日本航空（JAL）は2009年6月3日、同日早朝に発生したチェックインシステムの障害（関連記事）の原因について、チェックインシステムと予約発券システムのバージョンアップ作業によるものと発表した。 JALは国内線の全面チケットレス化に関連する新機能を追加するために、2日夜からチェックインシステムと予約発券システムのプログラムのバージョンアップ作業を行った。バージョンアップ作業は、配信用のホストサーバーと全国の空港に設置するチェックイン用端末の両方で実施。羽田空港のチェックインシステムは起動直後の午前5時45分にダウンしたためチェックイン業務ができなくなった。新機能追加前の状態に切り替えて、障害発生から約1時間後の午前6時45分ごろに復旧した。ただし羽田発のWebチェックインは午前11時30分時点でも、利用できない状態が続いている。 JAL広報によると、羽田以外の空港のチェックインシステムは障

三菱UFJ証券は2009年5月20日、同社システム部の部長代理だった元社員（4月8日付で懲戒解雇処分）が不正に取得した約148万人分の顧客情報のうち約5万人分を売却した事件で、情報を売却された約5万人に1万円相当のギフト券を送付すると発表した（関連記事1、関連記事2、関連記事3）。この種の漏洩事件の謝罪として1万円は異例の高額。これまでの相場は500円から1000円程度だった。 「顧客におかけする迷惑に対しての、我々のお詫びの気持ちとして受け取っていただきたい」と会見した秋草史幸社長は陳謝した。1万円という金額については、有識者らの意見や過去の事例を参考に「顧客の皆様におかけする迷惑と事件の重大性をかんがみて、総合的に判断した」と説明する。総額で5億円近い費用は三菱UFJ証券が負担する。元社員への損害賠償も今後検討するが、今回のお詫び送付とは別の話とした。 同事件では顧客情報が名簿業者に売

2008年7月，米グーグルは同社が開発したWebアプリケーションのぜい弱性検出ツール「ratproxy」をオープンソースとして公開した。検索サイト最大手の同社は，攻撃を受けることも多い。Google Appsをはじめ，代表的なWeb 2.0系アプリケーション開発の先駆者でもある同社が開発したツールの威力はどれほどのものか。ぜい弱性検査の専門家が探った。 “受動的”な検出ツール，Web 2.0系のぜい弱性に強み 検出できるぜい弱性は42種類，SQLインジェクションは苦手 Content-TypeなどでXSSの危険度をチェック JavaScriptスクリプトに潜むXSSのぜい弱性も検出 JavaScript Hijack/JSON Hijackのぜい弱性

セキュリティ組織の米SANS Instituteなどは2007年4月29日、米マイクロソフトのWebページが何者かに改ざんされたことを明らかにした。同ページはマイクロソフトのドメイン（microsoft.com）を持つサーバーに置かれていたが、サーバーはホスティング事業者が管理しており、マイクロソフトのネットワークには置かれていなかった。現在（5月1日時点）では、同ページにアクセスできなくなっている。 改ざんされたページは、「Internet Explorer管理者キット（IEAK）」などを配布するWebサイトに置かれていた。IEAKとは、Internet Explorer（IE）をカスタマイズしたり、配布したりするためのツールキット。このサイトのあるページ（http://ieak.microsoft.com/1.0/newlicensee.asp）が改ざんされ、同ページにアクセスすると、

2008年3月に入ってから，SQLインジェクション攻撃によるWeb改ざんが相次いでいる。例えば，セキュリティ対策ベンダーのトレンドマイクロは3月12日，同社のウイルス情報ページが改ざんされ，午前11時30分に同ページを閉鎖したことを発表した。実際にウイルス情報ページが改ざんされたのは3月9日の午後9時頃。同社はぜい弱性対策を施した後，13日午前8時30分からページ公開を再開した（関連記事）。 攻撃の標的になったのは，国内サイトだけではない。同様の手口による大規模Web改ざんが，世界中で確認された。米マカフィーは3月13日時点で，2万ページ近くのWebページが改ざんされたと推測した（関連記事）。 これらは，いったいどのような攻撃手法だったのだろうか。それについて，セキュリティ対策ベンダーのラックが説明会を開催した。この説明会については，ニュースとして記事化したが（関連記事），詳細についてはお

経済産業省はSOAPなどのオープンな標準に準拠するSOA（サービス指向アーキテクチャ）製品に対する税制優遇制度を開始する。2008年4月から運用を開始した「連携プログラム技術評価制度」で認定された製品を購入した企業に対し，投資額に対する税額7％，特別損金35％を控除する。今国会で情報基盤促進税制の拡張が審議されており，早ければ2008年4月末にも成立する見込みだ。 経産省では「日本の情報システムの連携は米国に比べて遅れている。部門間・組織間連携ができている企業の割合は，日本の26％に対し米国では54％」としており，システム間連携を促進するとともに標準への準拠を促し，IT活用の高度化を図るのが狙い。 「連携プログラム技術評価制度」は独立行政法人 情報処理推進機構(IPA)が経済産業省の告示に基づき，SOA（サービス指向アーキテクチャ）製品などを対象に，JIS規格に準拠しているかなどを評価する

「3カ月でもまだ遅い。1カ月で新しいシステムを作ってほしい」。こうした短納期開発の要求が，近年ますます厳しくなっている。そんななかSOA（サービス指向アーキテクチャ）を支えるシステム連携基盤ESB（Enterprise Service Bus）が注目を浴びている。（中山　秀夫＝日経SYSTEMS） ESBを一言で表せば「SOAの実現に必要な，システム同士をつなぐ基盤」である。SOAでは，企業の各システムが備える機能ごとに，Webサービスなどの標準化したインタフェースを設け，ほかのシステムやエンドユーザーのWebブラウザおよびクライアント・ソフトから，単純な手続きによってネットワーク経由で呼び出せるようにする。これを，システムの機能の「サービス化」と呼ぶ。 さらに，連携させるシステムのいずれかに，取り扱うデータ項目の追加やネットワーク上の場所などの変更が生じても，ほかのシステムを修正せずにそ

米マイクロソフトは2008年4月1日（米国時間）、ISO（国際標準化機構）/IEC（国際電気標準会議）で審議されていた文書ファイル形式「Office Open XML」が、標準として承認されたと発表した。Office Open XMLは、「2007 Office system」が標準のファイル形式として採用したフォーマットである。2008年4月2日には、ISO/IECからも同様の発表がなされた。 マイクロソフトは、Office Open XMLの標準化に力を注いできた。既に、情報通信分野の国際標準化団体ECMA Internationalでは標準と認められている。ISO/IECにおいても同様の活動を行ってきたが、2007年9月の投票では承認に必要な賛成票が得られなかった。 一方、Office Open XMLの対抗馬とされる「OpenDocument Format」（米サン・マイクロシステ

前回は簡単なEJBコンポーネントの作成方法と@EJBというアノテーション（注釈）を使ったDI（Dependency Injection：依存性の注入）について説明しました。今回は，EJBを使ったアプリケーションにおいて利用頻度の高い「セッションBean」と「宣言的トランザクション」について解説します。 セッションBeanは，主に業務ロジックや業務フローを実装するEJBのコンポーネントです。通常のJavaクラスに@Statelessや@Statefulなどのアノテーションを付けることで作成できます。 またEJBでは，トランザクションの管理をコンテナに任せることで宣言的トランザクションを利用できます。宣言的トランザクションとは「トランザクションの開始や終了，トランザクションの振る舞いをプログラム・コードとして明示的に記述するのではなく，アノテーションやXMLファイルなどを利用してプログラム・コ

今，Enterprise JavaBeans（EJB）の新しいバージョンであるEJB 3.0が技術者の注目を集めています。これまで複雑で扱いにくいと批判されてきたEJBが，今回のバージョンアップでその批判に応えて大きく変わろうとしているからです。 EJB 3.0の仕様の最終リリースは2006年第1四半期に予定されています。本稿執筆時点（2005年12月11日現在）では最終リリースはまだ行われていません（6月現在Final Releaseあり）。しかし，現時点でドラフト段階の仕様に対応したEJB3.0の実装がいくつか公開されています。 この連載では，米JBossが開発した「Embeddable EJB 3.0」という実行環境を使い，EJB 3.0の新しいプログラミング・モデルを紹介します。EJBを使ったことがある方もない方も，ぜひEJB 3.0の新しいプログラミング・モデルを体験してください

左からシックス・アパートの関信浩代表取締役、野村総合研究所の崎村夏彦上級研究員、米OpenIDファウンデーションのデビッド・リコードン副会長、日本ベリサインの石川和也リサーチ室長 野村総合研究所（NRI）、日本ベリサイン、シックス・アパートの3社は2008年2月28日、ネット上のIDを1つに集約するための規格「OpenID」の推進団体「OpenIDファウンデーション・ジャパン（仮称）」の設立を準備していると発表した。3社が発起企業となり、今年4月の設立を目指す。 同団体は、米国のOpenID推進団体「OpenIDファウンデーション（OIDF）」の日本支部の位置付け。日本におけるOpenIDの普及活動と、日本のニーズをOIDFをフィードバックする活動を実施する。具体的には、仕様や知財に関連する書類の日本語化やメーリングリストなどを通じたコミュニティの拡大を進める。 「言語や法制度の違いなどか

総務省が2003年に実施した「企業経営におけるIT活用調査」*によると，日本企業は米国企業に比べてIT投資に対する効果測定への取り組みが遅れている。特に「導入後の定期的かつ定量的な検証」については，米国の62.4％に対して日本は13.5％に過ぎない 一方，「平成18年版情報通信白書」によると，2004年の情報化投資合計は16.5兆円であり，この額は民間企業設備投資の21.5％を占める。右肩上がりの高度成長時代には市場の成長が売上増を保証していたため，企業はIT投資の効果にそれほど厳格になる必要もなかった。しかし，経営環境がますます厳しくなる中，「ITを導入しさえすれば経営状況が改善する」と安易に考える経営者はもはや存在しない。むしろ，投資の約4分の1を占めるIT投資の効果に対して，より厳しい目を向けるようになってきている。情報システムは単独では財務指標との直接的な関連性が低い（見えにくい）

マイクロソフトが11月30日からボリューム・ライセンス版の販売を始める「the 2007 Microsoft Office system（Office 2007）」は，非常に大規模な製品群である。「Excel」や「Word」といったおなじみのデスクトップ・アプリケーションだけでなく，「SharePoint Server」や「Exchange Server」といったサーバー製品も含まれるからだ。また「Groove」や「Forms Server」といった，全く新規に追加された製品もある。Office 2007の製品構成をまとめてみよう。 Office 2007の主力製品は，従来と同じく，デスクトップ・アプリケーションを集めた「スイート製品」である。ただし，Office 2003で4種類だったスイート製品は，Office 2007では6種類に増加する（図1と図2）。このうち，「Enterpris

日経マーケット・アクセスでは，ITpro Researchモニターに登録している企業情報システム担当者を対象に，最新あるいは注目のIT関連キーワードを毎月三つずつ挙げて，その認知度，業務への影響と利用の状況について聞いている。2007年10月調査では，「EIP（企業情報ポータル）」，「AIR（Adobe Integrated Runtime）」，「スマートフォン」を取り上げた。 企業内の多様な情報システム上のデータを，Webブラウザなどから一括して閲覧可能にする「EIP（企業情報ポータル）」。2000年～2001年頃には日経BP社のIT専門誌でも特集がたびたび組まれるほど注目を浴びた。ここ数年，SOAやWebサービス，マッシュ･アップなど，システム間連携の新しい手法や概念が実用域に達するとともに，それらの新技術で実現するアプリケーションの一つとして，EIPも再び注目されている。 結果は，認

コクヨは2006年9月をめどに，グループ企業共通のグループウエアを，ドリーム・アーツのEIP（Enterprise Information Portal）パッケージ「INSUITE Enterprise」に全面的に切り替える。 従来はIBMの「Notes/Domino」を使用してきたが，「共有情報が膨大になり，より検索性や一覧性に優れたツールが必要になった」（コクヨビジネスサービスの土山宏邦氏）。新システムでは，グループ全社，事業会社，プロジェクトといった階層別にポータル画面を設けて情報の一覧性を高めるとともに，登録されたすべての情報を対象に全文検索できるようにする。 IBMによる「Lotus Notes/Domino 5」のサポートが2005年9月に終了し，新バージョンへの移行に数億円の追加負担が必要になったことも，EIPへの切り替えのきっかけになった。 対象ユーザーは，本社と連結対象子

米AMD，米Dell，米Intel，米Microsoft，米Sun Microsystemsは米国時間10月8日に，ITシステム全体の管理情報にアクセスするための共通手段を提供するWebサービス仕様「Web Services Management（WS-Management）」を発表した。 同仕様によりIT管理者は，Webサービスを利用して自社のネットワーク上にあるデバイスにリモートでアクセスすることが可能。ハンドヘルド機，パソコン，サーバーから，大規模なデータセンターの管理を想定する。「WS-Managementは，次世代アプリケーション管理の基礎を提供する。幅広い機能を備える上，他のWS仕様の安全性，信頼性，処理能力を利用できる」（Microsoft社） Intel社System Software研究所ディレクタのColin Evans氏は，「システム管理を合理化し，ITシステムの複雑

市職員が利用する約1700台のPC，庁内ネットワーク，文書管理や財務会計などの基幹業務システムに関するユーザー認証をICカードに一元化した。4月に全面施行された個人情報保護法をにらみ，個人情報漏えいを防ぐのが狙い。また，財務会計などの基幹業務システムは，ユーザー認証をシングル・サインオン化することで業務効率を高める。ICカードを使ったユーザー認証などの機能を備えるPC用ソフト「SmartOn NEO」，IEEE802.1x対応のLANスイッチ「UNIVERGE QXシリーズ」約300台，認証サーバー・ソフト「UNIVERGE RD1000」を導入した。

富士通は12月7日、Windows Vista/XPなどOSのバージョンが違っても、Webブラウザで表示する漢字の字体を統一できるようにした新ソフト「Interstage Charset Manager Web入力 Agent」の説明会を開催した。文字コード体系の新規格「JIS2004」を採用しているWindows Vista上で、同XPと同様の「JIS90」規格に従った漢字を入力・表示できる。反対にXP上で、同OSが未対応のJIS2004に従った字体を入力・表示することも可能だ。新ソフトは、11月に出荷を開始している。 仕組みはこうだ。Webサーバー上で動作する新ソフトは、文字コードと漢字の変換テーブルを保持しており、OSによって字体が異なる漢字については、画像データに変換してWebブラウザに送信する。このため、どちらのOS上で動作するWebブラウザでも、同じ字体が表示される。文字入力時

【前編】攻撃者のコミュニティは強大化，守る側も結束を固めて対抗を JPCERT/CC 経営企画室 兼 FIRST運営委員会ディレクタ 伊藤 友里恵氏 ここへきて、セキュリティ専門組織を構築する企業が増えている。なぜ今、セキュリティ専門組織が注目されているのか。そして、こうした組織が集まったコミュニティの活動はどのようなものか。セキュリティ専門組織による国際フォーラム「FIRST」のディレクタを務めるJPCERT/CCの伊藤氏に、専門組織の役割やコミュニティ活動の実際を聞いた。 このところ、セキュリティ対策として専門の組織（CSIRT：コンピュータ・セキュリティ・インシデント対応チーム）を構築する企業が増えています。 私が日々強く感じていることは、攻撃者側がコミュニティを作り活動している事実です。彼らは、実に情報共有に長けています。アンダーグラウンドのメーリング・リスト、Webサイト、フォー