無断でダウンロードしたデータでもAI開発に使える？　改正著作権法を弁護士が解説：“おいしいデータ”で、成果が出るAIモデルを育てる（1）（1/2 ページ） AIモデル開発を目的とするなら、著作権者に許諾を得ずとも、データのダウンロード、整形、加工がより広い範囲で行えるようになった。弁護士法人STORIAの柿沼太一弁護士が、2019年1月1日に施行された「改正著作権法」のポイントとAIモデル開発時の注意点について解説した。 深層学習の登場により、「音声認識」や「画像認識」にAIモデルを活用してサービスを提供する企業が増えてきた。 AIモデルを開発するには、大量のデータを用意してAIモデルに学習させ、目標の精度が出るかどうかAIモデルを評価する必要がある。しかし、「大量のデータを用意するのに時間がかかる」「AIモデルの精度が低くサービスに適用できない」など、サービスを開発、提供する前から壁が立

連載目次 本連載（基礎編）の目的 スクラッチ（＝他者が書いたソースコードを見たりライブラリーを使ったりせずに、何もないゼロの状態からコードを記述すること）でディープラーニングやニューラルネットワーク（DNN：Deep Neural Network、以下では「ニューラルネット」と表記）を実装して学ぶ系の書籍や動画講座、記事はたくさんあると思います。それらで学んだ際に、「誤差逆伝播」（バックプロパゲーション）のところで挫折して、そこはスルーしている人は少なくないのではないでしょうか。個々の数式や計算自体を理解していても、何となく全体像がつかめずに、 と自信を持って言えない人も多いのではないかと思います。 本連載（基礎編）はそういった人に向けた記事になります。この記事はニューラルネットの仕組みを、数学理論からではなくPythonコードから学ぶことを狙っています。「難しい高校以降の数学は苦手だけど

日本PHPユーザ会は2018年12月15日にPHP Conference 2018を開催した。本稿では、EGセキュアソリューションズ 代表取締役 徳丸浩氏の講演「安全なWebアプリケーションの作り方2018」の内容を要約してお伝えする。 徳丸氏は、割賦（かっぷ）販売法の改正や、経済産業省が推奨する「クレジットカード情報の非保持化」を紹介。重大なセキュリティリスクを無視した場合、クレジットカード情報（以下、カード情報）を非保持化するシステムでも、カード情報を盗まれる可能性があると指摘する。 クレジットカード周りのセキュリティ対策の動向 徳丸氏は、カード情報に関連する法律の動向として、割賦販売法改正と経済産業省の実行計画を抜粋して紹介。割賦販売法とは、クレジットカードなどによる信用取引に関する法律だ。2018年6月1日に改正され、クレジットカードを取り扱う事業者に対して、カード情報を漏えいさせ

GitHubが障害を総括、43秒間のネットワーク断が1日のサービス障害につながった：データベースの不整合解消に時間 GitHubは2018年10月30日（米国時間）、2018年10月21日16時頃（米国太平洋時）から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータ管理データベースの不整合を引き起こし、復旧に時間を要したという。 GitHubは2018年10月30日（米国時間）、2018年10月21日16時頃（米国太平洋時）から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータを管理するデータベースの不整合を引き起こし、復旧に時間を要した

フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱（ぜいじゃく）性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。 2つのプロセスはデータを交換するために、「プロセス間通信（IPC）」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。

完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る：大規模HTTPS導入Night 2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った。 2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合うイベントとなった。 本稿では、各講演の要点をダイジェストで紹介する。 pixivを常時HTTPS化するまでの道

人間にまつわるセキュリティを考える本連載。今回のテーマは「ヒューマンエラー」です。個人の意識だけに原因を求めてもうまくいかないヒューマンエラー対策について考えます。 連載目次 ヒューマンエラーを考える 心理学などの知見を借りながら、「人間のセキュリティ」を考える本連載。第5回では、組織の「ヒューマンエラー対策」を扱います。情報セキュリティに限らず、多くの事件・事故は、ヒューマンエラーが主要な原因となって起きています。 図表1はNRIセキュアテクノロジーズが2015年に行った調査の結果です。これを見ると、企業におけるセキュリティ事故の大部分は、「ヒューマンエラー」と「サイバー攻撃」によるものだと分かります。また、この調査の中でサイバー攻撃として分類されている幾つかの項目も、考え方によってはヒューマンエラーに起因するものと捉えることができます（標的型メール攻撃など）。 図表1　過去1年間に発生

2016年4月、国内の複数のWebサイトが不正アクセスを受け、個人情報が流出したことを明らかにした。原因は、CMS（Content Management System：コンテンツ管理システム）「Movable Type」のプラグインとして提供されている「ケータイキット for Movable Type」に存在していたOSコマンドインジェクションの脆弱（ぜいじゃく）性だ。 OSコマンドインジェクションは、比較的古くから存在していた問題だ。Webサイト内のフォームに文字列を入力することでサーバ上でOSのコマンドを実行させ、リモートからさまざまな意図しない操作を可能にしてしまうものだ。 確かに危険性は高いが、IPAが公開している「安全なWebサイトの作り方（pdf）」などにまとめられている通り、対策は示されている。また、OSコマンドを呼び出すのではなくライブラリを利用するといったプログラミング作

本特集では金融業界がFinTechでビジネスを拡大するために必要な技術要件を浮き彫りにし、一つ一つ解説していく。今回は、FinTechの潮流の中で、特に注目を浴びているキーワード「ブロックチェーン」についてのセミナーの模様を紹介する。その応用分野は狭義の「金融」にとどまらない。流通やヘルスケア、音楽、ゲーム、さらには「契約」全般など、幅広い可能性を秘めたブロックチェーンの可能性を探る。 特集：FinTech入門――2016年以降の金融ビジネスを拡張する技術 「Finance（金融）」と「Technology（技術）」を足した造語である「FinTech」。その旗印の下、IT技術によって金融に関わるさまざまな業務や処理を利便化し、ビジネスの拡大を図る動きが国内金融業界から大きな注目を浴びている。大手銀行からスタートアップまで「FinTech」という言葉を用い、新しいビジネスを展開するニュースが

Dell SecureWorks、「あらゆる手段で」顧客組織を疑似攻撃するセキュリティ演習サービス「Red Team Testing」を国内で提供開始：まるでリアルCTF？ Dell SecureWorksは2015年11月11日、企業のセキュリティレベルやインシデント対応能力を評価するサービス「Red Team Testing」の提供を開始した。あらゆる方法を駆使して顧客の「目標」を狙うことで、顧客のセキュリティ対策やインシデント対応力の診断を行う。 Dell SecureWorksは2015年11月11日、企業のセキュリティレベルやインシデント対応能力を評価するサービス「Red Team Testing」の提供を開始した。Webアプリケーションからの侵入や標的型メール攻撃のみならず、ソーシャルエンジニアリングや「物理的な」手段まで、あらゆる方法を駆使して顧客の「目標」を狙うことで、顧客

リクルート全社検索基盤のアーキテクチャ、採用技術、開発体制はどうなっているのか：Elasticsearch＋Hadoopベースの大規模検索基盤大解剖（1）（1/2 ページ） リクルートの事例を基に、大規模BtoCサービスに求められる検索基盤はどう構築されるものなのか、どんな技術が採用されているのか、運用はどうなっているのかなどについて解説する連載。初回は全体的なアーキテクチャ、採用技術、開発体制について。 連載目次 大規模BtoCサービスで求められる検索基盤は、どうあるべきなのか カスタマー（消費者）が求めるものが日々変わっていく現在において、BtoCの検索基盤はどうあるべきなのでしょうか。 例えば、リクルートで使われている検索基盤の「Qass（Query analyze search system）」は単に全文検索機能を提供するのではなく、以下を軸としています。 サービスごとに最適化され

1000万行のコードと向き合う3つのステップ――富士ゼロックスはリファクタリングにどう取り組んでいるのか（1/2 ページ） 大企業では実施が難しいと思われるソフトウエアのリファクタリング。富士ゼロックスでは、どのように取り組んでいるのか。リファクタリングの実施を決断した理由、課題とその対応方針、成果、今後の展望などについて聞いた。 バグの有無ではなく保守性を品質管理の指標にすべき 1962年設立の富士ゼロックスは、主に複合機やオフィスプリンターなどに内蔵されるコントローラーソフトウエアの開発を行っている。コントローラーソフトウエアは、スキャナーで撮り込んだ画像の加工や印刷、ネットワーク経由の通信、セキュリティなどの各種機能を、操作パネルのユーザーインターフェースを介して制御しており、昨今の多機能なオフィス機器の要といえる。 一方で、多機能になったことでコードは大規模かつ複雑化の一途をたどっ

これなら合格！ 正しいリダイレクターの作り方：HTML5時代の「新しいセキュリティ・エチケット」（4）（1/3 ページ） えっ、まだmeta refreshとか301使ってるの？ リダイレクターの作り方も時代とともに移り変わります。記事を読んだらすぐに使えるセキュリティ・エチケットを紹介しましょう。 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回は、「オープンリダイレクター」という脆弱性について説明します。 オープンリダイレクターとは？ オープンリダイレクターとは、あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって任意の外部ページへのリダイレクターとして利用可能になっている問題です。 「http://example.jp」上で提供されるWebアプリケーションにて、例えば「http://example.jp/go?url=/nex

AWSのデータセンターの中身を、設計総責任者が話した：「ここまで話していいの？」（1/2 ページ） Amazon Web Services（AWS）のバイスプレジデント兼ディスティングイッシュド・エンジニア、ジェームズ・ハミルトン氏は、AWSが11月11～14日に開催した「AWS re:Invent 2014」で、データセンターの構成、サーバーやスイッチの自社設計、SR-IOVなどについて語った。 [2014/11/21訂正]記事の初出時に、ハミルトン氏がAZ間の距離を「数キロメートル」と言ったと記述しましたが、数十キロメートルである可能性もあります。ハミルトン氏はAZ間が「multiple kilometers」であると表現しています。後出のハミルトン氏の議論では、例えばロサンゼルスとニューヨークの間の伝送遅延は74ミリ秒だが、これを1、2ミリ秒に抑えるためにAZ間は近くなくてはならない

DHCP（Dynamic Host Configuration Protocol）は名前の示すとおり、動的／自動的にホストの設定を行うためのプロトコルだ。主にクライアントのブート時など、自身のIPアドレスを自動設定するために、DHCPサーバから取得する際に用いられる。 DHCPはもともとBOOTP（BOOTstrap Protocol：RFC951）RFC951）が基になっており、メッセージ構造などはほぼそのままだ。BOOTPでは単にクライアントに使用させたいIPアドレスを通知するだけだったのに対し、DHCPでは拡張部分を利用して、割り当てられたIPアドレスに利用可能期間（リース期間）を設けたり、クライアントに使用させたいDNSサーバやデフォルト・ゲートウェイのIPアドレスといった設定値も自動設定できるよう、汎用的に定義し直している。これらは、RFC2131とRFC2132で規定されている

Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在：国内セキュリティ企業が相次いで注意喚起 脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。 セキュリティ企業の三井物産セキュアディレクション（MBSD）は2014年4月22日、脆弱（ぜいじゃく）性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っていることを確認したと明らかにした。 またラックは2014年4月24日、Webアプリケーションフレームワーク「Apache Struts 2」に存在するものと似た脆弱性が、既に

PHP 5.5.0が公開されました。オペコードキャッシュやジェネレータなど、言語仕様としても実行エンジンとしても挑戦的な内容が含まれています。 「PHP 5.5.0」が、2013年6月20日に公開されました。2012年3月1日に公開された「PHP 5.4.0」から数えて1年3カ月ぶりのメジャーバージョンアップになります。これまでのメジャーバージョンアップの例に漏れず、言語仕様としても実行エンジンとしても挑戦的な内容が含まれています。なお2013年7月18日にはバグ修正版の「PHP 5.5.1」が公開されており、本稿のサンプルコードは同バージョンで動作を確認しました。 PHP 5.5系列が公開されたことに伴い、PHP 5.3系はメンテナンスモードに入りました。同年7月11日に公開された「PHP 5.3.27」が5.3系列の通常の最後のバージョンとなり、これ以降はセキュリティ修正のみの対応とな

「演算子のインジェクション」と「SSJI」：NoSQLを使うなら知っておきたいセキュリティの話（1）（1/2 ページ） ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。 注目集める「NoSQL」 ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用しないデータベースの総称で、大量データ処理時の高速性やデータ構造の柔軟性などのメリットがあるため、従来のリレーショナルデータベース（RDB）を補完・代替するものとして、大規模なWebアプリケーションなどにおいてNoSQLを採用する事例が増えています。 このような新しい技術が普及し

本企画はWeb開発企業『クレイ』におけるアジャイルソフトウェア開発の経験を漫画「ブラックジャックによろしく」の名シーンを挿絵に紹介するドキュメンタリーです。 はじめまして、認定スクラムマスターの吉岡と申します。私は2011年にWeb開発企業『クレイ』に入社して以来、開発プロセスの改善に取り組んできました。クレイはエンジニア5人とプロジェクトマネージャ2人でWeb開発を請け負っており、プロジェクトの規模としては2～3カ月で完了する短いものが主流でした。 入社当時はエンジニアそれぞれのToDo管理はしていたものの、要件の解釈で行き違いがあったり、担当者以外に開発の状況が見えないなどの問題がありました。

3Dプリンタを活用した大規模開発に期待が寄せられています。 次回は「工数見積もり」です。 →他の用語解説も読んでみる ■「大規模開発」：おすすめ記事・超まとめ 受託開発は本当にオワコンか？ SI業界の未来を前向きに考える エンジニアリングについて語り合うイベントで、大規模開発案件の未来を考えた ドラクエXマネージャが語る大規模アジャイル開発の極意（＠IT News） 「イレギュラーな事案が発生するのは大規模開発では当然のこと。アジャイルは大規模開発と親和性が高い」