楽天グループがWebサーバーに「security.txt」と呼ぶテキストファイルを置き、脆弱性▼情報の受付窓口としてVDP（Vulnerability Disclosure Program、脆弱性開示プログラム）を開始したことがSNSで話題になった。2023年10月2日のことだ。同社広報はこれを事実だと認めた。 security.txtは、米Apple（アップル）や米Google（グーグル）、米GitHub（ギットハブ）、米IBMなど、海外IT大手は既に導入している。一方、日本では少ない。security.txtとは何か、国内でなぜ普及しないのか、脆弱性情報の受け付けとの関連性は――。順に見ていこう。 セキュリティーが高まる理由 security.txtとは、当該企業が提供する製品やサービスの脆弱性情報を見つけた人が通知する窓口を示すためのファイルだ。その仕様は、インターネット関連技術の標

ネットワーク関連の技術書などを読んでいると，例として登場するネットワークで「192.168.x.x」といったアドレスがよく使われている。特に覚えやすいわけでもないのに，なぜこのようなアドレスを使っているのだろうか。今回はここに焦点を当てていこう。 IPアドレスは，IPというプロトコルで相手を識別するのに使うアドレス。世界中のネットワークを相互接続するインターネットはプロトコルにIPを使っているので，インターネットに接続しているすべてのコンピュータは，ほかと重複しないIPアドレスを割り当てる必要がある。このため，インターネットで使われるIPアドレスは，だれがどのアドレスを使っているのか厳重に管理されているのである。このように，一元的に管理され，インターネットで使えるIPアドレスのことを「グローバル・アドレス」と呼んでいる。 ただし，IPネットワークの技術はインターネットに直接つながっていない

1人の転職活動に10社以上が内定を出すほど、ITエンジニアの争奪戦が激化している。背景には、事業会社やコンサルティング会社が採用を強化していることがある。しわ寄せが行くのは中堅・中小のベンダーだ。生き残るすべを見つける必要がありそうだ。 パーソルキャリアが発表した2022年12月の「エンジニア（IT・通信）」の転職求人倍率は、12.09倍と全職種でトップだった。前年同月比で2.21ポイント増、前月比で1.64ポイント増と人気に拍車がかかっている。 2023年1月のITエンジニアの転職求人倍率は11.17倍と前月比で0.92ポイント下がった。それでも全体平均の2.34倍を9ポイント近く上回っている。

2021年12月、京都大学のスーパーコンピューターがトラブルに見舞われた。学術論文に使う重要データなど、実に77テラバイト（TB）分のファイルが消失した。ITベンダーの担当者が実行中のスクリプトを不用意に更新したのが原因だった。本来はログ削除の処理が利用者のファイルを削除する誤動作を引き起こした。ミスを犯したITベンダーも問題だが、監督不十分だった京都大学の責任も重い。 「弊社100％の責任によりLustreファイルシステムのファイル消失の重大障害を来し、多大なるご迷惑をお掛けしたことを深くお詫び申し上げます」 京都大学が2021年12月28日に公表した「スーパーコンピュータシステムのファイル消失のお詫び」のお知らせには、大規模なデータ消失を引き起こした日本ヒューレット・パッカードが同大学宛てに提出した報告書がリンクされていた。「弊社100％の責任」という説明は、ITベンダー側の「完全降伏

プログラミングの学習を始めようとする人がする定番の質問がある。「どのプログラミング言語を選べばいいか」というものだ。 私はこのコラムで以前、JavaScriptからプログラミングを始めてはどうかと書いた。JavaScriptはWebブラウザーさえあれば動作するからだ。例えば「Chrome」であれば、F12キーを押して「Console」タブを選ぶだけで、JavaScriptの対話実行環境を利用できる。 関連記事： 保存していないクレジットカード情報が漏洩する謎、鍵はあのプログラミング言語 もっとも、JavaScriptは最初に学ぶ言語としては少し癖が強いとも感じている。どちらかというと、2番目か3番目に学ぶことで視野が広がるタイプの言語ではないだろうか。 私が初心者に勧めるとしたら候補は2つある。「Ruby」と「Python」だ。 私がRubyを勧める理由は、「プログラミングの楽しさ」を体験

ネットマーケティングは2021年8月11日、同社が運営する婚活マッチングアプリ「Omiai」で起こった不正アクセスによる会員情報流出の調査結果と今後の対応策を発表した。調査の結果、同社が契約するクラウドサーバーが不正アクセスを受け、年齢確認書類の画像データが複数回にわたって外部に流出したことが分かった。 Omiaiへの不正アクセスを巡っては、運転免許証や健康保険証、パスポートといった年齢確認書類の画像データ171万1756件（アカウント数）が外部に流出したことが判明している。現時点で流出した画像データに関連した二次被害などは確認できていない。 関連記事： 婚活アプリ「Omiai」、運転免許証やパスポートの画像が171万件も流出した経緯 不正アクセスは2021年4月20日から26日にかけて、同社API（アプリケーション・プログラミング・インターフェース）サーバーを介して、同社が契約するクラウ

防衛省が2021年5月17日に開設した新型コロナウイルスワクチンの大規模接種会場向けの予約サイトが、「0000000000」といった架空の接種券番号で予約を受け付けることが分かった。加えて、何度でも予約できる状況になっている。防衛省は日経クロステックの問い合わせに対し「不具合かどうかを含めて状況を確認中」（報道室）としている。 自治体番号は「000000」、接種券番号は「0000000000」、生年月日は年齢が対象外の51歳となる「1970年1月1日」で認証を通過し、予約まで完了した 大規模接種会場向けの予約サイトは、地方自治体が対象者に郵送した接種券に記載された「自治体番号」（6桁）と「接種券番号」（10桁）に加えて、接種を受ける本人の生年月日を入力して予約する。現在の接種対象者は65歳以上の高齢者だ。 日経クロステックが実際に予約サイトで確認したところ、2つの番号とも実在しないとみられ

前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ，HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は，HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と，その対策について解説する。 HTMLエンコードで対処できない攻撃には，次のようなものがある。 タグ文字の入力を許容している場合（Webメール，ブログなど） CSS（カスケーディング・スタイルシート）の入力を許容している場合（ブログなど） 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注） 以下では，HTMLタグやCSSの入力を許容している場合と，文字コードを明

三井住友銀行（SMBC）が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」（広報部）と説明している。 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含ま

SIerをはじめとする人月商売のITベンダーの経営者たちは「えらいことになりそうだ」と不安で夜も眠れない日々を過ごしているかもしれない。あるいは逆に「どうせお茶を濁して終わりだろう」と高をくくっているかもしれない。何の話かというと、菅義偉政権が推し進める行政のDX（デジタルトランスフォーメーション）の件だ。 IT業界の関係者ならよくご存じかと思うが、金融と公共の両分野は人月商売のITベンダーにとって金城湯池だ。以前はこの両分野だけで業界全体の売り上げの4割ほどを占めるといわれていた。もちろん金融や公共の案件には多重下請けの形で多くのITベンダーが群がっているから、単純に足し合わせた全体の売り上げは水膨れする。それに最近は、他の産業分野でのIT投資が活発になっているから、比率はかなり下がっているはずだ。だがそうは言っても、今でもおいしい市場であるのは間違いない。 その金城湯池の一角が崩れるか

自宅パソコンと会社パソコンにそれぞれインストールした専用ソフトが、インターネット上の「大規模分散中継システム」を経由してSSL-VPNでやりとりする（作成：日経NETWORK） 信じられないほど、動作が軽い――。記者が実際にシン・テレワークシステムを使ってみた感想だ。自宅と会社にある2台のPCに専用ソフトをインストールし、自宅PCからログインするだけで準備が完了する。そのまま画面上に瞬時に会社PCのデスクトップが現れ、カーソルを動かすとほとんどタイムラグなしで同期した。いわゆるVDI（仮想デスクトップ基盤）方式で、自宅PCからはマウスやキーボードの動作、会社のPCからはデスクトップの画像データのみを相互に伝送している。 記者は現在テレワークを基本としているため、社内システムにアクセスするためにVPN（仮想私設網）を使う機会は多い。会社で使うVPNは、簡単なWebサイトの読み込みにもかなりの

新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS（ソフトウエア・アズ・ア・サービス）の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年

会話が無い。聞こえてくるのは仕事の指示や叱責のみ。そんなIT職場で働いた経験がある。 叱責が耳に付く職場だった。若手にヒステリックな声をあげている先輩社員も目立っていた。 筆者は外部の人間だったため多少の世間話は許された。しかし社員たちは雑談することなく黙々と作業をしていた。私がたまに雑談で声を掛けた時の、若手社員たちのうれしそうな（すがるような）瞳が忘れられない。彼ら／彼女らはその後そろって退職した。 雑談すらせず仕事に取り組んでいたのに、生産性が高いというわけではなかった。部課長や先輩社員から若手への叱責の内容を聞いていると、大半が意識違いや抜け漏れに起因する手戻りなのである。 「そういうことじゃない」 「なんで相談しなかったの？」 「普通こう対応するよね。常識だろ？」 この手の言葉がひっきりなしに飛び交う。 いやいや、雑談する隙すら無い職場環境で相談しないことを責めるのはあんまりだろ

いやぁ、白旗を揚げたくなるような気分だ。この極言暴論などで問題点や将来のリスクを何度も指摘してきたが、もはや多勢に無勢。ITベンダーの人からは「木村さんが何と言おうと、大きな流れは止まりませんよ」と皮肉られる始末だ。 何のことかといえば、日本企業の間で果てしなく続くRPA（ロボティック・プロセス・オートメーション）の一大ブームの件だ。30年以上にわたるIT記者としての長い経験の中でも、これだけのブームは見たことがない。「RPA、恐るべし」である。 ブームの中心地が日本である点も、これまでのIT関連のブームとの違いだ。従来、IT系の名だたるバズワードの発信地・中心地はほぼ米国と決まっていた。 最近の話でいえば、AI（人工知能）やIoT（インターネット・オブ・シングズ）は日本企業の間でも大ブームで、「ITは分からない」と公言していた経営者までがAIやIoTを活用する重要性を語るほど。だが、あく

加賀電子は9月10日、富士通セミコンダクターの100％子会社で販社の富士通エレクトロニクスを買収すると発表した。この買収により、加賀電子は年間売上高5000億円規模となり、国内ではマクニカ・富士エレホールディングスに迫る規模の半導体商社が誕生することになる。 半導体商社を取り巻く事業環境は厳しさを増しており、こうした経営統合は必然でもある。9月14日には、UKCホールディングスとバイテックホールディングスが2019年4月の経営統合を発表した。 一方、今回の案件は富士通グループにとって半導体事業とは果たして何だったのか、という別の視点からの分析もできそうだ。今回は富士通の半導体部門OBとしての筆者の私見を含めて、加賀電子による富士通エレクトロニクス買収の分析を試みたい。 半導体商社を取り巻く事業環境は、本コラムで何度か述べてきた通りである。メガ・ディストリビュータと呼ばれるArrow社やAv

「クロスサイト・スクリプティング（XSS）脆弱性を悪用された場合の被害例としては『Cookieを盗まれる』ことがよく挙げられる。しかし，実際にはもっと深刻な被害を受ける恐れがある。管理者や開発者はその危険性を十分に認識して，対策を施す必要がある」――。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は11月10日，ITproの取材に対して，XSS脆弱性の脅威を強調した。 さまざまなWebサイト（Webアプリケーション）において，XSS脆弱性が相次いで見つかっている。その背景には，開発者などの認識不足があると徳丸氏は指摘する。「適切に対策を施すには，XSS脆弱性のリスクを把握する必要がある」（徳丸氏）。しかしながら，実際には，XSS脆弱性のリスクを過小評価しているケースが少なくないという。 例えば，「（自分たちが運営している）携帯電話向けサイトでは（携帯電話上で

著作者や出版社に無断で漫画作品を違法にアップロードして閲覧可能にしていると大きな問題になっていた違法サイト「漫画村」がGoogleの検索結果から排除された。米国のデジタルミレニアム著作権法（DMCA：Digital Millennium Copyright Act）に基づく著作権侵害申請によるもの。

あけましておめでとうございます。日経エネルギーNext編集長の山根小雪です。本年もどうぞよろしくお願いいたします。 2018年はエネルギー業界にとって、大いなる変化の年になりそうな気がしています。2016年の電力全面自由化、2017年のガス全面自由化といった分かりやすいイベントはありません。ただ、大手電力にとっても、新電力にとっても、今年どう動くかがその後の行方を大きく左右すると感じるのです。 その理由は、日本のエネルギー業界の巨人である大手電力の“気づき”にあります。 夏に火力発電所がフル稼働しなかった衝撃 「大手電力会社の経営陣から社員までが、初めて再生可能エネルギーを怖いと思った年」。ある大手電力幹部は、2017年をこう表現します。 電力需要が高まる夏になっても大手電力各社の火力発電所がフル稼働しない状況は、相当な衝撃だったと言います。急速に広がった太陽光発電によって、昼間の電力需要

アクセンチュア IFRSチーム 経営コンサルティング本部 財務・経営管理 グループ シニア・マネジャー 小野寺 拓也 IFRS（国際会計基準）は，日本の損益計算書にあたる財務諸表として包括利益計算書の作成を求めています。包括利益は貸借対照表を重視した利益概念であり，資本取引を除いた純資産の変動と定義されます。 純利益に「その他包括利益」を加算 包括利益計算書では，収益から費用を差し引いて当期純利益を算出した後に，その他包括利益を加算することで，包括利益を算出します。その他包括利益は純利益に含まれていない純資産価値の増減を含んでいます。例えば，為替換算調整勘定，繰延ヘッジ損益，売却可能有価証券にかかる評価差額などが計上されます。 為替換算調整勘定は，在外支店や在外子会社の財務諸表を現地通貨建てから円建てに換算する際に発生する貸借差額のことです。財務諸表の換算に当たり，複数の為替レートを使うケ

電子カルテを中核とする病院情報管理システムの開発が失敗した責任を巡り、旭川医科大学とNTT東日本が争っていた訴訟の控訴審判決は一審判決を覆す内容だった。 札幌高等裁判所は2017年8月31日、旭川医大に約14億1500万円を支払うように命じた。2016年3月の一審判決は旭川医大の過失割合が2割、NTT東が同8割として双方に賠償を命じていたが一転、旭川医大に100％の責任があるとした。同医大は2017年9月14日、判決を不服として最高裁に上告した。 なぜ判決が覆ったのか、裁判資料かと判決文から見ていく。旭川医大とNTT東は日経コンピュータの取材に「コメントできない」と回答した。 高裁もユーザーの義務違反を認定 旭川医大は2008年8月に病院情報管理システムの刷新を企画し、要求仕様書を基に入札を実施。NTT東が落札した。日本IBMと共同開発したパッケージソフトをカスタマイズし、6年リースで提供