厚生労働省が2020年6月19日に公開した新型コロナウイルス感染症（COVID-19）接触確認アプリ「新型コロナ接触確認アプリ（COCOA）」。日本はApple、Googleを信じるしかないのか、日本独自の代替案はないのか――。 本稿は、公開直前の2020年6月10日に収録し、6月24日に配信したオンラインセミナー「＠IT Security Live Week」の「プライバシーフリーク・カフェ リモート大作戦！」のイベントレポート完全版である。 林檎を信じよ 山本一郎（以降、山本）　海外の事例だと、中国のトレーシングツール、プロセスはかなり強烈なものが回っているという報道だけはありますが、実態についてはきちんと説明がされていないよう思えるのですがいかがでしょうか。 高木浩光（以降、高木）　報道はいろいろ見ましたけれども。日ごろからある監視カメラだとか、クレジットカードの利用記録を活用すると

プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく！――プライバシーフリーク・カフェ（PFC）個人情報保護法改正編02 #イベントレポート #完全版：「私、1番よね？」「いいえ、2番です」（1/5 ページ） 「世界で唯一、個人情報を金で買える国」、ジャパン――リクナビ事件をきっかけに露呈した「日本の個人情報の考え方の問題点」を、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が全方位で解説する。※本稿は、2019年12月2日時点の情報です あなた、持っていてはいけないはずの情報を持っていますね 山本一郎（以降、山本）　誰が「胴元」つまりdata controller（データ管理者）になるかが重要ということですね。そのことと「利用目的の分割問題」はどういう関係にあるのですか。 鈴木正朝（以降、鈴木）　誰が胴元になるのかは通常、複数事業者の当事者間で話し合って決める部分

2019年12月2日、プライバシーフリークの会主催の「プライバシーフリーク・カフェneo　どうなる？　個人情報保護法改正」をアイティメディアで開催した。 プライバシーフリーク・カフェ（PFC）とは、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が、情報法と社会について、自由気ままに、そして真面目に放談するセミナーで、5年にわたって活動を続けている。 今回の「どうなる？　個人情報保護法改正」では、個人情報保護法の3年ごとの見直しによる改正大綱の骨子、2019年夏に起こったリクナビ問題をテーマに、4頭の虎が吠えた――。 リクナビは、旧スキームも違法だった？ 山本一郎（以降、山本）　今回のPFCは、個人情報保護委員会から出た個人情報保護法改正大綱の骨子について話をしつつ、リクナビ問題についても議論していきます。 まず、今回の骨子で前回PFCで積み残した部分がどういう取り扱いになったのかを踏まえて

ゲーマー向けの無料音声テキストチャットアプリケーション「Discord」を開発、提供するDiscordは2020年2月5日（米国時間）、アプリケーションを支える基盤サービスの一つである「Read States」をRust言語で再実装し、その結果サービスのパフォーマンスが大幅に向上したと公式ブログで明らかにした。 Read StatesサービスはこれまでGo言語で実装されていた。それにもかかわらず、なぜRead StatesをRustで再実装しようとしたのか、どのように再実装したのか、再実装によってどのようにパフォーマンスが向上したかを解説した。 Rustで再実装した背景とは Read Statesサービスの目的は、Discordユーザーがどのチャンネルのどのメッセージを読んだのかを追跡することだ。つまり、ユーザーがDiscordに接続したり、メッセージを送信したり、メッセージを読んだりする

業界全体で取り組むべき問題 鈴木　役所が業界団体に向けても指導している、というのは、リクナビ1社の問題ではないことを、担当官庁がよく分かっていることです。みんなで規律を失っていたんじゃないか、リクナビは氷山の一角で実はもっとどぶ川のような不適切な状況があるのではないか、と。今、警告が出ているわけです。 直ちに改善に向かわなければ、当該業界だけではなくユーザーである契約企業も一体だ、とね。そうすると経済団体に加盟する大企業が軒並み、何らかの形で法的評価の対象になっていくんだろうと思います。少なくとも個人情報保護法は契約企業も一体として評価の対象にしていかねばなりません。 それに、データベースに収まっている個人データを社員が無断提供していることが立証されれば、「データベース提供罪」で刑事事件となります。ここはもう一度、人事部がしっかり点検すべきところだと思います。 板倉　先ほどの個人情報保護委

はてなのMackerelチームはKubernetesクラスタを自前で構築して運用していたが、撤退を選択したという。なぜ、Kubernetesの運用を諦めて撤退を選んだのか。はてなのMackerelチームでSREを務める今井隼人氏が語った。 コンテナ型仮想化技術を活用したアプリケーションの管理（オーケストレーション）ツール「Kubernetes」が注目を集めている。その背景の一端にあるのが、アプリケーションをコンテナ化し、マネージドKubernetesサービスで実行することによるメリットの享受と、運用負荷の軽減だ。 参考記事：「Kubernetes」とは何か――コンテナ型仮想化の本番利用に向けた課題 参考記事：「Kubernetesで運用する」その前に　Kubernetesを本番環境で利用する際のポイント そんな中、「Kubernetesクラスタを自前で構築して運用していたが、撤退を選択した

Microsoft、安全で高効率のプログラミング言語として「Rust」を高く評価：メモリ破壊バグを避けるには Microsoft Security Response Center（MSRC）は、ソフトウェアのセキュリティ確保と効率性の両方の要件を満たす最も有望なシステムプログラミング言語の一つとして、「Rust」を高く評価した。メモリ破壊バグをそもそも作り込まないことでセキュリティを確保できるという。

「『一回転』でググれ」と言ったら、逮捕されますか？：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（13） 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第13列車は「不正指令電磁的記録供用罪」です。※このマンガはフィクションです。実際の法解釈や法運用とは異なります

固定回線でも「ギガ不足」におびえる時代が到来か、トラフィック急増により現場で起きている悲劇とは：ものになるモノ、ならないモノ（81）（1/2 ページ） 生活で何げなく使っている定額制の「固定回線」。しかし、さまざまな動画サービスの登場により、爆発的に増えるトラフィックに対して、プロバイダーは「限界が近い」と訴える。その理由とは。 「従量課金に移行しないと、このままではとても立ち行かない」 ある固定回線系プロバイダーの幹部が悲痛な面持ちで筆者に訴えた。 「ここ数年の爆発的なトラフィックの伸びに設備投資が追い付かず、ユーザーからのクレームが増加している」 それは、プロバイダーだけの問題ではなく、NTT東日本・西日本（NTT東西）のフレッツ光にもいえることらしい。ただ、筆者は忘れてはいない。確か10年前にも同じような言葉を聞いた。いや、その前から事あるごとに聞いてきたような気がする。このような「

不正アクセスを教訓に　GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは：「検索コマンドを実行したら約5万回のアラートが流れて大変だった」（1/2 ページ） ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を導入。Wazuhを選択した理由やWazuhの導入後に起きた3つの運用課題を解決した方法について語った。 Japan Perl Associationは2019年1月26日、「YAPC::Tokyo」を開催した。本稿ではGMOペパボのホスティング事業部でテックリードを務める山下和彦氏の講演「Wazuhを利用した大統一サーバ監査基盤」の内容を要約してお伝えする。 GMOペパボでは、2018年1月に起きた不正アクセスを教訓にオープンソースソフトウェア（OSS）のセキュリ

「Kubernetesで運用する」その前に　Kubernetesを本番環境で利用する際のポイント：キャッチアップが大切（1/3 ページ） 日本マイクロソフトは2018年11月5～7日に「Microsoft Tech Summit 2018」を開催。MicrosoftでCloud Developer Advocateを務める寺田佳央氏は、Kubernetesを本番環境で活用する際のポイントや、今後のJavaについて語った。

フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱（ぜいじゃく）性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信（IPC）」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。

アジャイルだか何だか知らないけれど、ドキュメントがないのでシステムは未完成ね：「訴えてやる！」の前に読む IT訴訟 徹底解説（39）（1/3 ページ） IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「システム開発におけるドキュメントは、何のために必要か？」を解説する。 連載目次 アジャイル開発だからドキュメントはいらない？ 最近はアジャイル開発が一般的になり、ユーザーと一緒になって話し合いながらモノづくりをしていく現場では、「ドキュメントは必要ない」と考える技術者も増えていると思う。実際、最近の開発では、「要件定義書」や「設計書」、あるいは「テスト仕様書」や、その「結果報告書」も作成せず、簡単なメモを残すだけで、後はプログラム本体を納品すれば完了してしまうようなものもある。 この考え方は、ある意味合理的だ。システムを細かい機能に分けて、ユーザーヒアリングやワークシ

Windows 10でUbuntuのシェル「Bash」が動き始める！ だが日本語はどうなる？：Windows 10 The Latest（1/2 ページ） Windows 10にLinuxサブシステムが実装され、UbuntuのBashが利用できるようになるという。その用途や仕組みは？ 日本語に関するWindowsならではの宿命的課題にも触れる。

元ガンズのスラッシュ氏開催の「Slashathon」、優勝アプリ決まる：ギターの腕ならぬアプリケーション開発の腕を競う 米大物ギタリストのスラッシュ氏が「Slashathon」（スラッシャソン）を開催。携帯電話からいつでも、どこからでもビデオを制作できるアプリケーションが優勝した。 ロックバンド「Guns N' Roses（ガンズ・アンド・ローゼズ）」の元メンバーでギタリストのスラッシュ（Slash、本名ソール・ハドソン氏）が主催する「Slashathon」（スラッシャソン）が2014年3月12日、アートイベント「SXSW 2014」で開かれた（関連記事：元ガンズのギタリスト、スラッシュ氏が「Slashathon」を開催）。 SXSW（サウス・バイ・サウスウエスト）は、音楽と映画、インタラクティブイベントを組み合わせた毎年恒例のアートの祭典。 「Slashathon」は“音楽にフォーカスし

Android OSに深刻な脆弱性、任意のコード実行やパスワード読み取りの恐れも：アップデート、もしくは標準以外のWebブラウザ利用を推奨 情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は2013年12月17日、「Android OS」に、細工を施したWebページを閲覧するだけで任意のコードを実行される深刻な脆弱性が存在することを明らかにした。 情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は2013年12月17日、「Android OS」に深刻な脆弱性が存在することを明らかにした。スマートフォンやタブレット端末から細工を施したWebページを閲覧するだけで任意のコードを実行される恐れがあり、早急なアップデートが推奨される。 この脆弱性はAndroid OS 3.0～4.1.xに存在する。Androidの標準

サーバとして ・受信パケットは破棄。ただしステートフル性を確認しサーバから送信されたパケットに関連するものは許可 ・送信パケットは基本的にすべて許可 ・ループバックアドレスに関してはすべて許可 ・サーバからのDNS問い合わせ（UDP 53）を許可 ・pingリクエストを許可 ・ssh接続を許可 DoS／DDoS対策のため ・同一ホストからのpingリクエストに対し、1分間に10回までしか応答しない ・同一ホストからのssh接続リクエストに対し、1分間に1接続に限定 テンプレート13の表示（別ウィンドウで開く） テンプレート13の解説 limitモジュールを使った制限では、正常なリクエストも不正アクセスに紛れてしまいます。ブルートフォース攻撃を受けている間は、管理者でさえもSSHログインできません。 そこでhashlimitモジュールを使用します。hashlimitモジュールならクライアント

fluentdのほかにもバイナリシリアライゼーションフォーマット「MessagePack」の開発などで知られる古橋氏だが、学生時代からその技術力の高さには定評があり、注目され続けてきたスーパーエンジニアでもある。 今回、fluentdのユーザーでもあり、古橋氏とは旧知の仲でもあるグリー 開発本部 リーダーの森田想平氏がインタビュアーとなり、fluentdにまつわるトピックや、トレジャーデータでの開発、オープンソースへの想いなどを訊いている。本稿では、その模様をお伝えしながら、“エンジニア・古橋貞之”の魅力に迫ってみたい。 fluentd v11の注目ポイント 森田　まずは、グリーでも大変お世話になっているfluentdについて、いろいろ聞かせてください。開発中の新バージョン（v11）では、かなり大きな変更や機能追加があると伺っていますが、注目ポイントをいくつか教えてもらえますか。 フィルタ

米Orcaleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。 米Oracleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。同社Webサイトからダウンロードできる。 脆弱性が存在するのはJava 7 Update 10以前で、Java SE JDKおよびJRE 6には影響しない。悪用されれば任意のコードを実行される可能性がある上に、この脆弱性を悪用する攻撃コードが出回っていることから、セキュリティ機関が注意を呼び掛けていた。 このアップデートでは、脆弱性の修正とともに、Javaコントロールパネルにおけるセキュリティレベルの初期設定も変更。これまでの「中（M）」から「高（H）」に変更することで、署名が付いていないアプレットを実行