ベターエフォートとベストエフォートを一瞬で選別するエフォート鑑別師の資格取得が人気です！ 次回は「軽量言語」です。 →他の用語解説も読んでみる ■「ベストエフォート」：おすすめ記事・超まとめ ベストエフォート型 （best effort type）（＠IT Insider's Computer Dictionary 2001年6月） インターネットやイーサネットは、基本的にはベストエフォート型のネットワークであり、必ずデータが届くという保証や、遅延時間が常にある一定時間以内に収まっているという保証はない。 ギャランティ型とベストエフォート型の“いいとこどり” 1割の帯域確保でコスト効率のよいアクセス、NTT Com（＠IT Master of IP Network 2009年5月） 帯域の需要は増しており、必要なときに確実にデータを送受信したいというニーズがある。 年賀状サービス「ウェブポ

マイクロソフトの無償の脆弱性緩和ツール「Enhanced Mitigation Experience Tool（EMET）」の最新バージョン「EMET 5.0」がリリースされました。本連載でもEMET 4.xの導入をお勧めしましたが、EMET 5.0に飛び付くのはまだ早いかも……。 連載目次 最新バージョンEMET 5.0、リリース 「Enhanced Mitigation Experience Tool（EMET）」は、マイクロソフトが無償提供するセキュリティツールです。EMETは、Windowsが備えるセキュリティ機能をシステムやアプリケーションに適用することで、既知および未知の脆弱（ぜいじゃく）性を悪用した攻撃の成功を回避します。 「Mitigation（軽減、緩和）」という名が示すように、EMETはあらゆる攻撃に対抗できる“銀の弾”などではなく、未パッチの脆弱性のリスクを緩和するツ

本連載では「Active Directoryとは？」「なぜ、Active Directoryを使う必要があるのか？」などをあらためて考察し、より効果的に運用するための方法を探っていく。 連載目次 Active Directoryを使う理由とは？ 「十年一昔」とはよく使われる言葉だが、ITの世界における10年は十分過ぎるくらいに昔を指す。 2000年にリリースされたWindows 2000 Serverの目玉機能として登場した「Active Directory」は、現在までに多くの企業に導入されている。Windows Serverのアップグレードを繰り返しながら、10年以上経過しているところもあるのではないだろうか。初期導入からかなりの年月が経過したActive Directoryでは、最初に設計した担当者や運用管理者が入れ替わり、当初の設計意図とはかけ離れたものになっている可能性もある。

米国時間の2014年2月10日、Network Time Protocol（NTP）の脆弱性を悪用した大規模なDDoS攻撃が確認された。米国のセキュリティ企業、CloudFlareのCEOを務めるマシュー・プリンス氏のツイートによると、2013年3月に観測された“史上最大規模”のDDoS攻撃を上回り、トラフィックがほぼ400Gbpsに達する規模だったという。 NTPは、システムの内部時計を正しい時間に同期させるためのプロトコルで、インターネットを形作るネットワーク機器やサーバー、デスクトップマシンなどで幅広く使われている。 ntpdなどNTPの実装の一部には、NTPサーバーの動作モニタリングのために「monlist」機能を備えているものがある。この機能が「攻撃者にとって理想的なDDoSツール」（CloudFlareのブログ）になっているという（関連記事：増幅攻撃はDNSだけではない――NT

ノアの箱船にバベルの塔…… 人類はいつだって大いなる試練を乗り越えてきました（死屍累々）。次回は「裁量労働制」です。 →他の用語解説も読んでみる ■「デスマーチ」：おすすめ記事・超まとめ プロジェクト管理者が1人でできるデスマーチ・プロジェクトの対処法（MONOist 2012年5月） 見積もりの知識と技法を駆使した「デスマーチ・プロジェクト」への対処法を検討する。今回は、発注側と開発側の双方が満足できるソフトウェア開発の手順を紹介。この手順に従えば、デスマーチ・プロジェクトに対処できるはずだ！ 正確な見積もりはデスマーチ・プロジェクトを救うか？（MONOist 2011年5月） 「ソフトウェア技術者の最高の能力は、見積もりだ！」――今回から“見積もり”をテーマにした新シリーズ「見積もり：ソフトウェア技術者の最高の能力」をお届け。今回は、ソフトウェア開発で正確な見積もりが必要とされる理由に

PacSec 2013 レポート 1日目～任意のコードをBIOSに：セキュリティ業界、1440度（1） こんにちは。このコラムではFFRIのメンバーが気になった、セキュリティ業界の話題を紹介していきます。 ハッキングコンテスト「Mobile Pwn2Own」も同時開催 毎年開かれているセキュリティカンファレンス「PacSec 2013」が、2013年11月13～14日の2日間にわたって東京で開催されました。そこでの発表内容と、ハッキングコンテスト「Mobile Pwn2Own」の様子を、2回に分けてお伝えしましょう。 まずはMobile Pwo2Ownについて、簡単に紹介したいと思います。すでにいろいろなところで報告されているので、ご存じの方もいるかもしれませんね。 毎年カナダでは、「CanSecWest」というセキュリティカンファレンスが開催されています。PacSecの姉妹イベントに当た

HTTPSはもはや安全ではない？ 刺激的な討論もなされたヨーロッパのセキュリティ祭り：29th Chaos Communication Congress（29C3）レポート（1/2 ページ） 2012年12月27日から30日にかけてドイツ・ハンブルグで開催された、カンファレンスという名のお祭り、「29th Chaos Communication Congress（29C3）」。ヨーロッパのセキュリティ界隈ではどういった話題がホットなのか、その模様を紹介します。

「GhostShell」というハッカーチームをご存じだろうか？ 世界の有名大学を対象にした攻撃やNASA（米航空宇宙局）、ESA（欧州宇宙機関）などをターゲットにした「Project WhiteFox」を仕掛け、2012年にネットを騒がせたチームだ。Twitterでコンタクトを取ってみたところ意外なほど友好的なGhostShellから、思いがけない申し出を受け……。 2012年、ネットを騒がせた「GhostShell」とは とあるハッカーチームに筆者は接触した。「GhostShell」――皆さんはこの名前をご存じだろうか。 これはあるハッカーチームのグループ名なのだが、中にはピンと来ない方もいらっしゃるだろう。そこでまずは、彼（ら）が最近関与し、日本国内にも影響を与えた事件から紹介させていただこう。 GhostShellは2012年8月下旬から「Project WestWind」という名称

Appthorityは、社内に持ち込まれる私用デバイスの安全な接続と利用を促進するためのソリューションを提供している。特にモバイルアプリは、開発時のミス次第で攻撃者の突破口となり、企業システムの脅威となってしまうことから、世界各国のモバイルアプリを収集し、検証を行っているという。 ベッティーニ氏は、日本で人気のあるゲームアプリの中から、面白いと感じたものをいくつか紹介した。その説明を基に、著者の独断と偏見で「開発ミスでやっちゃった系」「広告収入が欲しい系」「よく分からない系」に分類してみた。 開発ミスでやっちゃった系 「拡散性ミリオンアーサー」 iOSアプリ（バージョン1.3.1）。RFC1918のプライベートIPアドレスで通信するため、社内の無線LANなどに入ってゲームをした場合に問題が生じる可能性がある。「たぶん、アプリ開発者が自社の開発環境でテストマシンにアクセスするとき、この設定を

ついに来た？ 「真のIPv4アドレス在庫枯渇」：移転・売買・返却～枯渇問題の現状（1/2 ページ） IANAが管理していたIPv4アドレスの中央在庫、そしてAPNIC／JPNICが管理するIPv4アドレス在庫が枯渇してから1年が経過しました。いま、静かに水面下で進行しつつある枯渇にともなう問題と、IPv4アドレスをめぐる現状を紹介します。 運用の現場でも始まった「枯渇問題」 2011年2月、IPv4アドレスの中央在庫であるIANA（Internet Assigned Numbers Authority）の在庫が枯渇しました。その2カ月後の2011年4月には、アジア太平洋地域でIPv4アドレスを管理しているAPNIC（Asia-Pacific Network Information Centre）のIPv4アドレス在庫も枯渇しました。これと同時に、日本におけるIPv4アドレス在庫も枯渇しまし

フィッシングサイトの開設で全国初の検挙 2012年5月1日に、一部改正された「不正アクセス行為の禁止等に関する法律（略称：不正アクセス禁止法）」が施行された。この改正では、いわゆるフィッシングサイトの開設・誘導を処罰の対象とした「識別符号の入力を不正に要求する行為の禁止等」が追加された。 識別符号の入力を不正に要求する行為の禁止等 アクセス管理者になりすまし、その他アクセス管理者であると誤認させて、次に掲げる行為をすることを禁止するとともに、その違反者を処罰することとする。 ア アクセス管理者が利用権者に対し識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信（公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。）を利用して公衆が閲覧することができる状態に置く行為 イ

なぜ、いま「セキュアコーディング」なのか？：もいちど知りたい、セキュアコーディングの基本（1）（1/2 ページ） 多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。 ソフトウェアセキュリテイをめぐる状況 今月から数回に渡って「C/C++セキュアコーディング」の連載を担当させていただくことになりました、JPCERTコーディネーションセンター（JPCERT/CC）、脆弱性解析チームの久保と戸田です。よろしくお願いします。第1回目の本記事は久保が担当します。 まず始めに、連載のタイトルにもある「セキュアコーディング」とは何なのか、言葉の整理も兼ねて、あらためて考えてみ

一時期鳴りを潜めた感があったハクティビストによる攻撃が8月の終わりくらいから再開し、世界中のWebサイトが被害に遭いました。また日本では、尖閣諸島問題に関連して多数のWebサイトが攻撃されました。 一時期鳴りを潜めた感があったハクティビストによる攻撃が、8月の終わりくらいから再開し、日本を含め世界中のWebサイトが被害に遭っています。また日本では、尖閣諸島問題に関連して多数のWebサイトが攻撃され、中国の国旗がなびく画像に書き換えられてしまったページもありました。 ほかにも、高木先生にステマ依頼を送る会社や荒ぶるハッカー学校が現れたり、「セキュリティあるある」タグで盛り上がったり、9月のセキュリティクラスタもいろいろな話題に彩られました。 ハクティビストによる攻撃、再燃 Anonymousに代表されるハクティビストによるサイバー攻撃は、一時期に比べほとぼりが冷めてきたのかと思いきや、一過性

2012年8～10月に発売＆発売予定のIT技術書、ITエンジニアに役立つ新刊情報をまとめました（発売予定は変更する場合があります）。 ●電子書籍 プロフェショナル・シェルプログラミング 砂原 秀樹、石井 秀治、植原 啓介、林 周志　著 アスキー・メディアワークス 2012/10/1 1469円（税込） PDF UNIXにおける基本的な道具であるシェル。ファイル名の補完やスペルチェック、スケジュールなど、機能が強化されてきました。本書では、tcshとbashを中心に、各シェルの機能を生かした効果的な生活環境の整備方法とプログラミングについて解説します。また、仕事を効率化する便利なプログラミング例を多数紹介します。 ●10月発売 絶対わかる！ トラブル事例で学ぶネットワークの基礎 WAN／クラウド編 日経NETWORK　編 日経BP社 2012/10/9 2520円（税込） 日経NETWORK

「開発段階で脆弱性をつぶす」、コベリティがテストツール：「カバレッジ100％」ではなく重要なポイントに絞りテストも効率化 コベリティ日本支社は10月3日、ソフトウェアの品質やセキュリティ上の不具合を検出し、修正方法を提示するソフトウェアテスト製品「Coverity Develpoment Testing Platform」を発表した。 Coverity Develpoment Testing Platformは、同社独自の静的解析検証エンジン「Coverity SAVE」をベースとしたソースコード解析ツールだ。CやC++、Javaなどで書かれたソフトウェアおよびWebアプリケーションのバグや脆弱性を指摘してくれる。 メモリクラッシュなどにつながるバグを洗い出す「Quality Advisor」に加え、新たにセキュリティ脆弱性を指摘する「Security Advisor」、リスクに応じて重要

しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの？ ペネトレーションテストの現場から検証します（編集部） ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ