先駆者に聞く、「バグ報奨金制度」のメリットと課題
先駆者に聞く、「バグ報奨金制度」のメリットと課題:セキュリティ・アディッショナルタイム(15)(1/3 ページ) 日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」(バグバウンティプログラム)。果たしてどれだけの効果があるのか。また課題は? 実際に制度を運営する3社に聞いた。 コードのバグはゼロにできない。従って、脆弱(ぜいじゃく)性をゼロにすることもまた不可能だ。設計や実装、各フェーズで脆弱性を作り込まないよう留意し、脆弱性検査を行って修正するというプロセスを繰り返し、できる限り減らすことはできても、「ゼロ」にするのは難しい。その中で、どうすれば、より安全でより良いサービスを実現できるだろうか――その解を模索する企業の間で広がり始めているのが、「脆弱性報奨金制度」だ。 脆弱性報奨金制度は、「バグバウンティプログラム」とも呼ばれる。外部のリサーチャーに自社サービスの脆弱性を報告
子どもだけではなく全ての日本国民にとってプログラミングが重要である、たった1つの理由
特集:小学生の「プログラミング教育」その前に 政府の成長戦略の中で小学校の「プログラミング教育」を必修化し2020年度に開始することが発表され、さまざまな議論を生んでいる。そもそも「プログラミング」とは何か、小学生に「プログラミング教育」を必修化する意味はあるのか、「プログラミング的思考」とは何なのか、親はどのように準備しておけばいいのか、小学生の教員は各教科にどのように取り入れればいいのか――本特集では、有識者へのインタビューなどで、これらの疑問を解きほぐしていく。 今回はビジュアルプログラミングツール「Viscuit」の開発者である原田康徳氏に話を伺った。 コンピュータとは何か――共生のためには子どもだけではなく大人も学ぶべき 「『2045年にシンギュラリティ(技術的特異点)が起こり、人間の仕事が人工知能つまりコンピュータに奪われる』『人類がコンピュータに支配される」などとよくいわれて
ボランティアWi-Fiネットワーク構築集団「CONBU」の正体に迫る
ボランティアWi-Fiネットワーク構築集団「CONBU」の正体に迫る:ものになるモノ、ならないモノ(70)(1/4 ページ) 連載目次 「Wi-Fiネットワーク構築」のプロフェッショナル集団 筆者を取り囲む6人の男性陣。ネットワークエンジニアのプロフェッショナル集団「CONBU(コンブ)」のコアメンバー6人だ。CONBUは主にネット系の大規模なカンファレンスや勉強会などのイベント会場において、会場ネットワークを構築し、インターネット接続を提供している。 「プロフェッショナル集団」と言い切ってしまうと誤解を招くかもしれない。正確にはCONBUは、「Wi-Fiネットワーク構築のボランティア集団」だ。ただし、ボランティアとはいえ、その活動内容や現場での様子は、そこに報酬が発生しないというだけで、プロの仕事師以外の何者でもない。それゆえ冒頭で「プロフェッショナル集団」という言い方をさせてもらった。
PaaS、Docker、OpenStack――すでにここまで実現できる“変化に強い”インフラの作り方
PaaS、Docker、OpenStack――すでにここまで実現できる“変化に強い”インフラの作り方:特集:国内DevOpsを再定義する(3)(1/3 ページ) これまで開発側の視点で語られることが多かったDevOps。今回はレッドハット クラウドエバンジェリストの中井悦司氏にインタビュー。DevOpsに必要な考え方と仕組みについて、インフラ側の視点で話を聞いた。 市場環境変化が激しい近年、「スピード」が差別化の必須要件であることは多くの企業に浸透した。とりわけ、大量データから顧客ニーズを分析し、迅速にサービス/製品に反映するIoTの波は、自社の強みを生かした新サービスの開発を加速させ、自動車業界におけるグーグル、クラウド業界におけるGEのように、業界構造の破壊までも引き起こそうとしている。 ただ一般に、日本企業は過去の実績を基に改善を重ねていくスタイルが主流。また、そうしたスタイルで多く
DevOps再入門~DevOpsが生きる領域、ITILが生きる領域~
DevOps再入門~DevOpsが生きる領域、ITILが生きる領域~:特集:国内DevOpsを再定義する(2)(1/4 ページ) 市場変化の加速を受けて、国内でも今あらためて見直されているDevOps。その本当の意味と適用領域の考え方を、DevOpsに深い知見を持つガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ ITオペレーション担当 マネージング バイス プレジデント 長嶋裕里香氏に聞いた。 競争が激しい市場環境の中で、着実に収益・ブランドを向上させるためには、ニーズに応える「スピード」が不可欠なポイントとなる。特に先を見通しにくい現在は、ITサービスを迅速にリリースし、市場の反応をうかがいながら改善するスタンスが、着実に差別化を図るための重要なポイントとなっている。その手段として、国内でもあらためて注目を集めている「DevOps」だが、その定義や適用領域に対
国語力とプログラミング力の関係 解説編
2009年1月、Cyan設計者 林拓人氏とLispの伝道師 竹内郁雄氏との対談「Cyanを設計した高校生、5カ月で5つの言語を習得」が大きな反響を呼んだ。その原因の1つは、竹内氏が発したひと言「わたしの持論ですが、国語ができる(=日本語できちんとした文章が書ける)人じゃないとプログラムは書けない」だ。これについてネットでは同意する意見が多かったものの、記事中で根拠が明らかにされていなかったため議論が紛糾した。そこで編集部は竹内氏に詰め寄り、「わたしの持論」について詳しく説明してもらうべく寄稿をお願いした。国語力とプログラミング力には本当に相関関係があるのだろうか。 事のいきさつ~Cyan設計者 林くんとの対談で発してしまったひと言が思わぬ反響を呼ぶ Cyan言語で経済産業大臣賞を受けた開成高校の林拓人くんと対談(「Cyanを設計した高校生、5カ月で5つの言語を習得」)しているうちに、つい調
Visual Studio Codeの使い勝手をよくするツール
Visual Studio Codeの使い勝手をよくするツール:特集:Visual Studio Code早分かりガイド(1/5 ページ) 本稿ではVisual Studio Codeでのコーディングの効率を向上させるタスク、[SEARCH]バー、スニペットというツールを紹介しよう。
Metasploit――大いなる力と責任を体感する
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 ぜひ実際に環境を用意し、手を動かす体験を 前回は、Metasploit Framework(以下、Metasploit)の導入までを説明した。すでにMetasploitを使った経験のある方からすると物足りない内容だったかもしれない。だが、筆者としては自身でインストールすることなく、Kali Linuxなどのすでにインストールされている環境を利用している方が多い印象があるので、自身でWindows版をインストールすることに少しでも新鮮味を感じていただけていれば幸いである。 さて、今回は、攻撃を受
Linux Storage Filesystem/MM Summit 2014からの便り
Linux Storage Filesystem/MM Summit 2014からの便り:Linux Kernel Watch(1/2 ページ) お久しぶりです、Linux Kernel Watchが帰ってきました。3月に行われた「Linux Storage Filesystem/MM Summit 2014」の主なトピックを紹介します。 皆さん、お久しぶりです。私は今ボストンで、米レッドハット常駐という立場でRed Hat Enterprise Linux(RHEL)開発に携わっています。 今回はサンフランシスコ近郊のナパバレーで2014年3月24~25日に行われた「Linux Storage Filesystem/MM Summit 2014」(以下LSF/MM)の中から面白かったトピックをピックアップしてお届けしたいと思います。 LSF/MMはLinux Foundation主催で行
プログラミングもクラウドへ―― 学習&開発環境Webサービス23選まとめ
プログラミングもクラウドへ―― 学習&開発環境Webサービス23選まとめ:安藤幸央のランダウン(67)(1/3 ページ) オンラインのプログラミング環境や、オンラインでコードを書いて学べる学習サイト9選、ビジュアル(子ども向け)プログミラングWeb環境5選を紹介する。 道具としての開発環境 今となっては昔のことですが、机の上でノートに鉛筆でソースコードを書いてプログラミングしていた時代がありました。現在のプログラミング環境から振り返ると、そういう作業はアルゴリズムを考え、頭で想像したコードを書き下ろしており、脳内エミュレーターのようなものだったのかもしれません。 最近のプログラミング環境は、規模も複雑さも肥大化しつつ、プログラミングに関する情報もツールも大変充実したものです(マイナーな環境の情報が少ないことや、新古の情報が混在している問題はありますが)。 Web上の情報も書籍も豊富で、自分
プログラミング教育の必要性と効果、保護者はどう感じたか―― CA Tech Kids講演会リポート
プログラミング教育の必要性と効果、保護者はどう感じたか―― CA Tech Kids講演会リポート:子ども向けプログラミングの現場から(3)(1/2 ページ) 小学生向けプログラミング教育を手掛けるCA Tech Kidsが開催した保護者・教育関係者向け講演会の模様をリポートする。2人の小学生によるプレゼンも行われた。 小学生向けプログラミング教育事業を手掛ける、CA Tech Kids 子ども向けプログラミング教育の重要性はますます高まっている── 小学生向けプログラミング教育を手掛ける「CA Tech Kids」が2014年1月25日に開催した「保護者様・教育関係者様向け講演会」では、小学生の子どもを持つ保護者に向けて、このようなメッセージを繰り返し語り掛けた。 CA Tech Kidsは2013年に設立されたばかりの会社だ。サイバーエージェントと、中高生向けプログラミング教育を手掛け
無視できないフラグメンテーション問題への解答は?(1/2) - @IT
1月版 無視できないフラグメンテーション問題への解答は? 小崎資広 2010/2/10 当初、今回はmemory compactionとtransparent hugepageという2つのトピックを取り上げ「Hugepage大特集」にしようと思っていたのですが、並列プログラミングカンファレンスに触発され(正確には、そのカンファレンスに参加できなくて悔しかったことに触発され)、後者を急きょ、ロックレスネタに差し替えて紹介します。 でもこれが大失敗で、調査が大変過ぎて泣けたうえに、スケジュールがとんでもないことに。人間、思い付きで行動してはいけないといういい見本ですね。 Melの悲願なるか? Memory Compactionチャレンジ Mel Gormanは、Memory Compaction v1パッチシリーズを投稿しました。これは「Linuxメモリ管理の最先端を探る」で説明したAnti
子どもにプログラムの手順だけでなく概念を伝えたい
プログラミングの手順だけでなく概念を伝えたい ワークショップの後、講師の原さんに少し話を聞いた。興味深かったのは、次の一言だ。 「プログラミングの手順だけでなく、概念も知ってもらいたいと思っています」 ワークショップの説明でも、ただブラックボックスとして手順だけを覚えてもらうのではなく、制御構造や変数といったプログラミングの基本的な概念を、子どもなりに理解してもらおうと工夫している様子が伝わってきた。 例えば、「ゲームオーバー」の機能を実装するときは、次のやりとりになる。 講師 「ゲームオーバーになったら、どうなる?」 子ども 「ゲームができなくなる!」 講師 「そうですね。そこで全体を止めようと思います。(Scratchに用意されているブロックを見ながら)『制御』の中の『すべてをとめる』が使えそうですね。これを使ってみましょう」 ビジュアルプログラミング環境Scratchとは Scrat
現代っ子の習いごとはプログラミングも当たり前――「TENTO」レポート
連載第1回記事「子ども向けプログラミングの現場から(1):子どもにプログラムの手順だけでなく概念を伝えたい」 大学の広い講義室で、およそ100人の観客を前に自分でプログラミングしたゲームや作品を披露する子どもたち。「背景を自分で手描きしました」「カメの配置を乱数で表示させるように工夫しました」「飛ばした玉が遠くに行くにつれて、どんどん小さく見えるように大きさを変化させました」など、目の前にいる大人たちを物ともせず、堂々としたプレゼンテーションをしてみせる。 これは、2013年10月20日、筑波大学文京校舎で開かれたICT/プログラミンスクール「TENTO」の『第2回プレゼン大会』の様子。この大会には、同スクールに通う小学1年生~中学2年生までの計23名が参加し、約2カ月かけて制作した作品が発表された。 特別な子どもがプログラミングを学んでいるわけではない! 「TENTO」は、2011年にさ
シェルコード解析に必携の「5つ道具」
リバースエンジニアリングのスタンダード「IDA Pro」 リバースエンジニアリングには、逆アセンブラである「IDA Pro」がよく用いられます。IDA Proは逆アセンブラのデファクトスタンダートといっても過言ではありません。正規版はHex-Rays社から販売されていますが、非商用の利用に限っては、旧バージョン(Ver.5.0)を無償版として利用することができます。 最新版(Ver.6.1)と比べ、無償版では対応しているファイルフォーマットやCPUアーキテクチャが少なかったり、組み込まれているプラグインやデバッガの数が少なかったりと、いくつか機能的に劣っている部分があります。とはいえ、シェルコード解析やマルウェア解析をこれから始めてみよう、という方であれば問題ないかと思います。解析をバリバリ行えるようになり、無償版では物足りないと思ったときに最新版の購入を検討するとよいでしょう。 IDA
SMTP(Simple Mail Transfer Protocol)~後編
前回に続き、今回は主にSMTPの拡張版であるESMTPについて説明することにしよう。 ESMTP〜拡張SMTP SMTPが7ビットのASCIIコードしか用いていないのは前回述べたとおりだ。しかし、MIMEの回で述べたように、それでは都合の悪い場合も多々ある。そこで、これを8ビットでも利用できるようにしようとの動きが出てきた。これがESMTP(Extended SMTP)だ。ESMTPは、SMTPの機能をそのまま包含しつつ、8ビット対応だけでなく、幾つかの拡張を同時に行っている。仕様はRFC1869およびRFC1652などで定義されている。主なものを紹介しよう。 グリーティング 通常のSMTPではHELOコマンドでグリーティングを行うが、ESMTPではEHLOコマンドを用いる。これは接続先MTAへ自分がESMTPに対応していることを知らせるためだ。 接続先MTAもESMTPに対応している場合
膨大なビルド・テストで泣かないための継続的統合/CI実践ノウハウ
膨大なビルド・テストで泣かないための継続的統合/CI実践ノウハウ:DevOps時代の開発者のための構成管理入門(4)(1/3 ページ) 「DevOps」という言葉にもあるように、ソフトウェア構成管理は、インフラ運用に取り入れられるなど、変わりつつある時代だ。本連載では、そのトレンドにフォーカスして、現在のソフトウェア開発に有効な構成管理のノウハウをお伝えする。今回は、Jenkinsをはじめ、ツールが格段に使いやすくなってきた継続的インテグレーションについて、概要やメリットに加え、実践ノウハウを事例とともに紹介。 今回は、継続的な統合(Continuous Integration、CI、継続的インテグレーション)について紹介します。 CIとは、継続的な統合とは 皆さんは、CIという言葉を聞いたことがあるでしょうか? CIとは、1度限りもしくは数回限りではなく、継続的に小まめにビルドを実行して
セキュリティ対策に数学の力を――機械学習は先行防御の夢を見るか?
膨大なログの中から不審な通信を見つけ出したり、マルウェアの挙動を解析するならば専門家の長年の経験やカンに勝るものはない、という印象が強い。しかし、次々と亜種のマルウェアを生み出してくる攻撃者の「物量作戦」の前には、いくら優秀な専門家でも後手に回りがちだ。ならば「機械学習」を活用して異常を速やかに検出し、次の亜種を予想して、先回りして攻撃を防げないだろうか――そんなアプローチが始まろうとしている。 機械学習は、コンピュータの黎明(れいめい)期から研究が進んできた分野だ。コンピュータプログラムにデータを与え、その中に潜んでいる規則性を機械学習のアルゴリズムを使って抽出し、モデル化することで、あたかも人間と同じように判断を下せるようにする。かつては、膨大な計算量が必要なことがネックとなっていたが、近年のコンピューティング能力の向上に伴い、画像処理やユーザーの行動分析、それに基づくレコメンデーショ
僕らのセキュリティ5日間戦争
8月13日~17日、4泊5日で情報セキュリティを学ぶ「セキュリティ・キャンプ中央大会2013」が千葉の幕張で開催された。その模様をお伝えする。 仲間と共に腕を磨く熱い5日間 今年もセキュリティ男子・女子の熱い夏がやってきた。 8月13日~17日、情報セキュリティを学ぶ4泊5日の「セキュリティ・キャンプ中央大会2013」が千葉の幕張で開催された。今年で10回目を迎える同キャンプは、22歳以下の学生を対象に情報技術の習得を目指す合宿形式の講習会だ。経済産業省の共催、文部科学省の後援を受け、独立行政法人 情報処理推進機構(IPA)とIT関係の企業・団体で構成されるセキュリティ・キャンプ実施協議会が運営する。 今年は全国から250名の応募があった。応募用紙には技術の知識や基礎力を問う設問がいくつかあり、回答を含む厳正な選考の結果、男性37名、女性5名が選ばれた。「昨年まではとりあえず応募してみよう
Sender ID:送信者側の設定作業 ― @IT
送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF(Classic SPF)」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する(図1)。送信側は、「Sender Policy Framework(SPF)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
