サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
掃除・片付け
www.intellilink.co.jp
2024年2月26日にNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークがV1.1からV2.0へバージョンアップしました。この文書は、本来は米国連邦政府向けの文書だったのですが、その内容の分かりやすさや、時流に即した内容により、米国の民間企業にも、そして日本を含む他国のセキュリティの取組みに大きな影響を与えています。 本コラムでは、NISTサイバーセキュリティフレームワーク(以下、CSF)V2.0の変更点を読み解くことによって、今後のサイバーセキュリティ対策に必要な要素や留意点について明らかにします。 なぜサイバーセキュリティフレームワーク(CSF)が注目されるのか? CSFは、元々は米国連邦政府の重要インフラ向けに2014年に策定されたものです。そのため、本来無関係な民間企業や、日本の組織で利用・遵守する義務はありません。 しかし、サイバー攻撃によって侵入された前提で
NTTデータ先端技術株式会社(本社:東京都中央区、代表取締役社長:藤原 遠、以下:NTTデータ先端技術)は2024年2月13日より、オールインワンAI/機械学習プラットフォーム「Dataiku」のSaaS版である「Dataiku Cloud」の取り扱いを開始しました。 これまでNTTデータ先端技術は、「Dataiku」のクラウドインストール版、オンプレミスインストール版を提供してきました。今回、新たなラインナップとしてSaaS版の「Dataiku Cloud」の取り扱いを開始し、お客様の初期構築期間をこれまでよりも大幅に短縮し、最新のデータを迅速に活用開始いただけるようになります。AI/機械学習のフルマネージド・AIプラットフォームサービスとして、お客様のAI活用、アナリティクスによる洞察を加速させます。今後は、「Dataiku Cloud」も含めた3つのプランから、お客様のビジネス状況に
2023年12月7日にApache Software Foundationにより修正されたApache Strutsに存在するリモートコード実行の脆弱性(CVE-2023-50164, S2-066)についての検証を実施し、脆弱性の悪用が可能であることを確認しました。 1. 本脆弱性の概要 Apache Struts は、Apache Software Foundationが提供するWebアプリケーションのフレームワークで、Javaによる実装として幅広く利用されています。 本脆弱性の悪用に成功した場合は攻撃者がリモートから任意のコードを実行できる可能性があり、 Apache Software FoundationによるとCVSSv3スコアは9.8、SeverityはCriticalと評価されています。[1] また、概念実証(PoC)コードも数多く公開されており、攻撃の観測も報告されているこ
Microsoft、Google、MetaなどのBig Techが生成AIの開発をリードし、競争を激化させている現在、国家レベルでも本腰を入れて政策的に取り組もうという動きが加速しています。たとえば、英国では、2023年度春季予算案において、財務大臣が大規模言語モデルを含む基盤モデルにおける英国の主権能力を向上させるための新たな政府・産業タスクフォースを設立すると発表し、また、スナク首相が11月1日~2日にAIの安全性やリスク管理をテーマにした世界初のサミット "AI Safety Summit" を世界28カ国とEUの政府高官やAI企業の代表らを招集して主催するなど、AI推進とAI規制は英国政府の積極的な政策分野となっています。 英国の政府機関の一つであるCMA(Competition & Markets Authority:競争・市場庁)は、2023年9月18日に、"AI Founda
NTTデータ先端技術株式会社(本社:東京都中央区、代表取締役社長:藤原 遠、以下:NTTデータ先端技術)は2023年12月31日まで、統合運用管理ソフトウェア「Hinemos」の生成AIを用いた運用自動化・効率化を推進する実証実験を行います。 生成AIを使用し、過去の設計ナレッジやインシデント情報、ITシステムの稼働情報といった蓄積データを最大限に運用に活用するAIドリブン運用により、迅速性、生産性の向上が見込めます。これまでも、HinemosではITシステムから発生したイベントから対応不要なイベントをAIで判別し、その80%を削減させイベント対応業務を効率化・自動化できる検証結果を得ています。本実証実験では、さらに生成AI(ChatGPT)活用により自動化サイクルの効率化が図れる事を検証します。従来、専門知識が必要だった運用の自動化に必要な設定・ルール生成を、生成AI活用により自然言語で
前回記事(PCI DSS Version 4.0における変更点のポイント 第一回)では、PCI DSS Version 4.0の移行スケジュールと主な変更点の概要を紹介しましたが、新バージョンへの移行状況はいかがでしょうか。今回は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」で紹介されているVersion 4.0の変更点のうち、2025年3月31日より後に要件化(それまではベストプラクティスの位置づけ)される未来日付の新規要件について抜粋して紹介したいと思います。 新規要件の全体概要 PCI DSS Version 4.0の新規要件は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」の「6. 新規要件の概要」にまとめられており、全64項目の新規要件があります。
最近、クラウドサービスプロバイダ各社が言語系の基盤モデルとそのファインチューニング機能を提供し始めました。企業が生成AIをビジネスに本格的に活用させたいと思うならば、自社がもつデータセットで基盤モデルをファインチューニングする必要があるからです。 AIは、他の技術が成長する上で不可欠な基盤的な技術であり、ビジネスや社会の進化を後押ししています。最近、世間を賑わせているAIと言えば、生成AIでしょう。その中でもここ数ヶ月、メディアで数多く取り上げられて一躍注目を浴び、ビジネス現場を賑わせ続けているのが、OpenAIが開発したChatGPTです。ChatGPTは、GPT-3.5 Turboという大規模言語モデルを用いたAIチャットサービスです。(ただし、ChatGPTを大規模言語モデルと呼ぶ場合もあります。)GPT-3.5 Turboは、GPT-3.5という基盤モデルを人間のような自然な会話が
1. はじめに 2019年に新型コロナウイルス感染症(COVID-19)が流行してから、「ゼロトラスト」という言葉を非常によく耳にするようになりました。ただ、当時は同じゼロトラストという言葉を使っていても、その意味は専門家やベンダーにより異なっており、バズワードとしての側面が強かったように思います。 2020年に米国国立標準技術研究所(NIST)がSP 800-207「ゼロトラスト・アーキテクチャ」を発行した頃から、少しずつゼロトラストという言葉を同じ意味で(共通言語として)使えるようになってきました。 2023年現在、ゼロトラストはバズワードや一過性のトレンドとしてだけでその役割を終えることなく、サイバーセキュリティにおける新たな原則として、着実に浸透してきています。 しかしながら、ゼロトラストは概念であり特定の技術や製品を意味するものではないことから、他の用語と比べると正確な理解が難し
始めに 本コラムではStart-Process コマンドレットを使用した「別のユーザーとして実行」の実装法をいくつか紹介します。 ここでは実行対象は「Powershell.exe」としています。 ユーザーは、管理者権限を持つ Adm1,Adm2 と標準アカウントの TestUser を例として使用します。 Start-Process https://docs.microsoft.com/ja-jp/powershell/module/microsoft.powershell.management/start-process?view=powershell-5.1 別のユーザーとして実行する場合 Start-Process コマンドレットにあるCredentialパラメータを使用することで、別のユーザーを指定して実行することができます。 具体的には Start-Process -FilePa
一般社団法人 日本クラウドセキュリティアライアンス(以下:CSAジャパン)にて、「ChatGPTのセキュリティへの影響」が公開されました。 CSAジャパンは、Cloud Security Alliance(以下:CSA)の日本法人で、日本のクラウドセキュリティの向上を目的とし、クラウドのセキュリティに関する啓発・情報発信等の活動を行う任意団体です。 「ChatGPTのセキュリティへの影響」は、CSAが公開している「Security Implications of ChatGPT」の日本語訳で、ChatGPTのような大規模な言語モデルがサイバーセキュリティ産業の未来をどのように形作るかを包括的に理解することを目的としています。 原本である「Security Implications of ChatGPT」の日本語化において、当社サイバーセキュリティ事業本部 石井 英男が、翻訳メンバーの一員と
1. はじめに サイバー攻撃の脅威から組織を守るために、本コラムの読者の皆様は何をされているでしょうか?資産管理、脆弱性管理、IoC(Indicator of Compromise)を中心とした脅威インテリジェンスの収集やセキュリティ機器への適用など、さまざまな対応を行われていると思いますが、その中でも「情報共有」を実施されている組織はあるでしょうか? 昨今、IoCをはじめとした脅威に関する情報共有が活発となっています。しかし、共有される情報の中身をアナリストがすべて目を通しているケースは少ないのではないでしょうか?機械的に不審/悪性と評価され、具体的な脅威や実施すべき対処などが記されていないまま共有されるケースが多いのではないでしょうか?つまるところ、実務者が「調査や対策に有益に活用できる」という観点での情報共有はなかなか進んでいないと感じています。 本コラムでは、情報共有において現状不
CRFによる情報抽出サンプル 以下はこれら条件を元に、実際に抽出から精度評価までを行うコードです。 ※Pythonコードで記載しています import os from time import time import json from sklearn.metrics import make_scorer import sklearn_crfsuite from sklearn_crfsuite import metrics import joblib import numpy as np import fasttext def save_jsonl_file(file_name, jsonl): with open(file_name,"w", encoding="utf8") as f: for json_data in jsonl: json_text = json.dumps(jso
はじめに 今年はアジャイルソフトウェア開発宣言が発表されてからちょうど20年の節目を迎えます。日本においてもアジャイル開発は広く認知され、多くの開発現場でアジャイル開発が採用されています。 しかしアジャイルが普及したことにより、目的意識を持たない、マインドの低いアジャイルチームも見られるようになりました。たまたま参画したプロジェクトがスクラムを採用していたのでなんとなくアジャイル開発に携わっていた、あるいは、経営層からの「うちもアジャイルを導入せよ」という号令で、スクラムのフレームワークを開発プロセスに取り入れることに奮起してアジャイル導入そのものが目的になってしまった、という現場もあるでしょう。 そのようなマインドの低い状態では、ただ「スクラム」という型に当てはめるだけの開発になり「このイベントは何のため? 意味あるの? なんかスクラムって思ってたのと違って辛いしダルいな」と感じるメンバ
*本コラムは、技術評論社「Software Design」2021年3月号に寄稿したコラムを掲載しています。 前回は、いかに価値あるサービスや課題解決を具体的に創出するかについて書きました。今回はその実践編として、具体的なイメージのあるサービス・価値をどのような形で実現するか、言い換えるとどのようにプロダクトバックログを作っていくか、について解説したいと思います。 プロダクトバックログを作るまでの道のり 今回の目的は、プロダクトバックログはどのようにして作られるかをお伝えすることです。前回定義したサービスイメージから、どのような道のりを経て、プロダクトバックログに到達するのか、について述べていきます。 ここで、前回の検討を一度おさらいしておきたいと思います。 サービスの目的:「自分の家が防犯上望ましくない状態になっている」ことを防ぐ 簡易ペルソナ:子供が1人おり、共働きの山田さん(44歳)
前編では、各国で開発が進む大規模言語モデルの傾向と、日本語独自の課題をご紹介しました。(https://www.intellilink.co.jp/column/ai/2022/070800.aspx) 後編では、日本語に特化した大規模言語モデルの具体例として、rinna社の日本語GPT言語モデルとLINE社のHyperCLOVAをご紹介します。 1. rinna社の日本語GPT言語モデル Microsoft社のAI&リサーチ部門でAIチャットボットの研究を行っていたチームがスピンアウトして2020年6月に設立したAIキャラクター開発企業であるrinna社※1は、日本語に特化した13億パラメータのGPT言語モデルを公開しました。 (1)背景※1 rinna社はこれまでに、日本語の自然言語処理(NLP)に特化したGPT(3.3億パラメータ)やBERT(1.1億パラメータ)の事前学習モデルを公
1. 概要 近年、自然言語処理分野において、汎用的な大規模言語モデルの開発が世界中で活発に行われています。「汎用的な大規模言語モデル」とは、大規模なテキストデータを事前に学習し、わずか数例のタスクを与えただけでさまざまな言語処理タスク(文章生成、穴埋め問題、機械翻訳、質問応答など)を解くことができる言語モデルのことです。 (文章生成の汎用的な大規模言語モデルとしては、「GPT-3」が有名ですが、そちらの紹介は以下のコラムで行っておりますので、よろしければご参照ください。) コラム:自然言語処理モデル「GPT-3」の紹介:https://www.intellilink.co.jp/column/ai/2021/031700.aspx こうした中、2022年3月28日に、東京大学松尾研究所発のAI(人工知能)スタートアップである株式会社ELYZA(イライザ)は、キーワードから日本語の文章を生成
*本コラムは、技術評論社「Software Design」2021年7月号に寄稿したコラムを掲載しています。 スクラムは簡単だけど難しい? 「スクラムは理解することは簡単だが、実践することは難しい」とよく言われます。事実、スクラムガイド注1は20ページにも満たないボリュームで、フレームワークとしてはシンプルで理解することはそこまで難しくないかと思います。では、なぜ実践することは難しいと言われているのでしょうか。 実践が難しい要因はたくさんありますが、ここではよく聞く代表的な例を2つ挙げます。 1つめはマインドの変革が必要だということです。アジャイル・スクラム特有の考え方を表面上は理解できても、それを真に理解するには今まで持っていた考え方を変えることが必要な場合があります。とくに長くキャリアを積んで今までのやり方で成功体験を多く積み重ねてきたベテランエンジニアは注意が必要かもしれません。プロ
Dataiku(データイク)は、データソースへの接続からデータの準備、AIや機械学習モデルの構築に加え、分析アプリケーションの開発と運用までをひとつのソリューションとして統合させた、オールインワンのAI・機械学習プラットフォームです。 プログラムコードの知識がなくても使えるノーコード・ローコード開発にも対応しており、GUI(*1)で直感的な操作が可能です。これにより、データ分析に関して高い専門性を有するデータサイエンティストやデータエンジニアのみならず、一般的なビジネスユーザーでもクリック操作だけでデータにアクセスして分析を進めることや、AIを業務に組み込み活用することが容易になります。 企業内のさまざまな部門や役割のユーザーがひとつのプラットフォーム上で、日常的かつ容易にデータやAIにアクセスできるようになるため、組織全体で効率的なデータおよびAIの活用を実現できます。
概要 近年、ディープラーニングの自然言語処理分野の研究が盛んに行われており、その技術を利用したサービスは多様なものがあります。 当社も昨年2020年に「INTELLILINK バックオフィスNLP」という自然言語処理技術を利用したソリューションを発表しました。 INTELLILINK バックオフィスNLPは、最新の自然言語処理技術「BERT」をはじめとする最新の自然言語処理群に加え、ルールベース・機械学習問わず様々な技術要素を備え本コラムにて扱う「知識抽出」以外にも「文書分類」「機械読解」「文書生成」「自動要約」などさまざまなAI機能を備えており幅広いバックオフィス業務の効率化を実現することが可能です。※1 本コラムでは、様々な企業が自社で取り扱うビジネス文書、メール・応対履歴といったログ情報などの自然文から機械が取り扱いやすい構造化データとして情報を抽出する「知識抽出」の取り組みの一つで
2021年12月6日にApache Software Foundationにより修正されたLog4j に存在するリモートコード実行の脆弱性(CVE-2021-44228)についての検証を実施し、脆弱性の悪用が可能であることを確認しました。[1][2] (2022.2.16) 追加情報: 以下追加情報として、「Apache Log4jに関する解説 1.6版」を公開しましたのでご覧ください。 1. 本脆弱性の概要 Log4j は、Apache Software Foundationが提供するロギング用ライブラリで、Java等のアプリケーションでログ出力を行う実装として幅広く利用されています。本脆弱性はLog4shellとも呼称され、Log4j に存在する JNDI(Java Naming and Directory Interface) Lookup機能に含まれる問題に起因します。 本脆弱性の
<注記> 本コラムは、2021年8月までに公開された改正法やガイドライン等の内容をベースにしています。本コラム公開後に改正法のガイドラインやQ&Aが変更になった場合、その内容、状況に応じて順次更新させていただく予定です。最新のガイドラインと必ずしも内容が合っていない場合もございますのでご了承ください。 1.データ利活用に関する施策の在り方 (1)「仮名加工情報」を創設し、開示・利用停止請求への対応等の義務を緩和した。(法第35条の2・第35条の3関係) 改正前 なし 改正後 「仮名加工情報」の概念が創設されました。仮名加工情報とは、個人情報や個人識別符号について、その一部を削除することや復元可能な規則性が無いよう置換することで、特定の個人を識別することができないよう加工した情報です。 解説 仮名加工情報は、新たに創設された考え方のため、少し詳細に解説します。 ① 仮名加工情報の加工方法 仮
Tweet セグメントルーティング(Segment Routing) とは、ソースルーティング(Source Routing)によるパケットフォワーディング(Packet Forwarding)技術です。具体的には、 パケットを送信する発側ノード(ソースノード:Source Node)は、着側ノード(Destination Node)までの経路と経由するノードにおける処理を、転送順序で、セグメント情報として定義します。 セグメント情報として定義される、経由するノードにおける処理としては、例えば、以下のような処理があります。 セグメント情報がエンコーディングされたヘッダ情報の削除処理を行う(Decapsulation処理) ノードで定義された別のルーティングテーブルを確認して転送処理を行う(Look up処理)、など。 これまでの基本的なルーティング方式では、さまざまなルーティングプロトコル
はじめに 前回のコラムでは、「セグメントルーティング(Segment routing)」の基本的な概要について説明しました。今回のコラムでは、IPv6ネットワークの上で構成されるSRv6(Segment Routing IPv6)について、少し詳しく内容を解説します。 今回は、SRv6サービスを実現するパケットヘッダーについて、詳しく観察してみます。ここでは、簡単のため、Ubuntu上にNetwork Namespaceを用いてモデルネットワークを構成し、SRv6処理を行うノードにおいて、ネットワーク処理スタックにおけるさまざまなNetfilter hookポイントで、Python Scapyパッケージを用いて、疎通するパケットを取得、そのヘッダーについて、観察します。また、参考として、MPLS IPv6トンネルとの比較もします。 次に、SRv6を用いてVPNを構成するために必要な設定を実
NISTのリスクマネジメントフレームワーク(RMF)とは ~第1回 SP800-37 Rev2とリスクマネジメントフレームワーク(RMF)~ Tweet はじめに 2018年12月にNIST(米国国立標準技術研究所)からリスクマネジメントのフレームワークを定めた文書SP800-37 Revision 2が公開されました。 当文書は、2014年に公開されたSP800-37 Revision1の修正版であり、4年ぶりの改訂となります。 本コラムでは、リスクマネジメントフレームワークとは何か、 Revision 2への改訂で何が変わったのかを見ていきたいと思います。 1.SP800-37 Rev2のリスクマネジメントフレームワーク(RMF)とは リスクマネジメントフレームワーク(RMF:Risk Management Framework)とは、組織や情報システムにおける情報セキュリティリスク(プ
1. 概要 近年、ディープラーニングの自然言語処理分野の研究が盛んに行われており、その技術を利用したサービスは多様なものがあります。 当社も昨年2020年にINTELLILINK バックオフィスNLPという自然言語処理技術を利用したソリューションを発表しました。INTELLILINK バックオフィスNLPは、最新の自然言語処理技術「BERT」を用いて、少ない学習データでも高精度の文書理解が可能です。また、文書の知識を半自動化する「知識グラフ」を活用することで人と同じように文章の関係性や意図を理解することができます。INTELLILINK バックオフィスNLPを利用することで、バックオフィス業務に必要となる「文書分類」「知識抽出」「機械読解」「文書生成」「自動要約」などさまざまな言語理解が可能な各種AI機能を備えており、幅広いバックオフィス業務の効率化を実現することが可能です※1。 図:IN
Tweet はじめに GDPR(EU 一般データ保護規則)が2018年5月に施行され、欧州地域から国境を超えた個人データの取り扱いについて、世界各国が対応しなければならない時代となりました。 現在でも手探りの部分はあるかと思いますが、プライバシー保護の認識が世界中で高まり、自分の個人データは自分で管理するという基本原則が少しずつ広まっているように感じます。 一方で個人データの処理や転送を行う企業(組織)は、本人からの求めに応じた対応手段を整備し、キチンとした安全対策を行わなければ巨額の制裁金が課せられる、ある意味キビシイ時代になったとも言えます。 そんな中、2020年1月からCCPA(カリフォルニア州消費者プライバシー法)が米国カリフォルニア州で適用開始となっており、こちらについても他国への影響が避けられない内容となっています。世界中でプライバシー関連法の整備が進む中でも、特に注目したいC
Tweet 前回は、MITRE ATT&CKの概要について解説した。 第2回ではATT&CKの内容について、攻撃手法や緩和策の例を挙げてどのようなことが書かれているか、どう読み取れば良いかを解説する。 フィッシング攻撃(Phishing)の場合 1. 攻撃手法(Techniques) 今回は、フィッシング攻撃(Phishing)を例に解説する。 フィッシング攻撃は、ATT&CK の戦術(Tactics)の中でも最初のステップとなる「初期アクセス(Initial Access)」の中で用いられる攻撃手法で、最初に機器への侵入を試みるステップである。 フィッシングとは、標的に電子メールやリンクなどを送り付け、個人情報等の機密情報を不正に入手する攻撃で、攻撃の方法としては多数存在する。 フィッシング攻撃 攻撃者はフィッシングメッセージを送信して機密情報を引き出したり、被害者のシステムにアクセスし
Tweet 本号では、MITREが公開しているMITRE ATT&CKの概要、ATT&CKのモデル、ATT&CKの構成とその内容の概要、ATT&CKの利用例などについて解説する。 1. MITREの概要 MITREは、米国の連邦政府が資金を提供する非営利組織であり、R&Dセンターと官民のパートナーシップを通じて、国の安全性、安定性、福祉に関する事項に取り組んでいる。 MITREは連邦政府、州政府、地方自治体だけではなく、産業界や学界の公共の利益のために活動している。対象分野は、人工知能、直感的なデータサイエンス、量子情報科学、医療情報学、宇宙安全保障、政策と経済、信頼できる自律性、サイバー脅威の共有、サイバー回復力などであり、さまざまな分野で革新的なアイデアを生み出している。 サイバーセキュリティの分野では、米国国立標準技術研究所(NIST)の連邦研究開発センター(Federally fu
Tweet ソフトウェアの開発においては、米カーネギーメロン大学のソフトウェア工学研究所(SEI)が開発したCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と呼ばれるプロセスの成熟度モデルがある。 セキュリティに関して、セキュリティのマネジメント基準、サイバーセキュリティ対策のガイドライン、さらにセキュリティの監査基準などが開発され、公開されている。最近、セキュリティに関する自己評価するためのガイドラインとして、セキュリティマネジメントの成熟度、ソフトウェアのセキュリティ成熟度、セキュリティ対応組織の成熟度など、セキュリティ成熟度に関する議論が行われ各種資料が公開されている。 本号では、セキュリティ成熟度の動向を解説する。はじめに、成熟度の動向に関する概要を表1に示す。ただし、成熟度の分類方法については、筆者が考えた分類であり、セ
次のページ
このページを最初にブックマークしてみませんか?
『NTTデータ先端技術|人と技術で、まだ見ぬ未来へ | NTTデータ先端技術株式会社』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く