徳丸浩氏に聞くWebセキュリティ対策の進むべき方向(その1)
企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や発注者、そしてエンドユーザーに突き付けられた課題とその対策について語ってもらった。2回に分けて掲載する。 日経コンピュータの連載を2015年6月11日号で終えましたが*、その後に気になるセキュリティ案件はありましたか。 徳丸 すぐに思い浮かぶのは、6月下旬に早稲田大学と徳島大学で起きたWebサイトの乗っ取りです。内容的には珍しくない事例ですが、早稲田がウイルス対策ソフトを入れていたのに侵入されたと発表し、徳島大もパスワードを定期的に変更していたにもかかわらず被害に遭ったとしていた点が気になりました。ウイルス対策ソフトの導入とパスワードの定期的変更は、いずれもサイトの乗っ取りには効果的な対策で
参考書を手当たり次第に手に取り、無視する
この連載では、先が見えない「暗闇プロジェクト」を任された場合に参考になりそうなヒントやノウハウを紹介している。「暗闇」はプロジェクトを通じて苦労を強いられるが、とりわけ企画・計画段階からつまずくケースが少なくない。 今回と次回で、このフェーズをうまく進めるためのセオリーを紹介する。 セオリー1 精緻な計画を立てるのは工数の無駄遣いと自覚する ユーザー企業S社の大規模プロジェクト。運営組織は多くの専門チームで構成していており、その一つに計画の作成・更新の専門チームがあった。予実管理は各チームが担当するので、計画チームの役割は計画の作成・更新だけ。計画を作成するまでは大変だが、一旦作成したら後は暇になるだろう。計画チームのメンバーはこう考えていたが、実際は違った。 S社のプロジェクトはウォーターフォールモデルにのっとり、計画駆動型で手堅く進めるはずだった。ところが、何しろ常時200人が同時に作
品質、納期、費用、機能のどれかをバッサリ切る
この連載では、先が見えない「暗闇プロジェクト」を任された場合に参考になりそうなヒントやノウハウを紹介している。前回(プロジェクトが支離滅裂? そんなことは当たり前)から、プロジェクトの最初期の段階である準備・構想段階での心得を紹介している。 今回も、「どうせダメに決まってる」と思われている状況でプロジェクトを立ち上げるためのセオリーを見ていこう。 セオリー1 品質、納期、費用、機能のどれかをバッサリ切る 暗闇プロジェクトが、自社の実験的なパイロットプロジェクトとして始まるとは限らない。顧客相手の通常の契約形態のプロジェクトが「暗闇」である場合もある。 開発を請け負うシステムインテグレータにとって、契約の内容次第では非常にリスクが大きいプロジェクトとなる。ユーザー企業P社の案件は諸事情により、「暗闇」でも受けざるを得なかった。 暗闇プロジェクトには「多くのステークホルダー(利害関係者)が絡む
家族に説明するマイナンバー、知っておくべき7つのポイント
(出典:総務省・地方公共団体情報システム機構、http://www.soumu.go.jp/main_content/000379957.pdf) 正式な名称は「個人番号(社会保障・税番号)」である。マイナンバーは家族でも連番ではない。マイナンバーの通知カードは世帯ごとに生まれたばかりの赤ちゃんや、住民票がある外国人にも届く(図1)。簡易書留なので、受け取る際に受領印や署名が必要だ。 もし住民票に記載された住所以外で通知カードを受け取りたい場合は、急いで住民票のある市区町村に相談した方がいい。通知カードが届く予定は、地方公共団体情報システム機構(J-LIS)が開設した個人番号カード総合サイトの通知カードの郵便局への差出し状況で確認できる。J-LISとは自治体から通知カードなどの発行事務を委託された地方公共団体の共同運営組織だ。 不在の場合は郵便受けに「簡易書留ご不在連絡票(マイナンバー専用
「MacBookを超える世界最高のノートPC」、デルが新型XPS 13、XPS 15を発表
デルは2015年10月20日、都内で新製品発表会を開催し、第6世代Coreプロセッサーを搭載したクラムシェル型ノートPC「XPS 13」と「XPS 15」を発表した。 XPS 13は前モデルの基本性能が向上した新モデルで、XPS 15は日本では未発表だった新製品。いずれも発表会当日の10月20日より販売を開始した。 デルの最上位モデル「XPS」シリーズが好評 発表会には、デル マーケティング統括本部 ビジネス&コンシューマーマーケティング本部 本部長の田尻祥一氏が登壇。XPSシリーズについて、「Xtreme Performance Systemを略したもの。上質な、ワンランク上の製品を求めるお客様に向けた、デルの最上位モデルだ。2015年1月のXPS 13の発売以降、コンシューマーとビジネス市場の両方で成功しており、上半期の販売台数は前年比5倍になった」と語った(写真1)。 日本市場での評
個人番号カードに潜むリスクと適正な活用法を考える
前回までは、個人番号カードの目玉機能である公的個人認証サービスについて、その機能と技術仕様を解説した。今回は、法規制やセキュリティ、プライバシーなどを踏まえた、民間企業による個人番号カードの適正な扱い方について考えてみたい。 第1回で述べた通り、仮に民間企業が個人番号カードから得られたデータを不適切に扱えば、個人番号カード自体の信頼が失墜し、誰もカード交付を申請しなくなるだろう。 このため政府は、個人番号カードが提供する公的個人認証サービスについて、法律などで取得データの活用に縛りを設けているほか、データを扱う情報システムに一定水準のセキュリティを求めている。 まず、法制度からみていこう。個人を認証する要となる電子証明書シリアル番号(法律上は「電子証明書の発行の番号」)は、法的にはマイナンバーのような特定個人情報には該当しない。発行が任意であり、番号の変更も容易だからだ。ただ、個人に対して
[ワンクリック詐欺編]しつこい支払い請求は無視、困ったら復元
ユーザーのクリックを誘うことで不当に利益を得ようとする行為の典型が、ワンクリック詐欺だ。その手口を知っていればそれほど怖くはない。 ワンクリック詐欺の多くは、アダルトサイトを装う。このため、「被害に遭っても周囲に相談しにくく、いまだに被害に遭っている人は少なくない」(国民生活センター 相談情報部の遠藤陽介氏)とみられている。 その手口には特徴がある。まずはきっかけとしてメールやSNSなどでクリックを誘い、Webサイトに誘導(図1)。アダルトサイトや出会い系サイトを装いつつ、訪れたユーザーに対して唐突に利用料金を請求。IPアドレスやWebブラウザー情報を表示し、ユーザーに「もう逃げられない」「事を大きくしたくない」という気持ちにさせる。
![[ワンクリック詐欺編]しつこい支払い請求は無視、困ったら復元](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d456a16b3af85503886909bf403fa445f788e56/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F101500244%2F101500002%2Fph01.jpg%3F20220512)
「かざすだけ認証」も可能に、個人番号カードの技術仕様を知る
前回は、個人番号カードのICチップ機能、特にその目玉である公的個人認証サービスの主な機能を紹介した。今回は、住基カードと比較した公的個人認証の技術仕様の変更点について、新たに搭載された「PINなし認証」を中心に解説する。 暗号強化、個人認証の電子証明書は2種類に 個人番号カードのICチップにインストールされる公的個人認証アプリは、住基カードで使われた同アプリのアップデート版である。このアプリの中に、個人を認証するための電子証明書が組み込まれる。 住基カードにおける電子証明書は、カード自体の発行とは別に、証明書の発行を申請した個人にのみ発行する、いわば「オプトイン型」の発行だった。 個人番号カードでは、カード交付申請書にある「電子証明書の発行を希望しない」の欄にチェックを入れない限り、電子証明書が自動的に組み込まれる「オプトアウト型」になる(図1)。
Flash Playerセキュリティ修正版がようやくリリース、IPAは至急適用呼び掛け
情報処理推進機構(IPA)は2015年10月19日、米アドビシステムズの「Adobe Flash Plyaer」のセキュリティ脆弱性に関する緊急の注意喚起情報を出した。10月15日の時点では最新の修正プログラムを適用しても脆弱性が解消しないため、IPAは「アンインストールや無効化」などの緩和策を呼び掛けていた(関連記事:Flash Playerにまた致命的な脆弱性、IPAは一時的な無効化を推奨)。 その後、アドビシステムズが新たな修正プログラムの配信を始めたことを受け、IPAは無効化などの呼び掛けを取り下げた。「既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、修正プログラムを適用してください」と呼び掛けの内容を変更した。 修正プログラムの適用方法はOSやWebブラウザーによって異なり、IPAのWebサイトで案内している。Windows版、Macintosh版、Lin
[総論]クリックしたら負け?巧みなその手口に注意
「何とかしてユーザーにクリックさせたい」――。インターネットを利用していると、こうした考えのWebサイトに行き当たることがある。 図1は、フリーソフトやシェアウエアのソフトを提供するWebサイト。いざ目当てのソフトをダウンロードしようとすると、Webページに複数のダウンロードボタンが表示される。本物のボタン以外を押すと、別のソフトのダウンロードが始まったり、見知らぬソフトの紹介ページが開いたりする。 図1 フリーソフトやシェアウエアをダウンロードできるWebサイトにいくと、どれが本当の「ダウンロード」ボタンか分からないことがある。このWebページでは、(2)でダウンロードでき、(4)で購入画面が開く。それ以外は、ユーザーのクリックを誘うネット広告だ メールやSNSでURLをクリックさせ、ユーザーを誘導するものもある。こうした「ワンクリック」を誘う手法は、どんどん巧みになっている。今や、クリ
![[総論]クリックしたら負け?巧みなその手口に注意](https://cdn-ak-scissors.b.st-hatena.com/image/square/c2a5bd39d092b293d6d0b1b93a711163af4ec7de/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F101500244%2F101500001%2Fph01.jpg%3F20220512)
みずほもすなる「超高速開発」
ユーザーは想定以上に広がっている――。3年前ぶりに「超高速開発」について取材を重ねた結果、記者は素直にそう感じた。 プログラムを100%自動生成するツールを用いて開発スピードを飛躍的に高める開発手法を「超高速開発」と名付け、特集「『超高速開発』が日本を救う」を日経コンピュータに掲載したのが2012年3月。同月には関連記事として記者の眼に「あなたの知らない超高速開発」を掲載した。 ことさらバズワードを生み出したいという気持ちはなかったが、ネット上の反響を見ると懐疑的・批判的な声も少なからずみられた。3年前の話で恐縮だが、業務ロジックを記述・設定すればプログラムを100%自動生成するとうたうツール群について「本当にできるのか」という投げかけもあれば、「また自動生成か。同じことの繰り返しだ」という、おそらくは過去にCASEツールで手痛い目に遭ったり「Σ(シグマ)プロジェクト」の“失敗”をご存知の
IT業界からブラックを排除しないのなら、SIerもブラックである
「情報サービス産業の未来は大きく輝いており、これからの若者にふさわしい産業である。私たちには、情報サービス産業をより魅力ある産業に変革する使命がある」。情報サービス産業協会が2015年10月7日に発表した「JISA Spirit」の一節だ。これを読んで、恥ずかしさのあまり顔を真っ赤にしなくても済むSIerの経営者がいたら、ぜひ手を挙げていただきたい。 NTTデータなどJISA会員企業のSIerの経営者だけにお聞きしているのではない。富士通、NEC、日立製作所といった日本のIT業界を主導し、SIを主な生業とするITベンダー(以下、SIerに統一)の経営者にもお尋ねしている。なぜ、SIerを頂点とする受託ソフトウエア開発、保守運用の業界が「若者にふさわしい産業」に脱皮できずに、ここまで来たのか、そろそろ真剣に反省すべきだと思う。 私が問題にしているのは言うまでもなく、人月商売に基づく多重下請け
本当にややこしい「Office 2016」のライセンス
日本マイクロソフトは2015年9月23日、オフィスソフトの最新版「Office 2016」の提供を開始した。「Office 365」のユーザーや、「Office Premium プラス Office 365 サービス」(Office Home & Business Premium プラス Office 365 サービスなど)がプリインストールされたパソコンのユーザーは、最新版へのアップグレードが可能になっている。また、9月30日には永続ライセンス版、10月1日にはボリュームライセンス版の販売も開始された。Mac版の「Office 2016 for Mac」は7月9日に先行リリースされており、これで「2016」バージョンのOfficeが出そろったことになる。 デスクトップアプリケーションとしてのOffice 2016は、Windows版に限っていうと、Office 2013から目立った変化が
「注文確認」や「複合機の通知」のウイルスメールに注意!1万3000通以上を確認
トレンドマイクロは2015年10月9日、10月8日朝から合計1万3000通を超える2種類のウイルスメール(マルウエアスパム)を確認したとして注意を呼びかけた。1種類は実在する通販サイトからの注文確認メール、もう1種類は複合機からの通知メールを装う。添付されているWord文書ファイルを開くと、ネットバンキングのパスワードなどを盗むウイルスをインストールされる恐れがある。 出回っている偽装メールの1つは、実在する企業の通販サイトからの注文確認に見せかけている。件名に、「ご注文ありがとうございました―添付ファイル「出荷のご案内」を必ずご確認ください」という文字列が含まれ、送信者名は「R OrderConfirm JP」である(図1)。
iPhone 6sの得する買い方 機種変更と乗り換え、どちらが良い?[ドコモ、au、ソフトバンク価格分析]
iPhone 6s/6s Plusを買うとき得するのは機種変更だろうか、それとも他社への乗り換え(MNP)だろうか。ドコモ、au、ソフトバンクの実質価格とお得度を徹底分析した。 アップルのiPhone 6s / 6s Plusがドコモ、au、ソフトバンク各社から発売された。気になるのは、「機種変更やMNPで購入すると、実質的な価格はいくらになるのか」だろう。 今回のiPhone 6s商戦の特徴は、機種変更について、各社とも古いiPhoneの下取りを優遇することで、既存のiPhoneユーザーが低価格で6sに機種変更しやすい環境を整えていることだ。いっぽう、MNP(他社への乗り換え)での大幅な値引きは実施されていない。
![iPhone 6sの得する買い方 機種変更と乗り換え、どちらが良い?[ドコモ、au、ソフトバンク価格分析]](https://cdn-ak-scissors.b.st-hatena.com/image/square/d771d6f74fe4a3b8619bc3adb54844fc2f7866fa/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F14%2F255608%2F100600122%2F1_px400.jpg%3F20220512)
アジャイル技術者を1万人に、「アジャイル検定」が始動
アジャイル開発の基礎的な知識を問う「アジャイルソフトウェア開発技術者検定試験(アジャイル検定)」が2015年9月に始まった(画面1)。日立製作所や東京海上日動システムズなど9社が集う試験母体である「アジャイルソフトウェア開発技術者検定試験コンソーシアム」は早期に1万人まで合格者を増やしたい考えだ。 ユーザー側として参加した東京海上日動システムズのシステム開発本部長を務める大内美樹エグゼクティブオフィサーは「まずはしっかりとしたアジャイル開発を広めたいという気持ちがあり、そのためにはアジャイル開発の基本がわかる技術者を増やす必要があった」とアジャイル検定の意義を話す。 専門書2~3冊を読み込んだ知識レベルで合格 アジャイル検定はアジャイル開発のスキルを客観的な尺度で分析・判定する。基本的な知識を問うレベル1と、アジャイル開発の具体的な開発手法を問うレベル2の2階建ての試験となる。現時点ではレ
記者の眼 - 蔓延するセキュリティの勘違い、いま一度確認を:ITpro
自社ECサイトを開発したベンダーが、発注者の知らぬ間にテスト環境を構築。そのテスト環境に不正アクセスされ、そこからデータベース内のクレジットカード情報を盗み出された──。耳を疑うような話だが、2015年6月に公表された事件だ。ログが短期間しか残っていなかったため、実際の漏えい件数は明確ではないが、データベースには約2万8000件のクレジットカード情報が格納されていた。 発注者となるユーザーの多くは、「ITベンダーはきちんとセキュリティ対策を講じてくれている」と考えているだろう。しかし実際はそうではない。「要件として挙がってないことを勝手にやるわけにはいかない」「セキュリティ対策はコストがかかるから言いづらい」などと考えているITベンダーのエンジニアは多い。ユーザーもITベンダーも互いに異なる見解を常識だと思い、適切なセキュリティ対策をしていないまま、攻撃にさらされている。 攻撃が巧妙になっ
格安SIMの速度テスト[大阪・神戸、福岡、仙台編] ドコモと同等以上に使えた都市とは?
大手通信キャリアよりはるかに安い月額料金で音声通話やデータ通信できる格安SIMは、大手通信キャリアと使い勝手はほとんど変わらない。過去に都心部や新幹線各駅で速度を調べたところ、大手キャリアと同等か若干劣る程度だった。 では、東京以外の大都市での利用はどうなのか。そこで大阪、神戸、福岡、そして仙台の4都市で格安SIMの速度を計測した。 従来のテストと同様、速度調査を実施にあたって用意した格安SIMは、知名度の高いものや定番のものを選んだ。「IIJmio」「NifMo」「楽天モバイル」「OCNモバイルONEONE」の4種類だ。 SIMフリースマートフォンとして人気の高いエイスース(ASUSTek Computer)の「ZenFone 2」に格安SIMを挿してチェック。テストの条件をなるべく同じにするためZenFone 2を複数台用意し、ほぼ同じタイミングで速度を測定した。通信速度を計測するアプ
![格安SIMの速度テスト[大阪・神戸、福岡、仙台編] ドコモと同等以上に使えた都市とは?](https://cdn-ak-scissors.b.st-hatena.com/image/square/b54381baf502aa01caa9d84f0199608418ef7fb6/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F14%2F255608%2F092400118%2F23_px240.jpg%3F20220512)
第8回 HTML5でHello Worldを作って動かしてみよう!(後編)
前回と今回は、「Hello World」プログラムを通じて、コーディング作業における実践的なノウハウを解説しています。 1. Hello Worldを作ってみよう! 2. 時間に応じて、挨拶を変えてみよう 3. 挨拶をしゃべってもらおう(WebSpeechAPIを利用してみよう) 4. 作成済みのUI部品を適用してみよう(再利用のための部品化を検討してみよう) 1と2が前回、3と4が今回です。 3. 挨拶をしゃべってもらおう(WebSpeechAPIの利用) 動画の再生や、音声出力など、多彩な表現も、HTML5の魅力の一つです。「WebSpeechAPI」を利用すると指定した文字列を読み上げることができます。ただし、iOSは7以降、Androidはバージョンによっては非対応です。 先ほどの例に、挨拶を読み上げるボタンを追加してみましょう。 3-1. 最初の実装 HTMLに読み上げ機能を呼び
やばいぞマネージド・セキュリティ・サービス、安かろう悪かろうを排除する
日本の企業や団体におけるサイバーセキュリティの現状のまずさと、そこからの脱却方法を解説する連載の4回目である。今回は、SOC(ソック:Security Operation Center)を使ってリアルタイムでサイバーセキュリティの脅威を監視する「マネージド・セキュリティ・サービス(MSS:Managed Security Service)」を取り上げる。これは、第2回の「監視」フェーズで説明したアウトソース型の監視サービスである。 私が思うに、この先のMSSは低価格であることを競う“牛丼戦争”をほうふつとさせる市場概況になるだろう。というのも、筆者の所属する部署もMSSを提供しているが、サイバーセキュリティの脅威における高まりに合わせて、サービス事業者は今や乱立状態であるからだ。 試しにグーグルで「マネージド・セキュリティ・サービス」で検索すると10万件以上件もヒットする。検索結果には「私
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
