」の前に読む IT訴訟 徹底解説(106)(1/3 ページ) 担当者の急逝によって所在が分からなくなったソースコードを引き渡せとせまられたベンダー。契約書に記載されていない納品物を渡す義務は果たしてあるのだろうか――。 連載目次 契約に存在する「見えない義務」 仕事の契約には契約書が存在する。契約書に記載された条項を守らなければ、契約を解除されたり受け取るべき費用を減額されたりすることがあり得る。では契約書の内容を順守してさえいればいいのかというと、そういうわけでもないのがソフトウェア開発だ。 例えば、納入したソフトウェアに不具合が見つかれば修補しなければならないという「契約不適合責任」などは、契約書に規定していなくとも受注者が負うべき責任として民法の条文に書かれている。契約書というものは本来、受注者と発注
ヤフーのIaaSを支えるKubernetes/Helm――新卒1、2年目エンジニアは2017年から塩漬けの400ノードをどうアップデートするか
ヤフーのIaaSを支えるKubernetes/Helm――新卒1、2年目エンジニアは2017年から塩漬けの400ノードをどうアップデートするか:特集:「惰性をやめる、慣習を疑う」こんどこそ楽になる運用管理(4) Kubernetesのクラスタ数は10以上あり、その配下にある400以上のノードが支えるヤフーのIaaS基盤。その規模故にコンポーネントの管理に使うKubernetesとHelmのバージョンアップは2017年から行っていなかった。そして今、止まった時を動かすべく、新卒1、2年目のエンジニアが大規模環境のアップデートに挑む――運用管理者に光を当てるオンラインイベント「Cloud Operator Days Tokyo 2021」の同社による講演から、大規模Kubernetes環境運用のヒントを学ぼう。 2017年から時を止めたKubernetesとHelm Yahoo! JAPANの
顧客との関係を傷付けないトラブル報告書を書くには
エンジニアの皆さんは、業務でさまざまな報告書を作成されていることと思います。エンジニアの業務で必要になる報告書は、大きく2種類に分けられます。 1つ目は、書式が決まっていて、定期的に作成する報告書です。定期報告書と呼ぶこともあります。進ちょく報告書や日報、週報、月報などが例として挙げられます。 もう1つは、不定期に発生するイベントについて記述する報告書です。この種の報告書は、書式が決まっていないものです。例としてはトラブル報告書(または障害報告書、問題対応報告書など)や、製品・技術などの調査報告書といったものが挙げられます。 これら2種類のうち、トラブルの種になりやすいのは、後者の「イベントについて記述する報告書」です。今回は、報告書の中でも特に細心の注意を払わなければならない、顧客向けのトラブル報告書(障害報告書、問題対応報告書)を作成するときに注意すべきポイントを説明します。 報告書を
エンジニアはなぜ、ちょっとした契約外作業を請けてはいけないのか
エンジニアはなぜ、ちょっとした契約外作業を請けてはいけないのか:ちりも積もれば何とやら(1/3 ページ) せっかくコンサルタントに来てもらったんだから、企画書も作ってもらおう。翻訳も頼もうかな――お気を付けあそばせ。あなたがしているそれ、偽装請負ですよ。IT“業界”解説シリーズ、第9弾も偽装請負を解説します。 複雑怪奇なIT“業界”を解説する本連載、第1弾はIT業界にまん延する多重下請け構造と偽装請負について、第2弾は多重下請け構造が起こる仕組みについて、第3弾はシステム開発プロジェクトには複数の契約形態が混在することを、第4弾はユーザーはなぜプロジェクトに協力したらがらないのか、第5弾は「案件ガチャ」が起こるメカニズム、第6弾はベンダーの営業が安請け合いする理由、第7弾ではエンジニアの年収が上がらない理由、第8弾では請負契約と準委任契約の違いを説明しました。 今回もIT訴訟解説でもおなじ
GitHubが障害を総括、43秒間のネットワーク断が1日のサービス障害につながった:データベースの不整合解消に時間 - @IT
GitHubが障害を総括、43秒間のネットワーク断が1日のサービス障害につながった:データベースの不整合解消に時間 GitHubは2018年10月30日(米国時間)、2018年10月21日16時頃(米国太平洋時)から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータ管理データベースの不整合を引き起こし、復旧に時間を要したという。 GitHubは2018年10月30日(米国時間)、2018年10月21日16時頃(米国太平洋時)から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータを管理するデータベースの不整合を引き起こし、復旧に時間を要した
現場で戦う教員が明かす、高校の情報科教育とセキュリティ対策の現状
Chromebookに切り替えた理由について横山氏は、キーボードが使えることと、端末やアカウントが管理しやすいことを挙げた。Windowsにしなかった理由については、関東第一高等学校と同じくiPadからChromebookに乗り換えたことを明かした安藤氏が「起動に時間がかかること」「45分という時間制限のある授業中にWindowsアップデートが走ると無線LANのセッションを占拠して何もできなくなること」を挙げ、横山氏も同意していた。 情報科教員が圧倒的に不足、現場の悲鳴も ディスカッションでは、4つのテーマが掲げられた。 1つ目は、高校の情報科教育の現状だ。 安藤氏は、「他校から情報科教員はいないかと聞かれるほど教員不足で、他教員が2週間の研修で情報科の臨時免許状を取得し教えているのが現状。過去には英語や数学の教科の中で“やった”ことにして卒業させる高校があり、文部科学省の調査、指導が入っ
Chromeで信頼されなくなるSymantec発行のSSL証明書かどうか判定・確認する方法
SSL証明書が「信頼されない」とHTTPSサイト表示時にエラーが生じる 最初に「SSL証明書が信頼されない」とはどういうことか説明しよう。 Chromeに限らずWebブラウザは、HTTPSのWebサイトに接続する際、SSL証明書が正当なものかどうか検証する。もし有効期限や共通名(コモンネーム)、発行元(認証局)などに何かしら異常が見つかった場合、アドレスバー左端のアイコンやブラウザペインにその旨のエラーを表示してエンドユーザーに知らせる。 この状態ではHTTPSによる暗号化は信頼できず、通信中に盗聴や改ざん、なりすましの被害を受ける危険がある。 つまり、近い将来、Symantecの認証局から発行されたSSL証明書を組み込んであるWebサイトに対し、Chromeで閲覧したエンドユーザーにはこうしたエラーが表示されるようになる、ということだ。Webサイト運営・管理側としては何としても避けるべき
WindowsのNTFSとReFSの違い
Windows Server 2012で導入されたReFSは、耐障害性やスケーラビリティを向上させた新しいファイルシステムである。だがNTFSと比較すると不足する機能も少なくない。両者の違いをまとめておく。 解説 ●Windows Server 2012で導入された新しいファイルシステム「ReFS」 Windows Server 2012では新しく「ReFS(Resilient File System)」というファイルシステムが導入されている。「Resilient」とは「復元性がある」という意味であり、障害などからの復旧能力に優れることから、名付けられたようである。従来のNTFSと比較すると、大容量のボリュームのサポートや最大ファイルサイズの拡大、信頼性の向上、耐障害性の向上など、機能は向上しているが、その一方でNTFSよりも不足している機能もあるため、単純にNTFSをReFSに置き換える
「クラウドベースのDDoS攻撃対策」徹底解説
DDoS攻撃の“歴史”を振り返ることを通じて、有効なDDoS攻撃対策について考える本連載。第4回では、クラウドベースのDDoS攻撃対策の仕組みとその効果について解説する。 連載目次 DDoS攻撃の歴史を振り返りながら、有効なDDoS攻撃対策について考える本連載。前回までは、DDoS攻撃を防止することが現在のインターネットの仕組みでは困難であることや、Webサイトを構成する要素の全てが攻撃対象となり得ること、攻撃を受けたWebサイト側でとれる有効な対処方法は極めて限られていることを説明した。第4回となる今回は、「クラウドベースのDDoS対策機構」を紹介し、その効果を解説する。 DDoS対策の3要素 第2回で、Webサイトの運営を継続するために必要なDDoS対策の要素として、以下の3つを挙げた。 a)混雑し始めたWebサイトを特定する b)そのWebサイトに向けた通信要求を、発信元近くで認識す
“いきなり1000倍高速”になるWordPress高速化チューニング済み仮想マシン「KUSANAGI」とは何か
“いきなり1000倍高速”になるWordPress高速化チューニング済み仮想マシン「KUSANAGI」とは何か:とにかく速いWordPress(11)(1/3 ページ) エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、これまで実践してきた高速化テクニックなしに、“いきなり1000倍高速”を実現できるチューニング済み仮想マシン「KUSANAGI」を活用するための「7つのポイント」を紹介します。 連載バックナンバー WordPressは、これまで紹介してきた高速化チューニングを実践することによって、1秒当たりの同時アクセス数(Requests per second)が、デフォルトのLAMP(Linux、Apache、MySQL、PHP)環境の「11.24」から、Nginx+HHVM 3.12構成で「205.20」に、さらにN
各Windows OSで利用できるIEのバージョンを知る
対象ソフトウェア:Windows 2000/Windows XP/Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows 10/Windows Server 2003/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016、IE5/IE5.5/IE6/IE7/IE8/IE9/IE10/IE11/Microsoft Edge Windows OSに標準装備のWebブラウザ「Internet Explorer(IE)」は、Windows OSと同様、機能や性能の向上のためにバージョンアップが繰り返されてきた。Windows 2000からWindows 10の間にリリースされたIEは、主要な
古いInternet Explorerは2016年1月にサポート終了! その対策は?
対象ソフトウエア:Windows Vista/Windows 7/Windows 8/Windows Server 2008/Windows Server 2008 R2、IE7/IE8/IE9/IE10 解説 Windows OSに付属している標準ブラウザー「Internet Explorer(IE)」は、これまでマイクロソフトによるサポートの終了時期に注意を払う必要があまりなかった。なぜなら、Windows OS本体のサポート終了日まで、いずれのバージョンのIEもサポートが継続されることになっていたからだ。 ●2014年、古いIEのサポートポリシーが変わった! しかし、それはもはや過去の古い常識である。2014年8月にマイクロソフトがIEのサポートポリシーを変更し、「古いIEのサポートを2016年1月13日で打ち切る」ことにしたためだ。すなわち2016年1月13日以降、サポートされるI
終わらないWindows Updateの問題を解決する(2016年9月版)
解説 新しくWindows 7 SP1をインストールしたり、しばらく使っていなかったWindows 7 SP1搭載のPCの電源を入れたりした後で、Windows Updateを実行すると「更新プログラムの確認」が終了するまで数時間から、PCの性能によっては数日もかかることがある。例えば、仮想マシン(VirtualBox)上にクリーンインストールしたWindows 7 SP1でWindows Updateの「更新プログラムの確認」を実行したところ、更新プログラムの一覧が表示されるまで5時間以上もかかってしまった。 Windows Updateの画面 Windows 7 SP1をインストールした場合、Windows Updateの「更新プログラムの確認」に数時間要する。事前に2つの更新プログラムを適用しておくことで、これを15分程度に短くできる。 これは適用すべき更新プログラムが大量にあること
WebアプリのためのベンチマークツールDBT-1を使う
今回は、これからPostgreSQLの運用方法を解説するに当たり、運用時の状態を簡単にシミュレーションするために、ベンチマークツールをインストールして動かします。ベンチマークツールは、チューニングの際にも指標として使えますから、ぜひ使い方を覚えておいてください。 ベンチマークツール OSDL DBT-1とは >>> 本連載の前提環境 データベース:PostgreSQL 8.3.1 OS:CentOS 5(Linux kernel 2.6 ) シェル:bash CPU:Intel Xeon 3060 2.40GHz HDD:73.4GBytes/15,000rpm/SAS 16MBytes RAM:PC2-5300 8GBytes データベース用のベンチマークツールはいろいろとありますが、ここでは「OSDL DBT-1」(以降、DBT-1)を取り上げます。 DBT-1は、OSDL(Open
営業プロセスを理解しているエンジニアが強いワケ
エンジニアが市場価値を上げるには、営業力が必要だ。元SEで営業経験もある著者が、「エンジニアが身に付けておきたい営業力」を語る。 営業と仲が良いエンジニアですか? あなたの会社では、営業担当と開発担当は仲がいいですか? 個人の付き合いレベルの話ではなく「部門対部門」、もっといえば「立場対立場」の話です。 私が現役エンジニアだったころは、営業と開発はあまり仲がいいとは言えませんでした。開発側は「営業はいつも、条件の悪い仕事ばかり取ってくる」と思っていて、営業は営業で「なんでお客さんの言うとおりにできないんだ」と文句を言っていました。 これは私がいた会社だけではなく、同業他社のエンジニアに聞いても同じような状況でした。 営業とは仲が良い方がいい 営業と開発が仲良くやっている会社は、本当に幸せだと思います。営業と開発の仲が良かろうが悪かろうが、会社のミッションや社員に求められる目標は変わらないわ
5分で絶対に分かるZigBee − @IT
岡田 大助 @IT編集部 2007年12月14日 ■無線ネットを飛び交う電気仕掛けのミツバチたち ZigBeeとは、低コスト、低消費電力でワイヤレスセンサーネットワーク構築に適した無線通信規格です。BluetoothやUWBといった無線PAN(Personal Area Network)に属しています。 伝送速度は、250kbpsとほかの無線PANに比べると遅いのですが、1つのネットワークに最大で65535ノード(端末)が接続できます。また、複雑な設定をすることなく30ミリ秒程度でアドホック*なネットワークを構築したり、15ミリ秒程度でスリープ状態から回復したりも可能です。そして、ボタン電池1個でおよそ1年間、単三乾電池2本で2年間程度の稼動ができるといわれています。 * ネットワーク用語におけるアドホック(ad hoc)は、特定のネットワークインフラに依存せずに、ノード同士がその場でネッ
米グーグル、DDoS対策や検閲回避ツールを公開
米グーグルは2013年10月21日、表現の自由を支援することを目的に、「Project Shield」「Digital Attack Map」「uProxy」という3種類のツールを公表した。 米グーグルは2013年10月21日、表現の自由を支援することを目的に、「Project Shield」「Digital Attack Map」「uProxy」という3種類のツールを公表した。コンテンツのフィルタリングや検閲、あるいは特定のWebサイトをダウンさせることを狙った攻撃からユーザーを守り、表現の自由をサポートしていくという。 Project Shieldは、分散型DoS(DDoS)攻撃からWebサイトを守るためのサービスだ。同社のDDoS攻撃緩和技術と、コンテンツ高速化技術「Page Speed Service(PSS)」を組み合わせ、攻撃を受けてもWebサイトを通じた情報発信を継続できるよ
ツールを使ったドキュメント作成技法(後編)(3/3) - @IT
特集:ツールを使ったドキュメント作成技法(後編) マイクロソフトも実施しているドキュメント作成技法 アバナード株式会社 市川 龍太(Microsoft MVP 2008 for XML) 2008/07/23 ■マイクロソフトも活用する「patterns & practices Documentation Tools」 Documentation Toolsは、マイクロソフトの中で各種ガイドラインやベスト・プラクティスを公開しているpatterns & practicesチームにおいて日常的に使われているツールであり、同チームの成果物であるEnterprise Libraryや各Software Factory(Smart Client Software Factory、Web Client Software Factory、Web Service Software Factoryなど)の
Windows AzureのIaaS、非マイクロソフトユーザーにとっての魅力は?
Windows AzureのIaaS、非マイクロソフトユーザーにとっての魅力は?:Amazon EC2に価格で負けないことを強調 マイクロソフトがWindows Azureで、これまでプレビューとして提供してきたIaaSを、「Windows Azure Infrastructure Services」という名称で正式提供開始した(日本時間4月16日)。非マイクロソフト製品ユーザーがAmazon Web Services(AWS)でなくWindows Azureを選択することはあり得るのだろうか。 マイクロソフトがWindows Azureで、これまでプレビューとして提供してきたIaaSを、「Windows Azure Infrastructure Services」という名称で正式提供開始した(日本時間4月16日)。非マイクロソフト製品ユーザーがAmazon Web Services(AW
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
