三菱UFJのAWS大規模採用を契機にクラウド人材不足はもっと深刻になる
国内第三位の時価総額を誇るメガバンクが、クラウドの住人になろうとしている。2017年1月、三菱UFJフィナンシャル・グループ(MUFG)が、パブリッククラウドサービスの「Amazon Web Services(AWS)」を採用することが明らかになった。 これは、「一部のシステムをAWS上で構築することにした」といった、よくあるクラウド事例ではない。日経FinTechの取材によるとMUFGは、400に上る情報システムのうち、過半数を超える200以上をパブリッククラウドに移行可能と見込んでいる。勘定系システムに代表される基幹系システムは対象外ではあるものの、「大規模採用」と表現しても差し支えないだろう。 新規サービスなどもクラウド上での開発を前提にするとみられ、文字通り“クラウドファースト”の方針を固めた格好だ。 MUFGによるクラウドの大規模採用には、エポックメイキングな意味合いが含まれてい
資生堂子会社のECサイト、無いはずのカード情報が漏れた原因とは
資生堂子会社「イプサ」が運営していた化粧品通販サイトの不正アクセス問題で2017年1月31日、新たな動きがあった。およそ2カ月前に公表した最大42万1313件の個人情報と最大5万6121件のクレジットカード情報の漏えいに加え、9699件のクレジットカード情報と150件の個人情報も流出していた可能性があると明らかにしたのだ。 合わせて、資生堂とイプサは、不正アクセスの経緯や原因、対策をまとめた調査報告書を公表した。本来は通販サイト内に蓄積しないはずのカード情報をサーバーに残していたことなど、セキュリティ対策の基本部分がおろそかだったことなどが明らかにした。報告書から分かる、経緯や問題点をみていこう。 攻撃を受けたサイトのサーバーは3台 今回攻撃を受けたイプサの通販サイト「イプサ公式オンラインショップ」は、2台のWebサーバーと1台のデータベース管理サーバーで運用していた。イプサがカード決済代
資生堂子会社の情報漏洩で報告書、「SSI脆弱性と複数の事実誤認が原因」
資生堂は2017年1月31日、子会社のイプサが運営する通販サイトで2016年11月に発覚した個人情報の漏洩について調査報告書を発表した。サイト内で使用していた「SSI」に脆弱性があったことに加え、通販サイトの運営システムに関連して同社が複数の事実誤認をしていたことが漏洩につながったとしている。 個人情報の漏洩が発覚したWebサイトは「イプサ公式オンラインショップ」。当初、クレジットカード情報は最大5万6121件、それ以外の個人情報は42万1313件が流出した可能性があるとしていた。その後の調査で、さらにクレジットカード情報は9699件、それ以外の個人情報は150件で新たに情報漏洩の可能性があることが判明している。 最大の原因は、同サイトで使用していたSSIに脆弱性があったこと。SSIはHTML内にコードを書き込んで、簡単な命令を実行する仕組みのこと。何者かが不正にログインし、SSIの脆弱性
ヤフーの「超リアル」なサイバーセキュリティ演習に見た凄み
「通販サイトの注文データが消えている」。 引っ越したばかりのヤフー(Yahoo! JAPAN)の真新しいオフィス内で、悲鳴のような声が上がった。実際のサービスで起こったわけではない。ヤフーが2016年10月20日に社内で実施したサイバーセキュリティ演習に潜入取材したときの様子だ(写真1、関連記事:ヤフーがサイバー防御演習「Hardening」、顧客・マスコミ対応力も競う)。 「16時6分以降の注文が消えているようだ。該当するお客様に再度注文してもらうように告知しようか?」 「そもそも、注文受付を続けていいのか? サイトを止めた方がいいのでは」 「通販サイトの画面が改ざんされたりはしていない。サービスは継続できそうだ」 「いや、サイバー攻撃の可能性がある。事態が悪化すれば個人情報を抜かれるぞ」 7つに分かれたチームのそれぞれで、緊迫したやり取りが続いた。 Hardening方式で売上高競う
「メリットが見えない」、盛り上がり欠ける情報処理安全確保支援士
情報処理推進機構(IPA)は2017年4月から、新しいセキュリティ国家資格「情報処理安全確保支援士」を開始する。新資格は「講習受講による知識のアップデートが義務付けられる」という、今までの情報処理技術者試験にはない特徴を持つ。「その手間を掛けるメリットがあるのか」「講習受講料(3年間で15万円)を支払う価値はあるのか」と話題になっている。 資格の開始は2017年4月としているが、実際には既に運用が始まっている。やや制度が複雑なので簡単に説明しておこう。情報処理安全確保支援士はペーパーテストに合格するだけでは取得できない。試験合格者がIPAに登録を申請し、資格保持者の一覧表「登録簿」に登録されてはじめて資格取得となる。初回の登録が2017年4月1日なわけだ。 現在は経過措置として、既存の「情報セキュリティスペシャリスト試験」と「テクニカルエンジニア(情報セキュリティ)試験」の合格者を登録対象
どうする?結婚しない「アラフォーSE」
星野 源と新垣結衣が演じる火曜ドラマ「逃げるは恥だが役に立つ」(TBS系、火曜午後10時)が話題になっている。結婚に興味のない独身ITエンジニア(SE)の星野が、家事手伝いを依頼する新垣と契約結婚し、次第に結婚の意義を見いだすドラマだ。筆者が注目するのは、適齢期を越えた独身職業の象徴が「ITエンジニア」として描かれていること。晩婚化や少子化が叫ばれる中、ITエンジニアの“結婚離れ”がクローズアップされているのだ。 実際、IT業界の結婚離れは数字にも表れている。総務省が5年おきに公表する「就業構造基本調査」によると、2012年時点での全業種の35~44歳の未婚率は26.4%。これに対して情報通信業の同年代の未婚率は35.4%に上る。他の業種と比べても高い水準で、独身が多い職業の象徴としてITエンジニアが取り上げられるのもうなずける。 もちろん人生は人それぞれなので、ここで結婚を是として語るつ
標的型攻撃は「怪しいメール」から始まる
特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」が相次いでいる。従業員から、「怪しいメールを受け取った」「添付された文書ファイルを開いたが、何も表示されない」といった連絡があったら、セキュリティ担当者は素早く対応しよう。自社が標的型攻撃を受けている恐れがあるからだ。 怪しく見える正規のメールはあり得るし、報告した従業員の勘違いかもしれない。しかし担当者は、被害が出ていなくても、攻撃があったと想定して対応するのが不可欠だ。それにより、万一の場合の被害を最小限に抑えられる。ここからは、担当者が実施すべき対応手順を説明しよう(図1)。
IPAがセキュリティ新資格の取得方法を発表、維持費は3年で15万円
RISSは、情報処理技術者試験で従来実施していた「情報セキュリティスペシャリスト試験」をベースに新設する。従来試験との違いについて、IPAでHRDイニシアティブセンター情報処理安全確保支援士グループグループリーダーを務める高橋将氏は、「登録情報の公開による資格取得者の見える化と、講習受講による質の担保」と説明する。 資格は「試験合格」「登録」「維持」の3段階から成る。「試験合格」とはペーパーテストに合格すること。RISSの初回試験は2017年4月に実施する。経過措置として、情報セキュリティスペシャリスト試験の合格者と「テクニカルエンジニア(情報セキュリティ)試験」の合格者は2018年10月20日まで試験を免除する。 「登録」とはIPAが運営する資格保持者のデータベースである「登録簿」に登録することだ。登録には手数料1万700円と登録免許税9000円が必要。登録情報はIPAのWebサイトで公
恐怖をあおる新種ランサムウエア チャートを使って慌てず対応
ランサムウエアは、パソコンのデータを人質にとって金銭を要求するウイルスです。ファイル単位でデータを暗号化し、金銭を支払えば復号するものが主流ですが、最近ちょっと違うランサムウエアが出てきました。今回は、新種ランサムウエアの検体を二つ入手したので、安全な環境を用意して調査しました。 ランサムウエアに感染すると、誰しも少なからず慌ててしまうでしょう。そんなとき、あらかじめ対処方法を知っているかどうかで、被害の大きさが変わってきます。感染後の対応手順がわかるチャートを用意したので、ぜひ活用してください。 ディスク単位で非読化するPetya 今回調査したランサムウエアは「Petya」と「Jigsaw」です。これらに注目したのは、現在主流のランサムウエアにはない、変わった特徴があったからです(図1)。Petyaはディスク単位でデータを読めなく(非読化)します。Jigsawはファイル単位でデータを暗号
大企業CTO候補生、ベンチャー企業CTOにスピードを学ぶ
「大企業とベンチャー企業の違いは何か」「競合相手との差異化をどう考えているか」「技術者のモチベーションをどうやって維持するか」――。 2016年10月15日に開催された、大企業の次世代CTO(最高技術責任者)向けフォーラム「CTO30会議」では参加者からこうした質問が寄せられた。質問したのは同会議に参加する大企業の次世代CTO、回答者はベンチャー企業の現役CTOである。 今回の大企業とベンチャー企業の交流は、アマゾン ウェブ サービス ジャパンが運営するベンチャー企業のCTO向けカンファレンス「CTO Night」とCTO30会議の連携企画として実現したもの。ベンチャー企業のCTOとして、ソラコムの安川健太氏とMonotaROの安井卓氏が登壇した。 大企業とベンチャー企業の違いについて、ソラコムの安川氏は「大企業では新しいことに取り組もうとしても、既存事業への影響を考えざるを得ない」とし、
NEC、住友生命の次期イントラネット基盤を受注し2018年度に稼働
NECは2016年10月17日、住友生命保険からイントラネット基盤「あいキューブシステム」の次期システム構築を受注したと発表した。2018年度の稼働を予定する。次期システムでは、サーバー基盤の仮想化に次いで、SDN(ソフトウエア・デファインド・ネットワーク)の導入によってネットワーク基盤も仮想化する。 本システム基盤は、サーバー、ネットワーク、ミドルウエアなどのIT資源を提供する「インフラ基盤」と、各種業務システムを利用するために必要な認証機能、運用監視機能、セキュリティなどの共通機能を提供する「あいキューブ基盤」で構成する。 次期システムのインフラ基盤では、以前から取り組んでいるサーバーの仮想化に続いて、新たにネットワーク基盤を仮想化する。利用するSDN製品は未定。サーバー仮想化基盤においては、物理サーバーのPCサーバー化を進める。現在は商用UNIXサーバーとPCサーバーが混在しているが
「公務員が情報セキュリティ対策を怠れば懲戒処分」、人事院が初めて明記
人事院は2016年9月30日、懲戒処分の指針を改正し、中央省庁に通知した。サイバー攻撃の脅威が高まっていることを踏まえ、情報セキュリティ対策を怠って情報漏洩を起こした場合の懲戒処分を追加した。今後、各省庁が職員を処分する際の指針として活用される。 今回、「懲戒処分の指針について」の規定を一部改正。職員(国家公務員)の秘密漏洩について、「具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた職員は、停職、減給又は戒告とする」という標準例を追加した。 従来は、故意による秘密漏洩のみを規定しており、セキュリティ対策を怠った場合の処分についての規定がなかった。懲戒処分の対象になることを新たに明文化し、従来以上に厳重な情報管理を促す狙いがある。 [人事院の発表資料]
クジラ飛行机「仕事に役立つJavaScript入門」:ITpro
パソコンやスマートフォンを活用していると遭遇する「ちょっと困ったこと」や「できたらいいなと思うこと」をJavaScriptでスッキリ解決しましょう。サンプルプログラムや改造のヒントを示して、プログラミング初心者でも分かりやすく解説します。 Googleスプレッドシートで作った単語帳から毎日LINEに英単語を送ろう Google Apps Scriptを使ってLINEでメッセージを送ろう(4) ここ4回にわたって、LINE Notify APIとGoogle Apps Scriptを組み合わせて使う方法を紹介しています。今回は、Googleスプレッドシートを参照して、毎日、覚えたい英単語をLINEに送るという仕組みを作ってみましょう。 2017.06.29 Googleカレンダーの予定を毎朝LINEに通知しよう Google Apps Scriptを使ってLINEからメッセージを送ろう(3)
JTBの事故対応手順が明らかに、非公開の報告書を読み解く
ジェイティービー(JTB)は2016年6月24日、個人情報が流出した可能性がある問題で観光庁に報告書を提出、引き続いて国土交通省で2回目の会見を開いた(関連記事:「経営課題という認識が不足」、679万人のJTB情報漏洩可能性が残す教訓)。 JTBは会見で、「観光庁への報告書とほぼ同じ内容」(JTB)とする報道用資料を配布。同社のWebサイトなどでの公表予定はないというが、マルウエアの感染からJTBの子会社やセキュリティ会社がどう対応していったかが詳細に記されている貴重な資料と言える。以下ではその内容を記述する。自分ならどう対応できたか、想像しながらお読みいただきたい。 発端は2016年3月15日。旅行商品をインターネット販売する子会社であるi.JTB(アイドットジェイティービー)がWebサイトで公開する、問い合わせを受け付ける代表メールアドレスに、攻撃者が取引先になりすました標的型メールを
「経営課題という認識が不足」、679万人のJTB情報漏洩可能性が残す教訓
「客観的に見れば流出した可能性は極めて高い」。ジェイティービー(JTB)の高橋広行社長は2016年6月24日に国土交通省で開いた記者会見でこう述べた。約793万人の個人情報が流出した可能性があると公表した6月14日に続き、記者会見は2回目だ。24日の会見は観光庁への報告書提出を受けて実施し、報告書の内容を説明した。 JTBは会見で流出した可能性のある人数を678万8443人と訂正。流出の恐れのあるデータ件数は約793万件で同じだが、約114万人の重複が分かった。 公式見解は今回も「情報漏洩の可能性がある」にとどめる。「通信ログが一部ないものの、情報流出を示すログは無く外部から情報流出の指摘もない」(金子和彦グループ本社取締役経営企画部長)のが根拠だ。 一方で14日以来、「不審なメールマガジンが送られてくる」という問い合わせが来ているという。不審メールは100通未満だが、JTBは警察と連携し
定年まであと3年、私が大企業A社部長職をなげうったわけ
筆者は2015年9月、56歳で誰もが知る大企業A社を辞職し、57歳で就職活動を開始した。そして見事転職に成功。本コラムはITエンジニアである筆者が実際に体験したシニアの就活の実情や、筆者の就活プロセスを全て公開し、次の人たちの役に立ってほしいとの思いでつづったものだ。 会社事情などで就活を考えなければならない人 漠然と転職を考えているシニア層の方々 就活で悩み、壁に直面している人達 第1回は、筆者がどのような道を歩んで再就職に至ったかを紹介したい。 なぜ大企業A社を辞めたのか 最近毎日のようにメディアを賑わす大企業の「構造改革」。だが実際には、「構造改革」の名の下、被雇用者側からすれば大規模なリストラが進んでいると感じられる場合も少なくない。最近はシニアに限らず、40代はおろか30代にまでその対象範囲は広がりつつある。 筆者は日本を代表する製造業の大手企業(以下、A社)に部長職として勤務し
[詳報]JTBを襲った標的型攻撃
ジェイティービー(JTB)が2016年6月14日に公表した、最大で約793万人分の個人情報が流出した可能性がある事案の発端は巧妙に取引先を装った標的型メールだった(関連記事:「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪)。 約4300人分の有効期限中のパスポート番号を含む個人情報が漏洩した可能性のある事案は国内で類がない。同日の記者会見と会見後の取材で分かった経緯を追っていく。 発端は3カ月前の2016年3月15日。旅行商品をインターネット販売する子会社であるi.JTB(アイドットジェイティービー)がWebサイトで公開する、問い合わせを受け付ける代表メールアドレスに、何者かが標的型メールを送り付けた。 i.JTBはJTBのWebサイトのほか、「るるぶトラベル」や訪日外国人向け「JAPANiCAN」といった自社運営のWebサイトで旅行商品を販売して
![[詳報]JTBを襲った標的型攻撃](https://cdn-ak-scissors.b.st-hatena.com/image/square/dc5c8f3604595f70d6d832d2c1cce4f373d57e26/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F14%2F346926%2F061500549%2Fph01.jpg%3F20220512)
[第10回]自社Webサイトが攻撃を受けたら… 対策製品を過信せずにログを分析
Webアプリケーションが攻撃されるセキュリティ事故が相次いでいる。ログイン情報が盗まれたり情報漏洩につながったりする厄介な攻撃だ。今回からWebアプリケーション攻撃への対応策を解説する。対策製品は有用だが100%ではないため、3段階で痕跡を探し出そう。 前回までは、マルウエア感染や内部不正など、社内で起こるセキュリティ事故(インシデント)対応について解説してきました。今回から、自組織がインターネットに公開するWebアプリケーションがサイバー攻撃に遭った場合のインシデント対応について解説します。 Webアプリケーションは一般に24 時間365日稼働します。常に攻撃者に狙われている状態であり、いつ被害に遭ってもおかしくありません。事実、Webアプリケーションを狙ったインシデントが後を絶ちません。 日本のインシデント情報を収集・分析するJPCERTコーディネーションセンターによれば、Webサイト
![[第10回]自社Webサイトが攻撃を受けたら… 対策製品を過信せずにログを分析](https://cdn-ak-scissors.b.st-hatena.com/image/square/55e080044240b7188dd1aa8fd597b1ee66c078d5/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F110900259%2F031800010%2Ftopm.jpg%3F20220512)
[ITpro EXPO 2012]「公私混同」で社員を生き生きさせるには、BYODの利点と課題を議論
BYOD(私物デバイス活用)の目的は、社員にもっと生き生きと働いてもらうこと――登壇した3社の情報システム部門トップは、この点で意見が一致した。 2012年10月10日から12日にかけて東京ビッグサイトで開催された「ITpro EXPO 2012」で、「BYODによる情報活用の可能性と課題を考える」と題するパネルディスカッションが開催された。スマートフォンやタブレット端末など、社員の私物端末を業務に活用するBYOD(Bring Your Own Device)の利点と運用面での課題を、大和ハウス工業、ガリバーインターナショナル、ユナイテッドアローズのパネリストが議論した。 モデレータを務めた日経コンピュータの木村岳史編集長(写真1)はまず、ITpro読者を対象にしたBYODのアンケート結果を紹介。「ITpro読者が対象なので、やや数値が高く出る」(木村編集長)とした上で、私物端末を業務で利
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
被害タレントに専門家が指南 安全なパスワード管理法はこれだ!
