「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス
米ホワイトハウス国家サイバー局長室(The White House Office of the National Cyber Director:ONCD)は、2024年2月26日(米国時間)、サイバー空間における攻撃対象領域(アタックサーフェス)を積極的に削減するよう技術コミュニティーに呼びかける報告書を発表した。 ONCDは、IT企業がメモリ安全なプログラミング言語を採用することで、あらゆる種類の脆弱(ぜいじゃく)性がデジタルエコシステムに侵入するのを防ぐことができると述べている。ONCDはまた、サイバーセキュリティの品質を測定するより優れた診断の開発を可能にするために、ソフトウェアの測定可能性の問題に取り組むことを奨励している。 関連記事 Google、「メモリ安全性」に関する見解と対策をまとめたホワイトペーパーを公開 Googleは、「セキュアバイデザイン:メモリ安全性に関するGoo
SoftEtherの登 大遊氏が語る、「日本のITエンジニアに迫る危機」とは
大学在学時に、ソフトウェアVPN(Virtual Private Network)の「SoftEther VPN」(以下、SoftEther)を開発したことで広く知られる登 大遊氏。SoftEther開発後も中国の検閲用ファイアウォール「グレートウォール」へのハッキングなどで話題を集め、現在は東日本電信電話(NTT東日本)のビジネス開発本部 特殊局員、情報処理推進機構(IPA)の産業サイバーセキュリティセンター サイバー技術研究者、筑波大学の客員教授などを務めている。 登氏が、ゲットイットが開催したWebセミナーで、日本のITエンジニアに必要な「トライ&エラー(トライアルアンドエラー)の思考法」について話した。ゲットイットは、リユースIT製品の販売やレンタル、メーカーサポートが終了した製品の保守をサポートするIT機器保守(第三者保守)など幅広い役割で、NTTグループをはじめとする多数の企業
HashiCorpがTerraformなど自社製品のライセンスをオープンソースから変更、決断の理由と影響は?
HashiCorpは2023年8月10日(米国時間)、Terraformをはじめとした同社の製品のライセンスを 「Mozilla Public License v2.0(MPL 2.0)」 から「Business Source License v1.1(以下、BSL)」に移行すると発表した。BSLは定義上オープンソースソフトウェアライセンスではない。このため、「オープンソース版」あるいは「OSS版」と呼ばれていたものは「コミュニティー版」と名称が変わった。 HashiCorpはさまざまな専門家やステークホルダーとの協議の上で、今回のライセンス変更に至ったという。 BSLはMariaDBが公開したライセンスモデルで、他にもCouchbaseやCockroach Labsなどが採用している。その内容は多くの点で、 Open Source Initiativeによるオープンソースソフトウェアの定
米国証券取引委員会、上場企業のサイバーセキュリティインシデント開示を義務化へ
米国証券取引委員会(SEC)は2023年7月26日(米国時間)、上場企業に対してサイバーセキュリティに関する重大なインシデントの発生と、サイバーセキュリティのリスク管理、ガバナンス、戦略に関する重要情報の開示を義務付ける規則を採択した。 SECは、米国で上場し、主に米国外で事業を展開している企業にも同様の開示を義務付ける規則も採択している。 SECのゲーリー・ゲンスラー委員長は次のように述べている。 関連記事 最高監査責任者はデータ分析、セキュリティ、デジタル化推進に最注力すべき Gartner Gartnerは、最高監査責任者が2023年に最も注力する分野は、データ分析の推進や急増するデジタルリスクに対するアシュアランスの提供、そして人材管理であると発表した。 企業のパブリックGitHubリポジトリは機密情報だらけ? APIキーやトークン、認証情報が複数見つかる セキュリティ企業SOCR
第278回 「AIがRISC-Vを設計」というニュースを読んで、はや失業(!?)かと思ったら……
第278回 「AIがRISC-Vを設計」というニュースを読んで、はや失業(!?)かと思ったら……:頭脳放談 中国の研究チームが、人工知能(AI)ソフトウェアで「RISC-V」のCPUを自動設計したという。「何でもAI」という最近の風潮が、CPUの設計にまでと思い、論文を読んだところ、当初思っていたのとかなり違っていた。その違和感について勝手な意見を述べさせていただく。 中国の研究チーム(中国科学院/中国科学院大学のShuyao Cheng氏などを中心としたチーム)が、人工知能(AI)ソフトウェアで「RISC-V」のCPUを自動設計したという論文が話題になっていた(論文は、「Pushing the Limits of Machine Design: Automated CPU Design with AI[PDF]」)。何でもかんでも「AI」といえばもてはやす風潮は収まっていない。 今度は、
Unicode絵文字(Emoji)
連載目次 「絵文字(emoji)」とは、人物や顔、感情、物、天気、乗り物、食べ物、動物など、さまざまな物や事象を小さな絵柄として表現したピクトグラム(サイン、記号)の一種である。文字と違って絵で表現しているので、誰が見てもすぐに内容を理解できるし、その利用も容易である。 絵文字の歴史 テキスト形式でのメッセージ交換が中心だった昔は「顔文字」とか「エモーティコン」といって、アルファベットや記号などを組み合わせて顔や感情などを表現していた。それを文字フォントの形で表現できるようにしたのが絵文字である。 絵文字は当初、日本の携帯電話(NTTドコモ、ソフトバンク、KDDI)で広く使われていたが、それらをベースにして2008年頃、Unicode(用語解説)規格への統合が行われた。 携帯電話やチャットアプリなどで使われていた絵文字を全て取り込んで相互運用性などを確保したことにより、その後は急速に絵文字
Log4j問題は大したことなかった? 脆弱性対応はスプリント&マラソン? SBOMで解決?――piyokango氏に聞いた
オープンソースソフトウェア(OSS)の利用が当たり前になった今、“脆弱性”情報をいち早く押さえることは非常に重要だ。その対応の早さが企業の存続をも左右するようになっている。システムの脆弱(ぜいじゃく)性を考えたとき、現在ではソフトウェアの脆弱性だけでなく、ハードウェアに近い部分の脆弱性、設定に起因するグレーゾーンの脆弱性、そして組織の脆弱性も考えていかねばならない。 多種多様な脆弱性に対応するには、公開された情報を基に、企業そして情報システム部門などの現場の担当者がそれをどう生かすかに焦点が当たっている。そこで、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、今そこにある問題点や「企業がどう対策すべきか」について聞いた。 脆弱性は終わらない ――脆弱性に関する事件が次々と明らかになっています。最近、piyokangoさんの印象
ランサムウェアがCEOを脅迫――経営層も巻き込んだリアルな「訓練」をfreeeが実施できた理由
ビジネスを支えるITインフラとしてクラウドの導入や活用が一般的になる中、企業には、オンプレミス時代とは異なるリスク管理が求められている。業務やサービスを支えるインフラが、クラウド上にあることを前提に、新たなセキュリティポリシーやBCP(事業継続計画)を策定する企業も多い。 しかし、実際に何らかの問題が発生した際、組織や個人がそれに適切に対処する行動を取れるかどうかは、文書化された「ポリシー」や「計画」とは別の問題だ。大規模災害の発生を想定し、非常時のアクションについて身をもって学ぶ「BCP訓練」が必要とされているのと同様、巧妙で悪質なサイバー攻撃に直面した際、組織が適切に対処できるように備える上で「インシデント対応訓練」の実施は有用な取り組みといえる。 クラウド会計サービスを提供するfreeeでは、2021年10月に「標的型攻撃によりセキュリティが突破され、ランサムウェアでCEO(最高経営
IT用語解説系マンガ:食べ超
生成された経営プランをひた走り、何かの頂(いただき)を目指しましょう。※皆さんご存じかとは思いますが、本作はフィクションです。
知らぬ間に進化を続けるHyper-V
知らぬ間に進化を続けるHyper-V:その知識、ホントに正しい? Windowsにまつわる都市伝説(201) Windowsが標準でサポートするハイパーバイザーといえば「Hyper-V」です。Windows Server 2008(x64)で初めて登場してからしばらくは、新機能追加や機能強化が次々に行われました。しかし、Windows Server 2016以降、目に見える劇的な変化というものが少なくなったような気がしませんか。 Windowsにまつわる都市伝説 仮想マシンのプロセッサリソースコントロールがいつの間にか不能に? 「Windows Server 2008」で初めて登場した「Hyper-V」は、短時間で大幅な機能強化が行われてきました。例えば、「Windows Server 2008 R2 Service Pack(SP)1」のHyper-Vでは、「RemoteFX 3Dビデオ
ゼロからのリレーショナルデータベース入門
全12回の連載も今回で最終回です。手間暇かけて構築したデータベースサーバに必ず訪れる「リプレース」という作業について、移行計画を作成するに当たっての考え方と具体的な検討項目を説明します。【更新版】
「超PayPay祭」の高負荷対策――失敗からリベンジへの猶予は3カ月、ヤフーの運用チームはどう乗り切ったのか
「超PayPay祭」の高負荷対策――失敗からリベンジへの猶予は3カ月、ヤフーの運用チームはどう乗り切ったのか:特集:「惰性をやめる、慣習を疑う」こんどこそ楽になる運用管理(1) 運用管理者に光を当てるオンラインイベント「Cloud Operator Days Tokyo 2021」。「超PayPay祭」における失敗と成功についてのセッション「超PayPay祭による高負荷にショッピングはどのように立ち向かったか」から、自社製プライベートクラウドで運用するWebサービスにおける高負荷対策のポイントを探る。 通常のセール時の数倍もの利用者が殺到した2020年の「超PayPay祭+Yahoo!ショッピング大規模セール」。準備万端で挑んだヤフーの負荷対策チームだったが、無念にもシステムダウンに追い込まれた。「来年こそは」とリベンジを誓うチームメンバー。だが、そのリベンジの機会は彼らが想定しているより
私が決めた要件通りにシステムを作ってもらいましたが、使えないので訴えます
私が決めた要件通りにシステムを作ってもらいましたが、使えないので訴えます:「訴えてやる!」の前に読む IT訴訟 徹底解説(88)(1/5 ページ) 連載目次 この連載を始めて、7年になる。長くご愛読いただいている読者の皆さまに感謝の念が絶えない。このように長くIT紛争を見続けていると、同じような問題、同じような言葉に何度となくぶつかることがある。街中にある主要な交差点のように、気が付くとその場に立っていて「さて今日はどの方向へ曲がればいいか」と考える場所。そんな言葉である。 「契約の目的とシステムの要件」――IT紛争の勉強や著述などをしていると、いつもこの言葉にぶつかる。「定義されていない要件であっても、それなしには契約の目的を達成できないものであれば、事実上定義されていたと考えなければならない」「たとえ要件通りでも、契約の目的に資することのないシステムを作れば、債務不履行に問われる危険も
特集:Windows 9x or Windows 2000 ? - @IT
Windows 9x or Windows 2000? ―― 普及版の9x/Windows Meを選ぶか、上位版の2000を選ぶか? 最適なOSを知るための内部アーキテクチャ比較 ―― デジタルアドバンテージ 2000/07/18 「従来のWindows 9xカーネルと比較すると、Windows 2000カーネルはフル32bit構成でまったく新規に設計されており、信頼性や堅牢性が格段に高い」と言われる。確かに、多数のアプリケーションの起動と終了を繰り返したり、メモリを大量に消費するようなアプリケーションを実行したり、暴走したアプリケーションを強制終了させたりと、従来のWindows 9xでは何かとシステムが不安定になり、リセットを余儀なくされるような場面でも、Windows 2000では問題なく使い続けられることが多いと実感する。これこそが「信頼性や堅牢性の高さ」の意味するところと考えられ
「AWS IAM」の「ABAC」で、ポリシーを変更せずにユーザー/リソース数の多いプロジェクトに対応する
「AWS IAM」の「ABAC」で、ポリシーを変更せずにユーザー/リソース数の多いプロジェクトに対応する:AWSチートシート 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「属性ベースアクセスコントロール」(ABAC)について解説する。 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。 AWSを利用する多くの方にとってなじみのある「AWS Identity and Access Management」(IAM)の一歩踏み込んだポリシー管理の手法として、記事『AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには』ではPermissions Boundaryを利用したアク
Keycloakで実用的なリバースプロキシ型構成を構築してみよう (1/4):Keycloak超入門(7) - @IT
はじめに 企業内には、以下のような理由で標準的な認証/認可プロトコルに対応できないケースが存在することもあると思います。 レガシーなアプリケーションで改修が難しい 新規のアプリケーションであってもパッケージの制約で対応が難しい Keycloakは、認証/認可プロトコル対応プロキシと組み合わせることで、上記のようなケースにおいても大きな手間をかけずにシングルサインオン環境を構築できます。 これを実現するのが、Keycloakの「リバースプロキシ型構成」です。 リバースプロキシ型構成とは Keycloakのリバースプロキシ型構成とは、Keycloakと認証/認可プロトコル対応プロキシを組み合わせて構築するシステムアーキテクチャです(図1)。 この構成にすることで、連携アプリケーション(以下、連携アプリ)が、認証/認可プロトコルに非対応であっても、シングルサインオンできるようになります。また、連
共有メモリとファイルシステム――その1
今回は、mmap(2)で共有メモリを実装すると処理能力の向上が見込めること、そしてその実装方法にはいくつもの選択肢があることを紹介し、次回以降の比較につなげていく。(編集部) 共有メモリ活用方法のバリエーション 第5回では、プロセス間でデータをやりとりする方法としてパイプpipe(2)と共有メモリmmap(2)の双方を取り上げ、それぞれの利点・欠点について紹介した。 パイプpipe(2)を使う方法は実装がシンプルだし、概念としても分かりやすい。どのタイミングでロックがかかるかも明確だ。一方、小さいサイズのデータを何度もやりとりするようなケースでは、大量のread(2)/write(2)システムコールが発生し、効率が悪いことも紹介した。 共有メモリmmap(2)を使う方法は、pipe(2)/read(2)/write(2)と比べて実行速度の面で利点がある。共有メモリを使うと、それぞれ独立した
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PKI基礎講座
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」?
企業はゼロトラスト/SASEという理想をどこから、どこまで目指すべきか――NTTデータ先端技術が一足早く導入した理由
