日本企業がDXにつまずく理由と、経営・管理・現場層、それぞれの役割：特集：日本型デジタルトランスフォーメーション成功への道（8）（1/3 ページ） DX（デジタルトランスフォーメーション）のトレンドが高まり、多くの企業が取り組みに乗り出している。だが「具体的に何をすればいいのか分からない」、取り組みを進めてみても「なかなか成果につながらない」など、プロジェクトを推進できていない例が多い。その真因は何なのか？――既存資産を持たないスタートアップや新興企業ではなく、一般的な企業が既存資産を守りながらDXを推進するためのポイントを聞いた。 ビジネスが「体験価値による差別化」「ソフトウェアの戦い」に変容し、およそ全ての企業がテクノロジー企業へと変革することを迫られている。こうした中、DX（デジタルトランスフォーメーション）の推進に当たり、「デジタル推進室」などの専門組織を作る動きも高まっているが、

SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱（ぜいじゃく）性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回では、RFCが公開されてから5年が経過した「OAuth 2.0」を振り返り、3つのユースケースを通じて、アクセス権限を受け渡す仕組みを紹介しました。OAuth 2.0はさまざまなユースケースに適用できます。その際、開発者はアプリケーションが動作する環境の特性を考慮しながら、仕様で定義されている処理を実装する必要があります。 今回は、脆弱（ぜいじゃく）性を作り込まないOAuth 2.0の実装手法を紹介し

あらゆる分野にデジタル技術の影響が及ぶ「デジタルトランスフォーメーション」の時代において、その先陣を切っている業界の1つが「自動車」だ。ソフトウェアによる情報処理で利便性や安全性能を高めた「スマートカー」、インターネットと接続しデータをやりとりしながら各種の制御を行う「コネクテッドカー」などは、その最新の成果として期待されている。 そうした進化が進む一方、懸念されているのが「セキュリティリスクの増大」だ。新しいカーシステムが次々と生まれて進化する中で、どのようなリスクが生じる可能性があるのか。また、そのリスクを突こうとするサーバ攻撃を、どう防げばいいのだろうか。日本マイクロソフトが開催した技術イベント「de:code 2018」では、それをテーマにセッションが行われた。 「セキュリティマニアックス ～みんなで守ろうコネクテッドカー～」と題されたセッションに登壇したのは、カーシステムのセキュ

ユーザーが契約したソフトウェアの上で動くシステムを開発し、保守管理しているベンダーが訴えられた。自社開発部分以外の原因による不具合にベンダーは責任を負わなければいけないのだろうか――。

ダークウェブに潜入してランサムウェアを取り巻く環境を知る：ランサムウェアを正しく理解し、効果的に護るための現実解（1） 2017年に脅威をもたらした「WannaCry」をはじめ、ランサムウェアは、多くのサイバー攻撃の中で最も懸念すべきものの1つだ。正しく理解して対策するためには、護る側の視点だけではなく、攻撃者の視点も把握しておく必要がある。 ランサムウェアに関する脅威はもはや言うまでもないだろう。2017年に脅威をもたらした「WannaCry」をはじめ、ランサムウェアは、多くのサイバー攻撃の中で最も懸念すべきものの1つだ。正しく理解して対策するためには、護る側の視点だけではなく、攻撃者の視点も把握しておく必要がある。 今回から2回に分けて、ランサムウェアを正しく理解する。ランサムウェアの歴史、攻撃者の利用するツールなどを確認しながら有効な対策を紹介する。 ランサムウェアの歴史をひもとく

Akamaiの四半期レポートによると、2017年11月にはオンラインログイン試行回数の約4割が悪意あるものだった。 スロバキアのセキュリティ企業ESETは2018年2月26日（現地時間）、コンテンツデリバリーネットワーク（CDN）大手のAkamai Technologiesが発表した2017年第4四半期のインターネットやセキュリティの現状に関するレポート「Fourth Quarter 2017 State of the Internet / Security Report」を公式ブログで取り上げ、解説を加えた。 以下、内容を抄訳する。 Akamaiのレポートによると、世界で運用されているAkamaiプラットフォーム全体で2017年11月に測定されたオンラインログイン試行回数（83億回）のうち43％（36億回）は、悪意のあるbotによるものと判定された。攻撃者は資格情報の悪用を目的に、bot

コンピュータウイルスの解析などに欠かせないリバースエンジニアリング技術ですが、何だか難しそうだな、という印象を抱いている人も多いのではないでしょうか。この連載では、「シェルコード」を例に、実践形式でその基礎を紹介していきます。（編集部）

シェルスクリプトで読みやすく、後から変更しやすいプログラミングを行うには、手続き型のプログラミング言語とは違ったポイントを押さえなくてはならない。筆者はそのコツを「アット・ア・グランス性」と表現している。（編集部） シェルスクリプトのコツ「アット・ア・グランス性」 シェルスクリプトのプログラミングには、手続き型のプログラミング言語とは違った癖がある。 CやJava、または人気のほかのスクリプト言語を使ってきたユーザーがシェルスクリプトを記述する場合、意識する、しないにかかわらず、これまでのプログラミング言語の流儀をスクリプトの書き方に持ち込むものだ。しかし、シェルスクリプトではそのアプローチはあまりうまくいかない。ちょっとばかり視点を変える必要がある。 シェルスクリプトは、一見すると手続き型のプログラミング言語のように見える。実際、そういった使い方ができる。しかしながらこれまでの経験から、

「Git」使ってますか？ 近年、分散バージョン管理システム「Git」が急速にシェアを伸ばしています。筆者は、チケットシステムやバージョン管理の勉強会などを開催したりしていますが、Gitユーザーがかなり増えてきていると感じます。 しかしながら、そのような勉強会でアンケートを取ってみると、実案件では半分以上の人がSubversionを利用しており、Gitの導入はまだまだ進んでいません。移行コストが掛かったり、プロジェクトマネージャ層への知名度がまだまだ低いというのもありますが、理由の1つとして、ユーザー管理が煩雑であったり、アクセス制御に関する情報が不足しているということもあると思います。 そういうわけで本稿では、Gitリポジトリのユーザー管理やアクセス制御を簡単に行う「Gitolite」を紹介します。 なお、本稿ではGitの利用方法については紹介しませんので、Git自身の使い方については改め

Java開発者が知らないと損するPaaSクラウド8選：ユカイ、ツーカイ、カイハツ環境！（25）（1/3 ページ） 進化・激変するJavaクラウドの現状を知る、まとめ 本連載「ユカイ、ツーカイ、開発環境」では、Javaが利用できるクラウドコンピューティングのPaaS環境について、いくつか紹介してきました。最近では、レッドハットの「OpenShift」とヴイエムウェアの「Cloud Foundry」などのPaaSクラウドのβサービスが提供され始め、また、いままで紹介した各クラウドの事情も変わってきました。 本稿では、Javaで利用できる以下の8つのPaaSクラウドの最新動向をお届けします。 機能を拡充し続ける「Google App Engine」 「Stax」はCloudBeesに買収され「RUN@cloud」に Morphの「AppSpace」は「mCloud」に .NETだけじゃない「Wi

■ リクエスト処理のアーキテクチャ Tomcat 4時代から採用されているリクエスト処理のCatalinaアーキテクチャは変更なしで、そのまま採用しています。Tomcatが受け付けたリクエストは、リクエスト処理パイプラインによってServletまで到達し処理されます。 ■ クラスタリング（セッションレプリケーション） 若干のインターフェイスの改良はありますが、基本的には同じ仕様です。 「All-to-All」「primary-secondary」の2つのレプリケーション方式が利用可能となっています。 ■ DBコネクションプール 今までどおりApache Commons DBCPを使用し、バージョンはDBCP 1.4系(JDBC 4用)を採用しています。Tomcat独自のjdbc-poolを利用する場合は別途ビルドが必要です。jdbc-poolは近いうちに同梱されるかもしれません。 では、T

Tomcat 7も対応したServlet 3.0の変更点 後編：Tomcat 7の新機能で何ができるようになるのか？（2）（1/3 ページ） 前回の「Tomcat 7も対応したServlet 3.0の6つの主な変更点」では、「Tomcat 7」が実装したServlet 3.0の新機能のうち「Ease of Development（EoD、開発容易性）」「Pluggability and Extendibility（モジュール化と拡張性）」について紹介しました。今回はAsynchronous processing（非同期処理）、セキュリティ、Session Tracking、マルチパート対応を紹介します。 アノテーションによる非同期処理 Servlet 3.0から非同期処理が使えるようになりました。Servlet 2.5までは、Servlet上でスレッドを生成・起動し、リクエストやレスポンス

勉強会フリークからの脱出。“分かる”から“できる”へ：仕事を楽しめ！ エンジニアの不死身力（13）（1/2 ページ） 「そのやり方、知ってますよ」 先日、久しぶりに腹の立つ出来事がありました。 とある知人から、「ITコンサルタントが集まる勉強会があるので、話をしてくれないか」と、講演依頼が来ました。筆者はこれまで、Web上で情報発信することでさまざまな機会を得てきました。そのため、講演では「どのように情報発信すれば人々の目に留まり、チャンスにつながるのか」「心に響く文章を書くにはどうしたらいいのか」など、情報発信によってコンサルタントがチャンスをつかむ方法についてお話ししました。 講演の後、受講者の1人がそばに来て言いました。「いやあ、とても面白く、興味深いお話でした。竹内さんがおっしゃっている方法って、○○さん（著名な経営コンサルタント）もおっしゃっている方法ですよね」 「○○さんもおっ

将来のキャリアに不安を抱えているが、不安を解消するための具体的な行動をなかなか起こせない。勉強への意欲はあるものの、忙しい日々の中でどんな勉強をしたらいいのか分からない―― 情報処理推進機構（IPA）が4月20日に発表した「IT人材白書2011」概要から、 将来の道筋が見えずに行動しあぐねているエンジニアの姿が浮かび上がってきた。 エンジニアの7割「 将来のキャリアが不安」 「将来のキャリアについて不安に思うか」という問いに対して「よく当てはまる」は19.4％、「どちらかといえば当てはまる」が49.6％と、約7割のエンジニアが自らの将来に不安を感じていることが明らかになった。

スクラム提唱者から学ぶ、チームの不幸を減らすたった2つの方法：スクラム提唱者が教える、チームの不幸を減らす方法（1/2 ページ） スクラム提唱者のジェフ･サザーランド氏を講師に招いた、日本初の「スクラムアライアンス認定プロダクトオーナー研修 レポート」レポート。チームも顧客も不幸な状態をなくす方法は実にシンプルだ。 2011年はアジャイル実践者にとって歴史的な年となった デスマーチ続きでリリースは遅延、チームはプレッシャーを受けてマネージャはてんてこ舞い、顧客も不幸……そんな状態を良い方向に転換する方法はたった2つである――「スクラム」提唱者の1人である、ジェフ・サザーランド氏の言葉です。 1月11日と12日、サザーランド氏による日本初のスクラムアライアンス認定プロダクトオーナー研修（Certified Scrum Product Owner 研修、以下CSPO研修）が開催されました。翌日

ストレージってえらそうな言葉だけど…… 「ストレージ」とはなんだか面倒そうな、えらそうな言葉です。でも、結局日本語に訳してみれば倉庫や収納場所の意味ですから、ハードディスクドライブをはじめ、SDカードやUSBメモリなど、ほとんどあらゆる記憶媒体がストレージだといっていいでしょう。ただし、コンピュータのメインメモリのように一時的なデータ保管場所は、ストレージとは呼びません。倉庫と同様、ある程度の期間はキープしておかなければならないデータを収納するものをこう呼んでいます。 ここでは企業で使うストレージに焦点を当ててご紹介します。企業で利用されるストレージには、データの長期保管を目的としたテープドライブなどもありますが、中でも中核的な位置を占めるのは、サーバ機に外付けの形で接続する記憶装置である「ディスクストレージ・システム」ですので、これについて説明します。