「SQLインジェクション」などの攻撃からWebサイト（Webアプリケーション）を守るWAF（Web Application Firewall）について、5分で解説します。 WAFとは 「WAF（ワフ）」は、「Web Application Firewall」の略で、Webアプリケーションの脆弱（ぜいじゃく）性を悪用した攻撃などから、Webサイトを保護するソフトウェアまたはハードウェアのことをいいます。 近年、急速にWAFの普及が進み、多くの企業やホスティングサービス、クラウドサービスなどにおいて幅広く活用されるようになっています。本稿では、WAFがどのようなものかを、分かりやすく解説します。

要件定義も設計もしてもらいましたが、他社に発注します。もちろんお金は払いません！：「訴えてやる！」の前に読む IT訴訟 徹底解説（24）（1/3 ページ） 東京高等裁判所 IT専門委員として数々のIT訴訟に携わってきた細川義洋氏が、IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回も正式契約なしに着手した開発の支払いをめぐる裁判を紹介する。ユーザーの要請でエンジニアを常駐して設計まで進めた開発案件、「他社に発注することにした」はアリ？ ナシ？ 連載目次 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。前回は、ユーザーとベンダーの間で、見積もり合意も正式な契約もないまま作業を開始したプロジェクトが中断した判例を取り上げた。 今回も、ベンダーが正式な契約書のないまま作業した例を紹介する。同じような事例で恐縮だが、それだけこういった紛争が多いということだ。

金融庁はFinTech革命にどう向き合うのか？――新たな決済サービス、キャッシュマネジメントサービス、電子記録債権、XML電文、国際ローバリュー送金、そして規制改正：特集：FinTech入門（6）（1/4 ページ） 金融とITの融合によって多様で革新的な金融サービスを生み出す原動力になると期待されるFinTech。FinTechは日本の金融システムに何をもたらそうとしているのか？ 1月20日に開催された「BINET倶楽部セミナー」では、金融庁総務企画局企画課で企画官を務める神田潤一氏が「日本におけるFinTechの活性化に向けた金融庁の取り組み」と題して講演を行った。 特集：FinTech入門――2016年以降の金融ビジネスを拡張する技術 「Finance（金融）」と「Technology（技術）」を足した造語である「FinTech」。その旗印の下、IT技術によって金融に関わるさまざまな業

初公開から20年、「MySQL 5.7」が性能強化とネイティブJSON対応で得たもの：Database Watch（2016年2月版）（1/2 ページ） 2015年10月、新バージョンとなるMySQL 5.7 正式版がリリースされました。オプティマイザーのリファクタリングによる性能強化、NoSQL機能強化となるネイティブJSON対応が目立つ特徴です。

情報セキュリティを支える「暗号化技術」の背景にはどのような理論があり、その安全性はどのようにして検証されているのでしょうか。＠IT連載「クラウド時代の暗号化技術論」筆者であるサイボウズ・ラボ 光成滋生氏に聞きました。 連載目次 情報セキュリティの根幹をなす技術の一つである「暗号化技術」。システム利用者がその詳細にまで立ち入ることはあまりないこの技術ですが、その背景には一体どのような理論があるのでしょうか。また、暗号化技術の安全性はどのようにして検証されているのでしょうか。 2000年ごろから数学の応用分野としての暗号化技術に関心を持ち始め、2004年には放送型暗号の実装で情報処理推進機構（IPA）の「未踏スーパークリエータ」認定を獲得。2015年以降は書籍や＠ITでの連載執筆なども行ってきたサイボウズ・ラボ 光成滋生氏に、暗号化技術を支える理論やその安全性、暗号研究をめぐる最新動向、今後の

CentOS 7のシステム管理「systemd」をイチから理解する：CentOS 7で始める最新Linux管理入門（2）（1/4 ページ） 「systemd」は、Linuxの起動処理やシステム管理を行う仕組みです。systemdはinitの限界を克服するために作られた新しいシステム管理アーキテクチャで、CentOS 7でも用います。では、何が違うのでしょう。これまで使われてきた「init」と比較しながら、基礎と課題を解説します。 連載バックナンバー 前回解説した「ここが変わった、CentOS 7のポイント」に続き、今回はより実務にLinuxの起動処理やシステム管理を行う「systemd」をあらためてイチから解説します。 CentOS 7では、これまで使われてきた「init」の限界を克服するために作られた新しいシステム管理アーキテクチャとして、このsystemdを使います。 まずはその特徴を

ApacheBenchによる単純ベンチマーク測定 ApacheBench（abコマンド）は、Apacheに標準で付属しているベンチマークソフトです。リクエスト数や同時接続数を実行時のオプションとして指定できるため、用途に応じた負荷を再現することができます。しかし、評価の対象になるWebコンテンツは単一URLでしか指定できません。実際のWebコンテンツは、画像やドキュメントなどの静的要素やCGI、SSIなどを使った動的要素などが混在しています。システム全体の性能評価を行うには、各URLを実際の使用頻度に即した割合で参照させるなどの細工が必要です。ApacheBenchでは、そうした複雑な計測は行えません。半面、インストール作業や複雑なシミュレーションシナリオを用意する必要がないなど、手軽に使えるというメリットがあります。 ApacheBenchの使い方 ApacheBenchは、以下のように

Web広告からのマルウエア感染「Malvertising」にどう対処すべきか：川口洋のセキュリティ・プライベート・アイズ（57）（1/2 ページ） セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv

米グーグルがMySQL互換マネージドサービス「Cloud SQL」の第二世代を発表：1万5000IOPS、10TBデータ、104GBメモリまでスケール MySQL互換のクラウドデータベース「Cloud SQL」がパフォーマンスを強化。1万5000IOPS、10TBデータ、104GBメモリまでスケールする。

連載目次 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。ここ数回はソフトウエアの著作権に関する判例を取り上げ、前回は「頭の中に入れた設計情報や機能を、新しい会社で生かし、同じような機能を持つソフトウエアを開発した場合、著作権法に反する行為となるのか」を、裁判例を基に解説した。 本連載で何度か書いてきたように、最も多いシステム開発失敗の原因は「要件定義と管理の不備」だ。「この機能を作ってくれるはずだった」「いや、そんなことは聞いていない」「動作がイメージしたものと違う」「確かにこのように聞いた」――といった応酬がなされるトラブルは、IT紛争の定番と言ってもいいくらいだ。 特に多いのは「要件の追加、変更」をめぐるトラブルだ。いったん合意したはずの要件に、「変更したい」「追加したい」とユーザーが後から言いだし、ベンダーが対応しきれずにプロジェクトが頓挫する例は後を絶たない。

2015年12月2日、Google Cloud PlatformのプロダクトマネジャーであるRam Ramanathan氏が、Google Cloud Vision API（以下、Cloud Vision API）の限定プレビュー版を発表。既にソニーモバイルコミュニケーションズの子会社で商用ドローンなどの事業を手掛けるAerosense（エアロセンス）がアーリーテスターとしてこのAPIを利用しているという。 Ramanathan氏は「Cloud Vision APIはあらゆるタイプのアプリケーション開発者にゲームチェンジをもたらすもの」だと記している。というのも、画像認識や自動分類などの機能をAPIコールで簡単に利用できるからだ。このAPIは、グーグルが先日提供を開始した機械学習ライブラリ「TensorFlow」の機能を、複雑なプログラムを組むことなく利用できるようにしている。特殊なパター

「高可用性システム」で、DRBDをどう活用するか：DRBDの仕組みを学ぶ（2）（1/3 ページ） 連載バックナンバー 連載第一回目の前回は、「DRBD（Distributed Replicated Block Device）」の基本的な機能と動作について解説しました。 DRBDの仕組みを学ぶ（1）：DRBD（Distributed Replicated Block Device）とは何か 今回は、より実践を踏まえた話に入ります。DRBDが最も使われている「高可用性システム」での活用例を解説します。 高可用性システムにおけるDRBDの活用例 前回、サーバー2台の冗長構成でサービスを継続させるために、DRBDがどのような動きをするのか、この基本を説明しました。プライマリ機で障害が発生したら、プライマリ機とセカンダリ機を切り替えて、これまでのセカンダリ機をプライマリ機に変更します。そして、データ

UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、リモートから多数のログイン試行を可能にする、つまりブルートフォース攻撃を許してしまう問題が指摘された。 UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、設定上の不備によって、リモートから多数のログイン試行を可能にしてしまう脆弱性が指摘されている。 OpenSSHではログインする際に、パスワード認証や公開鍵認証など複数の認証方式が用意されている。総当たり攻撃（ブルートフォース攻撃）のリスクを避けるには、公開鍵認証などより強固な方式が望ましい。だが何らかの理由でパスワード認証を採用する際には、一定回数以上誤ったパスワードを入力すると、セッションが終了する仕組みを取ることで総当たり攻撃に備えることが推奨される。この回数は、デフォルトではsshd側

作り手のモチベーションから見た「Apple Music」のカタチ：ものになるモノ、ならないモノ（66）（1/2 ページ） 音楽の作り手は、2015年6月から立て続けに始まった「定額制音楽サービス」をどう見るのか――。自身が音楽レーベルを運営する山崎氏が、サービスに対する希望と不安を正直に語る。 連載目次 アップルによる定額制音楽サービス「Apple Music」がスタートし、日本のレコード業界も本格的な定額制ストリーミングの時代に突入した。メディアでは、この聴き放題型のサービスがレコード業界やアーティストの収益にどのような影響を及ぼすのか、その行く末についてけんけんごうごうの議論が白熱している。 2013年6月に「アップルの聴き放題サービス『iTunes Radio』は、音楽制作者を殺すのか」で、ストリーミングサービスにおける「収入の減少」への不安を自社の実績を示しながら赤裸々に書きつづっ

前回に引き続き、暗号化手法の一つ「ElGamal暗号」を学びます。そして攻撃に強く、「安全な暗号」に必要な要素とは何かを考えてみます。 連載目次 ElGamal暗号と強秘匿性 第1回で紹介したRSA暗号に続き、1984年に提案された公開鍵暗号「ElGamal暗号」を紹介します。 「ElGamal暗号」の考え方は、次回以降で紹介する楕円曲線暗号でも利用されます。これは次の方式で表現されます。 鍵生成：整数gと素数pを適切に選び、みんなに公開する（gとpの条件は省略します）。xをランダムに選びy=gx mod pとする。a mod bは整数aをbで割った余りを表す記号でした。以降mod pは省略します。 暗号化：公開鍵yを持つ人に対して平文mを送るには、整数rをランダムに選び、Enc(m)=(gr,myr)を暗号文とします。 復号：暗号文(c1, c2)=Enc(m) を受け取った人は自身の秘

サーバーリソースのリアルタイム監視ができる便利ツール、dstatコマンドとは？：ネットワーク管理の基本Tips 世の中にはサーバーリソースのモニタリングソフトウエアのような、GUIによる便利な環境もありますが、コマンドラインでさっと確認したり、あるいは自前でサーバーリソース情報チェックツールを作るなら「dstat」コマンドの使い方を覚えておくと便利です。 連載バックナンバー 本連載では、ネットワーク管理の基本コマンドを順を追って紹介していきます。基本書式と用法、主要なオプション、用例サンプルを示しますので、manやhelp代わりに通読し、各コマンドでできることを順次おさらいしてみてください。今回は、サーバーリソースの状態をリアルタイムで監視・確認する「dstat」コマンドを紹介します。 なお、本連載では、執筆時点の最新版「Red Hat Enterprise Linux（RHEL）」および

連載目次 前回の「WordPress構築で学ぶ、サーバー構築作業をChefのCookbookとして記述するためのポイント」では手動構築によるWordPressのインストール手順や、Cookbookの構成、WordPress構築をChefのCookbookにしていくための方針について解説しました。今回はChefのCookbookを作成しながら、Chefの構成要素を理解していきましょう。 まず、前回解説した「構築環境の前提条件」と「Cookbookの作成方針」を再度記載しておきます。 WordPress構築環境の前提条件 OSはCentOS 6.6を使用 ApacheとMySQLは同一サーバー内（「ノード」）にインストールする MySQLはRemiリポジトリを使用してインストールする 「wp.example.com」というバーチャルホストを作成し、ホスト名を「wp.example.com」、ド

WordPressは2015年4月27日、オープンソースのCMS／ブログプラットフォーム「WordPress」に、深刻なクロスサイトスクリプティングの脆弱性が存在することを明らかにした。同日、問題を修正した新バージョン「WordPress 4.2.1」をリリースし、速やかなアップデートを呼び掛けている。 この脆弱性が影響するのはWordPress 4.2以前だ。コメント機能に問題があり、攻撃者がコメント中に挿入したJavaScriptを閲覧することで、サーバー上で任意のコードが実行される恐れがある他、管理者アカウントのパスワードを変更されたり、新たなアカウントを作成されたりする恐れがある。 この脆弱性を発見し、4月26日付で実証コード（Proof of Concept）を公開したフィンランドのセキュリティ企業、Klikki OyのJouko Pynnönen氏は、WordPress 4.2

【詳報】ヴイエムウェアが軽量コンテナホストなどのOSSプロジェクト、様々な「なぜ」を紐解く：VMware NSXとの関係は？ 米ヴイエムウェアが2015年4月20日（米国時間）に発表した2つのオープンソースプロジェクト、「Project Photon」「Project Lightwave」。ヴイエムウェアはなぜこれらの機能を自ら提供しようとしているのか。なぜオープンソースプロジェクトなのか。VMware NSXとはどのような関係にあるのか。詳しくお伝えする。 米ヴイエムウェアは4月20日（米国時間）、「Project Photon」「Project Lightwave」という、2つのオープンソースプロジェクトを発表した。Project Photonはコンテナ環境に特化した軽量Linux OS、Project Lightwaveはコンテナアプリのための認証・権限管理を開発するプロジェクトだ。

「“サーバーは止まるもの”を前提とするCassandraの実装はIoTと相性がいい」説：Database Watch（2015年4月版） 今月は「Cassandra Summit Tokyo 2015」から、IoT（Internet of Things：モノのインターネット）を支えるデータベースとして活躍する「Cassandra」のいまを取材してきました。 連載バックナンバー 自動車と「Cassandra」の関係 2015年4月21日、「日本Cassandraコミュニティ」が主催する「Cassandra Summit Tokyo 2015」が開催されました。今回はその中から自動車のIoT分野におけるCassandraとの関係について見てみましょう。Cassandraは分散型NoSQLデータベースの一つです。 IoTの潮流の一つとして、自動車などの車両に搭載したセンサーのデータを収集し、その